Ich bekommen von Anbietern von Mitarbeiterbenefits immer wieder die Antwort, dass es sich um eine gemeinsame Verantwortlichkeit zwischen Arbeitgeber und dem Anbieter handelt und deshalb kein Auftragsverarbeitungsvertrag abgeschlossen werden muss.
Dafür spricht, dass sie ziemlich eigenwillig die Daten verarbeiten, also nicht auf Weisungen hören bzw. die Daten auch zu eigenen Zwecken verarbeiten.
Dagegen spricht aus meiner Sicht, dass keine Rechtsgrundlage für die Datenverarbeitung existiert. Es wird als Rechtsgrundlage immer auf den Vertrag zwischen Arbeitgeber und Anbieter verwiesen. Der Arbeitgeber muss einen Vertrag mit dem Arbeitnehmer abschließen, bestimmt, wer von dem Angebot gebrauch machen darf (also auch wessen Daten überhaupt verarbeitet werden) und muss auch bei Austritten entsprechende Meldungen vornehmen.
Die Anbieter meinen aber, damit dass Sie die Informationspflicht nach Art. 13 und 14 DSGVO (Ausschließlich dass Sie verantwortlicher wären, eine Vereinbarung zur gemeinsamen Verantwortlichkeit ist darin nicht beschrieben) erfüllen, haben Sie ausreichend Rechtsgrundlage die Daten mit dem Arbeitgeber auszutauschen (auch ohne Einwilligung, sondern nur wegen des Leistungsvertrages zwischen Anbieter und Arbeitgeber) und vom Mitarbeiter in eigener Verantwortung zu verarbeiten.
Die Anbieter weigern sich absolut auch nur die Thematik der Auftragsverarbeitung in betracht zu ziehen, können die gemeinsame Verantwortlichkeit aber auch nicht anders begründen, als dass sie die Daten ohne Einflussnahme des Arbeitgebers verarbeiten möchten (Auswerten, analysieren, etc.).
Aus meiner Sicht erhalten die Daten die Anbieter ausschließlich, wegen des Vertrages zwischen Arbeitgeber und Anbieter und dieser ist auch für die Aktualität und Pflege verantwortlich. Damit dürfte eine gemeinsame Verantwortlichkeit nur in Betracht kommen, wenn der Anbieter auch einen eigenen Vertrag mit dem Mitarbeiter abschließt und das Angebot dann auch unabhängig vom Arbeitsverhältnis bzw. abgekoppelt vom Vertrag mit dem Arbeitgeber weiter genutzt werden kann (bspw. bei Austritt wird bei einigen Anbietern der Name des Arbeitnehmers und der Arbeitgeber entanonymisiert und unbegrenzt gespeichert) bspw. in dem der Mitarbeiter auf eigene Kosten das Angebot weiter nutzen kann.
Ich würde mir aber gerne dazu auch noch andere Meinungen einholen, da ich leider von den zuständigen Aufsichtsbehörden zu dieser Thematik noch keine Auskunft erhalten habe.