Arbeitnehmerüberlassung: Gemeinsame Verantwortlichkeit, Auftragsverarbeitung oder keines von beiden?
Die klassische Arbeitnehmerüberlassung (auch ANÜ, Leiharbeit oder Zeitarbeit genannt) besteht aus drei Parteien. Dem Verleiher, dem Entleiher und dem Leiharbeitnehmer. Die Ver- und Entleiher verarbeiten beide personenbezogene Daten des Leiharbeitnehmers. Es stellt sich daher die Frage: Wie ist dieses Verhältnis datenschutzrechtlich zu bewerten und wie gestaltet sich die Datenschutz Einordnung in der Arbeitnehmerüberlassung?
Wer darf Daten des Leiharbeitnehmers verarbeiten?
Grundsätzlich ist der Leiharbeitnehmer datenschutzrechtlich ein Beschäftigter sowohl des Entleihers als auch des Verleihers. Die Klarstellung, dass der Leiharbeitnehmer auch ein Beschäftigter des Entleihers ist, wurde 2018 in das BDSG aufgenommen. Nötig war dies, da kein direktes Vertragsverhältnis zwischen Leiharbeitnehmer und Entleiher besteht und der Wortlaut des BDSG nicht eindeutig passte.
Die Einordnung als Beschäftigter hat in erster Linie die Folge, dass auch dem Entleiher eine Rechtsgrundlage zur Verfügung steht, um die Beschäftigtendaten verarbeiten zu können und gleichzeitig soll sichergestellt werden, dass der Beschäftigtendatenschutz – eines der wichtigsten Themen im Datenschutz – eingehalten wird.
Ver- und Entleiher dürfen demnach beide die Daten des Leiharbeitnehmers zur Durchführung des Beschäftigtendatenschutzes verarbeiten (§ 26 BDSG).
Verhältnis zwischen Ent- und Verleiher
§ 26 BDSG regelt nur das Verhältnis zum Leiharbeitnehmer, sagt aber nichts über das Verhältnis zwischen dem Ent- und Verleiher. Teilweise ist es notwendig, dass beide Parteien z.B. zwecks Abrechnung die gleichen Daten (wie Fehlzeiten) des Leiharbeitnehmers verarbeiten müssen. Auch müssen Daten zwischen den Parteien zwecks Equal-Pay-Regelungen ausgetauscht werden. Dies führte scheinbar dazu, dass krampfhaft versucht wurde die Arbeitnehmerüberlassung in eine von der DSGVO vorgesehenen Vertragsarten zu pressen, um sich „abzusichern“.
Keine Auftragsverarbeitung
Am naheliegendsten war es daher die Arbeitnehmerüberlassung als Auftragsverarbeitung anzusehen und ein Auftragsverarbeitungsvertrag zwischen Verleiher als Auftraggeber und Entleiher als Auftragnehmer zu schließen. Kernpunkt der Auftragsverarbeitung ist die strenge Weisungsbefugnis. Weder der Ent- noch der Verleiher handeln jedoch streng nach Weisung des anderen.
In der Praxis dürfte es wohl kaum noch vorkommen, dass Auftragsverarbeitungsverträge geschlossen werden, da auch vereinzelt Aufsichtsbehörden sich dazu geäußert haben, dass zwischen Ver- und Entleiher keine Auftragsverarbeitung vorliegt.
Dafür gemeinsame Verantwortlichkeit?
Vermehrt findet man in Blogs und Literatur den Lösungsansatz, das Verhältnis als gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu bestimmen und dementsprechend Joint-Controllership-Verträge zu schließen. Dieser Ansatz passt schon eher auf die Beziehung zwischen Ent- und Verleiher, da beide verantwortlich bleiben und damit nicht den Weisungen des anderen unterliegen.
Häufig ist jedoch nicht verständlich, weshalb krampfhaft versucht wird, die Verhältnisse bestimmter Konstellationen in einen der beiden Verträge zu „pressen“. Es stellt sich mitunter dann ebenfalls die Frage, ob es überhaupt im Sinne der Parteien ist solche Verträge zu schließen, da die Vorlage von Auftragsverarbeitungsverhältnissen und gemeinsamer Verantwortlichkeit auch Konsequenzen für die Haftungsfrage hat. Dies betrifft ebenfalls den Bereich der Arbeitnehmerüberlassung, in dem die genannten Verträge begrenzt zutreffend scheinen.
Hierbei bestimmt natürlich das tatsächliche Verhältnis, ob eine gemeinsame Verantwortlichkeit vorliegt oder eine Auftragsverarbeitung und nicht der geschlossene Vertrag. Dennoch kann es die Beziehung verkomplizieren, wenn die Parteien Haftungsregeln vereinbaren für Verträge, die gar nicht notwendig gewesen wären.
Es ist davon auszugehen, dass gemeinsam Verantwortliche auch grundsätzlich gesamtschuldnerisch nach Maßgabe des Art. 82 DSGVO haften.
Datenschutz Einordnung in der Arbeitnehmerüberlassung
Durch die Datenschutzaufsichtsbehörden wurde hierzu bislang keine offizielle Stellungnahme herausgegeben. Eine erste Einschätzung des ULD (Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein) konnte hierzu jedoch in Erfahrung gebracht werden. So spricht derzeit vieles gegen eine Einordnung als gemeinsame Verantwortlichkeit. Eine Verwendung zu kommerziellen oder werblichen Zwecken könnte für eine solche Einordnung sprechen. Dem entgegen steht jedoch, dass nicht die personenbezogenen Daten im Zentrum der Verarbeitung liegen. Entscheidender Anhaltspunkt kann ebenfalls die tatsächliche Einflussnahme von Ver- und Entleiher auf die Datenverarbeitung sein. Die gegenseitige Einflussnahme, in vergleichbarer Weise, ist bei den Parteien allerdings ebenfalls nicht gegeben.
So spricht derzeit vieles für eine getrennte Verantwortlichkeit zwischen Verleiher und Entleiher in der Arbeitnehmerüberlassung. Auch ohne Abschluss eines Vertrages der Auftragsverarbeitung oder gemeinsamen Verantwortlichkeit, bestehen datenschutzrechtliche Pflichten für Ver- und Entleiher. Unabhängig geschlossener Verträge sind beide Parteien bspw. zu der Einhaltung datenschutzrechtlicher Informationspflichten nach Art. 13 und 14 DSGVO verpflichtet und durch beide Parteien separat einzuhalten. Entscheidend ist daher für Ver- und Entleiher die Beschäftigten, in den jeweiligen Datenschutzhinweisen, über die verarbeiteten Daten zu informieren.
Sie möchten mehr über dieses Thema erfahren?
Wenden Sie sich für eine Beratung zu diesem Thema gerne an uns. Greifen Sie auf unsere Erfahrung als Datenschutzbeauftragte zurück, um eine individuelle und schnelle Beratung zu erhalten. Ihre Mitarbeiter unterstützen wir während der Umsetzung und schulen bereits vorab.
Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.
Verfasser: Frederik Sonnenburg, LL.M. (Wirtschaftsrecht)