Joint Control – Arbeitnehmerüberlassung datenschutzkonform regeln

Arbeitnehmerüberlassung

Die sogenannte Arbeitnehmerüberlassung – auch Leih- oder Zeitarbeit genannt – wird von vielen Unternehmen eingesetzt, um insbesondere Produktions- und Arbeitsspitzen durch flexibel einsetzbare Leiharbeitnehmer aufzufangen. Vor allem in der Industrie- und Logistikbranche ist dieses Modell der Personalbesetzung sehr stark vertreten. Im Hinblick auf den Datenschutz wurde in der Vergangenheit die Thematik zudem des Öfteren diskutiert, da sich hier zunehmend die Frage gestellt wurde, wie die Verantwortlichkeiten geregelt werden müssen. Hauptgegenstand der Diskussion war immer wieder die Frage, ob ein sogenannter Vertrag zur Auftragsverarbeitung geschlossen werden sollte. Diese Frage dürfte mittlerweile mit „Nein“ zu beantworten sein und ein Joint-Control-Vertrag dürfte das komplexe Verhältnis zwischen „Verleiher – Arbeitnehmer – Entleiher“ nun regeln.

Ihr externer Datenschutzbeauftragter informiert Sie über die Thematik der Arbeitnehmerüberlassung und was „Entleiher“ berücksichtigen sollten.

Modell der Arbeitnehmerüberlassung

Grundsätzlich wird bei der Arbeitnehmerüberlassung von einem Verleiher ein Arbeitnehmer dem Entleiher zur Verfügung gestellt. In der Regel stellt hierfür der Entleiher dem Verleiher zunächst eine Anforderung bzgl. des notwendig einzusetzenden Arbeitnehmers. Anschließend greift der Verleiher entweder auf passende potentielle Arbeitnehmer aus seiner eigenen Datenbank zu oder schreibt die Stelle extern, nach den Anforderungen des Entleihers, aus. In der Praxis unterscheidet man häufig bei der Arbeitnehmerüberlassung zwischen verschiedenen Modellen. Mögliche Szenarien könnten unter anderem sein:

  • Verleiher-Entleiher-Modell:
    Bei dem „Verleiher-Entleiher-Modell“ gibt es die beiden Vertragsparteien des Verleihers und des Entleihers. Diese schließen einen entsprechenden Rahmenvertrag zur Arbeitnehmerüberlassung bzw. vereinbaren jeweils Einzelarbeitnehmerüberlassungen, wobei der Arbeitsvertrag zwischen dem Arbeitnehmer und dem Verleiher abgeschlossen wird. Der Leiharbeitnehmer wird daraufhin im Unternehmen des Entleihers für die eigenen Zwecke, wie ein eigener Arbeitnehmer des Entleihers, eingesetzt und handelt ausschließlich nach Weisung des Entleihers.
  • Master-Vendor-Modell:
    Beim Master-Vendor-Modell existiert wiederum ein Entleiher, welchem mehrere Verleiher gegenüberstehen. Hierbei übernimmt ein Verleiher-Unternehmen die Master-Vendor-Rolle, d. h. der Master-Vendor wird vom Entleiher beauftragt, die Personalauswahl sowie die Koordination mit den weiteren Verleiher-Unternehmen zu übernehmen. Ist eine passende Besetzung getroffen, wird anschließend der Arbeitnehmerüberlassungsvertrag ebenfalls zwischen dem Verleiher und dem Entleiher geschlossen.

Bei den beschriebenen Modellen dürfte es sich um die populärsten Konstellationen im Rahmen der Arbeitnehmerüberlassung handeln. Die vertraglichen Verhältnisse bleiben jedoch immer die gleichen: Es wird ein Arbeitsvertrag zwischen dem Verleiher und dem Arbeitnehmer geschlossen, wohingegen zwischen dem Entleiher und dem Verleiher ein Arbeitnehmerüberlassungsvertrag bzw. ein Einzelarbeitnehmerüberlassungsvertrag geschlossen wird. Der Arbeitnehmer gilt bei beiden Parteien als Beschäftigter, da gemäß § 26 BDSG geregelt wird, dass Beschäftigte im Sinne des Bundesdatenschutzgesetzes auch Leiharbeitnehmer im Verhältnis zum Entleiher sind. Die Problematik, welche sich aus Datenschutzsicht nun ergibt, dürfte die Datenverarbeitung auf „beiden Seiten der Medaille“ – Verleiher sowie Entleiher – sein.

Verarbeitung personenbezogener Daten

Verleiher sowie Entleiher dürften bereits im Zuge des Bewerbungsprozesses personenbezogene Daten verarbeiten. Dies dürfte zum Zwecke der Begründung eines Beschäftigungsverhältnisses gem. § 26 Abs. 1 BDSG gerechtfertigt sein, da der Verleiher einerseits eine Auswahl aufgrund der Anforderungen des Entleihers treffen muss und der Entleiher andererseits gewisse Daten wie Name, Nachname, Alter, Qualifikationen etc. benötigt, um eine Auswahl zu treffen sowie den Arbeitnehmer einzusetzen.

Kommt es zur Anstellung, so dürfte die Verarbeitung weiterer personenbezogener Daten des Arbeitnehmers erfolgen, wie z. B. die Arbeitszeiten oder die Urlaubs- und Krankentage, welche aufgrund des Arbeitsverhältnisses zusätzlich erfasst werden müssen. Sofern personenbezogene Daten von Verleiher und Entleiher verarbeitet bzw. auch untereinander übermittelt werden, sollten klare datenschutzrechtliche Regelungen getroffen werden.

Arbeitnehmerüberlassung ist keine Auftragsverarbeitung

Aus Datenschutzsicht gilt es – neben der Rechtsgrundlage für die Verarbeitungen – auch die Verantwortlichkeiten in Bezug auf die Datenverarbeitung zu klären. Laut Art. 28 Datenschutz-Grundverordnung (DSGVO) handelt es sich um eine Auftragsverarbeitung, sofern eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt – sprich es wird ein Dienstleister eingesetzt, welcher ausschließlich auf Weisung des Verantwortlichen die personenbezogenen Daten verarbeitet. Der sogenannte Auftragsverarbeiter handelt somit komplett weisungsgebunden und der Verantwortliche entscheidet allein über die Zwecke und Mittel der Datenverarbeitung.

Betrachtet man nun die Thematik der Arbeitnehmerüberlassung wird schnell klar, dass dies hier nicht zutreffen dürfte, da der Verleiher nicht weisungsgebunden handelt sowie keinen Kontrollen des Entleihers unterliegt. Weiterhin entscheidet der Verleiher selbst, welchen potentiellen Arbeitnehmer er dem Entleiher vorschlägt und ist in seinen Entscheidungen frei. Das Bayrische Landesamt für Datenschutz (BayLDA) dürfte ebenfalls der Auffassung sein, da es ein FAQ zum Thema Auftragsverarbeitung veröffentlichte, in dem darauf eingegangen wird, dass es sich bei einer Personalvermittlung nicht um eine Auftragsverarbeitung handelt. Dies dürfte sich auf die Arbeitnehmerüberlassung übertragen lassen, woraus folgt, dass der Abschluss eines Vertrages zur Auftragsverarbeitung nicht richtig bzw. erforderlich sein dürfte.

Joint Control – Datenverarbeitung in gemeinsamer Verantwortlichkeit

Laut der Definition aus Art. 26 DSGVO handelt es sich um gemeinsam Verantwortliche, wenn:

„[…] zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen […]“

Dies dürfte bei der Arbeitnehmerüberlassung i. d. R. zutreffend sein und es sollte eine entsprechende Vereinbarung – ein sogenannter „Joint-Control-Vertrag“ – in transparenter Form festgelegt werden. In diesem sollte geregelt werden, welche Partei was für Datenschutzpflichten – insbesondere die Wahrnehmung der Betroffenenrechte sowie die Informationspflichten nach Art. 13 und 14 DSGVO – erfüllt bzw. diesen nachkommen muss. Nach Art. 26 Abs. 2 DSGVO müssen dem Arbeitnehmer anschließend die wesentlichen Punkte der Vereinbarung transparent zur Verfügung gestellt werden. Wichtig in diesem Zusammenhang ist jedoch, dass der Joint-Control-Vertrag keine Rechtsgrundlage für die Verarbeitung darstellt, sondern lediglich regelt, wer welche Aufgaben nach der DSGVO zu erfüllen hat. Demnach ist für die Verarbeitung der personenbezogenen Daten weiterhin eine entsprechende Rechtsgrundlage erforderlich. Die unabhängigen Datenschutzbehörden des Bundes und der Länder haben mit dem Kurzpapier Nr. 16 weitere Konkretisierungen für gemeinsame Verantwortliche veröffentlicht. Darin wird unter anderem aufgeführt, dass für eine gemeinsame Verantwortlichkeit nicht unbedingt eine vollständig gleichrangige Kontrolle und Verantwortlichkeit vorliegen muss, sondern eine phasenweise gemeinsame Verantwortlichkeit ausreicht. Ebenso müssen die verfolgten Zwecke der Datenverarbeitung nicht deckungsgleich sein.

Fazit

Zusammenfassend lässt sich sagen, dass die Auftragsverarbeitung auf das Modell der Arbeitnehmerüberlassung nicht anwendbar sein dürfte. Es liegt hier vielmehr eine gemeinsame Verantwortlichkeit von Verleiher und Entleiher vor, welche entsprechend mit einem Joint-Control-Vertrag geregelt werden sollte. Binden Sie hierbei unbedingt Ihren Datenschutzbeauftragten mit ein, sodass dieser die entsprechenden Regelungen prüfen kann. Denn auch hier können Verantwortliche Bußgelder befürchten, wenn die Regelungen aus Art. 26 DSGVO nicht datenschutzkonform umgesetzt werden.

Haben Sie weitere Fragen zu diesem Thema oder wollen Sie sich im Datenschutz dauerhaft besser positionieren? Brands Consulting steht Ihnen gerne als kompetenter und fachkundiger Ansprechpartner in Sachen Datenschutz zur Seite. Kontaktieren Sie uns und/oder holen Sie sich ein unverbindliches und kostenloses sowie auf Ihre Bedürfnisse abgestimmtes Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen