Kann Fremdpersonal, das über einen Dienstvertrag beim Kunden eingesetzt wird, datenschutzrechtlich als nicht Dritter gelten?

**Ja – Fremdpersonal kann datenschutzrechtlich „nicht Dritter“ sein, aber nicht schon deshalb, weil es per Dienstvertrag beim Kunden arbeitet. Entscheidend ist, ob die Personen personenbezogene Daten unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters und nur auf dessen Weisung verarbeiten.** ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A62021CJ0687)) ## Worauf es rechtlich ankommt Die DSGVO definiert „Dritter“ ausdrücklich negativ: Dritter ist gerade **nicht** der Verantwortliche, **nicht** der Auftragsverarbeiter und **nicht** eine Person, die unter deren unmittelbarer Verantwortung zur Verarbeitung befugt ist. Maßgeblich ist also nicht die Vertragsüberschrift „Dienstvertrag“, sondern die tatsächliche datenschutzrechtliche Einbindung. ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A62021CJ0687)) Art. 29 DSGVO macht den Kern sehr klar: Personen mit Datenzugang dürfen Daten nur auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeiten. Wer so eingebunden ist, gehört funktional zur Sphäre des Verantwortlichen bzw. Auftragsverarbeiters und ist deshalb regelmäßig kein „Dritter“ im Sinne des Datenschutzrechts. ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE-EN-SL/ALL/?from=EN&uri=CELEX%3A32016R0679)) ## Was das für Fremdpersonal beim Kunden bedeutet Fremdpersonal eines externen Unternehmens ist **nicht automatisch** „nicht Dritter“. Das ist der typische Denkfehler. In der Praxis gibt es drei Konstellationen: - **Wie internes Personal eingebunden:** Die Person arbeitet faktisch unter unmittelbarer Verantwortung und Weisung des Kunden oder eines Auftragsverarbeiters. Dann kann sie datenschutzrechtlich **kein Dritter** sein. ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A62021CJ0687)) - **Eigenständiger Dienstleister mit eigener Organisationshoheit:** Dann bleibt das Fremdunternehmen regelmäßig eine eigene Stelle und damit aus Sicht des Kunden grundsätzlich **Dritter**, es sei denn, es liegt eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vor. ([edpb.europa.eu](https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en)) - **Auftragsverarbeiter-Modell:** Das Fremdunternehmen verarbeitet Daten im Auftrag des Kunden auf Basis von Art. 28 DSGVO. Dann ist es ebenfalls **nicht Dritter**, aber eben als **Auftragsverarbeiter**, nicht bloß wegen des Personaleinsatzes vor Ort. ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/AUTO/?uri=CELEX%3A32016R0679)) ## Der praktische Knackpunkt Entscheidend ist die **tatsächliche Steuerung der Datenverarbeitung**, nicht der Einsatzort und nicht der Titel des Vertrags. Gerade bei Dienstverträgen wird oft übersehen: Arbeitsrechtlich und organisatorisch soll Fremdpersonal typischerweise **nicht** wie eigene Beschäftigte eingegliedert sein. Genau deshalb ist datenschutzrechtlich sorgfältig zu prüfen, ob wirklich eine unmittelbare Verantwortungs- und Weisungsstruktur besteht oder ob tatsächlich ein eigenständiger externer Dienstleister handelt. ([haufe.de](https://www.haufe.de/id/beitrag/dienstvertrag-bgb-3-umgehung-des-arbeitsrechts-durch-dienstvertragliche-gestaltungen-bei-fremdpersonaleinsatz-HI15286250.html)) ## Klare Schlussfolgerung **Ja, Fremdpersonal im Dienstvertrag kann „nicht Dritter“ sein – aber nur, wenn es datenschutzrechtlich wie eine weisungsgebundene Person innerhalb der Verantwortungs­sphäre des Kunden oder eines Auftragsverarbeiters handelt. Der Dienstvertrag allein reicht dafür nicht.** ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A62021CJ0687))