Personaldienstleister stehen aktuell vor der Frage, ob bei einer Arbeitnehmerüberlassung aus datenschutzrechtlicher Sicht ein Auftragsverarbeitungsvertrag abgeschlossen werden muss?
Gemäß § 1 Abs. 1 S. 2 Arbeitnehmerüberlassungsgesetz (AÜG) werden Arbeitnehmer zur Arbeitsleistung überlassen, wenn sie in die Arbeitsorganisation des Entleihers eingegliedert sind und seinen Weisungen unterliegen. Voraussetzung hierfür ist das Bestehen eines Arbeitsverhältnisses zwischen dem Leiharbeitnehmer und dem Verleiher.
Datenschutz- und arbeitsrechtliche Betrachtung
Die Vertragsverhältnisse sind klar geregelt. Zwischen dem Verleiher und dem Entleiher besteht ein Arbeitnehmerüberlassungsvertrag und zwischen dem Verleiher und dem Arbeitnehmer ein Arbeitsvertrag. Dieser Arbeitnehmer wird im Rahmen der Arbeitnehmerüberlassung von dem Verleiher an den Entleiher verliehen. Hierbei handelt es sich jedoch zunächst einmal lediglich um die arbeitsrechtliche Betrachtung.
Bei der datenschutzrechtlichen Betrachtung im Sinne des § 26 Abs. 8 Nr. 1 BDSG sind Leiharbeitnehmer ebenfalls „Beschäftige“ im Sinne dieses Gesetzes. Datenschutzrechtlich betrachtet ist folglich der Arbeitnehmer sowohl „Beschäftigter“ des Verleihers als auch des Entleihers.
Verarbeitung personenbezogener Daten des Arbeitnehmers
Der klassische Ausgangsfall ist oft so gelagert, dass der Arbeitnehmer zuerst Kontakt mit dem Verleiher aufnimmt und seine Bewerbungsunterlangen bei diesem einreicht. Der Verleiher ist somit die erste Stelle, die personenbezogene Daten des Arbeitnehmers verarbeitet. Kern der Arbeitnehmerüberlassung ist es, potenzielle Einsatzmöglichkeiten bei Entleihern für den Arbeitnehmer zu finden. Sobald es zu einem Einsatz kommt, wird der Leiharbeitnehmer in die Arbeitsorganisation des Entleihers eingebunden und unterliegt seinen Weisungen. Neben den bereits beim Verleiher notwendigen Verarbeitungsvorgängen werden hierzu weitere personenbezogene Daten des Arbeitnehmers beim Entleiher verarbeitet. Diese können u. a. Zeitnachweise, Krankmeldungen, Urlaubstage usw. sein.
Folglich verarbeiten bei einer Arbeitnehmerüberlassung sowohl Verleiher als auch Entleiher personenbezogene Daten des Arbeitnehmers.
Die aktuelle Praxisproblematik
Personalvermittler erhalten im Rahmen der Arbeitnehmerüberlassung zurzeit zahlreiche Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO zur Unterzeichnung vorgelegt, vermeintlich, um die datenschutzrechtlichen Anforderungen der Arbeitnehmerüberlassung zu erfüllen.
Die Auftragsverarbeitung ist allerdings nicht nur nicht die geeignete Vereinbarung hierfür- sondern sogar die falsche. Der Entleiher ist gegenüber dem Verleiher nicht weisungsgebunden im Hinblick auf die Verarbeitung der personenbezogenen Beschäftigtendaten, sondern verarbeitet diese für eigene Zwecke. Welche Subauftragnehmer der Entleiher einsetzt, ist ebenfalls seine Angelegenheit ohne Mitspracherecht des Verleihers. Auch bestimmt der Verleiher nicht die Ablauforganisation und die hierfür erforderliche Datenverarbeitung beim Entleiher. Der Verleiher bestimmt auch nicht die Angemessenheit der technisch-organisatorischen Maßnahmen. Und, und, und – die Reihe der Gründe ließe sich hier fortführen.
Im Ergebnis sieht es so auch das Bayerische Landesamt für Datenschutzaufsicht. Die Aufsichtsbehörde hat kürzlich einige Beispiele aufgelistet, um die Abgrenzung zur Auftragsverarbeitung deutlich zu machen. Demnach ist die Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO. Gleiches dürfte auch für die Arbeitnehmerüberlassung gelten.
Zu berücksichtigen ist bei dieser Entscheidung zudem, dass gem. § 26 Abs.8 Nr. 1 BDSG Arbeitnehmer wie „Beschäftige“ zu sehen und sowohl Verleiher als auch Entleiher gemäß Art. 4 Nr. 7 „Verantwortliche“ im Sinne der DSGVO sind.
Die Lösung: Joint Controller Vertrag gem. Art. 26 DSGVO
Die DSGVO bietet mit einer Vereinbarung nach Art. 26 eine neue Möglichkeit, diese Konstellation zweier Verantwortlicher zu gestalten. Art. 26 DSGVO regelt für den Fall, dass zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, die Aufteilung der datenschutzrechtlichen Pflichten mittels eines sog. Joint Controller Vertrages („gemeinsame Verantwortliche“-dabei stellt der Vertrag als solcher keine Rechtsgrundlage dar, sondern regelt lediglich die datenschutzrechtlichen Pflichten der Parteien).
Der Joint Controller Vertrag wäre für die DSGVO-konforme Abwicklung von Arbeitnehmerüberlassungen eine geeignete Lösung, weil
- sowohl Verleiher als auch Entleiher Verantwortliche sind (personenbezogene Daten werden-auch- in eigenem Interesse verarbeitet),
- beide eigenverantwortlich und weisungsfrei die Daten verarbeiten.
Bei der Entscheidung zum Abschluss eines Joint Controller Vertrages sind die gesetzlichen Anforderungen überschaubar. Artikel 26 DSGVO verlangt, dass die Verantwortlichen in transparenter Form in einer Vereinbarung festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person betrifft und wer welchen Informationspflichten gem. Artikel 13 und 14 DSGVO nachkommt. In einer solchen Vereinbarung kann auch eine Anlaufstelle für die betroffene Person angegeben werden. Über eine Anlage zum Joint Controller Vertrag nach Art. 26 DSGVO besteht die Möglichkeit, dem betroffenen Arbeitnehmer deutlich zu machen, wer für welche Verpflichtung zuständig ist.
Der Betroffene weiß damit z.B. – soweit er Interesse hat –
- dass für die Löschung oder Auskunft hinsichtlich der Zeiterfassung beim Entleiher, der Entleiher diesem Begehren nachkommt,
- dass die Informationspflicht über die Erhebung der Daten wiederum beim Verleiher liegt oder
- dass dieser (der Verleiher) die Qualifikationsnachweise einholt und dahingehende Auskunftsersuchen vom Verleiher erfüllt werden müssen.
Auch diese Auflistung ließe sich fortführen.
Fazit:
Arbeitnehmerüberlassung ist aus diversen Gründen keine Auftragsverarbeitung gem. Art. 28 DSGVO. Eine datenschutzkonforme Lösung für die Gestaltung dieser gemeinsamen Datenverarbeitung liegt im Abschluss von Controller-Verträgen gem. Art. 26 DSGVO.