Datenschutz bei der Arbeitnehmerüberlassung
Welche gesetzlichen Anforderungen gelten?Neben klassischen Beschäftigungsverhältnissen entspricht es der betrieblichen Realität, dass auch Fremdpersonal zum Einsatz kommt. Leiharbeitnehmer*innen sind eine feste Größe am deutschen Arbeitsmarkt. Die flexible Beschäftigung von Arbeitnehmer*innen ermöglicht es den Unternehmen, ihren Personalbedarf zügig an Auftragsschwankungen anzupassen. Wachstumsphasen können somit effektiver genutzt werden. Im Jahresdurchschnitt 2022 waren laut Bundesagentur für Arbeit 830.000 Leiharbeitnehmer*innen in Deutschland sozialversicherungspflichtig oder ausschließlich geringfügig beschäftigt.
Welche gesetzlichen Anforderungen gelten für die klassische Arbeitnehmerüberlassung?
Eine klassische Arbeitnehmerüberlassung ist durch eine Drei-Parteien-Beziehung zwischen einem Verleiher, einem Arbeitnehmer oder einer Arbeitnehmerin und einem Entleiher gekennzeichnet.
Die Arbeitnehmerüberlassung ist in Deutschland gesetzlich geregelt. Neben dem Arbeitnehmerüberlassungsgesetz (AÜG) spielt auch der datenschutzkonforme Umgang mit personenbezogenen Bewerber- und Arbeitnehmer*innendaten eine wesentliche Rolle sowohl für Zeitarbeitsunternehmen als auch für Betriebe, die Arbeitskräfte entleihen. Damit wird sichergestellt, dass die Privatsphäre und die Rechte der Leiharbeitnehmer*innen geschützt werden.
Die Datenschutzgrundverordnung (DSGVO) hat darauf verzichtet, den Beschäftigtendatenschutz umfassend zu regeln. Art. 88 DSGVO schafft eine Öffnungsklausel, die nationalen Gesetzgebern erlaubt, unter Beachtung der Prinzipien der DSGVO (Art. 5 Abs. 1 DSGVO), den Beschäftigtendatenschutz selbst zu regeln. Der deutsche Gesetzgeber hat diese Öffnungsklausel in § 26 des neuen Bundesdatenschutzgesetzes (BDSG) umgesetzt. Leiharbeitnehmer*innen werden als Beschäftigte im Sinne des Gesetzes definiert und zwar sowohl im Verhältnis zum Verleiher als auch zum Entleiher (§ 26 Abs. 8 Nr. 1 BDSG).
Bewerbungsprozess im Rahmen der Arbeitnehmerüberlassung.
Was ist datenschutzrechtlich zu beachten?
Schwerpunkt der unternehmerischen Tätigkeit eines Verleihers ist das Recruitment. Auch Bewerber gelten datenschutzrechtlich als Beschäftigte (§ 26 Abs. 8 S. 2 BDSG). Die Regelungen des Datenschutzes sind hier besonders zu beachten.
- Maßnahmen zum Schutz personenbezogener Bewerberdaten
Für eine effiziente und zugleich datenschutzkonforme Durchführung des Bewerbungsprozesses empfiehlt es sich, automatisierte Systeme und Prozesse zu implementieren, die eine Einhaltung des Datenschutzes sicherstellen. Dies beginnt bereits mit dem Bewerbungsportal auf der eigenen Webseite, indem Bewerbungsunterlagen automatisiert in die Bewerbungsdatenbank übertragen werden. Ein Berechtigungs- und Zugriffkonzept soll darüber hinaus sicherstellen, dass diese Daten nicht zweckentfremdet oder missbraucht werden.
- Einsatz digitaler Bewerbungsfragebögen
Beim Einsatz digitaler Bewerbungsfragebögen ist kenntlich zu machen, welche Daten zwingend und welche freiwillig erhoben werden. Eine Datenerhebung ist nur dann erforderlich, wenn die Information Einfluss auf die Eingehung bzw. Durchführung des Arbeitsverhältnisses haben würde oder eine gesetzliche Vorgabe die Erhebung voraussetzt. So sind z.B. Angaben zur Aufenthalts- und Arbeitserlaubnis nur bei Nicht-EU-Bürger*innen erforderlich.
- Personalausweiskopie
Arbeitgeber sind rechtlich verpflichtet, die Arbeits- und Aufenthaltserlaubnis zu prüfen. Diese besteht grundsätzlich bei EU-Bürger*innen, d.h. auch bei Personalausweisinhaber*innen. Verlangt nun der Verleiher von den Bewerber*innen eine Ablichtung des Personalausweises, so muss diese eindeutig als Kopie zu erkennen sein (indem z.B. eine Schwarzweißkopie gefertigt wird, § 20 Abs. 2 S. 1 HS. 2 PAuswG).
Die Personalausweiskopie darf bei einer späteren Vermittlung nicht an den Entleiher weitergegeben werden (§ 20 Abs. 2 S. 2 PAuswG).
- Information nach Art. 13 DSGVO
Bewerber*innen sind zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten gemäß Art. 13 DSGVO zu informieren. Neben Informationen zum Zweck und der Rechtgrundlage der Verarbeitung müssen Bewerber*innen insbesondere darüber aufgeklärt werden, in welchem Umfang Daten an Entleiher weitergeleitet werden und welche Betroffenenrechte ihnen nach Art. 12-23 DSGVO zustehen.
- Löschen von Bewerbungsunterlagen
Bei abgelehnten Bewerber*innen sind die Daten nach sechs Monaten zu löschen.
Für weitere Vermittlungsangebote können Bewerber*innen freiwillig auch in einen Bewerberpool aufgenommen werden. Auch wenn die DSGVO keine spezifische Frist für die Gültigkeit einer Einwilligung enthält, sollte der Verleiher nach einem Jahr nachfragen, ob auch weiterhin Interesse an einer Vermittlung besteht. Bei fehlendem Interesse sind die Daten dann zu löschen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen empfiehlt, „Bewerber*innen bereits zum Zeitpunkt der Einwilligung in die Speicherung ihrer Bewerbungsdaten in einem Bewerberpool die Möglichkeit einzuräumen, hierzu bestimmte Zeitfenster, etwa durch Setzen eines Häkchens unter der Erklärung zu bestimmen.“ Soweit ein solches Zeitfenster fehlt, „sollten Leiharbeitsunternehmen nach dem letzten erfolglosen Kontaktversuch mit Bewerber*innen eine konkrete und kurz bemessene Endfrist zur Datenlöschung setzen und diese hierüber unterrichten.“
Verleiher und Entleiher - Welche datenschutzrechtliche Pflichten ergeben sich aus der klassischen Arbeitnehmerüberlassung?
Gemäß § 1 Abs. 1 S. 2 AÜG werden Arbeitnehmer*innen zur Arbeitsleistung überlassen, wenn sie in das Unternehmen des Entleihers eingegliedert sind und deren Weisungen unterliegen. Voraussetzung ist das Bestehen eines Arbeitsverhältnisses zwischen Leiharbeitnehmer*innen und Verleiher. Dabei sind gem. § 26 Abs. 8 Nr. 1 BDSG sowohl Verleiher, als auch Entleiher als Arbeitgeber Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.
Datenaustausch zwischen Verleiher und Entleiher
Der Austausch personenbezogener Daten von Leiharbeitnehmer*innen zwischen Verleiher und Entleiher ist in zahlreichen Fällen eine gesetzliche Pflicht und aus diesem Grund datenschutzrechtlich gerechtfertigt (Art. 6 Abs. 1 lit. c DSGVO).
Gemäß § 1 Abs. 1 S. 6 AÜG haben Entleiher „vor der Überlassung die Person des Leiharbeitnehmers [...] zu konkretisieren“. Jedoch sind nur die erforderlichen personenbezogenen Daten an den Entleiher weiterzugeben (Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO). Ausreichend sind dabei Name und Vorname. Zudem muss der Verleiher den Entleiher über die Qualifikation der Leiharbeitnehmer*innen informieren (§ 12 Abs. 1 S. 4 AÜG). Das Geburtsdatum sollte nur hinzugefügt werden, wenn eine Verwechslungsgefahr besteht.
Nicht zulässig ist die Nennung der Sozialversicherungs-, Personalausweis- bzw. Passnummer der Leiharbeitnehmer*innen. Soweit eine Kopie des Personalausweises erstellt wurde, darf diese (wie oben erwähnt) keinesfalls an den Entleiher weitergereicht werden.
Neben den bereits über den Entleiher übermittelten Daten verarbeitet der Entleiher personenbezogene Daten insbesondere bezogen auf die Arbeitszeiten bzw. Urlaubs- und Krankentage der Leiharbeitnehmer*innen. Die Weitergabe dieser Daten ist datenschutzrechtlich dadurch gerechtfertigt, dass sie grundlegend für die Vergütung des Verleihers durch den Entleiher sowie für die Lohnabrechnung gegenüber den Leiharbeitnehmer*innen sind und sowohl für den Entleiher als auch für den Verleiher die gesetzliche Pflicht besteht, die Dokumentation der Arbeitszeitaufzeichnungen zwei Jahre zu dokumentieren (§ 17 c Abs. 2 AÜG).
Informations- und Transparenzpflichten gem. Art. 13 und 14 DSGVO
Sowohl Verleiher als auch Entleiher müssen Leiharbeitnehmer*innen über die von ihnen vorgenommenen Datenverarbeitungen informieren. Der Verleiher sollte insbesondere alle Unternehmen konkret nennen, an die personenbezogene Daten zum Zwecke der Arbeitnehmerüberlassung weitergeben wurden.
Entleiher haben Leiharbeitnehmer*innen ebenso innerhalb von einem Monat über die Datenverarbeitung zu informieren, sobald der Verleiher personenbezogene Daten weitergegeben hat (Art. 14 DSGVO). Die Informationspflicht besteht nicht für pseudonymisierte Daten.
Verpflichtung der Leiharbeitnehmer*innen auf das Datengeheimnis
Die DSGVO schreibt die Verpflichtung auf die Wahrung des Datengeheimnisses nicht ausdrücklich vor. Jedoch lässt sich diese aus dem in Art. 5 Abs. 1 lit. f DSGVO beschriebenen Grundsatz der Integrität und Vertraulichkeit ableiten.
Daher empfiehlt es sich, diese auch sogenannte „Verschwiegenheitsverpflichtung“ grundsätzlich und als festen Bestandteil des Onboardings-Prozesses auch bei Leiharbeitnehmer*innen vor Tätigkeitsbeginn vorzunehmen.
Schulung der Leihmitarbeiter*innen
Leihmitarbeiter*innen sind wie auch interne Mitarbeiter*innen im Rahmen von Schulungen für einen datenschutzkonformen Umgang mit personenbezogenen Daten zu sensibilisieren.
Da Leiharbeitnehmer*innen datenschutzrechtlich sowohl Beschäftigte des Verleihers als auch des Entleihers sind, sieht der Gesetzgeber beide Unternehmen in der Pflicht. In der Praxis dürfte es jedoch sinnvoll sein, Schulungen im Einsatzunternehmen durchzuführen. Der Entleiher kann die datenschutzrechtlichen Gegebenheiten, die jeweilige Praxis mit personenbezogenen Daten und den jeweiligen Schutzbedarf am besten einschätzen.
Technische und organisatorische Maßnahmen
Der Verleiher hat als Verantwortlicher die personenbezogenen Daten von Leiharbeitnehmer*innen durch angemessene technische und organisatorische Maßnahmen gegen eine Zweckentfremdung oder einen anderweitigen Missbrauch durch den Entleiher zu schützen.
Stellt der Verleiher zur Gewinnung potentieller Kunden detaillierte Kandidat*innenprofile für Werbezwecke vor, so sind diese zu pseudonymisieren. Die Identität der Leiharbeitnehmer*innen ist erst dann offenzulegen, wenn der Entleiher ein konkretes Interesse an vorgestellten Kandidat*innen gezeigt hat und eine Datenschutzvereinbarung im Rahmen eines Geheimhaltungsvertrages abgeschlossen wird. Darin ist der Entleiher insbesondere zu verpflichten, die personenbezogenen Daten vertraulich zu behandeln und alle Unterlagen zu löschen, sobald er diese nicht mehr benötigt.
Wie ist die datenschutzrechtliche Verantwortlichkeit zwischen Verleiher und Entleiher geregelt?
Welche datenschutzrechtlichen Pflichten den Verleiher und den Entleiher treffen, hängt maßgeblich von der Art und Ausgestaltung der Zusammenarbeit ab. Es stellt sich die Frage, wann Verleiher und Entleiher als eigene (getrennt) Verantwortliche anzusehen sind und wann personenbezogenen Daten der Leiharbeitnehmer*innen in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) verarbeitet werden. Besondere Herausforderungen ergeben sich, wenn der Verleiher neben der klassischen Arbeitnehmerüberlassung weitere Personaldienstleistungen erbringt, wie etwa in der Funktion als Onsite-Manager oder Master Vendor.
Autorin: Rosemarie Popa