Sind Schulungsanbieter Auftragsverarbeiter?

Fachbeitrag

Werden Mitarbeiterdaten an einen Schulungsdienstleister zur Durchführung einer Schulung übermittelt, stellt sich automatisch die Frage, ob mit dem Schulungsanbieter ein Auftragsverarbeitungsvertrag abzuschließen ist und was sonst noch datenschutzrechtlich beachtet werden sollte. 

Schulungen im Beschäftigungskontext

Im Beschäftigungsverhältnis kommt es regelmäßig vor, dass Mitarbeiter geschult werden sollen. Es kann sich hierbei um freiwillige Schulungen handeln. Manchmal können diese auch einen verpflichtenden Charakter haben, wenn die Fortbildung etwa erforderlich ist, um sicherzustellen, dass der Mitarbeiter die geschuldete Arbeitsleistung erbringen kann. Bei höher qualifizierten und gut bezahlten Mitarbeitern kann unter Umständen sogar eine Teilnahme an beruflichen Fortbildungen an Wochenenden gefordert werden.

Wird die Schulung nicht intern durch eigenes Personal, sondern durch einen externen Schulungsdienstleister durchgeführt, benötigt dieser für die Durchführung der Schulung zwangsläufig die Daten der Teilnehmer. Auch wird der Arbeitgeber wissen wollen, welche Mitarbeiter an der Schulung teilgenommen haben. Dies kann für den Arbeitgeber wichtig sein, um sicher zu stellen, dass beispielsweise alle Mitarbeiter, die mit personenbezogenen Daten in Kontakt kommen, ausreichend im Datenschutz geschult wurden.

Für die Daten über seine Mitarbeiter im Rahmen des Beschäftigungsverhältnisses ist der Arbeitgeber verantwortlich. Werden nun die personenbezogenen Daten der Mitarbeiter an einen externen Dienstleister übermittelt, stellt sich die Frage, ob dies die Pflicht begründet, mit dem Schulungsdienstleister einen Auftragsverarbeitungsvertrag abzuschließen.

Spärliche Hinweise zur Auftragsverarbeitung

Hierfür müsste es sich bei dem Schulungsdienstleister dann um einen sog. Auftragsverarbeiter i.S.d. Art. 4 Nr. 8, 28, 29 DSGVO handeln.

Die Definition zum Begriff des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, wonach es sich hierbei um eine natürliche oder juristische Person handelt, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, hilft hier nur bedingt weiter, denn fast jedes Unternehmen bearbeitet irgendetwas „im Auftrag“, ohne gleichzeitig ein Auftragsverarbeiter zu sein. Weitere Hinweise zum Begriff finden sich in Art. 29 DSGVO. Hiernach gilt, dass ein Auftragsverarbeiter und ihm unterstellte Personen, die Zugang zu den personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen.

Fehlende Weisungsgebundenheit bei Schulungsdienstleistern

Die Gretchenfrage ist hier: Agiert ein Schulungsdienstleister weisungsgebunden? Schulungsthemen und Teilnehmerzahlen werden im Vorfeld zwischen Schulungsdienstleister und Arbeitgeber besprochen. Doch danach hat der Schulungsdienstleister im Wesentlichen freie Hand. Sobald die Eckdaten einer Schulung feststehen, agiert der Schulungsanbieter als Dienstleister weitgehend frei. Dies gilt auch für die Mitarbeiterdaten, mit denen er für die Durchführung der Schulung in Berührung kommt. Auch ist die Verarbeitung personenbezogener Daten keine Kerntätigkeit des Schulungsanbieters: Es geht diesem in erster Linie um die Wissensvermittlung gegenüber den Teilnehmern. Externe Schulungsanbieter bieten damit Dienstleistungen in eigener Verantwortung an. Sie sind selbst Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Zu demselben Ergebnis kommt auch das BayLDA in seiner Abgrenzungshilfe zur Auftragsverarbeitung. Hier hat die Aufsichtsbehörde festgestellt, dass die Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO, sondern eigene Verantwortlichkeit, ist.

Natürlich gelten für die Schulungsanbieter als eigene Verantwortliche die datenschutzrechtlichen Grundsätze. Sie dürfen die für die erlangten Daten etwa nicht zweckentfremden (Art. 5 Abs.1 lit.b DSGVO) und müssen hinreichende Maßnahmen zum Schutz der Ihnen zur Verfügung gestellten personenbezogenen Daten treffen (Art. 24, 32 DSGVO).

Ausnahmen bei Online-Schulungstools („E-Learning“)

Eine Ausnahme kann sich jedoch daraus ergeben, soweit ein Online-Schulungstool des Schulungsdienstleisters verwendet wird. Der Dienstleister wird in den meisten Fällen das neben dem Hosting der Lernplattform Wartung und Supportleistungen erbringen und hierüber die Zugriffsmöglichkeit auf personenbezogene Daten der Mitarbeiter haben. Dies legt die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages mit dem E-Learning-Anbieter nahe.

Aufgrund der potentiellen Kontrollmöglichkeiten, die Online-Schulungstools dem Arbeitgeber eröffnen, sollte zudem geprüft werden, ob dem Betriebsrat möglicherweise ein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 6 BetrVG bzw. aus §§ 96 – 98 BetrVG zusteht.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Hallo, eine Frage: Wie sieht es aus, wenn ich eine eLearning-Plattform bei mir selber hoste und meine Kunden darauf schule? Und dann wie Sie als externer DSB tätig bin? Ergibt sich dann immer noch die Pflicht, eine AV abzuschließen?

    • Wird das eLearning-Tool nicht lokal beim Kunden, sondern beim Anbieter des eLearning-Tools selbst gehostet, sollte ein Vertrag gem. Art. 28 DSGVO zwischen Anbieter und Kunden abgeschlossen werden.
      Soweit das Hosting durch den DSB erfolgt, dürfte sich hieran grundsätzlich nichts ändern.

  2. Bleibt die Frage, auf welcher Grundlage ich die Daten an den Dienstleister weitergebe.
    Einwilligung dürfte wohl entfallen, da die Freiwilligkeit im Beschäftigtenkontext nur schwer zu erreichen sein wird. Kommt hinzu, dass manche Fortbildungen vorgeschrieben sind. Wäre es dann das berechtigte Interesse in Kombination mit §26 BDSG oder die Erfüllung eines Vertrages (Arbeitsvertrag) in Verbindung mit §26 BDSG?
    Danke für kurze Einschätzung, Daniel

    • Aus dem Wortlaut von Art. 6 Abs.1 DSGVO ergibt sich, dass mehrere einschlägige Rechtsgrundlagen nebeneinander bestehen können („Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]“).
      Ist die Teilnahme einer Fortbildung für die Erfüllung arbeitsrechtlicher Verpflichtungen erforderlich, wäre einschlägige Rechtsgrundlage daher § 26 Abs.1 BDSG. Denkbar ist hier etwa eine Schulung für die Benutzung einer neu eingeführten Software, deren Nutzung für die zukünftige (arbeitsvertraglich geschuldete) Tätigkeit des Beschäftigten erforderlich ist.

      Eine Einwilligung für die Teilnahme an einer Schulung muss nicht per se mangels Freiwilligkeit ausscheiden. Die Freiwilligkeit ist nach § 26 Abs.2 S.2 BDSG zu bemessen, wonach diese insbesondere dann vorliegen kann, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Schulungen der Mitarbeiter werden vom Arbeitgeber bezahlt und kommen diesen auch zugute (Wissensaufbau, Kompetenzförderung). Wichtig wäre hier, dass die jeweilige Schulung dann als Angebot für den Mitarbeiter ausgestaltet ist, welches dieser annehmen kann, aber nicht muss.

      Eine Schulung wird im Einzelfall auch auf das berechtigte Interesse gem. Art. 6 Abs.1 lit.f DSGVO gestützt werden können. Hier wäre etwa an eine Datenschutz-Schulung als technisch-organisatorische Maßnahme gem. Art. 32 DSGVO zu denken. Hier hätte der Arbeitgeber unstreitig ein besonderes Interesse daran, dass diejenigen Mitarbeiter, die personenbezogene Daten verarbeiten, über den Umgang mit personenbezogenen Daten geschult werden. Die schutzwürdigen Interessen des Arbeitnehmers müssten hier regelmäßig zurückstehen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.