Auftragsverarbeitung im Home-Office (Anleitung)

In Zeiten von New Work arbeiten viele Beschäftigte im Home-Office bzw. mobil. Problematisch kann es jedoch bei einer Auftragsverarbeitung außerhalb von Geschäftsräumen des Dienstleisters werden. Worauf müssen Auftragsverarbeiter also achten, wenn personenbezogene Daten im Home-Office verarbeitet werden sollen?

Hinweis: Diese Anleitung hilft Dienstleistern, Auftragsverarbeitung im Home-Office zu ermöglichen. Verantwortliche finden hier einen Ratgeber, wie sie ihr Kontrollrecht bei der Auftragsverarbeitung im Home-Office wahren.

Zulässige Orte für die Auftragsverarbeitung im AV-Vertrag

Lässt ein Verantwortlicher personenbezogene Daten durch einen Dienstleister im Auftrag verarbeiten, müssen beide Parteien einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) nach Art. 28 Abs. 3 S. 1 DSGVO abschließen. Damit wird eine rechtlich ausreichende Basis für die Weitergabe der Daten an einen Dienstleister geschaffen. Zugleich verpflichtet der AV-Vertrag den Auftragsverarbeiter auf die Einhaltung datenschutzrechtlicher Vorgaben der DSGVO. Konsequenter Weise sollte der AV-Vertrag deshalb auch regeln, ob eine Verarbeitung der personenbezogenen Daten außerhalb der normalen Geschäftsräume des Dienstleisters erfolgen darf.

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit geht in seiner Mustervereinbarung für die Auftragsverarbeitung genau auf diese Punkte ein und empfiehlt, eine Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Home-Office und mobiles Arbeiten) nur nach einer vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen durchzuführen.

Der Verantwortliche sollte diese Zustimmung wiederum erst nach einer Festlegung angemessener technischer und organisatorischer Maßnahmen für die Verarbeitungssituation erteilen.

Vorgehen bei neuen AV-Verträgen

Wenn Sie als Auftragsverarbeiter wollen, dass Ihre Mitarbeiter entsprechende Dienstleistungen auch im Home-Office erbringen können, sollten Sie zu schließende AV-Verträge um konkrete Regelungen fürs Home-Office ergänzen.

Legen Sie dem Auftraggeber die technischen und organisatorischen Maßnahmen vor, die Ihre Mitarbeiter im Home-Office zum Schutz personenbezogener Daten zu befolgen haben. Diese Maßnahmen können Sie z.B. in einer Richtlinie zum Datenschutz im Home-Office festlegen. Lassen Sie sich vor Beginn der Datenverarbeitung vom Auftraggeber eine ausdrückliche schriftliche Zustimmung zur Leistungserbringung außerhalb der Betriebsräume geben.

Vorgehen bei Home-Office in laufenden AV-Vertragsverhältnissen

Aufgrund der aktuellen Maßnahmen zur Eingrenzung der Corona-Pandemie arbeiten in vielen Unternehmen die Mitarbeiter im Moment von zuhause aus. Diese Umstellung erfolgte oft erst kurzfristig. Sind Sie also Dienstleister und verarbeiten Ihre Mitarbeiter personenbezogene Daten im Auftrag außerhalb Ihrer Geschäftsräume, sollten Sie folgende Punkte beachten:

  1. Prüfen Sie zunächst, ob im bestehenden AV-Vertrag eine Regelung zur Verarbeitung von Daten außerhalb der Betriebsräume (z.B. Home-Office und mobiles Arbeiten) besteht. Eventuell enthält der AV-Vertrag eine Klausel zur Auftragsverarbeitung bei höherer Gewalt oder die Option einer nachträglichen Genehmigung. Dann wäre zu prüfen, ob diese Regelung im konkreten Fall anwendbar ist.
  2. In den meisten AV-Verträgen wird es an einer solchen Klausel fehlen. Möglicherweise existiert auch eine solche Regelung und Sie haben dennoch dagegen verstoßen, weil Sie keine vorherige Zustimmung oder nachträgliche Genehmigung eingeholt haben. Eventuell ist die Datenverarbeitung außerhalb der Betriebsräume auch ganz verboten.
  3. Liegt einer dieser Fälle vor, besteht ein Verstoß des Auftragsverarbeiters gegen die vertraglich vereinbarten Pflichten. Ein solcher Verstoß gegen Art. 28 DSGVO kann von den Aufsichtsbehörden mit Bußgeld (Art. 83 Abs. 4 lit. a DSGVO) und von den Betroffenen mit Schadensersatzansprüchen (Art. 82 DSGVO) begegnet werden.
  4. Hier sollten Sie mit dem Auftraggeber zügig Kontakt aufnehmen und eine Regelung finden. Im besten Fall wird er die Verarbeitung z.B. im Home-Office nachträglich genehmigen. Diese Genehmigung kann natürlich auch zeitlich begrenzt werden, etwa für die Dauer der Corona-Pandemie.
  5. Belegen Sie die Einhaltung des Datenschutzes auch bei der Verarbeitung von Daten im Home-Office z.B. durch die vorgegebenen Maßnahmen in einer Richtlinie.
  6. Ein Merkmal der Auftragsverarbeitung ist gem. 28 Abs. 3 lit. h DSGVO, dass der Dienstleister dem Auftraggeber die Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben ermöglicht. Auch dieses Kontrollrecht kann im Home-Office erfolgen, etwa durch Ansicht per Videoanruf. Hierin müssen aber der Mitarbeiter und sämtliche mit diesem in häuslicher Gemeinschaft lebende Personen einwilligen. Um eine Kontrolle zu vermeiden, empfiehlt es sich ausreichende technischen und organisatorischen Maßnahmen zu dokumentieren, mit denen gewährleistet wird, dass eine vertragskonforme Verarbeitung stattfindet.
  7. Überprüfen Sie Ihre AV-Verträge, ob diese für Änderungen am Vertrag die Schriftform vorsehen. Sofern dies der Fall ist, muss auch die Zusatzvereinbarung zur Auftragsverarbeitung im Home-Office unterzeichnet und dann im Original an die jeweils andere Vertragspartei gesendet werden. Eine bloße Übermittlung per E-Mail oder Fax ist in diesem Fall nicht ausreichend.

Fazit: Auftragsverarbeitung im Home-Office ist keine Selbstverständlichkeit

Verarbeiten Dienstleister bzw. deren Mitarbeiter personenbezogene Daten im Auftrag außerhalb der normalen Geschäftsräumlichkeiten, muss der Verantwortliche dem ausdrücklich schriftlich zustimmen. Bestehende AV-Verträge sollten unbedingt dahingehend überprüft werden, ob eine Verarbeitung der Daten durch Mitarbeiter im Home-Office zulässig ist. Der Auftraggeber sollte dem nur zustimmen,  wenn er sich davon überzeugt hat, dass die verarbeiteten Daten auch im Home-Office entsprechend geschützt werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

4 Comments

  1. Birgit Kleber Profile Picture
    Birgit Kleber

    Sehr geehrter Herr Weiss,

    Sie gehen in Ihrem Artikel davon aus, dass von unserem Betrieb beauftragte Dienstleister ins Homeoffice gehen, habe ich das richtig verstanden? Was ist aber mit unseren Mitarbeitern, die jetzt aufgrund der Situation ihre Arbeit nicht im Betrieb, sondern im Homeoffice leisten, ist dies auch eine Auftragsverarbeitung?
    Mit freundlichen Grüßen
    Birgit Kleber

    1. Maryam Fazeli Profile Picture
      Maryam Fazeli

      Liebe Frau Kleber,

      vielen Dank für Ihre Frage. Um eine Auftragsverarbeitung handelt es sich immer dann, wenn ein Unternehmen einen Dienstleister beauftragt, personenbezogene Daten zu verarbeiten.

      Ermöglicht ein Unternehmen seinen Beschäftigten, im Home-Office zu arbeiten, wird die Leistung noch immer von den eigenen Mitarbeitern erbracht – auch, wenn dies nicht mehr im den Betriebsräumen erfolgt. Sie brauchen hier also keinen Auftragsverarbeitungsvertrag abzuschließen.

      Sie sehen aber richtig, dass auch in dieser Konstellation datenschutzrechtliche Vorgaben zu beachten sind. Denn der Arbeitgeber trägt auch im Home-Office die Verantwortung für das Einhalten des Datenschutzes. Dabei spielt es keine Rolle, wer die Daten wo verarbeitet. Ausschlaggebend ist, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Im Rahmen des klassischen Arbeitsverhältnisses ist dies regelmäßig der Arbeitgeber. Daher sind die Mitarbeiter bei Verstößen gegen die DSGVO – auch wenn sich diese im Home-Office zutragen – für diese im Sinne der DSGVO nicht verantwortlich und das Unternehmen haftet. Insofern ist es sehr zu empfehlen, die Einhaltung dieser Regelungen durch beide Parteien schriftlich zu vereinbaren, um unnötige Missverständnisse und Haftungsfälle zu vermeiden.

      Eine solche Vorlage stellen wir zur Zeit kostenlos zur Verfügung: https://www.activemind.de/datenschutz/dokumente/richtlinie-home-office/

      Mit besten Grüßen
      Maryam Fazeli

  2. M. Weiss Profile Picture
    M. Weiss

    Sehr schöner Artikel, sehr gut aufbereitet.

    Dennoch habe ich eine Frage: aus welchem Sachverhalt genau schließen Sie denn, dass bei der Auftragsverarbeitung im Homeoffice immer dann, wenn dies nicht explizit im AV-Vertrag vereinbart wurde, ein bußgeldbewehrter Verstoß vorliegt?

    Meine Interpretation in den Fällen, wo Homeoffice nicht explizit ausgeschlossen ist und wo auch nicht ein bestimmter Erbringungsort der Auftragsverarbeitung vertraglich festgelegt ist, kein Verstoß vorliegt, solange die beschriebenen technischen und organisatorischen Maßnahmen auch im Homeoffice eingehalten werden. Das könnte – je nach Formulierung der TOMs – ja auch gegeben sein, wenn ausschließlich mit von der Firma verwalteten Rechnern per VPN auf das Netz des Auftragsverarbeiters zugegriffen wird – und mithin die gleichen TOMs zuhause umgesetzt werden können wie im Büro. Klar, die Frage wäre, wie zum Beispiel die TOMs zur Zutrittskontrolle formuliert sind.

    Aber ich könnte mir schon vorstellen, dass es nicht automatisch ein Vertragsverstoß ist, Mitarbeiter die Auftragsverarbeitung aus dem Homeoffice erbringen zu lassen, auch wenn dies nicht explizit als Option im Vertrag festgehalten ist.

    Daher meine Frage, woran Sie diesen automatischen Verstoß festmachen würden.

    1. Maryam Fazeli Profile Picture
      Maryam Fazeli

      Liebe/r M. Weiss,

      vielen Dank für Ihre Frage. Ihre Auslegung beruht auf der Prämisse, dass eine Auftragsverarbeitung im Home-Office immer dann zulässig ist, wenn sie im AV-Vertrag nicht ausdrücklich ausgeschlossen wird.

      Wir orientieren uns bei unseren Empfehlungen und Recherchen insbesondere an den Ansichten der Aufsichtsbehörden und der DSK. Mit der Frage der Zulässigkeit von Auftragsverarbeitung im Home-Office hat sich auch schon das Bayrische Landesamt für Datenschutzaufsicht beschäftigt. Demnach gilt Folgendes:

      Möchte ein Dienstleister im Rahmen der Verarbeitung personenbezogener Daten im Auftrag auch Beschäftigte im Home-Office einsetzen, muss er sich dafür die Zustimmung des Auftraggebers einholen. Wird die Zustimmung nicht erteilt, kann der Dienstleister solche Beschäftigte nicht einsetzen. Hieraus lässt sich die Pflicht der Genehmigung entnehmen. Wird gegen diese Pflicht verstoßen, liegt ein Vertragsverstoß vor.

      Mit besten Grüßen
      Maryam Fazeli

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.