Viele Unternehmen bieten ihren Mitarbeitenden Vorteile durch die Teilnahme an Rabatt-Programmen externer Unternehmen wie Corporate Benefits, Urban Sports Club oder Gympass an. Doch auch hierbei gilt es den Datenschutz zu beachten: Welche Rechtsgrundlage passt zur Datenverarbeitung? Muss ein Auftragsverarbeitungsvertrag abgeschlossen werden, liegt eine gemeinsame Verantwortlichkeit mit dem Anbieter des Rabatt-Programms vor oder agieren die Parteien jeweils eigenverantwortlich?
Erfahren Sie alles Wichtige zum Datenschutz bei Mitarbeiterprogrammen und Job Benefits.
Die richtige Rechtsgrundlage für Mitarbeitervorteile
Zunächst gilt es die passende Rechtsgrundlage für die Datenverarbeitung zu finden.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Im Datenschutz kann die Datenverarbeitung oft auf das berechtigte Interesse des Arbeitgebers gestützt werden. Das Angebot der Teilnahme an einem Mitarbeitervorteilsprogramm stellt für den Arbeitgeber regelmäßig eine freiwillige Zusatzleistung dar. Der Arbeitgeber hat ein legitimes Interesse daran, seinen Mitarbeitenden Vorteile in Form von Mitarbeiterrabatten anzubieten, um beispielsweise die Mitarbeiterbindung zu fördern.
Voraussetzung hierfür ist eine Interessenabwägung, bei der das berechtigte Interesse des Arbeitgebers gegen die Rechte und Freiheiten der betroffenen Mitarbeitenden abgewogen wird. Wenn die Mitarbeiterangebote als klarer Vorteil für die Arbeitnehmer angesehen werden können und die Datenverarbeitung auf das erforderliche Maß beschränkt bleibt, kann in der Regel ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO bejaht werden.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Die Verarbeitung personenbezogener Daten im Zusammenhang mit Mitarbeiterrabatten könnte im Beschäftigtendatenschutz auch auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, wenn diese Rabatte einen wesentlichen Bestandteil des Arbeitsvertrages darstellen. In diesem Fall handelt es sich bei der Bereitstellung und Abwicklung der Rabatte um keine bloße freiwillige Zusatzleistung des Arbeitgebers, sondern eine vertragliche Verpflichtung. Um den Arbeitsvertrag vollständig zu erfüllen, muss der Arbeitgeber die Daten der Mitarbeitenden verarbeiten.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Wenn der Arbeitgeber die personenbezogenen Daten des Mitarbeitenden an Drittanbieter von Mitarbeitervorteilsprogrammen oder Fitnessstudios weitergibt, muss der Mitarbeiter zustimmen, dass seine Daten an diese Drittanbieter übermittelt werden dürfen.
Für die Einwilligung gelten die üblichen Anforderungen: Insbesondere die Freiwilligkeit der Einwilligung muss gewährleistet sein. Die Verweigerung der Zustimmung darf keine negativen Konsequenzen nach sich ziehen. Zudem müssen Mitarbeitende jederzeit das Recht haben, die Einwilligung ohne Angabe von Gründen zu widerrufen. Die Einwilligung muss schriftlich oder elektronisch erfolgen.
Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
In seltenen Fällen könnte eine (Teil-)Verarbeitung auch für die Erfüllung rechtlicher Verpflichtungen erforderlich sein, wenn etwa bestimmte Daten für steuerliche oder sozialversicherungsrechtliche Zwecke verarbeitet werden müssen. Dies ist aber nur dann der Fall, wenn die Mitarbeiterrabatte gesetzlich relevante Auswirkungen – wie etwa im Bereich des Steuerrechts – haben.
Verantwortlichkeit beim Vorteilsprogramm
Wer der datenschutzrechtliche Verantwortliche im Rahmen eines Mitarbeitervorteilsprogrammes ist, kann unterschiedlich sein:
Verarbeitung als eigene Verantwortliche
Im Regelfall erfolgt die Verarbeitung der Mitarbeiterdaten im Rahmen eines Vorteilsprogrammes in eigener Verantwortlichkeit. Die Registrierung für Mitarbeitervorteilsprogramme wie Corporate Benefits oder dem Urban Sports Club erfolgt typischerweise entweder über die private oder geschäftliche E-Mail-Adresse des Mitarbeitenden. Der Arbeitgeber ermöglicht den Mitarbeitern oftmals lediglich den Zugang (z.B. in Form eines Registrierungscodes) zu der Plattform, auf der Mitarbeitende sich selbst anmelden und die Mitarbeiterangebote nutzen können.
In einem solchen Szenario erhält der Anbieter eines solchen Programms vom Arbeitgeber keine Liste von (teilnehmenden oder sämtlichen) Mitarbeitenden. Der Arbeitgeber übermittelt also keine personenbezogenen Daten an den Anbieter, so dass kein direkter Datenaustausch stattfindet. Vielmehr trifft der Mitarbeitende die Entscheidung zur Registrierung eigenverantwortlich und agiert unabhängig. Es kommt zu einem direkten Vertragsverhältnis zwischen dem Mitarbeitenden und dem externen Anbieter.
Eine Weisungsbefugnis des Arbeitgebers gegenüber dem externen Dienstleister liegt in diesem Fall nicht vor, daher liegt auch keine Auftragsverarbeitung vor. Der Anbieter verarbeitet die Daten vielmehr im eigenen Interesse und legt auch eigenständig die Mittel und Zwecke der Verarbeitung fest.
Aufgrund dieser Eigenständigkeit handeln der Anbieter und das Unternehmen unabhängig voneinander. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO oder ein Vertrag über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO ist in diesen Fällen daher in aller Regel nicht erforderlich.
Verarbeitung im Auftrag
Eine Auftragsverarbeitung ist gegeben, wenn der Arbeitgeber personenbezogene Daten wie Namen, E-Mail-Adressen oder Beschäftigungsstatus seiner Mitarbeitenden an den Anbieter eines Vorteilsprogramms übermittelt, wobei der Anbieter die Aufgaben des Arbeitgebers auf seine Weisung übernimmt (bspw. Überprüfung der Berechtigung der Mitarbeitenden). Der Abschluss eines Auftragsverarbeitungs-Vertrages ist in solchen Fällen erforderlich.
Auch wenn der Anbieter eine Plattform oder ein Verwaltungsportal bereitstellt, über das der Arbeitgeber Anmeldungen verwalten und einen Überblick über die Nutzung der Rabatte erhalten kann, liegt hierin ebenfalls in aller Regel eine Auftragsverarbeitung.
In solchen Fällen agiert der Anbieter als Auftragsverarbeiter im Sinne der DSGVO und darf die übermittelten Daten nur im Rahmen der Weisungen des Arbeitgebers nutzen, nämlich ausschließlich zur Überprüfung der Berechtigung. Für jegliche weitergehende Verarbeitung der Mitarbeiterdaten wäre der Anbieter anschließend wieder als eigenständiger Verantwortlicher anzusehen.
Tipp: Lesen Sie unseren Ratgeber zur Verarbeitung zu eigenen Zwecken durch Auftragsverarbeiter.
Gemeinsame Verantwortlichkeit
Eine gemeinsame Verantwortlichkeit besteht, wenn der Arbeitgeber und der externe Anbieter gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dies kann zum Beispiel der Fall sein, wenn der Arbeitgeber und der Anbieter (gemeinsam und in beiderseitigem Interesse) Analysen anhand der gewonnenen Daten durchführen, um z.B. zu erfahren, welche Mitarbeitenden bestimmte Angebote nutzen oder wie oft bestimmte Dienstleistungen in Anspruch genommen werden. Hier haben der Arbeitgeber und der Anbieter ggf. sogar Zugriff auf einen gemeinsamen Datenpool und verarbeiten die entsprechenden Daten gemeinsam.
In solchen Fällen ist ein Vertrag über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO abzuschließen, um die Zuständigkeiten klar zu regeln und die Einhaltung der Datenschutzbestimmungen zu gewährleisten.
Tipp: Erfahren Sie mehr über die Verarbeitung in gemeinsamer Verantwortlichkeit.
Informationspflichten und Transparenzgebot im Rahmen von Mitarbeitervorteilen
Allgemeine datenschutzrechtliche Aufklärung
Unabhängig von der jeweiligen datenschutzrechtlichen Konstellation sind Unternehmen gemäß Art. 13 und 14 DSGVO verpflichtet, betroffene Personen transparent über die Verarbeitung ihrer personenbezogenen Daten zu informieren.
Dabei gilt, dass jede verantwortliche Stelle – sei es der Arbeitgeber oder der externe Anbieter – die Betroffenen über die Datenverarbeitungen aufklären muss, für welche er als Verantwortlicher angesehen wird. Das bedeutet, dass der Arbeitgeber beispielsweise über die eigene Erhebung, Verarbeitung und ggf. Weitergabe von Mitarbeiterdaten an den Anbieter informieren muss, während der externe Anbieter ebenfalls seine Informationspflichten bezüglich der von ihm durchgeführten Verarbeitungstätigkeiten zu erfüllen hat.
Außerdem ist es empfehlenswert, darauf hinzuweisen, dass die Teilnahme an dem Programm freiwillig ist und keinen Einfluss auf das Arbeitsverhältnis hat. Eine klare Kommunikation vorab – zum Beispiel in der E-Mail, die den Registrierungslink enthält – kann helfen, Missverständnisse zu vermeiden. Ein zusätzlicher Hinweis, dass es sich um eine externe Stelle handelt und die Verarbeitung der Daten unabhängig vom Unternehmen erfolgt, kann dabei für höhere Transparenz sorgen.
Besondere Anforderungen bei aktiver Datenverarbeitung durch den Arbeitgeber
In bestimmten Fällen kann es vorkommen, dass der Arbeitgeber aktiv in die Datenverarbeitung eingebunden wird, beispielsweise dann, wenn der Arbeitgeber aktiv bestätigen muss, dass eine bestimmte Person tatsächlich Mitarbeitender des Unternehmens ist. In diesem Fall verarbeitet auch der Arbeitgeber personenbezogene Daten, etwa um den Zugang zum Programm zu gewähren. Diese Datenverarbeitung muss durch einen entsprechenden Datenschutzhinweis abgedeckt werden, in dem die Mitarbeitenden über den Umfang und Zweck der Datenverarbeitung informiert werden.
Mitarbeitervorteile durch nachgelagerte Erstattung
Ein besonderer Fall liegt bei der nachgelagerten Erstattung von Kosten für bestimmte Produkte oder Dienstleistungen vor, wie beispielsweise im Rahmen eines Jobtickets, Essenszuschüssen oder Weiterbildungsmöglichkeiten. Auch in solchen Fällen unterliegt der Arbeitgeber den datenschutzrechtlichen Vorgaben.
Ein Dritter ist dabei nicht eingebunden. Der Arbeitgeber erhält lediglich Informationen über den getätigten Kauf. Auch in einem solchen Fall ist ein detaillierter Datenschutzhinweis erforderlich, der die Mitarbeitenden über die Erhebung und Verarbeitung dieser Daten informiert. Insbesondere sollte der Zweck der Kostenübernahme, die Speicherdauer sowie die Rechtsgrundlage erläutert werden.
Fazit
Unternehmen sollten beim Einsatz von Mitarbeiterrabattprogrammen die datenschutzrechtlichen Vorgaben sorgfältig beachten. Immerhin sind diese Programme dazu gedacht, Beschäftigte zu motivieren und ihre Bindung an das Unternehmen zu stärken, indem sie ein Gefühl von Loyalität und Zufriedenheit schaffen. Insofern sollte es hier auch juristisch besonders reibungsfrei laufen.
Wie bei allen Projekten, bei denen personenbezogene Daten im Unternehmen verarbeitet werden, lohnt es sich, den Datenschutzbeauftragten frühzeitig hinzuzuziehen. So können die hier geschilderten datenschutzrechtlichen Aspekte im Sinne aller Beteiligten beachtet werden.
Zudem sind transparente Kommunikation und der Hinweis auf die freiwillige Teilnahme am Programm entscheidend, um Missverständnisse zu vermeiden und den Datenschutz zu gewährleisten.