Auf­sichts­be­hör­den prüfen Daten­schutz bei Leih­ar­beits­un­ter­neh­men und Personalvermittlern

Die Branche der Ar­beit­neh­mer­über­las­sung kommt in den Fokus der Da­ten­schutz­auf­sichts­be­hör­den. Die Lan­des­da­ten­schutz­be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­frei­heit Nor­d­rhein-Wes­t­­fa­­len (LDI NRW) hat im Bereich des Be­schäf­tig­ten­da­ten­schut­zes bei Per­so­nal­dienst­leis­tern und Leih­ar­beits­un­ter­neh­men Prü­fun­gen ge­star­tet. Im 25. Tä­tig­keits­be­richt, welcher am 25. Mai 2020 ver­öf­fent­licht wurde, heisst es, dass sie den Bereich ver­stärkt be­ob­ach­ten und zur Prüfung der Da­ten­ver­ar­bei­tun­gen Un­ter­neh­men mit einer mög­lichst breiten Ab­de­ckung der Branche auswählt.

Im Be­schäf­ti­gungs­ver­hält­nis sind durch die enge soziale Be­zie­hung das wirt­schaft­li­che Ab­hän­gig­keits­ver­hält­nis wie auch u.a. die Aus­wir­kun­gen von Da­ten­schutz­ver­let­zun­gen für be­trof­fe­ne Per­so­nen po­ten­zi­ell hoch. Um­ge­kehrt sind die eigenen Schutz­mög­lich­kei­ten der be­schäf­tig­ten Person gering oder mit der Gefahr von Re­pres­sa­li­en ver­bun­den. […] Zur Ver­mitt­lung von Ar­beit­neh­mern werden eine Viel­zahl von Daten erhoben und mit Dritten geteilt. Daher sind solche Be­schäf­tig­ten­ver­hält­nis­se po­ten­zi­ell be­son­ders ge­eig­net, tief in die Da­ten­schutz­rech­te von Be­trof­fe­nen ein­zu­grei­fen, so die LfDI in ihrem ak­tu­el­len Tätigkeitsbericht.

Nach § 26 Abs. 8 Nr. 1 BDSG (Bun­des­da­ten­schutz­ge­setz) haben Zeit­ar­beit­neh­mer zwei Ar­beit­ge­ber, ggf. auch mehr. Zum einen das ent­lei­hen­de Un­ter­neh­men, zum anderen die Un­ter­neh­men, an die ent­lie­hen wird. Dies hat eine über ein „nor­ma­les“ Be­schäf­ti­gungs­ver­hält­nis hin­aus­ge­hen­de und wei­ter­ge­hen­de Ver­tei­lung von per­so­nen­be­zo­ge­nen Daten wie auch eine daraus re­sul­tie­ren­de Un­über­sicht­lich­keit von Ver­ant­wort­lich­kei­ten zur Folge.

Für den Leih­ar­beit­neh­mer ist es viel­fach nicht nach­voll­zieh­bar, welche Daten von ihm zu welchem Zweck an wen wei­ter­ge­lei­tet werden. Warum z.B. seine Be­wer­bung beim Ver­lei­her eingeht, seine Ar­beits­zeit hin­ge­gen vom Ent­lei­her erfasst und dem Ver­lei­her über­mit­telt wird. Den Ur­laubs­an­trag reicht er beim Ver­lei­her ein wie auch die Ar­beits­un­fä­hig­keits­be­schei­ni­gung – und beide tau­schen die Daten aus. Der Leih­ar­beit­neh­mer hat eine enge Ver­bin­dung zu beiden und sitzt zwi­schen den Stühlen.
Diese da­ten­schutz­recht­li­chen Schwie­rig­kei­ten haben nun auch die Auf­sichts­be­hör­den erkannt und sich für eine ver­stärk­te Prüfung entschieden.

Un­ter­neh­men, die in dieser Branche tätig sind, sollten dies zum Anlass nehmen, ihre eigenen Pro­zes­se zu über­prü­fen und anzupassen:

• Rol­len­ver­ständ­nis und Be­wusst­sein der da­ten­schutz­recht­li­chen Ver­ant­wort­lich­keit von Ver­lei­hern und Personaldienstleistern;
• Ab­gren­zung zwi­schen Auf­trags­ver­ar­bei­tung und Über­mitt­lung sowie deren ent­spre­chen­de Um­set­zung in der Praxis (ge­mein­sam Verantwortliche);
• Trans­pa­renz der Ver­ar­bei­tung für be­trof­fe­ne Personen;
• Wahrung der In­for­ma­ti­ons­pflich­ten (Artt. 13 und 14 DSGVO);
• Be­wer­bungs­ver­fah­ren und die hierbei ge­for­der­ten Daten, wie z.B. An­fer­ti­gung von Kopien von Aus­wei­sen, Füh­rungs­zeug­nis­se, Testate;
• Rechte der Be­trof­fe­nen: Aus­kunfts­pflicht (Art. 15 DSGVO) ge­gen­über Be­schäf­tig­ten und Be­wer­bern sowie der Umgang mit deren Recht auf Kopie (Da­ten­über­trag­bar­keit);
• Spei­cher­dau­er, Auf­be­wah­rungs­pflich­ten und Lösch­kon­zep­te, der z.B. Be­wer­bungs­un­ter­la­gen, Personalakte;
• Rechts­grund­la­gen der und Pro­zes­se zur Da­ten­wei­ter­ga­be sowie der er­grif­fe­nen Sicherheitsmaßnahmen;
• Nutzung der Mög­lich­keit einer an­ony­men Übermittlung.

Der Lan­des­da­ten­schutz­be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­frei­heit Baden-Wür­t­­te­m­­berg sagte in seinem Tä­tig­keits­be­richt 2019, dass eine Auf­trags­ver­ar­bei­tung bei der Durch­füh­rung der Ar­beit­neh­mer­über­las­sung zwi­schen Ver­lei­her und Ent­lei­her nicht vor­liegt. Ver­lei­her und Ent­lei­her nutzen per­so­nen­be­zo­ge­ne Daten der Leih­ar­beit­neh­mer meis­tens für eigene oder ge­mein­sa­me Zwecke und sind somit selbst eigene Ver­ant­wort­li­che oder ge­mein­sam Ver­ant­wort­li­che. Auch das Baye­ri­sche Lan­des­amt für Da­ten­schutz­auf­sicht (BayLDA) hat in seiner Aus­le­gungs­hil­fe zur Auf­trags­ver­ar­bei­tung sich da­hin­ge­hend ge­äu­ßert, dass sie in der „Per­so­nal­ver­mitt­lung nach Auftrag von Stel­len­su­chen­den oder Ar­beit­ge­bern“ keine Auf­trags­ver­ar­bei­tung i.S.v. Art. 4 Nr. 8 DS-GVO sieht. Dies wird seitens LfDI NRW wohl auch geprüft.
Zu prüfen ist al­ler­dings, ob ggf. eine ge­mein­sa­me Ver­ant­wort­lich­keit nach Art. 26 DS-GVO vorliegt.

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.
Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.

(Autorin: Regina Mühlich)