Wen angeben als Empfänger?
PSP Case Study zur DSGVO: Praxisfall 25

DSGVO: Praktischer Fall

Die Huber-Stiftung verfügt über kein eigenes administratives Personal und nimmt die Dienstleistungen einer freiberuflich tätigen Sekretariatskraft, Frau Meier, in Anspruch. Mit Frau Meier hat die Huber-Stiftung eine Auftragsverarbeitungsvereinbarung abgeschlossen. Bewerbungen für neue Mitarbeiter der Huber-Stiftung werden automatisiert an Frau Meier zur Vorsichtung weitergeleitet. Die Huber-Stiftung will die Bewerber im Rahmen ihrer Stellenangebote auf ihrer Internetseite über diese Weiterleitung der Bewerbungen nach Art. 13 Abs. 1 lit. e) DSGVO informieren.

Hier stellt sich vorab schon die Frage, ob eine Auftragsverarbeitungsvereinbarung mit einem Freiberufler nicht zu dessen organisatorischer Eingliederung „in den Auftraggeber“ führt, sodass der Freiberufler als „scheinselbstständig“ angesehen werden muss. Das würde es erfordern, in einem sozialrechtlichen Statusfeststellungsverfahren feinsinnig zwischen einer allgemeinen Weisungsungebundenheit und einer auf die Verarbeitung personenbezogener Daten beschränkten Weisungsabhängigkeit zu unterscheiden. Arbeitsrechtler warnen jedoch insofern vor jedem noch so kleinen Anhaltspunkt für eine Weisungsabhängigkeit, gleich in Bezug auf was. Die Konsequenz wäre es, das Verhältnis zum Freiberufler bei der Weitergabe von Daten in Richtung eines anderen, eigenständig Verantwortlichen (nämlich den Freiberufler als natürliche Person) zu „drücken“, an den die Daten „übermittelt“ werden. Dennoch besteht aber zivilrechtlich ein „Auftrag“ (Dienstverhältnis bzw. Geschäftsbesorgungsverhältnis), der bei weitem Verständnis des Art. 28 DSGVO (s. Fall 7) automatisch zu einer Auftragsverarbeitung führt, die eine Auftragsverarbeitungsvereinbarung notwendig macht.

Darum soll es hier aber nicht vorrangig gehen. Vielmehr sind auch Auftragsverarbeiter – ebenso wie autonome Verantwortliche als Übermittlungsempfänger – „Empfänger“, die in Pflichtinformationen angegeben werden müssen (obwohl man auch dies anders sehen kann). Art. 13 Abs. 1 lit. e) DSGVO und Art. 14 Abs. 1 lit. e) DSGVO sprechen genauer von „die Empfänger oder Kategorien von Empfängern“, die in den Pflichtinformationen anzugeben sind. Die Frage ist, was diese kryptische Formulierung zu bedeuten hat. Teilweise wird das „oder“ im Sinne eines Wahlrechts des Verantwortlichen verstanden. Dies würde bedeuten, dass die Huber-Stiftung sowohl „Empfänger: Frau Ursula Meier“ als auch einen Gattungsbegriff wie beispielsweise „freiberufliche Sekretariatskräfte im Wege der Auftragsverarbeitung“ verwenden dürfte. Ersteres wäre eventuell Frau Meier nicht recht – ihre personenbezogenen Daten würden öffentlich gemacht – und würde falsch werden, wenn an die Stelle von Frau Meier eine andere freiberufliche Sekretariatskraft treten würde. Letzteres ist zwar inhaltlich transparenter (verständlicher), aber der Verantwortliche kennt natürlich den Namen des konkreten Empfängers und könnte diesen auch angeben.

Teilweise wird allerdings auch argumentiert, dass in jedem Fall der „Empfänger“ anzugeben ist, während die Angabe der Kategorie freigestellt ist. So nennt der „gesetzesgleiche“ Erwägungsgrund 63 ausschließlich „die Empfänger der personenbezogenen Daten“ als besonders wichtige Information, nicht aber die Kategorien. Dies würde bedeuten, dass die Huber-Stiftung entweder „Empfänger: Frau Ursula Meier“ oder aber „Empfänger: Frau Ursula Meier (als freiberufliche Sekretariatskraft im Wege der Auftragsverarbeitung)“ schreiben dürfte.

Wurde Frau Meier namentlich angegeben, so ist die weitere Frage zu beantworten, ob dem Betroffenen gegenüber eine Änderung mitzuteilen ist, wenn Frau Meier ausscheidet bzw. ersetzt wird, weil dann die ursprünglichen Pflichtinformationen „falsch“ geworden sind. Solange der Verarbeitungszweck sich nicht ändert, soll eine solche Informationspflicht nur in Ausnahmefällen bestehen. Für den Wechsel eines Empfängers, welcher derselben Kategorie (hier also „freiberufliche Sekretariatskräfte im Wege der Auftragsverarbeitung“) angehört, muss keine Neuinformation stattfinden. Wenn aber der Charakter des Umgangs mit den betroffenen Daten „fundamental“ geändert wird, etwa bei Einsatz einer Outsourcing-Lösung in einem unsicheren Drittland (Frau Meier wird durch eine indische Sekretariatskraft mit Online-Zugriff auf die Systeme der Huber-Stiftung ersetzt), muss (angeblich) eine Neuinformation der Betroffenen erfolgen. Das Etablieren entsprechender unternehmensinterner Prozesse, die derartige Veränderungen identifizieren und entsprechende „Nachinformationen“ an die Betroffenen senden, dürfte durchaus anspruchsvoll sein.

Wenn man diesen Fall „extrapoliert“, kann man sich leicht vorstellen, wie viele Empfänger in verschiedenen Verarbeitungssituationen (ggf. namentlich) angegeben werden müssten, zumal die Weitergabe der Daten an einen ursprünglich in den Pflichtinformationen nicht genannten Empfänger stets noch die Frage der Zweckänderung (und einer entsprechenden Zweckänderungsnachricht an den Betroffenen) aufwirft. Gerade Beschäftigtendaten werden in großem Stil an Dritte weitergegeben, seien es Steuerberater, Ämter, Sozialversicherungsträger (einschließlich Berufsgenossenschaften), Betriebsärzte, eine Konzern-Rechtsabteilung etc. Vor diesem Hintergrund müsste man als Verantwortlicher eigentlich an einen „Datenexportprozess“ bei der Übermittlung jeglicher personenbezogener Daten an Dritte denken, in dessen Rahmen strukturiert geprüft wird, ob der Dritte, an den übermittelt werden soll, ein schon (materiell im Sinne einer Legitimationsgrundlage und formell im Sinne einer Benennung als Empfänger) „legitimierter“ Dritter ist und wenn nicht, welche Folgen (bzw. weiteren Prozessschritte) dies auslösen muss.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden