Hmm. Mit haderners Ein-Satz-Antworten kann ich immer noch nicht mithalten…
Mir fällt es schwer, eine “begleitende Natur” oder ein “unvermeidliches Beiwerk” zu sehen, wenn anhand der Account- und Log-Daten (mit IP-Adressen?) eine Überwachung und/oder Kontrolle der Beschäftigten möglich ist. Das birgt einen etwas anderen Umfang als eine bloße Rechnungserstellung oder das Bedrucken von T-Shirts.
§26 BDSG kann der Kunde für die eigene Verarbeitung anwenden, nicht aber der Dienstleister im Rahmen seiner Verarbeitung. Da die Verarbeitung beim Dienstleister nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich ist (wie zB eine Entgeldabrechnung), fände eine Zweckänderung statt. Sofern sich die Beschäftigten selbstständig registrieren, werden die Beschäftigtendaten jedoch nicht durch den Kunden an den Dienstleister übermittelt. Etwas anderes wäre es, wenn der Kunde dem Dienstleister eine Liste mit zuständigen Mitarbeitern zur Account-Erstellung übermitteln würde. Dann wären wir bei der Zweckänderung, von der die einen sagen “möglich, wenn berechtigtes Interesse gem. Art.6 Abs.1 lit.f”, während die anderen sagen “ausgeschlossen, berechtigtes Interesse wegen schutzwürdiger Interessen nicht anwendbar” und für die DSK muss “ein innerer Zusammenhang zum Beschäftigtenverhältnis im weitesten Sinne bestehen” sowie die §§23, 24 BDSG beachtet werden (Kurzpapier 14).
Der Kunde beauftragt in dem Sinne keine Datenverarbeitung. Man könnte aber anhand des Beispiels “Wartung und Fernzugriffe” aus dem Kurzpapier 13 eine ADV konstruieren: Die Accounts beim Dienstleister dienen der (technischen) Umsetzung von Auswertungen des Kunden und der Dienstleister muss sicherstellen, dass diese Accounts funktionieren. Genau dafür muss er sie warten. Das passiert nicht in den Systemen des Kunden (wie im Beispiel genannt), sondern in den Systemen des Dienstleisters. Die Daten aber sind die der Beschäftigten des Kunden. Folglich findet eine Auftragsverarbeitung dieser Daten im Rahmen der Wartung und der Sicherstellung des Betriebs beim Dienstleister statt. Durch die Brust ins Auge.
Orientiert man sich an der BAG-Entscheidung zur Nutzung einer Signaturkarte (10 AZR 270/12), ist der Dienstleister der Verantwortliche für die Verarbeitung. Eine gesetzliche Verpflichtung, die eine Verarbeitung von pb Daten erfordert und eine Alleinverantwortlichkeit begründet, existiert hier allerdings nicht (wie Signaturgesetz, steuerliche Verpflichtungen, Krankenversicherung etc.). Mit Blick auf die EuGH-Entscheidung zu den Fanpages (C‑210/16) lässt sich ebenfalls feststellen, dass der Dienstleister über die Zwecke und Mittel bestimmt. Allerdings stellt der EuGH fest, dass bei einer gemeinsamen Verantwortlichkeit keine gleichwertige Verantwortlichkeit bestehen muss (auch EDSA “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”). Bestimmt nun der Kunde, welche Analysen und Auswertungen mit den Accounts erstellt werden, bestimmt er auch Zweck und Mittel - nämlich die Art und Weise der Nutzung der angebotenen Dienstleistung durch die Beschäftigten. Eine zusätzliche Frage wäre die zu Auswertungsmöglichkeiten der Nutzungsdaten durch den Kunden.
Für die Beschäftigten besteht kein Anlass, einen Account beim Dienstleister zu eröffnen, denn dessen Vertrag besteht mit dem Kunden und nicht mit den Beschäftigten. Eine evtl. Erforderlichkeit ihre pb Daten zu verarbeiten, entsteht also erst aus dem Vertrag zwischen Arbeitgeber und Dienstleister. Die Verarbeitung resultiert somit aus dem berechtigten Interesse des Arbeitgebers am Vertragsverhältnis mit dem Dienstleister und aus der anschließenden Vertragserfüllung, die ohne Beschäftigtendaten nicht möglich ist. Das spräche gegen eine Alleinverantwortung des Dienstleisters, denn diese würde ohne das Vertragsverhältnis gar nicht existieren. Aus dieser Sicht und vor dem Hintergrund der Fürsorgepflicht des Arbeitgebers tendiere ich zur oben angrissenen gemeinsamen Verantwortlichkeit. Als Initiator der Verarbeitung ist der Arbeitgeber nach meiner Ansicht dafür verantwortlich, dass diese Daten überhaupt erst verarbeitet werden. Folglich muss er bei der Nutzung der Dienstleistung in irgendeiner Weise sicherstellen, dass die Beschäftigtendaten im Sinne ihrer Beschäftigung geschützt sind. Eine dementsprechende Vereinbarung zwischen Kunde und Dienstleister kann dies zumindest theoretisch bewerkstelligen.
Sitzt der Dienstleister in einem Drittstaat, muss das schutzwürdige Interesse noch einmal anders gewichtet werden.