Personalüberlassung als Auftragsverarbeitung?

Frage des GDD-Erfa-Kreises Coburg:

Ein Unternehmen steht mit einem Personaldienstleister in einem vertraglichen Verhältnis, d.h. es werden regelmäßig Mitarbeiter des Personaldienstleisters bei dem Unternehmen eingesetzt; teilweise erfolgt dies nur kurzzeitig für spezielle Projekte, teilweise aber auch über einen längeren Zeitraum hinweg. Im Rahmen der Erbringung der Arbeitsleistung für das Unternehmen haben die Mitarbeiter des Personaldienstleisters auch Zugriffsmöglichkeiten auf personenbezogene Daten des Unternehmens. Die Tätigkeit selbst liegt bei manchen der überlassenen Mitarbeiter in der Erbringung von IT- und Wartungstätigkeiten auf dem System des Unternehmens. Ist in dieser Konstellation ein Auftragsverarbeitungsverhältnis im Sinne des Art. 28 DS-GVO zu sehen? Sofern dies verneint wird und kein AVV mit dem Personaldienstleister zu schließen ist, was ist dann aus datenschutzrechtlicher Sicht zu tun? (…)

Antwort des BayLDA:

Wir sehen hier bei der Personalüberlassung keinen Sachverhalt einer Auftragsverarbeitung, sondern im Schwerpunkt eine Zurverfügungstellung von (weiteren) Arbeitskräften, die beim „Einsatz-Unternehmen“ wie eigene Mitarbeiter zu sehen und dementsprechend zu belehren bzw. zu verpflichten sind. Siehe dazu auch das Kurzpapier Nr. 19 der DSK unter https://www.lda.bayern.de/media/dsk_kpnr_19_verpflichtungBeschaeftigte.pdf , dort insbesondere auf Seite 2, „Wer muss verpflichtet werden“, mit dem Beispiel von Leiharbeitern. Eine Verpflichtung durch den Personaldienstleister ist unzureichend, weil es auf die Gegebenheiten beim „Einsatz-Unternehmen“ ankommt (Unterschiede bei Bank, Versicherung, Produktionsbetrieb von Gesundheitsprodukten, usw.). Der Personaldienstleister ist kein datenschutzrechtlicher Subunternehmer, weil er mit den Daten, die die ausgeliehenen Personen beim „Einsatz-Unternehmen“ verarbeiten, nichts zu tun hat.

Bild von StartupStockPhotos auf Pixabay