Arbeitnehmerüberlassung als Fall des Joint Controllership nach Art. 26 DS-GVO

1. LfDI BW – 35. Tätigkeitsbericht 2019
Der LfDI BW machte in seinem 35. Tätigkeitsbericht aus dem Jahre 2019 (Ziffer 9.1) darauf aufmerksam, dass in der Praxis oftmals eine Auftragsverarbeitung gem. Art. 28 DS-GVO zwischen verantwortlichen Stellen vereinbart wird, um vermeintlichen Anforderungen der DS-GVO nachzukommen, auch wenn im konkreten Fall überhaupt keine Auftragsverarbeitung vorliegt. Würden bspw. Beschäftigtendaten von verschiedenen Unternehmen erhoben oder übermittelt, seien mit Blick auf den Beschäftigtendatenschutz die Datenverarbeitungen besonders sensibel und genauer zu betrachten.
An dieser Stelle geht der LfDI BW auf die Frage ein, ob der Fall einer Arbeitnehmerüberlassung als ein Fall der Auftragsverarbeitung (Art. 28 DS-GVO) oder ggf. als ein Fall der sog. gemeinsamen Verantwortlichkeit (Art. 26 DS-GVO) betrachtet werden kann.

In einem von der Aufsichtsbehörde geprüften Fall sei das Geschäftsmodell der verantwortlichen Stelle das sog. „Personalleasing“ gewesen, d.h. die Arbeitnehmerüberlassung von Leiharbeitnehmerinnen entsprechend des Arbeitnehmerüberlassungsgesetzes (AÜG). Im Zuge des Einsatzes der Leiharbeitnehmerinnen bei anderen Unternehmen, den „Entleihern“, seien in der Vergangenheit oftmals Auftragsverarbeitungsvereinbarungen gem. Art. 28 DS-GVO seitens der Entleihunternehmen zugesandt worden, um damit den datenschutzrechtliche Anforderungen der DS-GVO vor dem Hintergrund der Arbeitnehmerüberlassung zu genügen.

Nach Art. 88 DS-GVO i. V. m. § 26 Absatz 8 Nr. 1 BDSG sind Beschäftigte im Sinne des Gesetzes „Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher“. Dies solle klarstellen, dass Leiharbeitnehmerinnen nicht nur gegenüber Ihrem Arbeitgeber, sondern auch gegenüber dem Unternehmen, bei welchem sie eingesetzt sind, datenschutzrechtlich als Beschäftigte gelten. Dies sei darauf zurück zu führen, dass es zu einer Vielzahl von Verarbeitungen, zwischen dem „Verleiher“ und „Entleiher“ über die Leiharbeitnehmerinnen komme und beide sich demnach an die Voraussetzungen des Art. 88 DS-GVO i. V. m. § 26 Absatz 1 BDSG halten müssten.

Das bedeutete aber auch, dass eine Auftragsverarbeitungsvereinbarung gem. Art. 28 DS-GVO beim „Personalleasing“ überhaupt nicht in Frage komme. Der „Verleiher“ verarbeite keine personenbezogenen Daten auf Weisung, unter Kontrolle oder für Zwecke des Entleihers, wie es Art. 28 DS-GVO voraussetzen würde. Das Gegenteil sei der Fall: „Entleiher“ und „Verleiher“ verarbeiten die personenbezogenen Daten Leiharbeitnehmer*innen meistens für ihre eigenen oder gemeinsame Zwecke und Absichten und somit gerade nicht im Auftrag oder auf Weisung der anderen Vertragspartei. „Verleiher“ und „Entleiher“ seien somit selbst jeweils als eigene Verantwortliche anzusehen oder gemeinsam verantwortlich.

2. Tätigkeitsbericht des Rundfunkdatenschutzbeauftragten für das Jahr 2021
Auch der Rundfunkdatenschutzbeauftragte beschäftigt sich in seinem Tätigkeitsbericht für das Jahr 2021 mit der Frage der gemeinsamen Verantwortlichkeit in Anwendungsfall der Arbeitnehmerüberlassung (Seite 36 ff.)

Der Rundfunkdatenschutzbeauftragte macht darauf aufmerksam, das nicht jeder drittbezogene Arbeitseinsatz dem Arbeitnehmerüberlassungsgesetz unterfällt. Arbeitnehmerüberlassung sei vielmehr durch eine spezifische Ausgestaltung der Vertragsbeziehungen zwischen Verleiher und Entleiher einerseits (dem Arbeitnehmerüberlassungsvertrag) und zwischen Verleiher und Arbeitnehmer andererseits (dem Leiharbeitsvertrag) sowie durch das Fehlen einer arbeitsvertraglichen Beziehung zwischen Arbeitnehmer und Entleiher gekennzeichnet. In dieser Konstellation verfolge jeder der beteiligten Verantwortlichen eigene Interessen und verarbeite die in diesem Zusammenhang anfallenden personenbezogenen Daten daher auch ausschließlich zu jeweils eigenen Zwecken.

Bedingung für eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO sei jedoch, dass die Vertragspartner Zwecke und Mittel der Datenverarbeitung gemeinsam festlegen. Allein die „Durchführung der Arbeitnehmerüberlassung“ sieht der Rundfunkdatenschutzbeaufragte daher nicht als hinreichenden übergeordneten „gemeinsamen Zweck“ an, da damit im Grunde auch jedes sonstige Vertragsverhältnis, das mit der Verarbeitung personenbezogener Daten verbunden ist, unter Art. 26 DSGVO zu subsumieren wäre.

Allerdings könne es durchaus bestimmte Konstellationen geben, in denen auch eine Arbeitnehmerüberlassung den Abschluss eines Vertrags nach Art. 26 DS-GVO erforderlich mache. Raum hierfür sieht der Rundfunkdatenschutzbeauftragte in erster Linie dort, wo Ver- und Entleiher über das Verleihgeschäft hinaus gemeinsame (wirtschaftliche oder sonstige) Interessen verfolgen, die sich auch auf die Datenverarbeitung auswirken.

(Foto: Jörg Lantelme – stock.adobe.com)