Datenschutz bei Dienstleistern

Hallo liebe Kollegen,

ich arbeite bei einem Dienstleister und wir bekommen täglich Anfragen von Kunden, die irgendwelche personenbezogenen Daten (Führungszeugnis, Nachweis Arbeitszeiten, Qualifikationsnachweise,…) von unseren Beschäftigten erhalten wollen, die in der Liegenschaft des entsprechenden Kunden tätig sind.
Natürlich prüfen wir im ersten Schritt immer, ob ein Zweck gegeben ist. Gehen wir hier mal davon aus, dass ein entsprechender, angemessener Zweck vorliegt.

Meine Frage bezieht sich auf die Rechtsgrundlage. Gehen wir mal davon aus, dass der Kunde eine Rechtsgrundlage hat, um bestimmte pbD von Personen abzufragen, die in seiner Liegenschaft tätig werden. D.h. der Kunde hat eine Rechtsgrundlage zur Verarbeitung dieser Daten. Wir als Dienstleister passen jedoch nicht in den Anwendungsbereich des betroffenen Gesetzes und können uns somit nicht auf diese Rechtsgrundlage beziehen. Somit fehlt uns die Rechtsgrundlage zur Verarbeitung dieser personenbezogenen Daten.
Ist es dann wirklich notwendig, für jeden Fall eine Einverständniserklärung zu erstellen? Oder wäre das ein typischer Fall für ein berechtigtes Interesse?

Über hilfreiche Rückmeldungen freue ich mich :slight_smile:

Hallo Jes

Ich bin DSB in einer Agentur also bin ich auch im B2B Bereich tätig, und wenn es um einen Pitch oder Angebotsanfrage bzw. oft auch erst kurz vor Abschluss des Vertrages in der letzten Entschiedungsrunde, wollen unsere Kunden auch das Team kennenlernen. Also ist die Situation hier vergleichbar.

In der Regel machen wir das so, dass in unserer Präsentation nur die Teamleads also die Leiter der verschieden Gewerke drin sind und hier quasi die groben Profile / Referenzen der Leiter gezeigt werden. So zeigen wir unsere Kompetenz gegenüber den Kunden.

Für die Fotos der MA haben wir hier eine Einwilligung die beim Eintritt in unsere Firma unterschrieben wird mit Wahl der Zwecke (u.a. Pitchunterlagen)
Die Daten / Kompetenzen lassen wir uns von den MA freigeben. Stützen tun wir dies auf das berechtigte Interesse. Auch in den DatenschutzInfos für Mitarbeiter steht drin, das Empfänger der Daten Kunden sein können.

Eine Einzelfall Einwilligung würde hier den Rahmen sprengen.

Auch der LfDI BW schreibt in der Praxishilfe Beschäftigendatenschutz ab Seite 41 unten, dass ein kundenorientiertes Auftreten eines Unternehmens (und das sehe ich hier) ein berechtigtes Interesse sein kann: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/Ratgeber-Beschäftigtendatenschutz.pdf

Also ich bleibe dabei berechtigtes Interesse greift hier.

Zunächst vielen Dank für den Link zur aktuellen Datei “Beschäftigtendatenschutz”. Ich hatte für meine Kollegen noch die alte Auflae “3” auf dem Server.

Es überrascht mich nicht, dass in komplexen Situationen oft pragmatische Lösungen installiert werden.

Hierzu würde ich aber doch gerne etwas nachhaken.

1)“Für die Fotos der MA haben wir hier eine Einwilligung die beim Eintritt in unsere Firma unterschrieben wird mit Wahl der Zwecke (u.a. Pitchunterlagen)”.

Grundlegend bin ich eher ein Freund des “berechtigten Interesses”. Quasi “entweder, oder”.
Eine Einwilligung darf nicht an eine Leistung geknüpft sein, da es ihr sonst an der “Freiwilligkeit” fehlt.
Zudem kann ja, wie bekannt, jegliche Einwilligung zu jeder Zeit wiederrufen werden. Dies würde ihre Marketingstrategie gegenüber den Kunden gehörig durcheinander Wirbeln.

In der Regel ist es so, dass ein Kunde sich an Dienstleister wendet, die fachliche Expertiese über Projekte bei anderen Kunden werbetechnisch illustrieren.

Selbst mein Handwerker (je nach Projekt) fragt mich als Kunden, ob er ein Foto seines Schaffens auf die Homepage stellen darf. Ohne pbD zum Auftraggeber.

Je nach Branche, könnte ich mir vorstellen, dass ein betriebliches Interesse bei Projektleitern und Führungsverantwortlichen hier die “bessere” Wahl darstellt.

“Eine Einzelfall Einwilligung würde hier den Rahmen sprengen.”

Die hingegen erscheint mir, kein Datenschutzkonformer Ansatz.

  1. Aus “Beschäftigtendatenschutz Ausgabe4”

“Will ein Unternehmen über Namen, Titel, Funktion und dienstliche Erreichbarkeit hinaus der Öffentlichkeit auch ein Foto des Mitarbeiters präsentieren, führt kein Weg an der Einwilligung des Abgebildeten vorbei”

Das berechtigte Interesse, stützt sich bei uns auf Namen, Durchwahl und E-mail Adresse auf der Homepage für z.B. Geschäftsführung, Vertrieb und Einkauf. Natürlich auch Datenschutzbeauftragter…

Also lediglich die verantwortlichen Stellen. Keine Fotos. Selbst in unserem Intranet war es jedem freigestellt ein Foto einzufügen.

Anders ist dies, z.B. bei einer Modelagentur. Da wird ohne Fotos nicht viel Geschäft drin sein.

1 „Gefällt mir“

Hallo Jes

Insofern tatsächlich eine Rechtsgrundlage besteht, kann man sich auf diese jeweilige Rechtsgrundlage auch beziehen. Selbst wenn ich, für deine in Klammer geführten Beispiele, aus dem Stand keine aufsagen könnte.

Das Datenschutzgesetz ist ja eher subsidär. Bedeutet, wenn spezialgesetzliche Regelungen dem BDSG neu vorstehen, dann erlaubt das Gesetz die Übermittlung der Daten.

Dies, ist von der verantwortlichen Stelle zu prüfen. Jegliche Einverständniserklärung ist somit obsolet.
Auch hege ich starke Zweifel an der “Freiwilligkeit” des Mitarbeiters.

Hallo Dataparanoia

  1. Das berechtigte Interesse kann im Beschäftigtenverhältnis nwie von dir erwähnt nur dann relevant sein wenn es notwendig ist (z.B. Dienstausweis in kritischen Bereichen, Zoll oder Sicherheitsprüfungen etc).

Und ja dem Punkt der Freiwilligkeit wird Beachtung geschenkt… es gibt auch Mitarbeiter ohne Fotos (ist ja kein zwang) und es gibt auch eine Gegenleistung, die MA können die Bilder für eigene Zwecke verwenden (also z.B. bei sich bei LinkedIn, Xing, Bewerbungen etc). Somit haben sie einen Gegenwert. Aber das war nicht das Thema der Frage daher hatte ich es nicht erwähnt.

Zudem hatte ich ja von Teamleads gesprochen … Daher ja auch der Punkt mit Projektleitern etc. ist erfüllt.

  1. Auch hier greifen die Punkte oben … Teamleads, kein Zwang und bei der freiwilligen Einwilligung gibt es unterscheidungen nach Zwecken die man ankreuzen kann (und es gibt MA die nicht alles oder garnix gewählt haben).

Von daher sehe ich erstmal keinen Widerspruch zu den Punkten von dir.

Aber wiegesagt das war nicht die Frage im ersten Post.

“Von daher sehe ich erstmal keinen Widerspruch zu den Punkten von dir.”

Ich jetzt auch nicht mehr :innocent:

“Aber wiegesagt das war nicht die Frage im ersten Post.”
daher hatte ich separat dem Threadersteller geantwortet

Die von dir in Klammer geführten Beispiele illustrieren mögliche Rechtsgrundlagen und Vorschriften sehr gut.
Alles Anforderungen, die ein betriebliches Interesse an der Verarbeitung rechtfertigen können.

Nennt mich jetzt naiv, aber aus meiner Sicht ist im Bereich der Arbeitnehmerüberlassung / der Dienstleistung die Übermittlung bestimmter Datensätze an Dritte vertragsinhärent, ja gerade zu prägend für das Beschäftigungsverhältnis zwischen AN / Betroffenem und AG / Dienstleister. Das heißt die Weitergabe verkehrsüblicher oder für den Auftragnehmer rechtlich zwingender personenbezogener Daten von den eingesetzten Mitarbeitern werden alleine aus der Rechtsgrundlage des Art. 6 Abs. 1 lit. b) DSGVO in Form des Arbeitsvertrags rechtfertigt. Lediglich für unübliche Datenteile (hierzu könnten die angesprochenen Mitarbeiterfotos gehören) wäre das berechtigte Interesse des Verantwortlichen oder eine Einwilligung des Betroffenen notwendig.

Man braucht ja auch keine gesonderte Rechtsgrundlage, wenn euer Mitarbeiter signiert mit seinem Namen eine E-Mail an jemand Drittes schickt.

Gibt’s dafür ein Beispiel?

Grundsätzlich: Die Aufsichtsbehörden sehen drei Stufen zur Einordnung eines berechtigten Interesses vor:

  1. Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
  2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
  3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

Das entspricht der Ansicht des EuGH in der Rechtssache C-13/16.

Eine rechtliche Verpflichtung, die eine Verarbeitung der pb Daten beim Kunden fordert, wäre ein berechtigtes Interesse eines Dritten. Es müsste zunächst diese Verpflichtung und anschließend die zugehörige Erforderlichkeit der Daten geprüft werden (milderes Mittel, absolut notwendig).
Bei der Abwägung muss bedacht werden, dass dieses Interesse nicht von der Erforderlichkeit des §26 Abs.1 BDSG gedeckt ist und auf Seiten der Beschäftigten ein überwiegendes Schutzinteresse besteht. Hier fände eine Zweckänderung statt, da die Verarbeitung nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich ist (Manche Betriebsvereinbarungen schließen deswegen eine Verarbeitung für berechtigte Interessen aus.). Erwägungsgrund 47 weist auf die Berücksichtigung von vernünftigen Erwartungen seitens des Betroffenen in der Beziehung zum Verantwortlichen hin. Das heißt, die Beschäftigten müssten die Verarbeitung nicht nur vernünftigerweise erwarten. Bei der Erhebung durch den Arbeitgeber muss ihnen auch bewusst sein, dass die Daten einem Kunden offengelegt werden. Den Beschäftigten steht außerdem ein Widerspruchsrecht zu (Art.21 Abs.1). Das würde mit einer rechtlichen Verpflichtung des Kunden kollidieren, es muss seinerseits also ein zwingender schutzwürdiger Grund für die Verarbeitung vorliegen.

Bei Führungszeugnissen, für die auch der Arbeitgeber eine Rechtsgrundlage oder Anforderungen an besondere Zuverlässigkeiten nachweisen muss, sehe ich grundsätzlich ein höheres Schutzinteresse. Zumal diese bei einer bloßen Vorlage nur dokumentiert und nicht gespeichert werden, die Daten beim Arbeitgeber nicht per se vorhanden sind. Die Nachweise von Arbeitszeiten oder Qualifikationen können ohne Personenbezug erfolgen, sofern man sich an der Datenminimierung orientiert (siehe Erforderlichkeit). Das hinge im Einzelfall von der genannten Rechtsgrundlage ab.

@Zealord
Unter Art.6 Abs.1 lit.b fallen Verträge, “dessen Vertragspartei die betroffene Person ist”. Bei einem Vertrag, den der Arbeitgeber als Dienstleister mit seinem Kunden abschließt, ist ein Beschäftigter nicht die Vertragspartei. Für die Anwendung der Vertragserfüllung müsste der Beschäftigte einen Vertrag abschließen, wie zB bei Krankenversicherungen oder Krediten.

1 „Gefällt mir“

Ich weiß, dass sich Art. 6 Abs. 1 lit. b) allein auf das Verhältnis Betroffener und Verantwortlicher bezieht. Ich sage nur, dass diese Art von Übermittlungen an Dritte schon Teil des Vertrags sind.

Nein, das sind sie nicht. Es sei denn, eine Übermittlung wird ausdrücklich im Arbeitsvertrag geregelt.

1 „Gefällt mir“

Das muss nicht ausdrücklich geregelt sein, wenn es typisch und prägend für die vertraglich vereinbarte Aufgabe ist. Es sei denn du vertrittst die Auffassung, dass sich auch signierte E-Mails eines Mitarbeiters jedes Mal nach Art. 6 Abs. 1 lit. f) rechtfertigen statt nach lit. b), obwohl da noch eindeutiger ist, dass derartige Datenverarbeitungen typischer Bestandteil der eigentlichen Arbeitsaufgabe sind.

Ich vertrete die Auffassung, dass Beschäftigtendatenschutz in §26 BDSG geregelt ist und die Eingangsfragen wenig mit signierten E-Mails zu tun haben.

Wenn man das gleiche abstrakte Prinzip hinter beiden Vorgängen, nämlich die Übermittlung personenbezogener Daten an Dritte als Teil der vertraglichen Arbeitsleistung, als weniger miteinander zu tun einstuft, dann ja. § 26 BDSG hilft uns dabei nicht im geringsten weiter, weil die Frage ja ist, ob diese Datenverarbeitungen zur Durchführung des Beschäftigtenverhältnisses gehören oder nicht. Ich sage halt, dass die vom Betroffenen zu erbringende Arbeitsleistung eben Teil des Beschäftigungsverhältnisses / Vertrags ist und das zur Arbeitsleistung ggf. auch Datenübermittlungen an Dritte gehören können und die hier beschriebenen Handlungen wie das Vorstellen des Einsatzteams / Die Sichtung von Führungszeugnisses durch den Auftragnehmer typische für diese Art von Arbeitsleistung sein könnten und deswegen die Datenübermittlung aus dieser rechtfertigt ist, eben genau so wie es beim Fall mit der signierten E-Mail ist.

Wenn man das gleiche abstrakte Prinzip hinter beiden Vorgängen betrachtet, dann fällt auf, dass eine Offenlegung von Führungszeugnissen (Art.10 DSGVO, Erhebung erfordert Rechtsgrundlage), Qualifikations- oder Arbeitszeitnachweisen (Grundsatz der Datenminimierung) andere Erforderlichkeiten und Schutzbedarfe beinhaltet als die Namensnennung des Absenders. Die Vorschriften zu Geschäftsbriefen - als E-Mail-Signatur oder -Impressum umgesetzt -, erfordern überhaupt keine pb Daten des Beschäftigten. Bei einem pb Datum des Absenders geht es also um die bloße Namensnennung eines funktionalen Ansprechpartners. Eine Erforderlichkeit zur Vorlage / Speicherung eines Führungszeugnisses besteht bei einer Relevanz der strafrechtliche Vergangenheit für das Beschäftigungsverhältnis; eine Speicherung unterliegt erhöhten Schutzanforderungen. Und ist die Verarbeitung dieser Daten beim Arbeitgeber unzulässig, kann bei entsprechender Rechtsgrundlage auch eine bilaterale Regelung zwischen Beschäftigten und Kunden gefunden werden. In diesem Fall fände gar keine Übermittlung des Arbeitgebers statt. Eine Vergleichbarkeit ist aus abstrakter Sicht deswegen nicht gegeben, weil die Vorbedingungen zur Verarbeitung bereits verschieden sind.

Da ist zwar vieles zutreffend, allerdings trifft es ja gar nicht das zentrale Argument; nämlich, dass all diese unterschiedlichen Daten mit ihren unterschiedlichen Schutzbereichen mit ihrer ggf. erforderlichen Übermittlung als Duldung Teil der Arbeitspflicht aus dem Vertrag sein könnten und daher aus Art. 6 Abs. 1 lit. b) DSGVO rechtfertigt sind und keiner gesonderten Rechtfertigung bedürfen.

Ich denke ob man erwarten kann das Daten an Kunden gehen oder nicht hängt auch von der Branche ab.

Wenn ich z.B. in einer B2B Marketingagentur bin und Projektweise mit Kunden zu tun haben ist es nachvollziehbar wenn ich auch in Meetings mit den kunden bin oder Arbeiten austausche. Ich kann das also erwarten das die Kunden im Rahmen der Arbeit meine Daten erfahren (vllt nicht unbedingt Führungszeugnisse - es sei den es ist ein heikles sicherheitsrelevantes Projekt, aber sowas wie Referenzen meiner bisherigen Projekte etc - mindestens aber als Führungsperson, oder Projektleiter)

Wenn ich aber in einer größeren Fabrik was zusammenbaue dann kann ich nicht zwingend erwarten das meine Daten an den Kunden gehen auch wenn es sicherheitsrelevant ist… dann kann meine Arbeitgeber mich zwar prüfen aber nicht der Kunde.

In der Agentur kann ich als den Art 6 lit b nachvollziehen beim Führungszeugniss wenn sicherheitsrelevant… In der Fabrik tue ich mich da schwerer und würde die Einwilligung nehmen.

1 „Gefällt mir“

Wir drehen uns im Kreis, Zealord. Das zentrale Argument ist §26 BDSG als vorrangig anzuwendende Norm im Beschäftigungskontext. Art.6 Abs.1 lit.b als allgemeine Vorschrift zur Begründung und Erfüllung von Verträgen wird dadurch verdrängt.
LArbG Baden-Württemberg Urteil vom 25.2.2021, 17 Sa 37/20:

[…] der auf der Grundlage von Art. 88 Abs. 1 DSGVO erlassene § 26 BDSG gegenüber Art. 6 Abs. 1 Buchst. b DSGVO als speziellere Norm vorgeht (vgl. Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49 f.), kommt zur Rechtfertigung allenfalls Art. 6 Abs. 1 Buchst. f DSGVO in Betracht.

Buchner/Petri erklären in Rn.49, dass mit §26 BDSG eine spezifische Regelung für den Arbeitnehmerdatenschutz vorgesehen ist, die “die inhaltlich weitgehend dem § 32 Abs. 1 S. 1 BDSG aF entspricht (§ 26 BDSG Abs. 1 S. 1 BDSG)”. Weiter schreiben sie in Rn.50:

Obwohl die Datenverarbeitung im Beschäftigungskontext weitestgehend auf dem Vertrag zwischen Arbeitgeber und Arbeitnehmer beruht, bleibt für Art. 6 Abs. 1 lit. b im Anwendungsbereich des § 26 BDSG kein Raum. War unter dem alten BDSG noch streitig, ob und inwieweit neben § 32 BDSG aF auch noch § 28 BDSG aF zur Anwendung kommen konnte, ist nach neuem Recht ausschließlich § 26 BDSG einschlägig, wenn personenbezogene Daten zu Zwecken eines Beschäftigungsverhältnisses verarbeitet werden.

(Mit Verweis auf Däubler DWWS §26 Rn.17, Wybitul/Sörup/Pötters ZD 2015, 559 (561). Däubler schreibt in DWWS §26 Rn.17, dass nur bei einer Verfolgung anderer Zwecke auf Art.6 Abs.1 DSGVO zurückgegriffen werden könne.)

Als Beispiel für die Anwendung des Art.6 Abs.1 lit.b nennen Buchner/Petri in Rn.51 den Bezug von Gütern oder Dienstleistungen durch den Arbeitnehmer, wie das Konto für Bankmitarbeiter, den Erwerb eines Jahreswagens der Firma oder den Einkauf in der Kantine. Das ergibt Sinn, denn Verarbeitungen für diese Zwecke finden nicht zur Erfüllung des Arbeitsvertrages statt. Diese Verarbeitungen finden zur Erfüllung eines Vertrages statt, bei dem Arbeitnehmer und Arbeitgeber die Vertragsparteien sind. Eine solche Konstellation liegt hier jedoch nicht vor. Neben einer Einwilligung oder einer Kollektivvereinbarung “kommt zur Rechtfertigung allenfalls Art. 6 Abs. 1 Buchst. f DSGVO in Betracht”. Womit wir bei der Eingangsfrage sind.

Interessant in diesem Zusammenhang ist zB die Bewertung des LfDI RLP im 27.TB zur Übermittlung von Beschäftigtendaten nach China im Rahmen von Dienstreisen (Punkt 7.4).