Verantwortlichkeit beim Tracking durch Softwareanbieter

Es ist mittlerweile gängige Praxis für Arbeitgeber, digitale Instrumente einzusetzen, um ihren Mitarbeitern die Nutzung von Self-Service-Funktionen wie Zeiterfassung, Urlaubsanträgen oder Reisekostenabrechnungen schnell und einfach zu ermöglichen.

Normalerweise handelt es sich bei dem Anbieter dieser Software um einen Auftragsverarbeiter gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO). Dies bedeutet, dass die Daten der Mitarbeiter im Auftrag und nach den Anweisungen des Arbeitgebers, der als Verantwortlicher agiert, verarbeitet werden. In einigen Fällen kann der Dienstleister beispielsweise für Wartungszwecke auf die Daten zugreifen.

Der Arbeitgeber als Verantwortlicher muss sicherstellen, dass die Datenverarbeitung über die Software rechtmäßig erfolgt. Daher sollte er einen Dienstleister auswählen, dessen Tool entsprechende Möglichkeiten bietet, um dies umzusetzen. Dies kann beispielsweise durch spezifische Sichtbarkeitseinstellungen und Rollenkonzepte geschehen. Darüber hinaus müssen die technischen und organisatorischen Maßnahmen des Dienstleisters überprüft werden, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.

Datenverarbeitungen zu Zwecken des Dienstleiters

Was ist jedoch der Fall, wenn der Dienstleister die Daten der Beschäftigten auch zu eigenen Zwecken verarbeitet? Eine mögliche Situation ist das Webtracking mittels Cookies und anderen Technologien zu statistischen oder werblichen Zwecken, insbesondere wenn Cloud-Lösungen genutzt werden, die von den Beschäftigten über ein Webportal oder eine App verwendet werden.

In der Regel verfügt der Arbeitgeber, der das betreffende Tool einsetzt, weder über detaillierte Kenntnisse über diese Verarbeitungen durch den Dienstleister, noch zieht er einen Nutzen daraus oder hat tatsächlich Einfluss darauf. Dennoch werden seine Mitarbeiter durch seine Anordnung dem entsprechenden Tracking ausgesetzt. Wie sieht es also mit der datenschutzrechtlichen Verantwortlichkeit in diesem Fall aus?

Gemeinsame Verantwortlichkeit

In den oben beschriebenen Fällen ist ein solches Tracking kein Bestandteil der Auftragsverarbeitung für den Arbeitgeber. Die Datenverarbeitung erfolgt weder zu seinen eigenen Zwecken noch nach seinen Anweisungen. Stattdessen gestaltet der Anbieter der Software selbstständig den Prozess der Datenverarbeitung und führt ihn auch zu seinen eigenen Zwecken durch. Daher ist der Softwareanbieter selbst für die Datenverarbeitung verantwortlich (vgl. auch OH Auftragsverarbeitung des BayLDA, S.12).

Dennoch bedeutet das nicht automatisch, dass der Arbeitgeber “aus dem Schneider” ist. Aufgrund der engen Verknüpfung zwischen der Datenverarbeitung des Dienstleisters und der Datenverarbeitung durch den Verantwortlichen liegt hier zumindest die Möglichkeit einer gemeinsamen Verantwortlichkeit gemäß Artikel 26 DSGVO nahe.

Für die Beschäftigten ist oft nicht klar ersichtlich, welche Datenverarbeitung in den Verantwortungsbereich ihres Arbeitgebers fällt und welche in den Verantwortungsbereich des externen Softwareanbieters. Daher wird in solchen Fällen teilweise argumentiert, dass im Hinblick auf die Schutzziele des Artikel 26 DSGVO (Transparenz für Betroffene und Schutz ihrer Rechte) eine einheitliche Betrachtung des gesamten Verarbeitungsvorgangs erfolgen sollte und dieser nicht in separate Schritte mit getrennten Verantwortlichkeiten aufgeteilt werden sollte (vgl. Ehmann/Selmayr/Bertermann, 2. Aufl. 2018, DS-GVO Art. 26 Rn. 8).

Mit dem Facebook Fanpage Urteil des EuGH vergleichbar?

Auch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) im “Facebook Fanpage Urteil” vom 5. Juni 2018 (Az. C-210/16) geht in eine ähnliche Richtung: Beim Betrieb von Fanseiten besteht eine gemeinsame Verantwortlichkeit der jeweiligen Betreiber, da sie Facebook ermöglichen, über die Fanseite Cookies zu setzen. Darüber hinaus beeinflussen die Betreiber durch bestimmte Voreinstellungen beispielsweise die Erstellung von Statistiken, die mithilfe dieser Cookies ausgewertet werden, oder bringen über die Nutzung von Werbefunktionen ihr Angebot bestimmten Zielgruppen näher. Die Taskforce Facebook-Fanpages der Datenschutzkonferenz argumentiert zusätzlich, dass Fanseiten-Betreiber ein “eigenes Interesse an der Verarbeitung der personenbezogenen Daten von Besucher:innen ihrer Fanpage zu Zwecken der Profilerstellung und – darauf aufbauend – zu Zwecken der gezielten (werblichen) Ansprache haben, u. a. weil durch dieses Geschäftsmodell für sie eine entgeltfreie Nutzung des Dienstes ermöglicht wird“.

Bei genauerer Betrachtung dieser Argumentation werden jedoch auch die Unterschiede zwischen dem Betrieb einer Fanseite und dem Einsatz eines Tools zur Verarbeitung von Mitarbeiterdaten deutlich: Arbeitgeber haben weder ein Interesse an gezielter werblicher Ansprache bestimmter Zielgruppen unter ihren Mitarbeitern noch setzen sie typischerweise auf werbefinanzierte und daher kostenlose Tools. Ein (Mit-)Interesse an dem entsprechenden Tracking des Dienstleisters kann daher in diesem Fall nicht in gleicher Weise angenommen werden wie bei Social-Media-Präsenzen. Außerdem ist es gerade nicht möglich, die Datenverarbeitung im Tracking durch das Setzen von Filtern oder ähnlichen Maßnahmen zu steuern.

Einflussmöglichkeiten auf Datenverarbeitung des Dienstleiters von Bedeutung

Der Hauptgrund, der gegen die Annahme einer gemeinsamen Verantwortlichkeit spricht, ist die vollständige fehlende Möglichkeit und Beteiligung des jeweiligen Arbeitgebers bei der Datenverarbeitung im Rahmen des Webtrackings durch den Dienstleister.

Der Europäische Datenschutzausschuss stellt für eine gemeinsame Verantwortlichkeit die Bedingung, dass beide Verantwortlichen einen “deutlichen Einfluss auf die Festlegung der Zwecke und Mittel der Verarbeitung” haben und dass die Verarbeitungsvorgänge beider Parteien untrennbar miteinander verbunden sind (vgl. Leitlinien 07/2020 zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”, S. 22). Jedoch reicht allein die Tatsache, dass eine der beteiligten Parteien keinen Zugang zu den verarbeiteten Daten hat, nach Einschätzung des Europäischen Datenschutzausschusses nicht aus, um eine gemeinsame Verantwortlichkeit auszuschließen (ebenda, S. 23).

Fazit

Die klare Zuordnung der datenschutzrechtlichen Verantwortlichkeiten im Falle von Webtracking zu eigenen Zwecken durch einen Softwareanbieter kann nicht pauschal festgelegt werden. Jeder Fall muss individuell geprüft werden. In solchen Situationen handelt es sich häufig um Grenzfälle, bei denen sowohl eine separate als auch eine gemeinsame Verantwortlichkeit vertretbar erscheint. Um rechtliche Sicherheit zu gewährleisten, empfiehlt es sich, eine Vereinbarung gemäß Artikel 26 DSGVO abzuschließen. Dabei sollte jedoch beachtet werden, dass idealerweise bereits vor der Beauftragung des Dienstleisters die Rechtmäßigkeit seiner Datenverarbeitung im Rahmen des Trackings geprüft wird, da diese dann in den Verantwortungs- und Haftungsbereich des Arbeitgebers fällt. Es ist für Arbeitgeber wichtig, die Mitarbeiter transparent zu informieren und ihnen gegebenenfalls Alternativen zur Nutzung des betreffenden Tools anzubieten, falls sie aufgrund der damit verbundenen umfangreicheren Datenverarbeitung die digitale Lösung nicht nutzen möchten.