DSGVO – Was eine Zeitarbeitsfirma jetzt beachten muss.

In der Zeitarbeit gibt es die spezielle Dreieckskonstellation zwischen Dienstleister, Entleiher und Leiharbeitnehmer, bei der auch der Entleiher vom Gesetzgeber in die Pflicht genommen wird. Prozesse müssen angepasst und das Bewusstsein für den sensiblen Umgang mit personenbezogenen Daten gesteigert werden.

 

Arbeitnehmerüberlassung ist weiterhin uneingeschränkt erlaubt. Jetzt kommt es auf die Wahl des richtigen Partners an. Rechtssicherheit und Fachkompetenz gewinnen dabei immer mehr an Bedeutung.

 

Zeitarbeitskräfte sind „Beschäftigte″ bei Verleiher und Entleiher

Dies bedeutet, dass sowohl die Datenverarbeitung beim Verleiher als auch beim Entleiher den Regelungen des Beschäftigtendatenschutzes nach Art. 88 DSGVO in Verbindung mit § 26 BDSG-neu unterliegen.

In der DSGVO werden nun Personaldienstleister und Entleiher gleichermaßen verpflichtet. Auch wenn die eingesetzten Leiharbeiter streng genommen keine festen Arbeitskräfte sind, sondern zur Belegschaft des Dienstleisters zählen, sind sie nach den neuen Regelungen somit auch Beschäftigte des Einsatzunternehmens.

 

Schon bereits die Bewerbung eines Aspiranten stellt für die angestellten Prüfer in der Personalabteilung einer Zeitarbeitsfirma eine datenschutzrechtliche Herausforderung dar. Entscheidend ist hierbei auch der Modus, wie der Kandidat erstmalig in Erscheinung tritt. Bei der Online-Version dürfen bestimmte Gesichtspunkte von den Dienstleistern weder zum einen priori, während der Dauer des Arbeitsverhältnisses noch zum zweiten abgespeichert werden. Dazu gehört beispielsweise auch die IP-Adresse des Bewerbers. Besondere Vorsicht ist in diesem Zusammenhang bei den so genannten Floating-Varianten geboten.

 

Cookies und E-Mail — Verkehr

Es müssen, was eine Weitergabe des Datenpaketes an den Entleiher angeht, nationale Beschränkungen innerhalb der EU in Erwägung gezogen werden. Zum Beispiel ist es unzulässig, Cookies bei der Weiterleitung von Bewerberdaten zu nutzen, wenn dies im anbetreffenden EU-Land untersagt ist. Auch auf andere technische Möglichkeiten, die eine 100%-Identifizierung des Bewerbers zulassen, ist tunlichst zu verzichten. Hierbei geht es nicht darum, dass die Zeitarbeitsfirma eventuelle kriminelle Aktivitäten des Bewerbers “deckt”, sondern vielmehr um die Tatsache, dass sich Verleiher, Entleiher und Bewerber last not least in einem gegenseitigen Verhältnis der Anonymität befinden.

 

Team-Auditing

Die Datenschutzaktivitäten der Verleiher müssen in der Gruppe koordiniert werden (§26). Aus diesem Grund sind regelmäßig Team-Audits erforderlich. Das Beschäftigungsverhältnis muss juristisch derart fundiert sein, dass es nicht zu Verstößen in der Verschwiegenheitsklausel kommt. In der Regel kümmern sich Akademiker in der Firma darum, dass die Bewerberdaten in der Korrespondenz nicht eine so genannte “zyklische Permeabilität” erlangen.

Datenschutzbeauftragter

Der Datenschutzbeauftragte muss sich gegebenenfalls mit einer “alten Bewerbung” aus dem Archiv auseinandersetzen und bei erneuter Kontraktstellung dann auch in der Lage sein, Assimilierungen und Transpositionen zu vollführen, was die Umstellung vom Bundesdatenschutzgesetz (Paragraph 5) auf EU-Recht angeht. In dieser Hinsicht könnte man dann aber im Rahmen des Beschäftigungsverhältnisses mit einer “datenschutzrechtlichen Panne” in Bezug auf “Unterbrechung” argumentieren (auch im Zusammenhang zu sehen mit der Online-Verarbeitung: siehe oben).

 

 

Betroffenenrechte Leiharbeitnehmer:

 

  1. Datenerhebung beim Verleiher / Entleiher

 

  • Auskunftsanspruch des Leiharbeitnehmers kann gegenüber Verleiher oder Entleiher gelten. Auch der Entleiher ist eine verantwortliche Stelle im Sinne des §1 Abs. 4 Nr. 1, 26 Abs. 8 Nr. 1 BDSG-neu.

 

  • Auskunftsanspruch des Leiharbeitnehmers gegen den Verleiher über gespeicherte Daten gemäß Art. 13, 14 DSGVO

 

 

  • Zusätzlich Auskunftsanspruch des Leiharbeitnehmers gegen den Entleiher über die wesentlichen Arbeitsbedingungen (Arbeitszeit, Verdienst etc), § 13 AÜG

 

  • Übertragbarkeitsanspruch des Leiharbeitnehmers zur Übertragung seiner Daten an einen zukünftigen Arbeitgeber oder Auftraggeber, Art. 20 DSGVO (Datenprotabilität).

 

  1. Löschen der Daten beim Verleiher / Entleiher

 

  • Speicherung nur, solange sie für legitimen Zweck benötigt werden. Löschpflichten nach Art. 17 DSGVO werden zum Beispiel verletzt, wenn alle Daten pauschal zehn Jahre aufbewahrt werden.

 

  • Löschpflichten des Verleihers: § 7 Abs. 2 Satz 4 AÜG spricht von aufbewahren; Digitale Kopie der Unterlagen ist hierfür wohl ausreichend. Die Aufbewahrungsfrist beträgt drei Jahre ab dem Zeitpunkt, ab dem die Unterlagen entstehen (dann ist es eine Frage der Erforderlichkeit).

 

  • Erweiterte Löschpflichten: Diese bestehen gegenüber dem Entleiher mit Blich auf die Personalakte etwa nach Ablauf der Dreimonatsfrist (§ 1 Abs. 1b Satz 2 AÜG). Es gibt auch andere prüfungsbedingte Gründe, Daten länger aufzuheben – bis zu zehn Jahren.

 

Bewerberdatenbanken nur mit Einwilligung zulässig

Die Verarbeitung von Daten, die für die Begründung des Beschäftigungsverhältnisses erforderlich und somit zulässig sind (§ 26 Abs. 1 BDSG-neu).

Dürfen personenbezogene Bewerber-Daten in einen Bewerberpool aufgenommen werden?

Unternehmen möchten bei einer passenden Anfrage die Bewerber bei Bedarf wieder kontaktieren können. Eine solche Speicherung ist zumindest auf der Grundlage von § 26 Abs. 1 BDSG-neu nicht zulässig, da die Begründung des Beschäftigungsverhältnisses auf die Bewerbung hin nicht stattgefunden hat. Die entsprechenden Daten wären somit grundsätzlich nach Abschluss des Bewerbungsverfahrens zu löschen.

Die Aufnahme in eine Bewerberdatenbank ist allerdings zulässig, wenn der Bewerber in diese vorher eingewilligt hat. Wichtig ist dabei allerdings, dass die Einwilligung ausdrücklich erfolgt, also beispielsweise über das Anklicken einer Schaltfläche. Ein bloßer Hinweis, dass mit Absenden der Bewerbungsunterlagen auch eine Aufnahme in einen Bewerberpool verbunden ist, der im Nachgang widersprochen werden kann, ist nicht ausreichend.

Weiterhin muss die Einwilligung freiwillig erfolgen. Die Nichterteilung darf also keine negativen Auswirkungen in dem laufenden Bewerbungsverfahren haben. Weiterhin wichtig,  die Einwilligung „informiert″ zu erteilen. Dem Einwilligenden müssen also die in Art. 13 DSGVO aufgeführten Informationen spätestens bei Erteilung der Einwilligung vorliegen. Zudem muss er darauf hingewiesen werden, dass die Einwilligung jederzeit widerrufen werden kann.

Für bereits bestehende Einwilligungen ist zu beachten, dass diese nach der DSGVO keinen Bestandsschutz genießen. Entsprechen sie nicht den Vorgaben der DSGVO, werden sie am 25. Mai 2018 unwirksam.

 

 

Weitere News zur DSGVO:

DSGVO: Datenschutzbeauftrager

https://datenschutzbeauftragter-dsgvo.com/datenschutzbeauftragter-pflicht-was-sagt-die-dsgvo-wirklich/

DSGVO: Was Unternehmen jetzt beachten müssen

https://datenschutzbeauftragter-dsgvo.com/dsgvo-umsetzung-was-unternehmer-jetzt-beachten-sollten/