Wann muss ich einen datenschutzrechtlich konformen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen?
Mitarbeiter müssen im Datenschutz unterwiesen bzw. geschult werden.
Auch auf anderen Gebieten müssen oder sollen die Mitarbeiter geschult werden. Geschieht dies durch externe Dienstleister, werden zwangsläufig Mitarbeiterdaten zur Durchführung einer Schulung übermittelt. Dies wirft die Frage auf, ob mit diesem Dienstleister ein AV-Vertrag abzuschließen ist.
Die einfache Antwort lautet: Nach herrschender Meinung ist in der Regel kein AV-Vertrag abzuschließen; Ausnahme: die Nutzung von Online-Schulungstools.
Vertiefung:
Fragestellung: Handelt es sich hierbei um eine Auftragsverarbeitung im Sinne der DSGVO? Die Festlegung konzentriert sich auf die Frage der Weisungsgebundenheit des Dienstleisters. Thema und Teilnehmer werden zwischen Dienstleister und Arbeitgeber besprochen. Doch danach agiert der Schulungsdienstleister im Wesentlichen frei. Zusätzliches Argument: Die Verarbeitung personenbezogener Daten ist keine Kerntätigkeit des Dienstleisters. Es geht diesem ausschließlich um die Wissensvermittlung. Er bietet damit nach derzeit wohl herrschender Auffassung Dienstleistungen in eigener Verantwortung an. Er ist demnach selbst Verantwortlicher im Sinne der DSGVO.
Zu diesem Ergebnis kommt auch das BayLDA in seiner Abgrenzungshilfe zur Auftragsverarbeitung . Hier ist festgestellt, dass die Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO, sondern eigene Verantwortlichkeit, ist. Natürlich gelten für die Schulungsanbieter als eigene Verantwortliche die datenschutzrechtlichen Grundsätze. Sie dürfen die erlangten Daten etwa nicht zweckentfremden (Art. 5 Abs.1 lit.b DSGVO) und müssen hinreichende Maßnahmen zum Schutz der Ihnen zur Verfügung gestellten personenbezogenen Daten treffen (Art. 24, 32 DSGVO).
Eine Ausnahme soll vorliegen, wenn ein Online-Schulungstool des Dienstleisters verwendet wird. Der Dienstleister wird in den meisten Fällen das neben dem Hosting der Lernplattform Wartung und Supportleistungen erbringen und hierüber die Zugriffsmöglichkeit auf personenbezogene Daten der Mitarbeiter haben. Dies legt die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages mit dem E-Learning-Anbieter nahe.
Aufgrund der (möglichen) Kontrollmöglichkeiten, die Online-Schulungstools dem Arbeitgeber eröffnen, muss geprüft werden, ob der Betriebsrat einzuschalten ist (§ 87 Abs. 1 Nr. 6 BetrVG bzw. aus §§ 96 – 98 BetrVG).