Moin,
in der aktuellen Situation kommt es ja nicht selten vor, dass Tätigkeiten vermehrt ins Homeoffice verlagert werden.
Jedoch stellt sich die Frage: Wie wird das in einem AVV geregelt? Meines Wissens nach muss der Auftraggeber dem Auftragnehmer vorab eine explizite Zustimmung dafür geben, dass eine Datenverarbeitung im Homeoffice stattfindet. Hat der Auftraggeber in diesem Zusammenhang aber auch das Recht, eine Auflistung der privaten Anschriften von den einzelnen Mitarbeitern, die Homeoffice machen, einzufordern?
Welches Recht hat hier mehr Gewicht - das des Auftraggebers oder das der Mitarbeiter des Auftragnehmers?
Würde mich über eure Meinung freuen.
Viele Grüße
Tobias
AVV und Homeoffice - Sind die privaten Anschriften der Mitarbeiter zu nennen?
Fragen zum Datenschutz?
Fragen zum Datenschutz?
Was meinst du mit diesem Begriff AVV?ZitatWie wird das in einem AVV geregelt? :
Meines Wissens erteilt der AG/Arbeitgeber seinem AN/Arbeitnehmer die Anordnung, im Home office zu arbeiten. Oder es gibt eine beidseitige Vereinbarung.ZitatMeines Wissens nach muss ... :
Wenn es ein Arbeitgeber ist, der Arbeitnehmer ins Home office schickt, dann darf der wahrscheinlich auch die Anschriften seiner AN haben (die hat er sicher auch in seiner Personalakte).ZitatHat der Auftraggeber in diesem Zusammenhang aber auch das Recht, :
Leider verstehe ich nicht so recht, was du mit deinem Beitrag erfahren willst.
Möchtest du als AN evtl. nicht verraten, WO du das home office hast?
ZitatWas meinst du mit diesem Begriff AVV? :
- Augsburger Verkehrs- und Tarifverbund
- Aachener Verkehrsverbund
- Auftragsverarbeitungs-Vertrag
- Abfallverzeichnis-Verordnung
- IATA-Code des Avalon Airport
Um es mit den Worten des Gralsritters zu sagen: "wähle weise"
ZitatHat der Auftraggeber in diesem Zusammenhang aber auch das Recht, eine Auflistung der privaten Anschriften von den einzelnen Mitarbeitern, die Homeoffice machen, einzufordern? :
Ja, das Recht hat er.
Man muss der Forderung aber nicht Folge leisten und er kann diese Forderung auch nicht durchsetzen.
Und wenn er die einfach ungefragt aufführt, kann man sogar dagegen klagen.
Auf Frag-einen-Anwalt.de antwortet Ihnen ein Rechtsanwalt innerhalb von 2 Stunden. Sie bestimmen den Preis.
Zunächst einmal: Vielen Dank für eure Antworten.
Mir scheint, ich habe mich hier aber etwas zu fachspezisch und dadurch ggfls. unmissverständlich ausgedrückt. Da wir uns hier im Datenschutzrecht-Unterforum befinden, ging ich davon aus, dies wäre kein Problem.
Daher kurz noch mal zur Erläuterung:
AVV = Auftragsverarbeitungsvertrag
Bei dem AVV handelt es sich um eine vertraglich festgelegte Vereinbarung zwischen zwei Unternehmen - einem Auftraggeber sowie einem Auftragnehmer -, welcher festhält und regelt, wie und warum eine Verabreitung von personenbezogenen Daten, die im Rahmen des Auftrags erhoben werden, stattfinden soll.
Es geht demnach in meinem Fall nicht um Arbeitgeber und Arbeitnehmer. Es geht hier um Auftraggeber (Kunde) und Auftragnehmer (Dienstleister).
Unter diesem Aspekt noch mal zusammenfassend:
Findet bei dem Auftragnehmer (Dienstleister) eine Verabreitung von personenbezogenen Daten in Privatwohnungen (Homeoffice) statt, ist dies im AVV zu regeln (und seitens des Auftraggebers [Kunden] vorab zu genehmigen). Die Frage ist aber: Kann der Auftraggeber (Kunde) nun auch verlangen, die privaten Anschriften aller Mitarbeiter, die im Homeoffice tätig sind, auszuhändigen?
-- Editiert von Tobias Helms am 05.05.2020 07:38
im Kern ist das eine spannende Frage.
Ein Recht des Auftraggebers auf die Privatdresse der AN würde sich m.E. nur aus dem Konrollrecht ergeben. Das impliziert jedoch, dass auch eine Kontrolle vor Ort beim AN durch den AG überhaupt vereinbar sei müsste.
Im Ergebnis halte ich das nicht für zulässig und somit grds. auch eine Übermittlung der Privatadressen der AN für unzulässig, die sich selbst ja wiederum an der dsgvo messen lassen muss. (hier sehe ich keinen rechtsgrund sondern eine Interessenabwägung).
Das "mildere" mittel dürfte m.e. nach TOMs sein, hier insbesondere Verpflichtungserklärungen zwischen AG und AN als Ausfluss aus einem AVV.
Grüße
Ich sehe, diese Thematik ist in der Tat nicht ganz eindeutig und daher zurecht zu hinterfragen. Danke für eure beiden Feedbacks.
Was ich als Kompromiss bestenfalls mit mir ausmachen könnte: Man könnte tatsächlich eine Auflistung als Anlage dem AVV beifügen, welche dann lediglich die Anschriften der Mitarbeiter aufführt, ohne aber die Namen der Mitarbeiter selbst mit anzugeben. So können die Adressen wenigstens nicht direkt einer Person zugeordnet werden und ich denke, dies wäre dann auch wieder datenschutzkonform.
Schön ist es aber natürlich trotzdem nicht.
Kommt ohnehin auf den jeweiligen Auftrag und die Klauseln an. Der Begriff "Home Office" ist ohnehin nicht optimal. Wir haben immer den Begriff Remote-Arbeitsplatz genutzt und die Controls angegeben. Ob jetzt der MA von zuhause in Kassel oder aus Oma´s Häuschen am Schluchsee arbeitet ist meist nicht kontrollierbar. Ist auch zweitrangig, wenn nicht Sicherungsmaßnahmen wie Stahlschrank o.ä. vorgeschrieben sind.
Je nach Einzelfall wählt man sich womöglich ohnehin ins Firmennetz ein, dann ist irrelevant, ob man vor Ort in Büro 1 oder Büro 2 sitzt oder in der Filiale in Muckenhausen oder zuhause.
Oder der MA hat alles auf dem Firmenlaptop, dann ist auch relativ irrelevant, wo der steht. (Ja, ich weiß, Netzwerksicherheit usw., aber da hat auch niemand eine Garantie, ob das in Filiale Bubbsbach besser oder schlechter ist als bei jemandem zuhause.)
ZitatMeines Wissens nach muss der Auftraggeber dem Auftragnehmer vorab eine explizite Zustimmung dafür geben, dass eine Datenverarbeitung im Homeoffice stattfindet. :
Was ist dafür überhaupt die Grundlage? Ich habe bei meinem AG nicht gehört, daß man sich da von sämtlichen 100+ Kunden (darunter Großfirmen im Pharmabereich mit Rechtsabteilungen von der Größe einer Eifelgemeinde) gesondert Zustimmungen eingeholt hat oder daß diese darauf bestanden hätten.
Spinnen wir das mal weiter, müßten alle Auftraggeber zustimmen, wenn der Außendienstmitarbeiter seinen Firmenlaptop mitnimmt und seine Mails von außerhalb abruft? Irgendwo wird es auch absurd.
-- Editiert von BigiBigiBigi am 06.05.2020 09:39
ZitatWas ich als Kompromiss bestenfalls mit mir ausmachen könnte: :
Da hätte ich als Arbeitnehmer aber einiges gegen und als Arbeitgeber wären mir die drohenden Bußgelder schlicht zu hoch.
Das wird dann schnell unwirtschaftlich.
Oder wird hier mit Geheimdienstinformationen gehandelt?
Wobei die selten im Homeoffice arbeiten.....
Mit dir selbst einen Kompromiss ausmachen?ZitatWas ich als Kompromiss bestenfalls mit mir ausmachen könnte: :
Bist du Auftragnehmer oder Auftraggeber ?
Verlangen kann man bekanntlich alles.ZitatDie Frage ist aber: Kann der Auftraggeber (Kunde) nun auch verlangen, die privaten Anschriften aller Mitarbeiter, die im Homeoffice tätig sind, auszuhändigen? :
Mir fällt bei dieser ggfls. unmissverständlichen und fachspezischen Problematik noch ein:
-Man könnte dem Kunden nur die jeweils am Projekt beteiligten Auftragnehmer mit Personal-Nr. mitteilen.
-Der Kunde sollte sein Verlangen doch mal etwas deutlicher begründen.
-Wozu muss der Kunde wissen, wo die Auftragnehmer X, Y Z melderechtlich registriert sind?
Wenn Auftragnehmer im Home Office arbeiten, läuft iaR die Kommunikation online oder telefonisch.
Es sei denn, der Auftragnehmer ist ein Wasch-und Bügelservice und hat seinen Laden geschlossen und arbeitet von zu Hause aus.
Dann müsste der Kunde natürlich wissen, wohin er seine Ware bringen muss.
ZitatOb jetzt der MA von zuhause in Kassel oder aus Oma´s Häuschen am Schluchsee arbeitet ist meist nicht kontrollierbar. :
Und genau deshalb ist es auch sinnlos die ganzen Orte aufführen zu wollen an denen die jeweiligen Mitarbeiter sitzen könnten.
Zitat-Man könnte dem Kunden nur die jeweils am Projekt beteiligten Auftragnehmer mit Personal-Nr. mitteilen. :
Es geht hier aber nicht um die Auftragnehmer ...
Zitat-Wozu muss der Kunde wissen, wo die Auftragnehmer X, Y Z melderechtlich registriert sind? :
Muss er nicht, aber der Auftragnehmer einer Datenverarbeitung muss mit einer ladungsfähigen Anschrift im AVV genannt werden.
Moin,
ich halte die Weitergabe von Mitarbeiternamen/-anschriften im Rahmen einer Auftragsdatenverarbeitung schlicht für nicht zulässig, da die Weitergabe eigentlich immer in der Abwägung scheitern muss.
Vertragspartner ist immer der Arbeitgeber(AG). Hier kann es - je nach konzeptioneller Umsetzung - Sinn machen, im Rahmen von Homeoffice beispielsweise MA einzeln und separat zu verpflichten. Dann endet aber auch das Kontrollrecht in den Räumlichkeiten des AG.
Wenn das Konzept eine Weitergabe der Daten vorsieht ist es m.E. schlicht ungegeeignet.
Grüße
Vielen Dank für die vielen Feedbacks. Ich werde den einen oder anderen Punkt an dieser Stelle mal aufgreifen.
ZitatWir haben immer den Begriff Remote-Arbeitsplatz genutzt und die Controls angegeben. :
Die Begriffsänderung zu "Remote-Arbeitsplatz" finde ich gut, werde ich zukünftig berücksichten.
Was konkret meinst du mit "Controls angegeben"?
Zitat:
ZitatMeines Wissens nach muss der Auftraggeber dem Auftragnehmer vorab eine explizite Zustimmung dafür geben, dass eine Datenverarbeitung im Homeoffice stattfindet. :
Was ist dafür überhaupt die Grundlage? Ich habe bei meinem AG nicht gehört, daß man sich da von sämtlichen 100+ Kunden (darunter Großfirmen im Pharmabereich mit Rechtsabteilungen von der Größe einer Eifelgemeinde) gesondert Zustimmungen eingeholt hat oder daß diese darauf bestanden hätten.
Da gebe ich dir Recht, das habe ich unklug ausgedrückt. Die meisten AVV-Vorlagen, die ich kenne, schließen die Telearbeit grundsätzlich aus, daher bin ich mit meiner Aussage den gegenteiligen Weg gegangen - nämlich, dass eine Zustimmung nötig sei. Aber ja, eine explizite Zustimmung muss natürlich nicht zwingend her. Es reicht, wenn der Auftraggeber hierfür seine Zustimmung nicht ausdrücklich verweigert.
In meinem Beispiel möchte der Auftraggeber "die Zustimmung zu einer Verarbeitung in Privatwohnungen für die in Anlage XY genannten Fälle" geben.
Zitatals Arbeitgeber wären mir die drohenden Bußgelder schlicht zu hoch. :
So lange bei Daten kein Personenbezug besteht, greift auch nicht die DSGVO. Demnach drohen keine Bußgelder. Eigentlich! Die Frage ist (und die Antwort darauf ist wohl Auslegungssache): Ermöglicht die reine Anschrift einen Personenbezug?
ZitatMit dir selbst einen Kompromiss ausmachen? :
Ja, mit mir selbst. Der aufmerksame Leser wird bemerkt habe, dass ich mit dem Thema sehr hadere und meine Zustimmung für die Herausgabe der Privatanschriften der Mitarbeiter nicht einfach geben möchte. Dennoch versuche ich mich nicht völlig querzustellen und zu prüfen, welche Optionen vorhanden sind (was auch letzten Endes der Grund für den erstellten Beitrag hier ist).
Zitat-Der Kunde sollte sein Verlangen doch mal etwas deutlicher begründen. :
Guter Punkt, habe ich mit aufgenommen.
ZitatErmöglicht die reine Anschrift einen Personenbezug? :
Ja. (Ich bin zwar anderer Meinung, aber da die offiziellen Datenschutzbeauftragten das anders sehen ...)
Hast du hierzu bitte einmal eine Quelle, auf die du dich berufst? Die Stellungnahme der Landesdatenschutzbeauftragten (ich denke, die meinst du mit "offiziellen Datenschutzbeauftragten") würde mich interessieren.Zitatda die offiziellen Datenschutzbeauftragten das anders sehen ... :
-- Editiert von Tobias Helms am 19.05.2020 11:45
Sorry, da kommt nun mal immer wieder so eine Worthülse aus ISO27001 mit.ZitatWas konkret meinst du mit "Controls angegeben"? :
Schau mal bei ISO27001 bzw. dem Grundschutzhandbuch. Man sollte für bestimmte Umgebungen auch definierte Schutz- und Kontrollmaßnahmen definiert haben.
Bei einem Remote-Arbeitsplatz haben wir eine "sichere Umgebung" definiert, also kein öffentlicher Publikumsverkehr. Damit kann aus Geschäftsstellen, zuhause, usw. gearbeitet werden.
Dagegen ist beim Mobile-Arbeitsplatz wegen der Umgebung im ICE etc. die Art des Arbeitens eingeschränkt.
Ich staune gerade.
Ich wüsste nicht, dass auch nur einer unserer Kunden je gefragt hätte, wo wir die Arbeit erledigen lassen.
Geht ihn auch nicht wirklich etwas an. Wurde in keinem Vertrag je erwähnt.
Das Zeug ist entsprechend gegen Eingriffe von außen geschützt - ob das nun in der Firma oder im Schrebergarten bearbeitet wird.
Und wir bearbeiten hier sicherheitsrelevante Angelegenheiten.
Die Möglichkeiten die Eingriffe zu verhindern, sind im Firmengebäude ebenso vorhanden, wie im Schrebergarten.
Who cares?
ich finde "HomeOffice" eher immer unglücklich gewählt.
Mobil arbeiten, weil er ja theoretisch an jedem Platz der Welt arbeiten kann.
Ich sehe das so wie "kalledelhaie".
Die PA weiß, wo jeder wohnt, aber nicht der Vorgesetzte. Zumindest ist das in jeder größeren Firma so.
ZitatGeht ihn auch nicht wirklich etwas an. :
Das ist - spätestens seit DSGVO - schlicht falsch.
ZitatHast du hierzu bitte einmal eine Quelle, auf die du dich berufst? Die Stellungnahme der Landesdatenschutzbeauftragten (ich denke, die meinst du mit "offiziellen Datenschutzbeauftragten") würde mich interessieren. :
Hier mal eine vom LDI NRW:
https://www.ldi.nrw.de/mainmenu_Datenschutz/Inhalt/FAQ/PersonenbezogeneDaten.php
ZitatIch wüsste nicht, dass auch nur einer unserer Kunden je gefragt hätte, wo wir die Arbeit erledigen lassen. :
Weder die eigenen Unwissenheit noch die Ignoranz der Kunden sollte hier der Maßstab sein.
Das geht die Kunden schlicht und ergreifend nichts an.
Solange die benötigten Sicherheitsstrukturen bestehen ist der Ort völlig wumpe.
ZitatDas geht die Kunden schlicht und ergreifend nichts an. :
Und das ist in dieser Allgemeinheit schlicht und ergreifend falsch!
Ohne das hier zu Grunde liegende Beispiel näher betrachtet zu haben muss z. B. ein Betrieb, der Akten vernichtet alle Mitarbeiter unterweisen und dem Auftraggeber eine Liste der Mitarbeiter vorlegen.
Der Auftraggeber hat hier sogar das Recht, sich den Betrieb und die Abläufe dort anzusehen!
Zitat:Sorry, da kommt nun mal immer wieder so eine Worthülse aus ISO27001 mit.ZitatWas konkret meinst du mit "Controls angegeben"? :
Schau mal bei ISO27001 bzw. dem Grundschutzhandbuch. Man sollte für bestimmte Umgebungen auch definierte Schutz- und Kontrollmaßnahmen definiert haben.
Bei einem Remote-Arbeitsplatz haben wir eine "sichere Umgebung" definiert, also kein öffentlicher Publikumsverkehr. Damit kann aus Geschäftsstellen, zuhause, usw. gearbeitet werden.
Dagegen ist beim Mobile-Arbeitsplatz wegen der Umgebung im ICE etc. die Art des Arbeitens eingeschränkt.
Alles klar, danke für die Erläuterung.
Zitat:ZitatHast du hierzu bitte einmal eine Quelle, auf die du dich berufst? Die Stellungnahme der Landesdatenschutzbeauftragten (ich denke, die meinst du mit "offiziellen Datenschutzbeauftragten") würde mich interessieren. :
Hier mal eine vom LDI NRW:
https://www.ldi.nrw.de/mainmenu_Datenschutz/Inhalt/FAQ/PersonenbezogeneDaten.php.
Besten Dank für den Link. Dieser sagt aber nicht aus, ob die reine Anschrift einen Personenbezug ermöglicht, sondern lediglich, dass es sich um ein personenbezogenes Datum handelt. Klingt nach Wortklauberei, ist aber ein Unterschied. Einen Personenbezug haben wir in der Regel dann, wenn durch die Kombination aus mehreren personenbezogenen Daten die Person eindeutig identifiziert werden kann (z.B. Name und Anschrift). Nehmen wir ein anderes Beispiel aus der selben Liste: Das Alter. Alleine das Alter ermöglicht uns keinen Personenbezug. Genauso wenig wie der Familienstand oder die E-Mail-Adresse (wobei es hier abhängig von der konkreten E-Mail-Adresse). Alles zusammen hingegen schon.
Daher kommen wir zurück zur Ausgangsfrage: Ermöglicht uns die reine Anschrift einen Personenbezug? Wahrscheinlich ist das Auslegungssache bzw. vom Fall abhängig (ähnlich wie bei der E-Mail-Adresse) - immerhin gibt es große Wohnblöcke, in denen mehrere Personen die selbe Anschrift haben.
ZitatIch wüsste nicht, dass auch nur einer unserer Kunden je gefragt hätte, wo wir die Arbeit erledigen lassen. :
Geht ihn auch nicht wirklich etwas an. Wurde in keinem Vertrag je erwähnt.
Das stimmt so tatsächlich nicht ganz. Im Rahmen eines AVVs wird durchaus festgehalten, ob die Datenverarbeitung nur in Deutschland, in der EU bzw. im EWR oder aber auch darüber hinaus verarbeitet wird. Findet die Verarbeitung außerhalb des Geltungsbereichs der DSGVO statt, müssen besondere Vorgaben eingehalten werden.
Dennoch: Tatsächlich ist es äußerst kritisch zu betrachten, die Information preiszugeben, wo die einzelnen Mitarbeiter meldepflichtig regisitriert sind. Das sollte dem Kunden grundsätzlich nichts angehen.
ZitatOhne das hier zu Grunde liegende Beispiel näher betrachtet zu haben muss z. B. ein Betrieb, der Akten vernichtet alle Mitarbeiter unterweisen und dem Auftraggeber eine Liste der Mitarbeiter vorlegen. :
Der Auftraggeber hat hier sogar das Recht, sich den Betrieb und die Abläufe dort anzusehen!
Das mag soweit stimmen, aber auch in deinem Beispiel werden sicherlich nicht die Privatanschriften der Mitarbeiter ausgehändigt.
ZitatEinen Personenbezug haben wir in der Regel dann, wenn durch die Kombination aus mehreren personenbezogenen Daten die Person eindeutig identifiziert werden kann :
Ja, und außerhalb der Regel reicht auch schon mal ein Datum (z.B. Adresse) weil man dann ja durchaus alleine durch die Anschrift die Person dahinter ermitteln kann.
Eine Person ist „identifiziert", wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt.
Der Bezug muss aber nicht direkt sein, er kann auch indirekt auf einen Menschen beziehen.
Es genügt also, wenn die betroffene Person zumindest „identifizierbar" ist. Das es lange dauert oder problematisch sein kann, ist da nicht (mehr) relevant.
ZitatErmöglicht uns die reine Anschrift einen Personenbezug? Wahrscheinlich ist das Auslegungssache bzw. vom Fall abhängig (ähnlich wie bei der E-Mail-Adresse) :
2x ja
Derzeit sollte man davon eher ausgehen, das die reine Anschrift einen Personenbezug ermöglicht.
Und jetzt?
- Keine Terminabsprache
- Antwort vom Anwalt
- Rückfragen möglich
- Serviceorientierter Support
- Kompetenz und serviceoriente Anwaltsuche
- mit Empfehlung
- Direkt beauftragen oder unverbindlich anfragen
Jetzt Anwalt dazuholen.
Für 60€ beurteilt einer unserer Partneranwälte diese Sache.
- Antwort vom Anwalt
- Innerhalb 24 Stunden
- Nicht zufrieden? Geld zurück!
- Top Bewertungen
-
2 Antworten
-
26 Antworten
-
4 Antworten
-
9 Antworten
-
8 Antworten
-
3 Antworten