Teil II
Verantwortlichkeit
Neben klassischen Beschäftigungsverhältnissen entspricht es der betrieblichen Realität, dass auch Fremdpersonal zum Einsatz kommt. Leiharbeitnehmer*innen sind eine feste Größe am deutschen Arbeitsmarkt. Was aus Sicht des Datenschutzes für die Arbeitnehmerüberlassung zu beachten ist, haben wir bereits in einem früheren Beitrag aufgezeigt. In diesem zweiten Teil unseres Beitrags widmen wir uns konkret der datenschutzrechtlichen Verantwortlichkeit zwischen Ver- und Entleiher in unterschiedlichen Konstellationen.
Die klassische Arbeitnehmerüberlassung
Die Arbeitnehmerüberlassung im klassischen Sinne als Dreiecksverhältnis zwischen Entleiher, Verleiher und Leiharbeitnehmer*in stellt Unternehmen vor die Herausforderung, klare Vereinbarungen zum sicheren Umgang mit personenbezogenen Daten zu treffen und somit die Verantwortlichkeiten festzulegen.
Nach mittlerweile einhelliger Ansicht ist die Arbeitnehmerüberlassung keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO. Da Leiharbeitnehmer*innen sowohl gegenüber dem Verleiher als auch gegenüber dem Entleiher datenschutzrechtlich als Beschäftigte gelten, müssen Verleiher und Entleiher sich an die Voraussetzungen des Art. 88 DSGVO i. V. m. § 26 BDSG halten. D.h., der Verleiher verarbeitet die personenbezogenen Daten nicht auf dokumentierte Weisung, unter Kontrolle oder für Zwecke des Entleihers, wie es Art. 28 DSGVO voraussetzen würde und ist deshalb kein Auftragsverarbeiter des Entleihers.
Verleiher und Entleiher verarbeiten die personenbezogenen Daten von Leiharbeitnehmer*innen meistens für eigene Zwecke und somit gerade nicht im Auftrag oder auf Weisung der anderen Vertragspartei. In Betracht kommt, dass Verleiher und Entleiher selbst als eigene Verantwortliche anzusehen sind oder sie verarbeiten die personenbezogenen Daten der Leiharbeitnehmer*innen in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO). In der Praxis könnten beide Möglichkeiten vertreten werden.
Bei der klassischen Arbeitnehmerüberlassung legen Verleiher und Entleiher in der Regel Mittel und Zwecke der Verarbeitung nicht gemeinsam fest. So prüft der Verleiher die Qualifikation der Leiharbeitnehmer*innen nach eigenen Methoden. Der Entleiher wiederum entscheidet alleine darüber, auf welche Weise er die personenbezogenen Daten in den Bewerbungsunterlagen verarbeiten wird und welche Schlüsse er daraus zieht. Auch richtet der Entleiher sein System der Arbeitszeiterfassung selbst ein und erfüllt damit verbunden eine eigene Rechtspflicht. Auch wenn dem Verleiher Zugriffsrechte auf die eingesetzte Software eingeräumt werden, kann der Verleiher keinen Einfluss auf die Art und Weise der Arbeitszeiterfassung nehmen. Verleiher und Entleiher agieren hier als eigene Verantwortliche.
Sofern Verleiher und Entleiher gemeinsame Interessen verfolgen, die sich auf die Datenverarbeitung auswirken, ist der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit (Joint Controller Agreement) nach Art. 26 DSGVO erforderlich. Verleiher und Entleiher sollten deshalb einzelne Verarbeitungen bewerten. Nur die Bereiche, in denen eine gemeinsame Verarbeitung stattfindet, fallen auch unter die Regelungen des Art. 26 DSGVO. In diesem Vertrag soll festgelegt werden, wer welche Verpflichtungen gemäß der DSGVO erfüllt, insbesondere bezogen auf die Wahrnehmung der Rechte der Leiharbeitnehmer*innen und wer welchen Informationspflichten gemäß Art. 13 und 14 DSGVO nachkommt.
Arbeitnehmerüberlassung im Master-Vendor-Modell
Von der klassischen Arbeitnehmerüberlassung ist die Arbeitnehmerüberlassung im Master-Vendor-Modell zu unterscheiden. Hierbei beauftragt der Entleiher (Auftraggeber) einen exklusiven Master Vendor, der wiederum mehrere Verleiher (Co-Lieferanten) beauftragt und die Anbahnung und Abwicklung der Arbeitnehmerüberlassung koordiniert. Der Master Vendor kann dabei auch eigene Beschäftigte an den Auftraggeber überlassen. Stehen dem Master Vendor keine bzw. nicht ausreichend Beschäftigte zur Verfügung, kann er sich so an die Co-Lieferanten wenden, um den Bedarf des Auftraggebers an Personal zu decken.
Das Master-Vendor-Modell kennt keine starren Grenzen und kann im Rahmen des gesetzlich Zulässigen ganz unterschiedlich ausgestaltet werden. Die Auswirkungen auf die datenschutzrechtliche Verantwortlichkeit der Beteiligten lassen sich daher kaum besser aufzeigen, als am Beispiel des Master-Vendor-Modells: Der Master Vendor kann im Rahmen eines Outsourcings konkrete Datenverarbeitungen für den Auftraggeber im Auftrag vornehmen. Auch eine rein koordinierende oder beratende Tätigkeit im Sinne einer getrennten Verantwortlichkeit ist denkbar, oder aber er wird durch Einflussnahme auf die Mittel und Zwecke der Verarbeitung mit dem Auftraggeber zum gemeinsam Verantwortlichen.
Master Vendor als Auftragsverarbeiter
Der Master Vendor wird dann als Auftragsverarbeiter tätig, wenn er rein weisungsgebunden im Auftrag des Entleihers Daten verarbeitet. Vorgegebene Prozesse, strikte vertragliche Regelungen und ein enger Ermessensspielraum des Master Vendors können hierfür Indizien sein. Im Falle eines Auftragsverarbeitungsverhältnisses wird eine entsprechende Vereinbarung nach Art. 28 DSGVO erforderlich. Dass Master Vendor und Co-Lieferant im Verhältnis zueinander weisungsgebunden tätig werden, kommt bereits mangels Weisungen nicht in Betracht.
Master Vendor als gemeinsam Verantwortlicher
Master Vendor und Auftraggeber können ebenso gemeinsam Verantwortliche im Sinne des Art. 26 Abs. 1 DSGVO darstellen, wenn sie gemeinsam die Mittel und Zwecke der Verarbeitung festlegen. Dass eine gemeinsame Verantwortlichkeit die gesamte Arbeitnehmerüberlassung umfasst, kommt bereits aufgrund der gesetzliche zugeordneten Verantwortungsbereiche zwischen Entleiher und Verleiher nicht in Betracht. Für einzelne Bereiche der Arbeitnehmerüberlassung, beispielsweise im Rahmen der Vorstellung und Auswahl der Leiharbeitnehmer, ist eine gemeinsame Verantwortlichkeit durchaus möglich.
Voraussetzung für eine gemeinsame Verantwortlichkeit ist, dass sowohl Master Vendor als auch Auftraggeber die Mittel und Zwecke der Verarbeitung gemeinsam festlegen. Eine solche gemeinsame Beteiligung an der Festlegung der Mittel und Zwecke kann gemäß EDSA-Leitlinie 07/2020 (Version 2.0) in Form einer gemeinsam getroffenen Entscheidung der Verantwortlichen vorliegen oder sich aus konvergierenden Entscheidungen der Verantwortlichen ergeben. Entscheidungen können nach Ansicht des Europäischen Datenschutzausschusses (EDSA) im Hinblick auf Zwecke und Mittel als konvergierend angesehen werden, wenn sie einander ergänzen und für die Verarbeitung in einer Weise erforderlich sind, dass sie einen spürbaren Einfluss auf die Bestimmung der Zwecke und Mittel der Verarbeitung nehmen, sodass die Verarbeitungsvorgänge der Verantwortlichen untrennbar miteinander verbunden sind.
Unter diesen Bedingungen, kann neben Master Vendor und Auftraggeber auch der Co-Lieferant von der gemeinsamen Verantwortlichkeit umfasst sein, wenn auch er an der Festlegung der Mittel und Zwecke der Verarbeitung beteiligt ist.
Die gemeinsame Verantwortlichkeit fordert eine vertragliche Regelung zwischen den Parteien, die u.a. auch die verschiedenen Verantwortungsbereiche der Parteien in Bezug auf die datenschutzrechtlichen Pflichten festlegt. Auch eine transparente Information der Betroffenen ist erforderlich, um die Betroffenenrechte zu wahren und die Anforderungen aus Art. 26 DSGVO zu erfüllen.
Master Vendor als getrennt Verantwortlicher
Nutzt der Master Vendor die Daten zu eigenen Zwecken und legt ohne Beteiligung der anderen Parteien die Mittel zur Verarbeitung fest, wird er zum (getrennt) Verantwortlichen. Im Gegensatz zur Auftragsverarbeitung ist dann eine eigene Rechtsgrundlage des Master Vendors zur Datenverarbeitung erforderlich. Bei der Inanspruchnahme weiterer Co-Lieferanten wird diese Konstellation in der Praxis nur in wenigen Anwendungsfällen zum Tragen kommen.
Fazit
Die Arbeitnehmerüberlassung fordert einen vertrauensvollen und sicheren Umgang mit Beschäftigtendaten zwischen den beteiligten Parteien. Vertragliche Vereinbarungen sollten unabhängig von der datenschutzrechtlichen Verantwortlichkeit getroffen werden, um die Bedeutung des Datenschutzes auch auf vertraglicher Ebene zwischen den Parteien zu verankern. Kommt es zu einer Arbeitnehmerüberlassung im Master-Vendor-Modell, sollte die konkrete Ausgestaltung der Datenverarbeitung im Einzelfall geprüft werden, um sowohl den Datenaustausch, als auch die ggf. erforderlichen Verträge zum Datenschutz sinnvoll und sicher zu gestalten.
Autorinnen: Rebecca Schimkat und Rosemarie Popa