Datenverarbeitung bei der Arbeitnehmerüberlassung

Geschrieben am: | Geschätzte Lesezeit: 4 Minuten

Das komplexe Thema des Beschäftigtendatenschutzes wird bei der Arbeitnehmerüberlassung bzw. dem Einsatz von Zeitarbeitskräften unter der Datenschutz-Grundverordnung (DSGVO) noch komplizierter. Denn datenschutzrechtlich gelten Leiharbeitnehmer als Beschäftigte – und zwar sowohl beim Verleiher als auch beim Entleiher. Fraglich ist dabei vor allem, wer für welche Datenverarbeitung zuständig ist und wie diese Verarbeitungen zwischen Ver- und Entleiher vertraglich geregelt werden können.

Arbeitnehmerüberlassung unter der DSGVO

Unter der DSGVO muss der Entleiher den Leiharbeitnehmer aus datenschutzrechtlicher Sicht wie einen eigenen Beschäftigten behandeln, obwohl kein Arbeitsvertrag zwischen diesen beiden Parteien besteht (Art. 88 DS-GVO i.V.m. § 26 Abs. 8 Nr. 1 BDSG (Bundesdatenschutz-Gesetz)). Sowohl Verleiher als auch Entleiher müssen sich bei der Verarbeitung von Daten des Leiharbeitnehmers an die Voraussetzungen von § 26 Abs. 1 BDSG halten.

Hier besteht ein datenschutzrechtlicher Regelungsbedarf, denn es stellt sich die Frage, wie diese Dreieckskonstellation zu bewerten ist und wie sich die Datenschutzeinordnung in der Arbeitnehmerüberlassung gestaltet.

Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder eigene Verantwortlichkeit?

Oft kommt es vor, dass im Zuge der Arbeitnehmerüberlassung Auftragsverarbeitungsverträge gem. Art. 28 DSGVO zwischen Verleiher und Entleiher unterzeichnet werden. Ein Auftragsverarbeitungsvertrag scheint meistens die schnelle Lösung zu sein, wenn man Daten DSGVO-konform weitergeben möchte.

Im Fall der Arbeitnehmerüberlassung ist dies allerdings die falsche Vorgehensweise, denn eines der Hauptmerkmale der Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragnehmers. Allerdings ist hier der Entleiher gegenüber dem Verleiher im Hinblick auf die Verarbeitung der personenbezogenen Beschäftigten­daten nicht weisungsgebunden. Der Entleiher verarbeitet die personenbezogenen Daten des Leiharbeitnehmers nicht auf Basis dokumentierter Weisung, nicht unter Kontrolle und auch nicht für die Zwecke des Verleihers, wie es Art. 28 DSGVO für eine Auftragsverarbeitung verlangt.

Aus diesem Grund kam auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg im Tätigkeitsbericht Datenschutz für 2019 zu dem Entschluss, dass zwischen Verleiher und Entleiher in Bezug auf die personenbezogenen Daten von Leiharbeitnehmern keine Auftragsverarbeitung vorliegt.

Vielmehr verarbeiten beide Stellen die Daten eigenständig und für ihre eigenen oder gemeinsamen Zwecke – und damit nicht im Auftrag des jeweils anderen. Das heißt, dass die Parteien für einige Verarbeitungen alleinige Verantwortliche sind und hinsichtlich anderer Verarbeitungen als gemeinsame Verantwortliche gemäß Art. 26 DSGVO agieren.

Beispielsweise liegt keine gemeinsame Verantwortlichkeit vor, wenn der Entleiher in seinem Betrieb seine Mitarbeiter mittels Videokameras überwacht, der Verleiher aber mit der Videoüberwachung in keinem Zusammenhang steht und auch keine Daten hieraus erfasst.

Um die sonstigen Verantwortlichkeiten zu bestimmen, gilt es, die konkreten Verarbeitungen einzeln zu bewerten. Nur die Bereiche, in denen eine gemeinsame Verarbeitung stattfindet, fallen unter Art. 26 DSGVO. Dies ist beispielsweise der Fall bei der Zeiterfassung, On- und Offboarding, Urlaubstagen, Abrechnungen, usw.

Hier ist der richtige Lösungsweg der Vertrag zur gemeinsamen Verantwortlichkeit (Joint Controllership Agreement). Hierbei wird angenommen, dass zwei Stellen verantwortlich sind. Der Unterschied zum Auftragsverarbeitungsvertrag liegt darin, dass nach außen eine gemeinsame Verantwortlichkeit gegeben ist und im Innenverhältnis die Verantwortlichkeiten verteilt werden können.

Gemeinsame Verantwortlichkeit bei der Arbeitnehmerüberlassung

Da sowohl der Verleiher als auch der Entleiher personenbezogene Daten des Leiharbeitnehmers verarbeiten, ist es für letzteren oft nicht ersichtlich, wer welche Daten aus welchem Grund erhebt und verarbeitet. Durch die vielen Überschneidungen lässt sich nicht verlässlich trennen, wer tatsächlich der Verantwortliche der jeweiligen Verarbeitung ist.

Aus diesem Grund kann es vorkommen, dass der Leiharbeitnehmer keinen konkreten Ansprechpartner hat und beispielsweise beim Entleiher nach seinen Überstunden nachfragt. Da aber kein Arbeitsvertrag mit dem Entleiher besteht, müsste dieser ihn an den Verleiher verweisen, obwohl er vielleicht über die gemeinsame Datenbank ebenfalls eine Einsichtsmöglichkeit hätte.

Die Zeiterfassung wird in den meisten Fällen ebenfalls über eine Hardware, die vom Entleiher zur Verfügung gestellt wird, verarbeitet und über eine gemeinsam genutzte Datenbank an den Verleiher übermittelt.

Diese Beispiele verdeutlichen, dass eine Regelung zur gemeinsamen Verantwortlichkeit hier essenziell ist für eine systematische Einordnung der Rollen und Verantwortlichkeiten der Beteiligten.

Die gesetzlichen Anforderungen an einen Vertrag zur gemeinsamen Verantwortlichkeit

Die gesetzlichen Anforderungen an einen Vertrag zur gemeinsamen Verantwortlichkeit werden in Art. 26 DSGVO dargestellt.

In diesem Vertrag sollten die Funktionen und Beziehungen der Beteiligten zu den betroffenen Leiharbeitnehmern sowie ihre Beteiligung an den unterschiedlichen Verarbeitungsphasen erläutert werden. Ferner ist eine Anlaufstelle zu beschreiben, an die sich die Betroffenen wenden können.

Es sollte konkret festgelegt werden, wer (Verleiher oder Entleiher) welche Verpflichtung der DSGVO erfüllt, insbesondere was die Wahrnehmung von Betroffenenrechten betrifft, und wer welchen Informationspflichten gemäß Art. 13 und 14 DSGVO nachkommt.

Leiharbeitnehmer wissen damit beispielsweise, dass:

  • die Bewerbungsunterlagen beim Verleiher liegen und entsprechende Auskunftsersuchen von ihm erfüllt werden müssen,
  • für die Betroffenenanfragen hinsichtlich der Zeiterfassung und des On- und Offboardings wiederum der Entleiher verantwortlich ist,
  • die Informationspflicht über die Erhebung der Beschäftigtendaten beim Verleiher liegt.

Tipp: Nutzen Sie unseren interaktiven Generator zur Erstellung eines Vertrages zur gemeinsamen Verantwortung!

Fazit: Verantwortlichkeiten klar regeln

Die Arbeitnehmerüberlassung bzw. der Einsatz von Zeitarbeitskräften stellt keine Auftragsverarbeitung dar. Verleiher und Entleiher verarbeiten personenbezogene Daten der Leiharbeitnehmer entweder für eigene oder gemeinsame Zwecke und sind somit selbst eigene Verantwortliche oder gemeinsam Verantwortliche. In den Fällen, in denen eine gemeinsame Verantwortlichkeit vorliegt, sollten beide Stellen im Interesse der Risikominimierung klar festlegen, wer jeweils welche Verpflichtungen gemäß der DSGVO erfüllen muss.

Wichtig ist: Der Vertrag zur gemeinsamen Verantwortlichkeit stellt keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten dar, sondern setzt diese voraus. Eine Rechtsgrundlage muss sich demnach aus dem Beschäftigungsverhältnis an sich ergeben.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

5 Kommentare

  1. Lukas Profilbild
    Lukas

    Vielen Dank für den ausführlichen Artikel. Wie sieht das ganze denn dann bei den eigenen Auftragsverarbeitungsverträgem aus? – muss die Zeitarbeitsfirma dann als Unterauftragnehmer genannt werden?

    Antworten
    1. Vasiliki Paschou Profilbild
      Vasiliki Paschou

      Vielen Dank für Ihren Kommentar.

      Es besteht in der Regel keine Notwendigkeit, die Zeitarbeitsfirma als Unterauftragnehmer zu benennen. Dies resultiert aus der gemeinsamen Verantwortung zwischen der Zeitarbeitsfirma und dem eigentlichen Arbeitgeber für die personenbezogenen Daten des Zeitarbeitnehmers.

      Auch im Fall, dass der Zeitarbeitnehmer mit Daten arbeiten soll, die im Auftrag verarbeitet werden, ist es nicht anders. Die Zeitarbeitsfirma selbst erhält keine Auftragsdaten; lediglich der Zeitarbeitnehmer erhält solche Daten, um seine beruflichen Aufgaben zu erfüllen. Dies stellt jedoch keine Auftragsverarbeitung dar, da die Datenverarbeitung im Rahmen des Arbeitsverhältnisses erfolgt.

      Ich hoffe, dies hilft weiter. Bei weiteren Fragen melden Sie sich gerne.

      Antworten
  2. Nick Profilbild
    Nick

    Hallo,

    darf die Arbeitnehmerüberlassung Inhalte, aus einem MA-Gespräch, an das Unternehmen was den MA leiht weiter geben – z.B. Lohn-Vorstellungen bei Lohnerhöhung?

    Beste Grüße!

    Antworten
  3. K.M. Profilbild
    K.M.

    Danke für die Ausführungen, das hilft mir schon mit einigem weiter.
    Eine Grundsätzliche Frage aber wäre, wer schult denn die Zeitarbeiter im kfm. Bereich zum Datenschutz?
    Die Zeitarbeitsfirma wäre ja der Arbeitgeber also hier zunächst in der Pflicht oder sehe ich das falsch?

    Antworten
    1. Vasiliki Paschou Profilbild
      Vasiliki Paschou

      Vielen Dank für Ihren Kommentar. Sie haben hier einen sehr wichtigen Punkt angesprochen bezüglich der Datenschutzschulung der Leiharbeitnehmer.

      Es ist korrekt, dass es grundsätzlich der Zeitarbeitsfirma obliegt sicherzustellen, dass ihre Arbeitnehmer über angemessenes Datenschutzbewusstsein- und wissen verfügen. Die Zeitarbeitsfirma ist in der Regel der direkte Arbeitgeber des Leiharbeitnehmers und hat die Pflicht, ihre Mitarbeiter entsprechend zu schulen.

      Es ist jedoch wichtig, dass auch das Unternehmen, das die Überlassung in Anspruch nimmt, hierbei unterstützt oder noch zusätzliche Datenschutzschulungen durchführt. Diese Schulungen könnten sich nämlich auf unternehmensspezifische Datenschutzrichtlinien und -verfahren konzentrieren, die für den Leiharbeitnehmer relevant sind.

      Die Zuständigkeiten für die Datenschutzschulung des Leiharbeitnehmers müssen also aufgeteilt werden. Die genaue Ausgestaltung des Schulungskonzepts sollte zwischen Ver- und Entleier individuell im Vertrag zur gemeinsamen Verantwortlichkeit vereinbart werden.

      Ich hoffe, dass ich Ihre Frage ausführlich beantworten konnte.
      Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.