Das komplexe Thema des Beschäftigtendatenschutzes wird bei der Arbeitnehmerüberlassung bzw. dem Einsatz von Zeitarbeitskräften unter der Datenschutz-Grundverordnung (DSGVO) noch komplizierter. Denn datenschutzrechtlich gelten Leiharbeitnehmer als Beschäftigte – und zwar sowohl beim Verleiher als auch beim Entleiher. Fraglich ist dabei vor allem, wer für welche Datenverarbeitung zuständig ist und wie diese Verarbeitungen zwischen Ver- und Entleiher vertraglich geregelt werden können.
Arbeitnehmerüberlassung unter der DSGVO
Unter der DSGVO muss der Entleiher den Leiharbeitnehmer aus datenschutzrechtlicher Sicht wie einen eigenen Beschäftigten behandeln, obwohl kein Arbeitsvertrag zwischen diesen beiden Parteien besteht (Art. 88 DS-GVO i.V.m. § 26 Abs. 8 Nr. 1 BDSG (Bundesdatenschutz-Gesetz)). Sowohl Verleiher als auch Entleiher müssen sich bei der Verarbeitung von Daten des Leiharbeitnehmers an die Voraussetzungen von § 26 Abs. 1 BDSG halten.
Hier besteht ein datenschutzrechtlicher Regelungsbedarf, denn es stellt sich die Frage, wie diese Dreieckskonstellation zu bewerten ist und wie sich die Datenschutzeinordnung in der Arbeitnehmerüberlassung gestaltet.
Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder eigene Verantwortlichkeit?
Oft kommt es vor, dass im Zuge der Arbeitnehmerüberlassung Auftragsverarbeitungsverträge gem. Art. 28 DSGVO zwischen Verleiher und Entleiher unterzeichnet werden. Ein Auftragsverarbeitungsvertrag scheint meistens die schnelle Lösung zu sein, wenn man Daten DSGVO-konform weitergeben möchte.
Im Fall der Arbeitnehmerüberlassung ist dies allerdings die falsche Vorgehensweise, denn eines der Hauptmerkmale der Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragnehmers. Allerdings ist hier der Entleiher gegenüber dem Verleiher im Hinblick auf die Verarbeitung der personenbezogenen Beschäftigtendaten nicht weisungsgebunden. Der Entleiher verarbeitet die personenbezogenen Daten des Leiharbeitnehmers nicht auf Basis dokumentierter Weisung, nicht unter Kontrolle und auch nicht für die Zwecke des Verleihers, wie es Art. 28 DSGVO für eine Auftragsverarbeitung verlangt.
Aus diesem Grund kam auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg im Tätigkeitsbericht Datenschutz für 2019 zu dem Entschluss, dass zwischen Verleiher und Entleiher in Bezug auf die personenbezogenen Daten von Leiharbeitnehmern keine Auftragsverarbeitung vorliegt.
Vielmehr verarbeiten beide Stellen die Daten eigenständig und für ihre eigenen oder gemeinsamen Zwecke – und damit nicht im Auftrag des jeweils anderen. Das heißt, dass die Parteien für einige Verarbeitungen alleinige Verantwortliche sind und hinsichtlich anderer Verarbeitungen als gemeinsame Verantwortliche gemäß Art. 26 DSGVO agieren.
Beispielsweise liegt keine gemeinsame Verantwortlichkeit vor, wenn der Entleiher in seinem Betrieb seine Mitarbeiter mittels Videokameras überwacht, der Verleiher aber mit der Videoüberwachung in keinem Zusammenhang steht und auch keine Daten hieraus erfasst.
Um die sonstigen Verantwortlichkeiten zu bestimmen, gilt es, die konkreten Verarbeitungen einzeln zu bewerten. Nur die Bereiche, in denen eine gemeinsame Verarbeitung stattfindet, fallen unter Art. 26 DSGVO. Dies ist beispielsweise der Fall bei der Zeiterfassung, On- und Offboarding, Urlaubstagen, Abrechnungen, usw.
Hier ist der richtige Lösungsweg der Vertrag zur gemeinsamen Verantwortlichkeit (Joint Controllership Agreement). Hierbei wird angenommen, dass zwei Stellen verantwortlich sind. Der Unterschied zum Auftragsverarbeitungsvertrag liegt darin, dass nach außen eine gemeinsame Verantwortlichkeit gegeben ist und im Innenverhältnis die Verantwortlichkeiten verteilt werden können.
Gemeinsame Verantwortlichkeit bei der Arbeitnehmerüberlassung
Da sowohl der Verleiher als auch der Entleiher personenbezogene Daten des Leiharbeitnehmers verarbeiten, ist es für letzteren oft nicht ersichtlich, wer welche Daten aus welchem Grund erhebt und verarbeitet. Durch die vielen Überschneidungen lässt sich nicht verlässlich trennen, wer tatsächlich der Verantwortliche der jeweiligen Verarbeitung ist.
Aus diesem Grund kann es vorkommen, dass der Leiharbeitnehmer keinen konkreten Ansprechpartner hat und beispielsweise beim Entleiher nach seinen Überstunden nachfragt. Da aber kein Arbeitsvertrag mit dem Entleiher besteht, müsste dieser ihn an den Verleiher verweisen, obwohl er vielleicht über die gemeinsame Datenbank ebenfalls eine Einsichtsmöglichkeit hätte.
Die Zeiterfassung wird in den meisten Fällen ebenfalls über eine Hardware, die vom Entleiher zur Verfügung gestellt wird, verarbeitet und über eine gemeinsam genutzte Datenbank an den Verleiher übermittelt.
Diese Beispiele verdeutlichen, dass eine Regelung zur gemeinsamen Verantwortlichkeit hier essenziell ist für eine systematische Einordnung der Rollen und Verantwortlichkeiten der Beteiligten.
Die gesetzlichen Anforderungen an einen Vertrag zur gemeinsamen Verantwortlichkeit
Die gesetzlichen Anforderungen an einen Vertrag zur gemeinsamen Verantwortlichkeit werden in Art. 26 DSGVO dargestellt.
In diesem Vertrag sollten die Funktionen und Beziehungen der Beteiligten zu den betroffenen Leiharbeitnehmern sowie ihre Beteiligung an den unterschiedlichen Verarbeitungsphasen erläutert werden. Ferner ist eine Anlaufstelle zu beschreiben, an die sich die Betroffenen wenden können.
Es sollte konkret festgelegt werden, wer (Verleiher oder Entleiher) welche Verpflichtung der DSGVO erfüllt, insbesondere was die Wahrnehmung von Betroffenenrechten betrifft, und wer welchen Informationspflichten gemäß Art. 13 und 14 DSGVO nachkommt.
Leiharbeitnehmer wissen damit beispielsweise, dass:
- die Bewerbungsunterlagen beim Verleiher liegen und entsprechende Auskunftsersuchen von ihm erfüllt werden müssen,
- für die Betroffenenanfragen hinsichtlich der Zeiterfassung und des On- und Offboardings wiederum der Entleiher verantwortlich ist,
- die Informationspflicht über die Erhebung der Beschäftigtendaten beim Verleiher liegt.
[Tipp: Nutzen Sie unseren interaktiven Generator zur Erstellung eines Vertrages zur gemeinsamen Verantwortung!
Fazit: Verantwortlichkeiten klar regeln
Die Arbeitnehmerüberlassung bzw. der Einsatz von Zeitarbeitskräften stellt keine Auftragsverarbeitung dar. Verleiher und Entleiher verarbeiten personenbezogene Daten der Leiharbeitnehmer entweder für eigene oder gemeinsame Zwecke und sind somit selbst eigene Verantwortliche oder gemeinsam Verantwortliche. In den Fällen, in denen eine gemeinsame Verantwortlichkeit vorliegt, sollten beide Stellen im Interesse der Risikominimierung klar festlegen, wer jeweils welche Verpflichtungen gemäß der DSGVO erfüllen muss.
Wichtig ist: Der Vertrag zur gemeinsamen Verantwortlichkeit stellt keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten dar, sondern setzt diese voraus. Eine Rechtsgrundlage muss sich demnach aus dem Beschäftigungsverhältnis an sich ergeben.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!