DSGVO-Verstoß durch Home-Office bei Auftragsverarbeitungsvereinbarungen (AVV)

Zahlreiche Unternehmen beauftragen Dritte mit der Erledigung technischer und sonstiger Dienstleistungen. So kann ein Unternehmen U z. B. ein IT-Systemhaus oder einen Softwarelieferanten mit Wartungs- und Pflegeleistungen hinsichtlich der Software und Hardware beauftragen. Ähnlich können externe Marketingunternehmen für Newsletterkampagnen beauftragt werden. Um die Anforderungen der DSGVO im Hinblick auf personenbezogene Daten hierbei einzuhalten, wird oftmals eine Vereinbarung zur Verarbeitung von Daten im Auftrag (Auftragsverarbeitung; kurz: AVV) abgeschlossen. Diese bereitet bei einem plötzlichen Home-Office nun Schwierigkeiten.

Im Rahnen einer AVV sind zahlreiche Prüf- und Überwachungsregelungen zu vereinbaren und technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu treffen. Ein Bestandteil dieser Regelungen ist die Einbindung weiterer Auftragsnehmer (Unter-Auftragsverarbeiter), die der Auftragnehmer einsetzen darf. Beispiel: Beauftragt das Unternehmen U ein Marketingunternehmen M mit einer Newsletterkampagne und setzt M für die Durchführung dieses Kundenauftrags wiederum einen technischen Dienstleister V ein, der die Versendung der E-Mails übernimmt, handelt es sich bei diesem Unternehmen um einen Unter-Auftragsverarbeiter. Es besteht also eine Kette „U – M – V“ mit U als Auftraggeber, M als Auftragnehmer und V als Unter-Auftragnehmer einer Auftragsverarbeitung.

Ob das Marketingunternehmen M aber überhaupt V einbinden darf, ergibt sich aus der AVV zwischen U und M. Dort sind die zulässigen Unter-Auftragsverarbeiter manchmal abschließend benannt und manchmal ist eine Klausel enthalten, die die weitere Einbindung unter einen Genehmigungsvorbehalt von – im Beispiel – U stellt. In anderen Fällen ist eine Widerspruchslösung vorgesehen.

In der Anlage zur AVV ist zudem sehr ausführlich beschrieben, welche technischen und organisatorischen Maßnahmen (TOM) bei Auftragsverarbeitern und Unter-Auftragsverarbeitern bestehen müssen. Dies geht in der Regel soweit, dass sogar die einzelnen Schließmechanismen von Türen festgelegt und Brandschutzanlagen beschrieben werden.

Erfolgt aufgrund der Corona-Pandemie nun plötzlich ein Home-Office und erbringen – im obigen Beispiel – das Marketingunternehmen M und der Versanddienstleister V ihre Leistungen nicht mehr aus den jeweiligen Betriebsräumen heraus, können sich insbesondere zwei Probleme ergeben:

  • Zum einen werden die Mitarbeiter von M und V nun nicht mehr von den Betriebsräumen des jeweiligen Unternehmens aus arbeiten. Die in der Auftragsverarbeitung beschriebenen technischen und organisatorischen Maßnahmen (z. B. zu Zugangsbeschränkungen und Brandschutzanlagen) werden auf das Home-Office nun nicht mehr zutreffen.
  • Zum anderen werden die Mitarbeiter von M und V für die Ausführung ihrer Tätigkeiten nun zusätzliche Dienstleister, z. B. zum Fernzugriff oder zur Videotelefonie, einsetzen. Der Einsatz solcher zusätzlichen Dienstleister muss jedoch nach den abgeschlossenen AVVen zulässig sein.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) empfiehlt sogar, dass ein Home-Office nur nach einer vorherigen ausdrücklichen schriftlichen Zustimmung des Auftraggebers erfolgen darf und dies auch nur dann, wenn ausreichende technische und organisatorische Maßnahmen festgelegt wurden:

„Eine Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Telearbeit, Heimarbeit, Home Office, mobiles Arbeiten) bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen, die erst nach Festlegung angemessener technischer und organisatorischer Maßnahmen für die Verarbeitungssituation erteilt werden kann.“

Wenn die bestehenden AVVen ein Home-Office nicht bereits ausreichend berücksichtigen, sind daher nun rechtliche Maßnahmen erforderlich. In der einfachsten Ausgestaltung kann eine Information des jeweiligen Auftraggebers notwendig sein, wobei diesem in der Regel ein Widerspruchsrecht zusteht. In anderen Fällen wird eine vertragliche Änderung erforderlich sein. In wiederum anderen Fällen wird es auf eine Genehmigung des jeweiligen Auftraggebers ankommen. Allerdings ist auch zu beachten, dass der Schutz der personenbezogenen Daten selbst für den Auftraggeber nicht frei disponibel ist. Die bislang vereinbarten Schutzmaßnahmen dürfen daher auch im Benehmen mit dem Auftraggeber nicht beliebig herabgesetzt werden.

Es empfiehlt sich daher – falls in der AVV bislang noch nicht vorgesehen – ergänzende Regelungen zum Einsatz von Unter-Auftragsverarbeitern zu vereinbaren und zugleich zusätzliche technische und organisatorische Maßnahmen zu beschreiben, die speziell für das Home-Office gelten. Handelt es sich um besonders schützenswerte personenbezogene Daten, kann sich auch ergeben, dass eine Absenkung der Schutzmaßnahmen unzulässig ist. Angesichts der gegenwärtigen Risiken aufgrund des Coronavirus und der Erkrankung mit Covid-19 ist jedoch auch dieses Interesse an der körperlichen Unversehrtheit der Mitarbeiter bei der Bewertung zu berücksichtigen.

Zu betonen ist bei alledem, dass nicht nur eine Partei eines AVV-Verhältnisses in der Pflicht ist. Denn ist die AVV unwirksam, stellt dies sowohl für den Auftraggeber als auch für den Auftragnehmer einen Verstoß gegen die DSGVO mit dem bekannten Bußgeldrahmen dar. Bestehende Auftragsverarbeitungen sind daher dringend daraufhin zu kontrollieren, ob zusätzliche Maßnahmen aufgrund des Home-Offices erforderlich sind.