DSGVO Arbeitnehmerüberlassung und Leiharbeiter

Wie eine Arbeitnehmerüberlassung harmonisch übereinstimmend zur Datenschutzgrundverordnung erzielen? Hier lesen Sie, wie es geht.

Personaldienstleister und Auftraggeber – und dazwischen die Leiharbeiter mit Ihren personenbezogenen Daten. Hier gilt es einiges zu beachten.

Arbeitnehmerüberlassung

Arbeitnehmerüberlassung, auch oft als Leih- oder Zeitarbeit bezeichnet, ist eine bewährte Methode, um Produktions- und Arbeitsspitzen durch flexibel einsetzbares Personal aufzufangen. Mit dem Einsatz von Joint Controller-Ship Agreement wird die Überlassung von Arbeitnehmern Datenschutz-tauglich.

Oft ist der Fall, indem der Leiharbeitnehmer in die Arbeitsorganisation des Entleihers eingegliedert und nach dessen Weisung tätig wird. Dies kann schnell in die Grauzone einer verbotenen Arbeitnehmerüberlassung führen. Mit einer AÜ entsteht ein direktes Arbeitsverhältnis zwischen dem eigentlichen Leiharbeiter und dem Entleiher. Somit stehen dem Mitarbeiter dann die üblichen Leistungen wie beispielsweise Vergütung, Sonderzahlungen und Altersvorsorge, zu. Desweiteren hat der Entleiher somit die Haftung für das laufende Jahr sowie maximal der vorangegangenen vier Jahre für den Arbeitgeber- und Arbeitnehmeranteil zur Sozialversicherung auf die geschuldete Arbeitsvergütung.

 

Was ist hierbei zur DSGVO-Konform zu beachten?

Interessant wird es ab dem Zeitpunkt der Eingliederung in die Arbeitsorganisation des Entleihers. Bis zu diesem Zeitpunkt liegt die Verarbeitung der Daten ausschließlich in der Verantwortung des Verleihers. Durch die Eingliederung verarbeitet der Entleiher folglich ebenso personenbezogene Daten des Leiharbeiters – Beispiele: Abrechnung mit dem Verleiher, der Zeiterfassung sowie der Erfassung von Urlaubs- und sonstiger Fehlzeiten, Erstellung eines Mitarbeiterausweises, Einrichtung der Zugangsdaten am Computer, usw.

„Die Verantwortung hat sich somit jedoch nicht verlagert, sie befindet sich nun auf beiden Seiten.“

 

Hierzu zum DSGVO Auftragsverarbeitungsvertrag

Fälschlicherweise wird bei der Arbeitnehmerüberlassung in datenschutzrechtlicher Hinsicht noch oft davon ausgegangen, dass ein Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO geschlossen werden muss.

Hier hat „Joint Controllership“ zum Einsatz zu kommen.

Im Unterschied zur Joint Controllership nach Art. 26 DSGVO gibt es bei der Auftragsverarbeitung einen Verantwortlichen und einen Auftragsverarbeiter. Der Auftragsverarbeiter darf nur nach Weisung des Verantwortlichen personenbezogene Daten verarbeiten. Der Verantwortliche bestimmt in dieser Konstellation auch allein über Zweck und Mittel der Datenverarbeitung und ob zusätzliche Dienstleister als Unterauftragsverarbeiter eingesetzt werden dürfen.

Da stellt sich die Frage, wer soll im Fall der Arbeitnehmerüberlassung welche Stellung einnehmen? Weder der Ver- noch der Entleiher werden ein gegenseitiges Mitspracherecht einräumen.

 

Joint Controller hat Gemeinsam Verantwortliche

Richtigerweise ist nach Erlass der DSGVO die Konstruktion des Joint Controller. Gemäß Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Der Leiharbeiter ist im Verhältnis zu Ver- und Entleiher ein Beschäftigter im Sinne des §26 BDSG §. Somit verarbeiten beide die Daten des Leiharbeitnehmers für eigene Zwecke, jedoch liegt dem Ganzen der Zweck der Durchführung der Arbeitnehmerüberlassung zugrunde.

 

Kurz gesagt: Liegen zwei Verantwotliche zur Verarbeitung der Daten vor, bietet die DSGVO hier eine neue und sichere Möglichkeit, die Verarbeitung vertraglich zu regeln. Art. 26 DSGVO regelt das Verhältnis gemeinsam Verantwortlicher, auch Joint Controllership genannt, und verlangt nach Abschluss einer Vereinbarung. Für diese Vereinbarung gelten folgende gesetzliche Anforderungen:

 

Anforderungen Joint Controllership

Bei Vorliegen von zwei für die Verarbeitung Verantwortlichen bietet die DSGVO eine neue und sichere Möglichkeit die Verarbeitung vertraglich zu regeln. Art. 26 DSGVO regelt das Verhältnis gemeinsam Verantwortlicher, auch Joint Controllership genannt, und verlangt nach Abschluss einer Vereinbarung. Für diese Vereinbarung gelten folgende gesetzliche Anforderungen:

  • Transparenz in schriftlicher Form festhalten
  • Festlegung der Verantwortlichkeiten für die Einhaltung der Pflichten, speziell die zur Wahrung der Betroffenenrechte und der Informationspflichten gem. Art. 13, 14 DSGVO;
  • Beschreibung der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber dem Betroffenen
  • Information des Betroffenen über die wesentlichen Inhalte der Vereinbarung

 

Fazit:

Durch eine sorgfältige Ausgestaltung der Vereinbarung erhalten die gemeinsam Verantwortlichen auch Vorteile: Zwar ist die Haftung bei diesem “Joint Controllership” gemeinschaftlich ausgestaltet (vgl. Art. 82 DSGVO), jedoch erleichtert eine klare Regelung den Haftungsausgleich im Innenverhältnis nach Art. 82 Abs. 5 DSGVO zwischen den Verantwortlichen.

 

Weitere News zur DSGVO:

DSGVO: Präzidenzfälle, Klagen, Abmahnungen, Verstoss, Bussgelder

Neue Entscheidung zum Einsatz von Facebook Custom Audience

40% Der Unternehmen immer noch nicht DSGVO-Konform

Urteil: Mitbewerber darf Verstoß nicht Abmahnen