Personalüberlassung als Auftragsverarbeitung?
Frage des GDD-Erfa-Kreises Coburg:
Ein Unternehmen steht mit einem Personaldienstleister in einem vertraglichen Verhältnis, d.h. es werden regelmäßig Mitarbeiter des Personaldienstleisters bei dem Unternehmen eingesetzt; teilweise erfolgt dies nur kurzzeitig für spezielle Projekte, teilweise aber auch über einen längeren Zeitraum hinweg. Im Rahmen der Erbringung der Arbeitsleistung für das Unternehmen haben die Mitarbeiter des Personaldienstleisters auch Zugriffsmöglichkeiten auf personenbezogene Daten des Unternehmens. Die Tätigkeit selbst liegt bei manchen der überlassenen Mitarbeiter in der Erbringung von IT- und Wartungstätigkeiten auf dem System des Unternehmens. Ist in dieser Konstellation ein Auftragsverarbeitungsverhältnis im Sinne des Art. 28 DS-GVO zu sehen? Sofern dies verneint wird und kein AVV mit dem Personaldienstleister zu schließen ist, was ist dann aus datenschutzrechtlicher Sicht zu tun? (…)
Antwort des BayLDA:
Wir sehen hier bei der Personalüberlassung keinen Sachverhalt einer Auftragsverarbeitung, sondern im Schwerpunkt eine Zurverfügungstellung von (weiteren) Arbeitskräften, die beim „Einsatz-Unternehmen“ wie eigene Mitarbeiter zu sehen und dementsprechend zu belehren bzw. zu verpflichten sind. Siehe dazu auch das Kurzpapier Nr. 19 der DSK unter https://www.lda.bayern.de/media/dsk_kpnr_19_verpflichtungBeschaeftigte.pdf , dort insbesondere auf Seite 2, „Wer muss verpflichtet werden“, mit dem Beispiel von Leiharbeitern. Eine Verpflichtung durch den Personaldienstleister ist unzureichend, weil es auf die Gegebenheiten beim „Einsatz-Unternehmen“ ankommt (Unterschiede bei Bank, Versicherung, Produktionsbetrieb von Gesundheitsprodukten, usw.). Der Personaldienstleister ist kein datenschutzrechtlicher Subunternehmer, weil er mit den Daten, die die ausgeliehenen Personen beim „Einsatz-Unternehmen“ verarbeiten, nichts zu tun hat.
Bild von StartupStockPhotos auf Pixabay
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
