Home-Office ist seit der Pandemie fester Bestandteil des Arbeitsalltags. Deswegen werden auch Mitarbeiter von Auftragsverarbeitern regelmäßig im Home-Office tätig. Obwohl zwingend notwendig, wird das Thema in Regelungen zur Auftragsverarbeitung sehr oft verschwiegen und darauf angesprochene Dienstleister verweigern sich der notwendigen Anpassung teils vehement.
Wir beleuchten die häufigsten Argumente von Auftragsverarbeitern und widerlegen diese.
Verantwortung im Rahmen der Auftragsverarbeitung
Die Verantwortung des Verantwortlichen wird durch das Outsourcing einer Verarbeitung personenbezogener Daten nicht geschmälert, sondern sie erweitert sich auf den Bereich des eingesetzten Auftragsverarbeiters. Sie wird also größer.
Wo und wie immer personenbezogene Daten nach Weisung durch den Verantwortlichen verarbeitet werden, muss dieser auch seinen Pflichten nachkommen und nachkommen können. Eine der wesentlichsten Pflichten ist die, für geeignete und angemessene technische und organisatorische Maßnahmen (TOM) zu sorgen (Art. 32 DSGVO) und deren Wirksamkeit auch zu prüfen und nachweisen zu können (Art. 5 Abs. 2 DSGVO, Art. 32 Abs. 1 d) DSGVO). Die zentrale Regelung zur Auftragsverarbeitung greift dies in Art. 28 Abs. 1 und 3 DSGVO ausdrücklich auf. Verstöße können mit den bekannten Bußgeldern geahndet werden, über den Umweg des Art. 5 Abs. 2 DSGVO in Verbindung mit Art. 83 Abs. 5 a) DSGVO sogar im maximal eröffneten Rahmen.
Andersherum formuliert, darf keine Verarbeitung personenbezogener Daten erfolgen, wenn dies außerhalb der Kontrollmöglichkeiten des Verantwortlichen geschieht. Das gilt sowohl, wenn die personenbezogenen Daten durch eigene Mitarbeiter außerhalb der eigenen Geschäftsräume verarbeitet werden, als auch, wenn Mitarbeiter eines eingesetzten Auftragsverarbeiters personenbezogene Daten im Rahmen des erteilten Auftrags außerhalb der Geschäftsräume des Auftragsverarbeiters verarbeiten. Kontrolle ist zwingend.
Noch eine Bemerkung vorweg: Dass das Thema insgesamt so stiefmütterlich behandelt wird, liegt sicher auch daran, dass es durch Datenschutzberater und Datenschutzbeauftragte vielfach vergessen oder ignoriert wird. Etliche kennen das Problem schon gar nicht oder denken nicht darüber nach. Eine Lösung anzubieten, ist zudem nicht ganz trivial. Wesentlich bequemer ist, keine schlafenden Hunde zu wecken. Liegt ein Vertrag zur Auftragsverarbeitung vor, wird nur schnell bewertet, was darin enthalten ist. Was darin noch stehen sollte, aber fehlt, bleibt unbetrachtet und so ist die eigene Arbeit auch schneller erledigt. Man hat ja immerhin als interner Datenschutzbeauftragter noch anderes zu tun bzw. als externer Datenschutzbeauftragter noch zig andere Kunden zu betreuen.
Im Ergebnis aber entsteht die große Hürde vor allem bei Auftragsverarbeitern, die sich regelmäßig mit Händen und Füßen wehren, sobald das Thema auf den Tisch kommt.
Warum verweigern sich Auftragsverarbeiter?
Viele Dienstleister haben es versäumt, den Aspekt der Kontrolle bei der Gewährung von Heimarbeit zu regeln. Sofern überhaupt bekannt, ist das Thema schließlich ein Stimmungskiller. Die Unternehmen stehen damit völlig nachvollziehbar vor Schwierigkeiten und eine insbesondere nachträgliche Veränderung wird von den eigenen Mitarbeitern schwer akzeptiert. Dies ändert aber nichts an der beschriebenen Ausgangslage und – wohl gemerkt – der Auftragsverarbeiter verstößt bereits in eigenen Angelegenheiten gegen den Datenschutz, da auch ihm selbst die vorgeschriebene Kontrolle nicht möglich ist und er damit konsequenterweise auch seine ureigene Rechenschaftspflicht nicht erfüllen kann. Das Problem entsteht also nicht erst durch einen unbequemen Auftraggeber!
Auch empfinden es viele Arbeitgeber als störend für den Unternehmensfrieden, in diesem Bereich Vorgaben und Einschränkungen zu machen. Schließlich hat man ausschließlich gute Mitarbeiter, denen man vollends vertrauen kann. Es besteht so oftmals eine große Scheu, eine Regelung zu treffen. Teilweise resultiert die Zurückhaltung auch, weil die technischen Voraussetzungen für ein sicheres Home-Office erst geschaffen werden müssten und neben der fehlenden Kenntnis, wie das überhaupt geht, auch die Investition gescheut wird.
Diese Karte wird gerne von in die Enge getriebenen Auftragsverarbeitern bzw. den dahinterstehenden Datenschutzberatern gezückt. Es ist richtig, dass Art. 13 Grundgesetz die Unverletzlichkeit der Wohnung garantiert. Aber damit ist die Auseinandersetzung nicht zu Ende. Denn der Schutz personenbezogener Daten hat als „Recht auf informationelle Selbstbestimmung“ ebenso den Rang eines Grundrechtes. Und, um auch dies einmal herauszustellen: Die Datenschutz-Grundverordnung steht als EU-Recht rangmäßig über dem nationalen Recht, inklusive der Verfassung (also des Grundgesetzes), soweit nicht der verfassungsrechtliche Kernbereich angetastet wird.
Die reflexhafte Berufung auf das Grundgesetz ist damit dogmatisch nicht sauber. Im Ergebnis kann dies allerdings dahinstehen, da beide Grundrechte sich auch auf Ebene der EU finden. Art. 7 der EU-Grundrechtecharta regelt neben anderen Dingen auch den Schutz der Wohnung. Und dem Datenschutz ist Art. 8 sogar vollständig und ausschließlich gewidmet. Keines dieser Grundrechte geht automatisch vor und keines dieser Grundrechte kann nicht eingeschränkt werden, sofern es andere Rechte oder die Rechte anderer erfordern.
Abschließend noch der kleine Hinweis, dass Grundrechte in erster Linie gegenüber dem Staat schützen. Drittwirkung zwischen Privaten entwickeln sie, wenn überhaupt, nur mittelbar. Auch insoweit ist es nicht richtig, sich empört darauf zu berufen, dass durch eine vertragliche Regelung Grundrechte verletzt würden.
Bei dieser Argumentation wird zudem regelmäßig ignoriert, dass nirgends ein Grundrecht auf Home-Office definiert ist. Die Verarbeitung von personenbezogenen Daten ist ohne Gefährdung des Schutzes der eigenen Wohnung und gleichzeitig unter Beachtung des Datenschutzes aus den Geschäftsräumen möglich. Wer den Luxus in Anspruch nehmen möchte, zu Hause zu arbeiten, muss dementsprechend im erforderlichen Rahmen auf seinen eigenen Rechtsschutz verzichten. Dieser Aspekt müsste daher zwingender Bestandteil jeder Home-Office-Gewährung sein; auch außerhalb der Auftragsverarbeitung! Wer dem Verantwortlichen, egal ob Arbeitgeber oder dessen Kunde, die Wahrnehmung seiner eigenen Pflichten nicht ermöglichen will, kann dann halt nicht daheim arbeiten (siehe dazu auch die Handreichung des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) zum mobilen Arbeiten).
Diese Einschätzung ist schlicht und ergreifend falsch. Die Verpflichtung zur Messung der Wirksamkeit von technischen und organisatorischen Maßnahmen und die Rechenschaftspflicht sind nicht abhängig von irgendeiner Angemessenheit oder aus Risikoerwägungen eingeschränkt. Lediglich im Bereich der Datensicherheit kann das Maß an technischen und organisatorischen Maßnahmen an der Angemessenheit ausgerichtet werden. Die Pflicht zur Kontrolle auch ggf. eingeschränkter Maßnahmen und diesbezügliche Nachweispflicht bleiben uneingeschränkt.
Das ist die Standardantwort auf so ziemlich jede Bemerkung, dass eine Regelung in einem Auftragsverarbeitungsvertrag nicht sinnvoll oder korrekt sein könnte. Noch nie hat das irgendwer sonst in Frage gestellt oder auch nur angesprochen und am Ende nicht glücklich akzeptiert. Zusammen mit der eigenen Beratung ist man völlig perplex, wie man überhaupt auf eine solch abwegige Idee kommen kann.
Wie auch in anderen Fällen: Es glauben sich viele besser beraten, als sie es tatsächlich sind.
Dass Mitarbeiter auf Remote-Arbeit pochen, mag sicher sein, ist aber in diesem Zusammenhang leider kein valides Argument. Dies ist keine Rechtfertigung, Abstriche beim Datenschutz zu machen. Home-Office muss dann eben unter Bedingungen gewährt werden. Ein Recht des Mitarbeiters auf bedingungsloses Home-Office gibt es nicht.
Was müssten Auftragsverarbeiter als Arbeitgeber tun?
Wer Arbeit im Home-Office ohne Regelung gestattet, kann dieses Risiko natürlich unternehmerisch akzeptieren. Er muss sich aber darüber bewusst sein, dass er gegen den Datenschutz verstößt, was auch zu den entsprechenden Konsequenzen inklusive eines Bußgeldes führen kann. Wer im eigenen Haus schlampt, kann auch nicht darauf vertrauen oder gar erwarten, dass seine Auftraggeber ebenfalls damit einverstanden sind, soweit es deren Verantwortung betrifft. Dies dürfte auch ein Motiv sein, warum viele Verträge und Beschreibungen von technischen und organisatorischen Maßnahmen auf das unleidige Thema Home-Office gar nicht erst eingehen.
Kontrollieren können zu müssen, heißt nicht automatisch auch, tatsächlich kontrollieren zu kommen. Entscheidend ist, dass der Verantwortliche im Ernstfall kontrollieren könnte. Dass er dies auf jeden Fall macht, ist damit nicht gesagt. Die Kontrolle kann schließlich beispielsweise auch stellvertretend ausgeübt und nachgewiesen werden, etwa durch den jeweils eigenen Arbeitgeber. Dass Fremde neugierig in der Wohnung herumspazieren, ist also gar nicht zwingend gesagt.
Durch entsprechende Ausgestaltung der Technik kann auch der tatsächlich zu kontrollierende Bereich sehr stark eingeschränkt und dementsprechend auch eher einfach nachgewiesen werden. Das Kontrollrecht des verantwortlichen Auftraggebers kann damit für Fälle vorbehalten bleiben, in denen die Selbstkontrolle im Hause des Auftragsverarbeiters nicht erfolgt oder aber ungenügend ausfällt. Eine Regelung in diesem Sinne sollte für jeden Mitarbeiter akzeptabel sein.
Wie sonst auch, stellt sich andernfalls die Frage, inwieweit ein Mitarbeiter noch sinnvoll eingesetzt werden kann, wenn er sich ausdrücklich und nachdrücklich gegen Datenschutzerfordernisse stellt.
Tipp: Lesen Sie unsere ausführliche Anleitung zur Regelung von Home-Office bei Auftragsverarbeitern!
Fazit: Ohne Druck wird sich kaum etwas ändern
Wie auch in anderen Bereichen der Auftragsverarbeitung, wird es sehr häufig vorkommen, dass der eingesetzte Dienstleister notwendige Anpassungen und Zugeständnisse verweigert. Lieber wird der Auftrag nicht angenommen oder gekündigt. Dass in dem Zusammenhang dann teils unverblümt die Ansage erfolgt, dieses Vorgehen (im Klartext: die Beachtung des Datenschutzes in dem relevanten Bereich) entspräche nicht dem eigenen Geschäftsmodell, steht für sich und muss nicht weiter kommentiert werden.
Als Verantwortlicher hat man keine Druckmittel und die Aufsichtsbehörden scheinen auf diesem Auge blind zu sein. Unterstützung ist selbst bei konkreten Hinweisen und Anregungen offenbar nicht zu erwarten. Die in Bayern bereits vor Jahren angekündigte Prüfung, die die Komfortzone der Auftragsverarbeiter wenigstens leicht touchiert hätte, scheint nicht mehr zu kommen. Aktuell genießen Auftragsverarbeiter oft Narrenfreiheit.
Im Ergebnis bleibt Auftraggebern daher oft nur übrig, in den ganz sauren Apfel zu beißen und das Risiko sehenden Auges zu akzeptieren und den Dienstleister bewusst – also vorsätzlich (!) – nicht datenschutzkonform einzusetzen. Je größer die Abhängigkeit von einem speziellen Dienstleister, desto höher ist dieser Druck. Oftmals besteht tatsächlich oder vom (Konzern-)Management gewollt, auch keine Alternative zu einem Angebot. Schließlich und endlich ist die Dienstleistung häufig auch schon gekauft, bevor der Datenschutz noch schnell abgehakt werden muss. Hat der Dienstleister den Auftrag aber schon, ist seine Motivation für Zugeständnisse noch kleiner.
Solange nicht die überwiegende Mehrheit der Verantwortlichen vom Markt der Auftragsverarbeiter verlangt, konsequent und vollständig datenschutzkonform zu arbeiten, wird sich hieran leider auch nichts ändern. Vermutlich ist es erst notwendig, dass aufgrund von Klagen einige Fälle pressewirksam behandelt werden.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!