Auftragsverarbeitung beim Fahrrad-Leasing
Auftragsverarbeitung beim Abschluss von Fahrrad-Leasing-Angeboten
Um umweltfreundliche Fortbewegung zu fördern, gehen immer mehr Verwaltungen dazu über, ihren Bediensteten Leasingangebote für Fahrräder zu unterbreiten. Hierbei ist es in der Regel so, dass die Kommune ein Ausschreibungsverfahren startet und sich im Anschluss auf einen Anbieter festlegt. Mit diesem wird dann ein Leasing-Rahmenvertrag abgeschlossen, der grundsätzlich festlegt, dass Einzel-Leasingverträge zwischen der Kommune und dem Leasinganbieter zur leasinggebundenen Finanzierung von Fahrrädern geschlossen werden können. Entscheiden sich nun Bedienstete, das Angebot des Arbeitgebers anzunehmen, so schließt der Arbeitgeber mit dem Leasinggeber einen Einzelvertrag ab und gibt in diesem Zusammenhang die personenbezogenen Daten der Beschäftigten weiter.
Von Seiten mehrerer Gemeinden wurde die Frage aufgeworfen, ob es sich hierbei um eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO handelt und ob in der Folge entsprechende Verträge gem. Art. 28 Abs. 3 DS-GVO abzuschließen sind. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Verantwortlicher wiederum ist „die natürliche oder juristische Person, Behörde […], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DS-GVO). Eines der wesentlichen Merkmale der Auftragsverarbeitung ergibt sich aus Art. 29 DSGVO. Dieser sagt aus, dass Auftragsverarbeiter personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. In der Folge sind Handlungen des Auftragsverarbeiters auch grundsätzlich dem Verantwortlichen zuzurechnen. Auch ist zu berücksichtigen, dass bei einer Auftragsverarbeitung die Verarbeitung personenbezogener Daten die Kernaufgabe sein muss. Wenn die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer Dienstleistung für einen anderen erfolgt, liegt keine Auftragsverarbeitung vor. Aus Erwägungsgrund 81 ergibt sich ferner, dass eine Auftragsverarbeitung in der Regel nur dann gegeben ist, wenn der Verantwortliche „einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will“.
Da die Haupttätigkeit des Leasinggebers im Abschluss von Einzelleasingverträgen zwischen ihm und der jeweiligen Gemeinde liegt, verfolgt dieser insoweit eigene Interessen und bestimmt für die Durchführung seiner Tätigkeit Zwecke und Mittel der Verarbeitung. Die Übermittlung personenbezogener Daten von Beschäftigten durch die Gemeinde sowie die anschließende Verarbeitung durch den Leasinggeber bildet hierbei nicht die Kernaufgabe der Tätigkeit. Vielmehr ist die Verarbeitung der personenbezogenen Daten lediglich ein Nebenbestandteil der Gesamttätigkeit. Im Sinne des Erwägungsgrunds 81 ist aus objektiven Gesichtspunkten regelmäßig nicht davon auszugehen, dass die betroffenen Kommunen die Auftragnehmer mit der Verarbeitung personenbezogener Daten betrauen wollen. Die Datenverarbeitung ist in diesem Fall als „unvermeidliches Beiwerk“ bei der Erfüllung der eigentlichen Dienstleistungspflicht – nämlich des Abschlusses eines Einzelleasingvertrages – zu betrachten. Vergleichbar ist dies z.B. mit der Übermittlung von Beschäftigtendaten bei der Buchung eines Hotels für eine Dienstreise. Auch hier werden Mitarbeiterdaten durch einen Dritten verarbeitet. Gleichwohl liegt keine Auftragsverarbeitung vor, da die Kerntätigkeit ebenfalls nicht auf der Verarbeitung personenbezogener Daten beruht.
Quelle: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks