Werden Mitarbeiterdaten an einen Schulungsdienstleister zur Durchführung einer Schulung übermittelt, stellt sich automatisch die Frage, ob mit dem Schulungsanbieter ein Auftragsverarbeitungsvertrag abzuschließen ist und was sonst noch datenschutzrechtlich beachtet werden sollte.
Der Inhalt im Überblick
Schulungen im Beschäftigungskontext
Im Beschäftigungsverhältnis kommt es regelmäßig vor, dass Mitarbeiter geschult werden sollen. Es kann sich hierbei um freiwillige Schulungen handeln. Manchmal können diese auch einen verpflichtenden Charakter haben, wenn die Fortbildung etwa erforderlich ist, um sicherzustellen, dass der Mitarbeiter die geschuldete Arbeitsleistung erbringen kann. Bei höher qualifizierten und gut bezahlten Mitarbeitern kann unter Umständen sogar eine Teilnahme an beruflichen Fortbildungen an Wochenenden gefordert werden.
Wird die Schulung nicht intern durch eigenes Personal, sondern durch einen externen Schulungsdienstleister durchgeführt, benötigt dieser für die Durchführung der Schulung zwangsläufig die Daten der Teilnehmer. Auch wird der Arbeitgeber wissen wollen, welche Mitarbeiter an der Schulung teilgenommen haben. Dies kann für den Arbeitgeber wichtig sein, um sicher zu stellen, dass beispielsweise alle Mitarbeiter, die mit personenbezogenen Daten in Kontakt kommen, ausreichend im Datenschutz geschult wurden.
Für die Daten über seine Mitarbeiter im Rahmen des Beschäftigungsverhältnisses ist der Arbeitgeber verantwortlich. Werden nun die personenbezogenen Daten der Mitarbeiter an einen externen Dienstleister übermittelt, stellt sich die Frage, ob dies die Pflicht begründet, mit dem Schulungsdienstleister einen Auftragsverarbeitungsvertrag abzuschließen.
Spärliche Hinweise zur Auftragsverarbeitung
Hierfür müsste es sich bei dem Schulungsdienstleister dann um einen sog. Auftragsverarbeiter i.S.d. Art. 4 Nr. 8, 28, 29 DSGVO handeln.
Die Definition zum Begriff des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, wonach es sich hierbei um eine natürliche oder juristische Person handelt, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, hilft hier nur bedingt weiter, denn fast jedes Unternehmen bearbeitet irgendetwas „im Auftrag“, ohne gleichzeitig ein Auftragsverarbeiter zu sein. Weitere Hinweise zum Begriff finden sich in Art. 29 DSGVO. Hiernach gilt, dass ein Auftragsverarbeiter und ihm unterstellte Personen, die Zugang zu den personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen.
Fehlende Weisungsgebundenheit bei Schulungsdienstleistern
Die Gretchenfrage ist hier: Agiert ein Schulungsdienstleister weisungsgebunden? Schulungsthemen und Teilnehmerzahlen werden im Vorfeld zwischen Schulungsdienstleister und Arbeitgeber besprochen. Doch danach hat der Schulungsdienstleister im Wesentlichen freie Hand. Sobald die Eckdaten einer Schulung feststehen, agiert der Schulungsanbieter als Dienstleister weitgehend frei. Dies gilt auch für die Mitarbeiterdaten, mit denen er für die Durchführung der Schulung in Berührung kommt. Auch ist die Verarbeitung personenbezogener Daten keine Kerntätigkeit des Schulungsanbieters: Es geht diesem in erster Linie um die Wissensvermittlung gegenüber den Teilnehmern. Externe Schulungsanbieter bieten damit Dienstleistungen in eigener Verantwortung an. Sie sind selbst Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.
Zu demselben Ergebnis kommt auch das BayLDA in seiner Abgrenzungshilfe zur Auftragsverarbeitung. Hier hat die Aufsichtsbehörde festgestellt, dass die Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO, sondern eigene Verantwortlichkeit, ist.
Natürlich gelten für die Schulungsanbieter als eigene Verantwortliche die datenschutzrechtlichen Grundsätze. Sie dürfen die für die erlangten Daten etwa nicht zweckentfremden (Art. 5 Abs.1 lit.b DSGVO) und müssen hinreichende Maßnahmen zum Schutz der Ihnen zur Verfügung gestellten personenbezogenen Daten treffen (Art. 24, 32 DSGVO).
Ausnahmen bei Online-Schulungstools („E-Learning“)
Eine Ausnahme kann sich jedoch daraus ergeben, soweit ein Online-Schulungstool des Schulungsdienstleisters verwendet wird. Der Dienstleister wird in den meisten Fällen das neben dem Hosting der Lernplattform Wartung und Supportleistungen erbringen und hierüber die Zugriffsmöglichkeit auf personenbezogene Daten der Mitarbeiter haben. Dies legt die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages mit dem E-Learning-Anbieter nahe.
Aufgrund der potentiellen Kontrollmöglichkeiten, die Online-Schulungstools dem Arbeitgeber eröffnen, sollte zudem geprüft werden, ob dem Betriebsrat möglicherweise ein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 6 BetrVG bzw. aus §§ 96 – 98 BetrVG zusteht.
Hallo, eine Frage: Wie sieht es aus, wenn ich eine eLearning-Plattform bei mir selber hoste und meine Kunden darauf schule? Und dann wie Sie als externer DSB tätig bin? Ergibt sich dann immer noch die Pflicht, eine AV abzuschließen?
Wird das eLearning-Tool nicht lokal beim Kunden, sondern beim Anbieter des eLearning-Tools selbst gehostet, sollte ein Vertrag gem. Art. 28 DSGVO zwischen Anbieter und Kunden abgeschlossen werden.
Soweit das Hosting durch den DSB erfolgt, dürfte sich hieran grundsätzlich nichts ändern.
Bleibt die Frage, auf welcher Grundlage ich die Daten an den Dienstleister weitergebe.
Einwilligung dürfte wohl entfallen, da die Freiwilligkeit im Beschäftigtenkontext nur schwer zu erreichen sein wird. Kommt hinzu, dass manche Fortbildungen vorgeschrieben sind. Wäre es dann das berechtigte Interesse in Kombination mit §26 BDSG oder die Erfüllung eines Vertrages (Arbeitsvertrag) in Verbindung mit §26 BDSG?
Danke für kurze Einschätzung, Daniel
Aus dem Wortlaut von Art. 6 Abs.1 DSGVO ergibt sich, dass mehrere einschlägige Rechtsgrundlagen nebeneinander bestehen können („Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]“).
Ist die Teilnahme einer Fortbildung für die Erfüllung arbeitsrechtlicher Verpflichtungen erforderlich, wäre einschlägige Rechtsgrundlage daher § 26 Abs.1 BDSG. Denkbar ist hier etwa eine Schulung für die Benutzung einer neu eingeführten Software, deren Nutzung für die zukünftige (arbeitsvertraglich geschuldete) Tätigkeit des Beschäftigten erforderlich ist.
Eine Einwilligung für die Teilnahme an einer Schulung muss nicht per se mangels Freiwilligkeit ausscheiden. Die Freiwilligkeit ist nach § 26 Abs.2 S.2 BDSG zu bemessen, wonach diese insbesondere dann vorliegen kann, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Schulungen der Mitarbeiter werden vom Arbeitgeber bezahlt und kommen diesen auch zugute (Wissensaufbau, Kompetenzförderung). Wichtig wäre hier, dass die jeweilige Schulung dann als Angebot für den Mitarbeiter ausgestaltet ist, welches dieser annehmen kann, aber nicht muss.
Eine Schulung wird im Einzelfall auch auf das berechtigte Interesse gem. Art. 6 Abs.1 lit.f DSGVO gestützt werden können. Hier wäre etwa an eine Datenschutz-Schulung als technisch-organisatorische Maßnahme gem. Art. 32 DSGVO zu denken. Hier hätte der Arbeitgeber unstreitig ein besonderes Interesse daran, dass diejenigen Mitarbeiter, die personenbezogene Daten verarbeiten, über den Umgang mit personenbezogenen Daten geschult werden. Die schutzwürdigen Interessen des Arbeitnehmers müssten hier regelmäßig zurückstehen.
Wie ist das mit dem Datenfluss in die andere Richtung? Also welche Daten darf der externe Schulungsanbieter an das Unternehmen weitergeben? Kann ein Arbeitgeber bei einem externen Schulungsanbieter eine Übersicht der Teilnehmer bzw. die Herausgabe von Teilnahmebescheinigungen/ Zertifikate verlangen? Wie sieht es mit der „erreichten Punktzahl“ in der Prüfung oder „Noten“ aus?
Die Frage, welche Informationen der Arbeitgeber über seine Mitarbeiter im Rahmen einer Schulung bei dem eingesetzten Schulungsdienstleister erheben darf, richtet sich nach den allgemeinen Datenschutzgrundsätzen. Ob es sich bei dem Schulungsdienstleister um einen eigenen Verantwortlichen oder „nur“ um einen Auftragsverarbeiter handelt, ist für die Beurteilung nicht streitentscheidend, da es in beiden Fällen einer Rechtsgrundlage für eine solche Datenerhebung – und Verarbeitung bedarf. Hier wird in Bezug auf den Arbeitgeber § 26 Abs.1 BDSG die einschlägige Rechtsgrundlage sein, womit es für die Bewertung der Rechtmäßigkeit im Kern maßgeblich darauf ankommt, ob die Erhebung der erreichten Punktezahl für die Durchführung des Beschäftigungsverhältnisses erforderlich sein wird, was man eher verneinen wird.
Anders ist es bei der Mitteilung über Bestehen oder Nichtbestehen einer Schulung; hier wird es für die Durchführung des Beschäftigungsverhältnisses erforderlich sein, dass der Arbeitgeber darüber im Bilde ist, ob ein Mitarbeiter teilgenommen / nicht teilgenommen oder bestanden bzw. nicht bestanden hat.
Handelt es sich bei dem Schulungsdienstleister um einen Auftragsverarbeiter und wird dieser zur Herausgabe dieser Daten aufgefordert, muss er diese aufgrund der Weisungsgebundenheit herausgeben. Nach Art. 28 Abs.3 S.3 DSGVO ist er, soweit er der Ansicht ist, dass eine solche Aufforderung gegen die DSGVO verstößt, verpflichtet, dies dem Arbeitgeber mitzuteilen.
Ist er eigener Verantwortlicher, kann in der Zurverfügungstellung solcher Daten gegenüber dem Arbeitgeber ebenfalls ein Verstoß gegen Art. 5 Abs.1 lit. a DSGVO („Rechtmäßigkeit der Verarbeitung) vorliegen.
Hallo, wir nutzen für interne Schulungen der Mitarbeiter ein Schulungstool eines Schulungsdienstleisters als E-Learning Tool. Nun möchten wir mit diesem E-Learning Tool auch Mitarbeiter unseres Vertragspartners schulen. Da es sich bei den Mitarbeitern unseres Partners nicht um Mitarbeiter von uns handelt, stellt sich die Frage, wie wir datenschutzkonform vorgehen müssen?
Einen AV-Vertrag mit dem Schulungsdienstleisters des E-Learning Tools haben wir abgeschlossen. Müssen wir mit unserem Vertragspartner auch einen AV-Vertrag abschließen, denn er wird uns die Daten seiner Mitarbeiter zwecks Schulung und Auswertung übermitteln. Danke!
Datenschutzrechtlich ist ihr Vertragspartner für die Daten seiner Mitarbeiter „verantwortlich“ nach Art. 4 Nr. 7 DSGVO und muss für die Übermittlung dieser Daten an Sie eine Rechtsgrundlage nachhalten können. Je nach vertraglicher Ausgestaltung zwischen Ihnen und ihrem Vertragspartner könnte hier in der Tat ein Auftragsverarbeitungsvertrag eine passende Lösung sein.