In ihrem 31. Tätigkeitsbericht beschäftigte sich die saarländische Landesbeauftragten für Datenschutz und Informationsfreiheit mit der Frage der Zweckbindung bei der Verarbeitung personenbezogener Daten der Fremdfirmenmitarbeiter.
Arbeitnehmerüberlassung
Mittlerweile gibt es viele Unternehmen, die von dem Arbeitsmodell der Arbeitnehmerüberlassung Gebrauch machen und die Fremdfirmenmitarbeiter in eigenem Unternehmen für begrenzte Zeit beschäftigen. Die Leiharbeitnehmer werden wie eigene Arbeitnehmer zu den Zwecken des Entleihers eingesetzt und unterliegen dabei in der Regel seinen Weisungen. Bei der Verarbeitung personenbezogener Daten der Fremdfirmenmitarbeiter sind jedoch einige Unterscheide zu berücksichtigen.
Im vorliegenden Fall, der an die Aufsichtsbehörde herangetragen wurde, hat das auftraggebende Unternehmen die Fremdfirmenmitarbeiter wie eigene Mitarbeiter dazu verpflichtet, sich bei dem Betreten und Verlassen des Geländes mit Hilfe des Transponders bei der Pforte an- und abzumelden. Der Zweck dieser Anmeldung bestand darin, alle Personen, die sich auf dem Gelände befinden in einem Notfall identifizieren und evakuieren zu können. Der Zweck dieser Datenerfassung wurde zwischen Entleiher und Verleiher auch vertraglich festgehalten. Die erfassten Daten hat das Unternehmen mehr als sechs Monate lang aufbewahrt. Zum Zwecke der Abrechnungen wurden die Fremdfirmenmitarbeiter zusätzlich dazu verpflichtet, die sogenannten Bautagebücher mit der Erfassung der Arbeitszeiten zu führen.
Der Arbeitgeber (Verleiher) wollte die An- und Abmeldungen eines Mitarbeiters an der Pforte beim Betreten und Verlassen des Geländes mit den ihm vorliegenden Arbeitszeiten abgleichen, um Unregelmäßigkeiten zu klären. Die Aufsichtsbehörde wurde auf diesen Fall aufmerksam, weil der betroffene Mitarbeiter sich über die Übermittlung dieser Daten bei seinem Arbeitgeber (der Zeitarbeitsfirma) beschwert hat.
Zweckbindung der Datenverarbeitung
Der in Art. 5 Abs. 1 lit. b DSGVO normierte Grundsatz der Zweckbindung der Datenverarbeitung gebietet, dass personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erhoben und nur für diese Zwecke weiterverarbeitet werden. Da die oben beschriebene Erhebung der Daten bei der Pforte nur für die Feststellung der Anwesenheit der Personen auf dem Gelände in einem Notfall dienen sollte, durften die Daten nur zu diesem Zweck benutzt werden. Die Offenlegung dieser Daten für die Zwecke der Anwesenheitskontrolle ist von diesem Zweck nicht erfasst. Da vorliegend die Daten ohne erforderliche Legitimationsgrundlage an den Verleiher übermittelt worden sind, hat die Aufsichtsbehörde einen Verstoß gegen die rechtmäßige Datenverarbeitung festgestellt.
Speicherdauer
Weil diese Daten mehr als sechs Monate lang in dem Unternehmen des Entleihers gespeichert wurden, hat die Aufsichtsbehörde einen weiteren Datenschutzverstoß feststellen müssen. Nach Art. 5 Abs. 1 lit. e DSGVO dürfen die erhobenen personenbezogenen Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Nach Ablauf dieser Zeit müssen die Daten gelöscht werden. Da die Datenerhebung nur der Feststellung der Anwesenheit in einem Notfall diente, war die Speicherung der Daten für 24 Stunden nach Auffassung der Aufsichtsbehörde ausreichend. Für die mögliche Evakuierung des Geländes wären die Daten des Vortages nicht mehr erforderlich. Spätestens nach Ablauf eines Tages sollten die Daten daher gelöscht werden.
Die saarländische Landesbeauftragte für Datenschutz und Informationsfreiheit hat gem. Art. 58 Abs. 2 DSGVO von ihren Abhilfebefugnissen Gebrauch gemacht und das Unternehmen angewiesen, keine Daten an den Verleiher zu übermitteln, wenn keine erforderliche Legitimationsgrundlage für die Datenübermittlung vorliegt.
Fazit
Wir schließen uns der Empfehlung der saarländischen Datenschutzbeauftragten an, und empfehlen die Zwecke der Datenverarbeitung konkret und ausführlich im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 lit. b DSGVO zu dokumentieren. Die Leiharbeitnehmer müssen zudem gem. Art. 13 DSGVO über die Datenverarbeitung informiert werden. Werden die erfassten Daten für andere als die ursprünglich festgelegten Zwecke benutzt oder weiterverarbeitet, liegt ein abmahnfähiger datenschutzrechtlicher Verstoß vor, der von Aufsichtsbehörden sanktioniert werden kann. Ein weiteres Problem, das sich eventuell bei den rechtswidrig erhobenen Daten der Arbeitszeiterfassung eines Arbeitnehmers stellen kann, ist die Verwertbarkeit der erlangten Beweise im Rahmen einer arbeitsgerichtlichen Streitigkeit. Zu diesem Thema berichteten wir bereits in unserem Blog.