Die Verarbeitung personenbezogener Bewerber- und Beschäftigtendaten ist – neben der Arbeitnehmerüberlassung – das Kerngeschäft von Zeitarbeitsfirmen. Zahlreiche der verarbeiteten Daten sind sensibel und geben einen umfassenden Einblick in das Berufs- und Persönlichkeitsprofil der betroffenen Mitarbeiter, weshalb das Thema Datenschutz Arbeitnehmerüberlassung sehr wichtig ist. In dem nachfolgenden Artikel beleuchten wir die datenschutzrechtlichen Pflichten in der speziellen Dreieckskonstellation zwischen Zeitarbeitsunternehmen (Verleiher), Entleiher und Leiharbeitnehmer und erklären, was bei der Datenverarbeitung im Rahmen einer Arbeitnehmerüberlassung zu beachten gilt.
Inhaltsverzeichnis
- Klassische Arbeitnehmerüberlassung Datenschutz
- Datenschutz Zeitarbeitsfirma: Welche personenbezogenen Daten werden verarbeitet?
- Brauchen Zeitarbeitsunternehmen einen Auftragsverarbeitungsvertrag?
- Welche datenschutzrechtlichen Verantwortlichkeiten bestehen bei der Arbeitnehmerüberlassung?
- Datenschutz Arbeitnehmerüberlassung: Gemeinsame Verantwortlichkeit ?
- Datenschutz Arbeitnehmerüberlassung: 10 Tipps zur Einhaltung der datenschutzrechtlichen Pflichten
- FAQ Datenschutz Arbeitnehmerüberlassung
Klassische Arbeitnehmerüberlassung Datenschutz
Eine klassische Arbeitnehmerüberlassung ist durch eine spezielle Dreieckskonstellation gekennzeichnet: Das Zeitarbeitsunternehmen ist Vertragsarbeitgeber des Leiharbeiters und erfüllt dessen arbeitsvertragliche Lohn-, Urlaubs- und Entgeltfortzahlungsansprüche. Das Zeitarbeitsunternehmen Datenschutz setzt den Leiharbeitnehmer jedoch nicht selbst ein, sondern überlässt diesen für definierte Zeiträume auf Grundlage eines Arbeitnehmerüberlassungsvertrages an einen Entleiher. Während der Überlassung wird der Leiharbeitnehmer in den Betriebsstrukturen des Entleihers eingesetzt und dort weisungsgebunden für diesen tätig. Der Entleiher zahlt dem Zeitarbeitsunternehmen für die Überlassung des Leiharbeiters eine Vergütung, die sich üblicherweise nach einem vereinbarten Stundensatz bemisst.
Datenschutz Zeitarbeitsfirma: Welche personenbezogenen Daten werden verarbeitet?
Die Verarbeitung von Daten während des Recruitment ist ein Schwerpunkt der unternehmerischen Tätigkeit des Zeitarbeitsunternehmens (Verleihers), um überhaupt eingestellte Arbeitnehmer an die Entleiher überlassen zu können. Hierzu übermitteln Arbeitssuchende insbesondere folgende Daten:
- Stammdaten: Vorname, Nachname, Anschrift, Telefonnummer sowie E-Mail-Adresse
- Bewerbungsdaten: Anschreiben, Lebenslauf, Zeugnissen, Bewerber-Fragebögen, Bewerber-Interviews
- Angaben zur gewünschten Tätigkeit und Gehaltsvorstellung
- Ggf. amtliche Dokumente: Personalausweis, Aufenthalts- und Arbeitserlaubnis, Führerscheine
- Ggf. Daten zur gesundheitlichen Eignung für eine bestimmte Tätigkeit
Die Datenübermittlung an interessierte Entleiher muss sich auf die Daten beschränken, die für die Beurteilung der Eignung des Bewerbers erforderlich sind. Bestenfalls werden an den Entleiher anonymisierte Bewerbungsdaten oder Profile weitergegeben. Die Verarbeitung sensibler Daten durch den Entleiher sollte nur erfolgen, wenn dies aus rechtlichen oder tatsächlichen Gründen erforderlich ist.
Brauchen Zeitarbeitsunternehmen einen Auftragsverarbeitungsvertrag?
In der Praxis lässt sich immer wieder beobachten, dass Zeitarbeitsunternehmen und Entleiher im Zuge der Arbeitnehmerüberlassung einen Auftragsverarbeitungsvertrag schließen. Dies ist falsch. Im Falle der klassischen Arbeitnehmerüberlassung ist zwischen dem Zeitarbeitsunternehmen und dem Entleiher kein Auftragsverarbeitungsvertrag abzuschließen.
Hintergrund: Eine Auftragsverarbeitung setzt stets Weisungsgebundenheit des Auftragnehmers und mögliche Kontrollbefugnisse des Auftraggebers voraus. Bei der klassischen Arbeitnehmerüberlassung ist der Entleiher gegenüber dem Zeitarbeitsunternehmen im Hinblick auf die Verarbeitung der personenbezogenen Beschäftigtendaten nicht weisungsgebunden. Auch besitzt der Entleiher keinerlei Kontrollmöglichkeiten gegenüber dem Zeitarbeitsunternehmen, so wie es Art. 28 DSGVO für eine Auftragsverarbeitung vorsieht.
Deshalb kamen auch die Datenschutz-Aufsichtsbehörden in Baden-Württemberg (LDI Tätigkeitsbericht Datenschutz für 2019) und in NRW (LDI NRW im Tätigkeitsbericht Datenschutz für 2020) zu dem Ergebnis, dass zwischen Zeitarbeitsunternehmen und Entleiher in Bezug auf die personenbezogenen Daten von Leiharbeitnehmern keine Auftragsverarbeitung vorliegt. Die Verarbeitung von Daten erfolgt durch beide Akteure eigenständig für ihre eigenen oder gemeinsamen Zwecke. Somit sind sie nicht Gegenstand einer Auftragsverarbeitung.
Im Ergebnis heißt dies, dass Entleiher und Zeitarbeitsunternehmen entweder die personenbezogenen Daten der Leiharbeitnehmer jeweils in eigener Verantwortlichkeit – mit der Folge, dass sie sich als Dritte gegenüberstehen oder dass sie die personenbezogenen Daten in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) – verarbeiten.
Welche datenschutzrechtlichen Verantwortlichkeiten bestehen bei der Arbeitnehmerüberlassung?
Nach einhelliger Ansicht der Aufsichtsbehörden ist das Zeitarbeitsunternehmen kein Auftragsverarbeiter (Art. 28 DSGVO) des Entleihers. Zu diesem Ergebnis kommt auch die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) Baden-Württemberg im Tätigkeitsbericht Datenschutz für 2019. In Betracht kommt, dass Entleiher und Zeitarbeitsunternehmen entweder die personenbezogenen Daten der Zeitarbeitnehmer jeweils in eigener Verantwortlichkeit oder in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) verarbeiten (vgl. LDI NRW im Tätigkeitsbericht Datenschutz für 2020).
Bei der klassischen Arbeitnehmerüberlassung liegt grundsätzlich keine gemeinsame Verantwortlichkeit vor, da Zeitarbeitsunternehmen und Entleiher in keinem Zusammenhang Mittel und Zwecke der Datenverarbeitung gemeinsam festlegen: Soweit das Zeitarbeitsunternehmen die Qualifikation der Leiharbeitnehmer überprüft, geschieht dies mit selbst gewählten Methoden, um seine eigene Rechtspflicht zur ordnungsgemäßen Auswahl des Leiharbeitnehmers zu erfüllen. Reicht er Bewerbungsunterlagen an den Entleiher weiter, entscheidet der Entleiher im Anschluss allein, auf welche Weise die Daten in den Bewerbungsunterlagen verarbeitet werden, insbesondere welche Schlüsse er aus diesen zieht.
Datenschutz Arbeitnehmerüberlassung: Gemeinsame Verantwortlichkeit ?
Bei weiterführenden Services durch das Zeitarbeitsunternehmen, z. B. der gemeinsamen Personalbedarfsplanung für den Einsatzbetrieb im Rahmen des Onsite-Managements und gemeinsam genutzten Systemen (Onsite Management) müssen die wechselseitigen Rechte und Pflichten vom Datenschutzbeauftragten und die Verarbeitung vertraglich unter die Lupe genommen werden. Nur so kann im Einzelfall entschieden werden, ob eine gemeinsame Verantwortlichkeit (Art 26 DSGVO) vorliegt.
Datenschutz Arbeitnehmerüberlassung: 10 Tipps zur Einhaltung der datenschutzrechtlichen Pflichten
Bei der klassischen Arbeitnehmerüberlassung sind Zeitarbeitsunternehmen (Verleiher) und Entleiher grundsätzlich selbst für ihre jeweiligen Handlungen im Umgang mit den personenbezogenen Daten der Leiharbeitnehmer verantwortlich. Vor diesem Hintergrund sollten Zeitarbeitsunternehmen und Entleiher folgende Datenschutz-Praxistipps beachten:
- Datenschutzbeauftragter benennen: Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung von Daten von Personen beschäftigt sind oder eine besonders umfangreiche Datenverarbeitung vorgenommen wird, müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen. Welche Personen in der Bemessung der Beschäftigtenzahl zu berücksichtigen sind, erfahren Sie in unserem Artikel „Ab wann ist ein Datenschutzbeauftragter Pflicht?“
- Alle datenschutzrelevanten Geschäftsprozesse, z. B. Bewerbermanagement, Personalmanagement, Personalplanung, Datenweitergabe zwischen Entleiher und Zeitarbeitsunternehmen, buchhaltungsrelevante Prozesse etc. sind im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren und fortlaufend zu aktualisieren.
- Datenschutzerklärungen gegenüber Bewerbern: In dessen Bewerberportal sollte das Zeitarbeitsunternehmen den Bewerbern mit einer Datenschutzerklärung über die bevorstehende Datenverarbeitung aufklären (Art. 13 DSGVO). Die Datenschutzerklärung muss insbesondere Informationen über die erhobenen Daten, Verarbeitungszweck und Rechtsgrundlage und Erläuterungen zu den Betroffenenrechten enthalten. Weiterhin ist auf eine leichte Erreichbarkeit der Datenschutzerklärung zu achten.
- Nutzt das Zeitarbeitsunternehmen bei der Erfassung der Daten einen Bewerberfragebogen, sollte dieser nur Fragen enthalten, die für das jeweilige Arbeitsverhältnis relevant sind. Das Fragerecht des Arbeitgebers wird durch das Allgemeine Gleichbehandlungsgesetz, die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz beschränkt.
- Bewerbungsunterlagen sollten sechs Monate nach Ablehnung des Bewerbers (automatisiert) gelöscht werden (LDI NRW, 26. Bericht 2021, S. 99). Es sind geeignete technische und organisatorische Vorkehrungen zu treffen, sodass eine zeitgerechte Löschung gewährleistet werden kann.
- Talentpool: Ohne eine ausdrückliche Einwilligung des Bewerbers – diese sollte aus Beweiszwecken zudem dokumentiert werden – ist die Nutzung eines Bewerberprofils im Talentpool strikt untersagt. Eine digitale Einwilligung ist ebenfalls zulässig.
- Identität des Leiharbeitnehmers schützen: Stellt der Verleiher zur Gewinnung potenzieller Kunden detaillierte Kandidatenprofile zu Werbezwecken vor, sollten diese Profile pseudonymisiert werden. Das Zeitarbeitsunternehmen sollte die Identität eines Leiharbeitnehmers erst dann offenlegen, wenn der Entleiher ein konkretes Interesse an einem vorgestellten Kandidaten gezeigt hat.
- Biometrische Daten (z. B. die Kopie des Personalausweises oder Reisepasses) und Gesundheitsdaten (z. B. Impfzertifikate) sind besonders zu schützen. Nicht nur bei einem laufenden Bewerbungsverfahren, sondern auch nach der Einstellung dürfen Zeitarbeitsunternehmen eine entgegengenommene Ablichtung des Personalausweises grundsätzlich nicht an den Entleiher weitergeben.
- Die Auswahl von Softwareanbietern sollte stets nach datenschutzrechtlichen Gesichtspunkten erfolgen. Bei der Nutzung eines externen IT-gestützten HR-Systems (zum Beispiel SaaS) ist regelmäßig der Abschluss eines Auftragsverarbeitungsvertrages mit dem Softwareanbieter erforderlich.
Es gehört zu den datenschutzrechtlichen Pflichten, geeignete technische und organisatorische Datensicherheitsmaßnahmen festzulegen. Zeitarbeitsunternehmen und Entleiher sollte Maßnahmen hinsichtlich der physischen Sicherheit (Gebäudezutritt), Sicherheit am Arbeitsplatz (Sperrbildschirm, Passwörter, Festplattenverschlüsselung), Zugriffssicherheit und der sicheren Datenübertragung zwischen Ent- und Verleiher festlegen. Weitere nützliche Praxistipps für einen datenschutzkonformen Bewerbungsprozess finden Sie im gleichnamige Artikel.
FAQ Datenschutz Arbeitnehmerüberlassung
Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss eine Zeitarbeitsfirma als verantwortliche Stelle einen Datenschutzbeauftragten benennen (§ 38 BDSG). Bei der Bemessung der Anzahl der Beschäftigten werden auch die Mitarbeiter im Kundeneinsatz (Leiharbeitnehmer) Auszubildende, freie Mitarbeiter und Praktikanten sowie (Vollzeit-/Teilzeit-) Beschäftigte im Home-Office oder in Telearbeit voll berücksichtigt.
Falls kein Datenschutzbeauftragter benannt werden muss, etwa weil die Schwelle von 20 Mitarbeitern unterschritten wird, befreit dies das Unternehmen nicht von den übrigen DSGVO-Pflichten. Zur Klarstellung: Die DSGVO-Vorgaben müssen natürlich weiterhin vollständig umgesetzt werden. Dazu gehört z. B.
•Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten
•Implementierung und Dokumentation geeigneter technischer und organisatorischer Datensicherheitsmaßnahmen
•Abschluss von Auftragsverarbeitungsverträgen
•Erstellung und Einbindung von Datenschutzerklärungen
Nach einhelliger Ansicht der Aufsichtsbehörden ist das Zeitarbeitsunternehmen kein Auftragsverarbeiter des Entleihers (Art. 28 DSGVO). Bei der klassischen Arbeitnehmerüberlassung fehlt es an der Weisungsbefugnis des Entleihers und den Kontrollmöglichkeiten gegenüber dem Zeitarbeitsunternehmen, so wie es Art. 28 DSGVO für eine Auftragsverarbeitung vorsieht. Zu diesem Ergebnis kommt auch die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) Baden-Württemberg im Tätigkeitsbericht Datenschutz für 2019.
Bei der klassischen Arbeitnehmerüberlassung liegt grundsätzlich keine gemeinsame Verantwortlichkeit vor. Die Zwecke und Mittel der Datenverarbeitung werden vom Zeitarbeitsunternehmen und Entleiher nicht gemeinsam festgelegt. Sofern das Zeitarbeitsunternehmen die Qualifikation der Leiharbeitnehmer überprüft, geschieht dies mithilfe eigens ausgewählter Methoden, um seine eigene rechtliche Verpflichtung zur ordnungsgemäßen Auswahl der Leiharbeitnehmer zu erfüllen. Bei zusätzlichen Dienstleistungen des Zeitarbeitsunternehmens, wie beispielsweise der gemeinsamen Personalbedarfsplanung für den Einsatzbetrieb im Rahmen des Onsite-Managements und der Nutzung gemeinsamer Systeme (Onsite Management), müssen die gegenseitigen Rechte und Pflichten vom Datenschutzbeauftragten genau geprüft werden. Nur so kann im Einzelfall entschieden werden, ob eine gemeinsame Verantwortlichkeit (gemäß Art. 26 DSGVO) besteht (vgl. LDI NRW im Tätigkeitsbericht Datenschutz für 2020).
Die Datenverarbeitung ist zulässig, wenn es für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Die Verarbeitung der Bewerberdaten, wie Anschreiben, Lebenslauf, Zeugnisse und andere Qualifikationsnachweise sind üblicherweise erforderlich, um die Eignung eines Bewerbers zu überprüfen und daher von §26 Ab. 1 S. 1 BDSG gedeckt.
Bewerbungsunterlagen sollten sechs Monate nach Ablehnung des Bewerbers (automatisiert) gelöscht werden (LDI NRW, 26. Bericht 2021, S. 99). Die Sechs-Monats-Frist ergibt sich unter anderem aus § 15 Abs. 4 AGG und den damit verbundenen Klagefristen unter Berücksichtigung der Prozessschritte und der Zeit für Schriftwechsel.
In besonderen Fällen ist es erlaubt, die Bewerberdaten länger als 6 Monate zu speichern. Wenn Bewerberinnen und Bewerber in einen Bewerber- oder Talentpool aufgenommen werden sollen, weil derzeit keine geeignete Stelle ausgeschrieben ist, können die Daten länger gespeichert werden, um sie zu einem späteren Zeitpunkt zu kontaktieren. Die Voraussetzung hierfür ist, dass die Bewerberinnen und Bewerber zu diesem Zweck zuvor ihre Einwilligung zur Speicherung der Daten erteilt haben.