Informationen zur Energieeffizienz-Expertenliste für Förderprogramme des Bundes Juni 2018 (2)

Liebe Energieeffizienz-Experten und -Expertinnen,

gerne möchten wir Sie im Auftrag der KfW informieren, wie die KfW ihre Beziehung zu den Energieeffizienz-Experten datenschutzrechtlich einordnet.

Bei Fragen wenden Sie sich bitte direkt an das KfW-Infocenter unter 0800 539 9001 (kostenfreie Servicerufnummer, Montag bis Freitag von 08.00-18.00 Uhr) oder nutzen Sie das Kontaktformular der KfW.

Mit freundlichen Grüßen

Ihr Energieeffizienz-Experten-Team

Themen in diesem Infoletter:

Datenschutzrechtliche Einordnung der Kooperation zwischen KfW und den Energieeffizienz-Experten

Aufgrund der Fragen einiger Energieeffizienz-Experten möchten wir Sie im Auftrag der KfW informieren, wie die KfW ihre Beziehung zu den Energieeffizienz-Experten datenschutzrechtlich einordnet. In Frage kommen drei unterschiedliche Ansätze:

a)      Auftragsverarbeitung nach Art. 28 DSGVO

b)      gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

c)      eigenverantwortliche Verarbeitung personenbezogener Daten zweier Vertragspartner.

Die nachstehenden Ausführungen betreffen sowohl die Situation, in der Energieeffizienz-Experten im EBS-Prüftool der KfW Bestätigungen zum Antrag (BzA) und Bestätigungen nach Durchführung (BnD) erstellen als auch die Situation, in der der Energieeffizienz-Experte im KfW-Zuschussportal insbesondere zivilrechtlich als Stellvertreter des Kunden auftritt.

Im Ergebnis bewertet die KfW die vorliegende Konstellation wie folgt:

Das Gesamtkonstrukt zwischen KfW und dem Energieeffizienz-Experten ist für beide (KfW und Energieeffizienz-Experte) als eigenverantwortliche Verarbeitung personenbezogener Daten einzustufen (Ansatz c).

Ansatz c) ist in der ab dem 25.05.2018 geltenden DSGVO nicht explizit geregelt. Dennoch existieren auch Vertragssituationen, die als Geschäftsbeziehung ohne das Merkmal einer insbesondere weisungsgebundenen Auftragsverarbeitungs- (Ansatz a) oder kollektiven Verarbeitungssituation, bei der die Zwecke und Mittel der Datenverarbeitung gemeinsam festgelegt sind (Ansatz b), zu bewerten sind.

Auf Basis der juristischen Einordnung und Bewertung kommen nach Ansicht der KfW weder der Abschluss einer Vereinbarung einer Auftragsverarbeitung (Art. 28 DSGVO), noch eine Vereinbarung über die gemeinsame Verarbeitung personenbezogener Daten (Art. 26 DSGVO) in Betracht.

Begründung der KfW:

  1. Die ab dem 25.05.2018 verpflichtend anzuwendende DSGVO beinhaltet rechtliche Regelungen zur Auftragsverarbeitung (Art. 28 DSGVO) sowie zu der Konstellation der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO). Zwar sind andere Situationen der Kooperation, bei denen mehrere Verantwortliche eigenverantwortlich personenbezogene Daten verarbeiten (Beispiel: Funktionsübertragung), nicht explizit in der DSGVO geregelt.

Selbstverständlich gibt es jedoch auch unter Geltung der DSGVO Konstellationen, die weder als Auftragsverarbeitung, noch als gemeinsame Verantwortlichkeit einzustufen, sondern vielmehr als eigenverantwortliche Verarbeitung ohne kollektive oder weisungsgebundene Verarbeitungssituation, zu bewerten sind.

  1. Maßgeblich für die Frage, welche der drei vorgenannten Situationen vorliegt (gemeinsame Verarbeitung, Auftragsverarbeitung oder eigenverantwortliche Verarbeitung), sind insoweit die Kriterien der Bestimmung über die Zwecke und Mittel der Datenverarbeitung sowie die Frage, inwiefern die Verarbeitung weisungsgebunden erfolgt. Diese Einzelbetrachtung und entsprechende Abwägung wurde von der KfW vorgenommen.

Das Gesamtkonstrukt der Kooperation zwischen KfW und dem Energieeffizienz-Experten ist für beide Kooperationspartner als eigenverantwortliche Verarbeitung personenbezogener Daten einzustufen:

2.1    Die KfW und der Energieeffizienz-Experte bestimmen bei der Umsetzung der Maßnahmen bzgl. der Energieberatung nicht gemeinschaftlich über die Zwecke und Mittel der Datenverarbeitung (Art. 26 DSGVO).

Zwischen der KfW und dem Energieeffizienz-Experten besteht kein unmittelbares Vertragsverhältnis. Es besteht dagegen ein Auftragsverhältnis zwischen dem Kunden und dem Energieeffizienz-Experten – dieser handelt im Interesse des Kunden und steht in dessen Lager. Der Energieeffizienz-Experte verarbeitet die Daten zu eigenen, selbstständig festgelegten Geschäftszwecken, nämlich insbesondere zum Zweck der Vertragserfüllung. Er stellt dem Kunden für die Zwecke der Erlangung von Förderungen der KfW, die formal im Prozess durch die BzA sowie die BnD nachgewiesen werden, bestimmungsgemäß sein sachverständiges Wissen zur Verfügung.

Insbesondere soweit der Energieeffizienz-Experte als Stellvertreter für den Kunden tätig wird, verwendet er ein Portal der KfW, um in Vertretung für seine Kunden Förderungen zu beantragen. Zu diesem Zweck leitet er der KfW personenbezogene Daten im Auftrag des Kunden weiter. Auch die KfW verarbeitet die weitergeleiteten Daten zu eigenen, selbstständig festgelegten Geschäftszwecken, nämlich der Prüfung der Bewilligung von Fördermaßnahmen.

Die Mittel der Verarbeitung werden nicht durch den Energieeffizienz-Experten festgelegt, sondern ohne Beteiligung des Energieeffizienz-Experten selbstständig durch die KfW im Wege der Zurverfügungstellung des Portals.

2.2    Der Energieeffizienz-Experte verarbeitet im Rahmen seiner Tätigkeit personenbezogene Daten auch nicht weisungsgebunden im Auftrag der KfW [Art. 28 und 29 DSGVO (Erfordernis der Weisungsgebundenheit)].

Vielmehr beauftragt der Kunde den Energieeffizienz-Experten selbstständig,für Zwecke der Erlangung der Förderung ihm sein sachverständiges Wissen zur Verfügung zu stellen und ggf. ihn bei der Beantragung und Abwicklung der Förderung gegenüber der KfW rechtsgeschäftlich zu vertreten. Aufgaben wie die Erstellung des Fördergutachtens, der Weiterleitung der Daten über das Portal an die KfW sowie die Beantragung von Förderprogrammen, hat der Energieeffizienz-Experte dementsprechend im Auftrag des Kunden auszuführen. Insoweit unterliegt der Energieeffizienz-Experte nicht den Weisungen der KfW, sondern vielmehr denen des Kunden.

Aus den vorgenannten Gründen kommt daher weder der Abschluss einer Vereinbarung der Auftragsverarbeitung (Art. 28 DSGVO) noch eine Vereinbarung über die gemeinsame Verarbeitung personenbezogener Daten (Art. 26 DSGVO) in Betracht.

Dokumentation: Kenntnisnahme der KfW-Datenschutzgrundsätze durch den Antragsteller

Beim Erstellen einer Bestätigung zum Antrag für die wohnwirtschaftlichen Kredit- und Zuschussprodukte (151/152, 153, 430, 431, 433) müssen Sie im EBS-Prüftool bestätigen, dass die Antragsteller die Datenschutzgrundsätze der KfW zur Kenntnis genommen haben. Wie Sie diese Kenntnisnahme durch Antragsteller dokumentieren, können Sie individuell entscheiden. Hier macht die KfW keine spezifischen Vorgaben. Die Dokumentation kann beispielsweise durch eine Unterschrift des Antragstellers auf der BzA erfolgen. Ein Formular für die Dokumentation stellt die KfW nicht mehr zur Verfügung.