Die Branche der Arbeitnehmerüberlassung kommt in den Fokus der Datenschutzaufsichtsbehörden. Die Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat im Bereich des Beschäftigtendatenschutzes bei Personaldienstleistern und Leiharbeitsunternehmen Prüfungen gestartet. Im 25. Tätigkeitsbericht, welcher am 25. Mai 2020 veröffentlicht wurde, heisst es, dass sie den Bereich verstärkt beobachten und zur Prüfung der Datenverarbeitungen Unternehmen mit einer möglichst breiten Abdeckung der Branche auswählt.
Im Beschäftigungsverhältnis sind durch die enge soziale Beziehung das wirtschaftliche Abhängigkeitsverhältnis wie auch u.a. die Auswirkungen von Datenschutzverletzungen für betroffene Personen potenziell hoch. Umgekehrt sind die eigenen Schutzmöglichkeiten der beschäftigten Person gering oder mit der Gefahr von Repressalien verbunden. […] Zur Vermittlung von Arbeitnehmern werden eine Vielzahl von Daten erhoben und mit Dritten geteilt. Daher sind solche Beschäftigtenverhältnisse potenziell besonders geeignet, tief in die Datenschutzrechte von Betroffenen einzugreifen, so die LfDI in ihrem aktuellen Tätigkeitsbericht.
Nach § 26 Abs. 8 Nr. 1 BDSG (Bundesdatenschutzgesetz) haben Zeitarbeitnehmer zwei Arbeitgeber, ggf. auch mehr. Zum einen das entleihende Unternehmen, zum anderen die Unternehmen, an die entliehen wird. Dies hat eine über ein „normales“ Beschäftigungsverhältnis hinausgehende und weitergehende Verteilung von personenbezogenen Daten wie auch eine daraus resultierende Unübersichtlichkeit von Verantwortlichkeiten zur Folge.
Für den Leiharbeitnehmer ist es vielfach nicht nachvollziehbar, welche Daten von ihm zu welchem Zweck an wen weitergeleitet werden. Warum z.B. seine Bewerbung beim Verleiher eingeht, seine Arbeitszeit hingegen vom Entleiher erfasst und dem Verleiher übermittelt wird. Den Urlaubsantrag reicht er beim Verleiher ein wie auch die Arbeitsunfähigkeitsbescheinigung – und beide tauschen die Daten aus. Der Leiharbeitnehmer hat eine enge Verbindung zu beiden und sitzt zwischen den Stühlen.
Diese datenschutzrechtlichen Schwierigkeiten haben nun auch die Aufsichtsbehörden erkannt und sich für eine verstärkte Prüfung entschieden.
Unternehmen, die in dieser Branche tätig sind, sollten dies zum Anlass nehmen, ihre eigenen Prozesse zu überprüfen und anzupassen:
- Rollenverständnis und Bewusstsein der datenschutzrechtlichen Verantwortlichkeit von Verleihern und Personaldienstleistern;
- Abgrenzung zwischen Auftragsverarbeitung und Übermittlung sowie deren entsprechende Umsetzung in der Praxis (gemeinsam Verantwortliche);
- Transparenz der Verarbeitung für betroffene Personen;
- Wahrung der Informationspflichten (Artt. 13 und 14 DSGVO);
- Bewerbungsverfahren und die hierbei geforderten Daten, wie z.B. Anfertigung von Kopien von Ausweisen, Führungszeugnisse, Testate;
- Rechte der Betroffenen: Auskunftspflicht (Art. 15 DSGVO) gegenüber Beschäftigten und Bewerbern sowie der Umgang mit deren Recht auf Kopie (Datenübertragbarkeit);
- Speicherdauer, Aufbewahrungspflichten und Löschkonzepte, der z.B. Bewerbungsunterlagen, Personalakte;
- Rechtsgrundlagen der und Prozesse zur Datenweitergabe sowie der ergriffenen Sicherheitsmaßnahmen;
- Nutzung der Möglichkeit einer anonymen Übermittlung.
Der Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg sagte in seinem Tätigkeitsbericht 2019, dass eine Auftragsverarbeitung bei der Durchführung der Arbeitnehmerüberlassung zwischen Verleiher und Entleiher nicht vorliegt. Verleiher und Entleiher nutzen personenbezogene Daten der Leiharbeitnehmer meistens für eigene oder gemeinsame Zwecke und sind somit selbst eigene Verantwortliche oder gemeinsam Verantwortliche. Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in seiner Auslegungshilfe zur Auftragsverarbeitung sich dahingehend geäußert, dass sie in der „Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern“ keine Auftragsverarbeitung i.S.v. Art. 4 Nr. 8 DS-GVO sieht. Dies wird seitens LfDI NRW wohl auch geprüft.
Zu prüfen ist allerdings, ob ggf. eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorliegt.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
(Autorin: Regina Mühlich)