Arbeitnehmerüberlassung und Anwendung der DSGVO: Keine Auftragsverarbeitung, sondern Joint Controllership

Lesezeit: ca. 3 Minuten

Die Arbeitnehmerüberlassung ist nicht nur hinsichtlich der gesetzlichen Anforderungen für die Leiharbeitnehmer bedeutsam, sondern berührt auch verschiedene datenschutzrechtliche Aspekte. Wenn Leiharbeitnehmer in die Organisation des Entleihers eingegliedert werden und dabei bestimmte Grenzen nicht beachtet werden, kann dies zu einer verbotenen Arbeitnehmerüberlassung führen.

DSGVO gilt auch für Arbeitnehmerüberlassung

Bezogen auf die Arbeitnehmerüberlassung sind darüber hinaus aber auch datenschutzrechtliche Vorgaben zu beachten. Die DSGVO gilt in ihrer Gesamtheit auch für die Arbeitnehmerüberlassung. Dies insbesondere, da ein Leiharbeitnehmer arbeitsrechtlich sowohl bei dem Verleiher als auch bei dem Entleiher im gewissen Rahmen eingebunden ist. Wird beispielsweise ein Leiharbeitnehmer in die Arbeitsorganisation des Entleihers eingegliedert, erfolgt eine Verarbeitung personenbezogener Daten. Beispielsweise werden personenbezogene Daten für die Abrechnung mit dem Verleiher erfasst. Die Arbeitszeit wird dokumentiert oder auch Fehlzeiten sowie Urlaubstage werden dokumentiert. Auch beim Ausstellen eines Mitarbeiterausweises, der Nutzung von betriebsinterner Informationstechnologie oder dem Ausstellen einer Kantinenkarte gibt es datenschutzrechtliche Verarbeitungen, für die die DSGVO einschlägig ist.

Arbeitnehmerüberlassung ist keine Auftragsverarbeitung

Teilweise wird diskutiert, ob die Arbeitnehmerüberlassung als Auftragsverarbeitung im Sinne von Art. 28 DSGVO gewertet werden kann. Allerdings erfordert die Auftragsverarbeitung, dass der Auftragsverarbeiter personenbezogene Daten nur nach Weisung des Verantwortlichen verarbeiten darf. Der Auftragsverarbeiter hat hier keine eigene Datenhoheit über personenbezogene Daten. Nur der Verantwortliche bestimmt über die Verwendung und Nutzung der personenbezogenen Daten. In der Praxis stellt sich die Frage, ob der Verleiher oder der Entleiher bei einer solchen juristischen Konstruktion der Verantwortliche ist und wer der Auftragsverarbeiter ist.

Insoweit passt die gesetzliche Konstruktion gemäß Art. 28 DSGVO nicht auf die Arbeitnehmerüberlassung.

Art. 26 DSGVO Joint Controllership ist anwendbar

Dagegen ist gemäß Art. 26 DSGVO eine gemeinsame Verantwortlichkeit des Verleihers und Entleihers anzunehmen. Hier hat sich der Begriff „Joint Controllership“ in der Praxis entwickelt. Gemäß Art. 26 Abs. 1 DSGVO heißt es, dass zwei oder mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dann sind sie auch gemeinsam verantwortlich. Gemäß Art. 26 Abs. 1 Satz 2 DSGVO soll dann in einer Vereinbarung in transparenter Form festgelegt werden, wer von beiden Verantwortlichen welche Verpflichtungen gemäß der DSGVO erfüllt. Besonders verweist der Gesetzgeber dabei auf die Informationspflichten gemäß Art. 13 und Art. 14 DSGVO sowie weitere Verantwortlichkeiten. Auch muss in der Vereinbarung eine Anlaufstelle für die betroffenen Personen angegeben werden (Art. 26 Abs. 1 Satz 3 DSGVO).

§ 26 BDSG, die neuen angepassten Regelungen im Bundesdatenschutzgesetz, definieren, wer „Beschäftigter“ ist. Nach dieser Definition ist ein Leiharbeiter sowohl im Verhältnis zum Verleiher als auch im Verhältnis zum Entleiher Beschäftigter.

Jede Arbeitnehmerüberlassung erfordert Vertrag

Die Regelung in Art. 26 DSGVO, die das Verhältnis der gemeinsam Verantwortlichen festlegt, können nur sinnvoll umgesetzt werden, wenn bei einer Arbeitnehmerüberlassung ein gesonderter Vertrag abgeschlossen wird. Hier sind die Musterverträge zur Auftragsverarbeitung, die an verschiedenen Stellen im Internet zu finden sind, nicht passend. Insbesondere die konkrete Festlegung von Verantwortlichkeiten ist notwendig, um die Haftungsrisiken in den Griff zu bekommen. Gerade der Schadensersatzanspruch nach Art. 82 DSGVO führt bei einem Joint Controllership dazu, dass eine Haftung der gemeinsam Verantwortlichen entsteht. Eine klare Regelung des Haftungsausgleichs im Innenverhältnis sollte mit Blick auf Art. 82 Abs. 5 DSGVO erfolgen.

Bußgeld und Schadensersatz im Zweifel gegen Verleiher und Entleiher

Eine nicht ordnungsgemäße datenschutzrechtliche Umsetzung, sprich das Fehlen einer Vereinbarung nach Art. 26 DSGVO, kann Bußgeldtatbestände und Schadensersatzansprüche von Leiharbeitnehmern auslösen. Darüber hinaus haben beide Vertragsparteien, sprich der Verleiher und der Entleiher, das Risiko zu tragen, keine illegale Datenverarbeitung umzusetzen.

Insbesondere die in Art. 5 Abs. 2 DSGVO festgelegte Rechenschaftspflicht, sprich der Nachweis einer rechtmäßigen Datenverarbeitung, fordert einen Vertrag und eine vertragliche Vereinbarung nach Art. 26 DSGVO zum Joint Controllership.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen