Datenschutz Zeitarbeit

Datenschutz Arbeitnehmerüberlassung: Das gilt es für Zeitarbeitsfirmen datenschutzrechtlich zu beachten

3. Juni 2024

Die Verarbeitung personenbezogener Bewerber- und Beschäftigtendaten ist – neben der Arbeitnehmerüberlassung – das Kerngeschäft von Zeitarbeitsfirmen. Zahlreiche der verarbeiteten Daten sind sensibel und geben einen umfassenden Einblick in das Berufs- und Persönlichkeitsprofil der betroffenen Mitarbeiter, weshalb das Thema Datenschutz Arbeitnehmerüberlassung sehr wichtig ist. In dem nachfolgenden Artikel beleuchten wir die datenschutzrechtlichen Pflichten in der speziellen Dreieckskonstellation zwischen Zeitarbeitsunternehmen (Verleiher), Entleiher und Leiharbeitnehmer und erklären, was bei der Datenverarbeitung im Rahmen einer Arbeitnehmerüberlassung zu beachten gilt.

Klassische Arbeitnehmerüberlassung Datenschutz

Eine klassische Arbeitnehmerüberlassung ist durch eine spezielle Dreieckskonstellation gekennzeichnet: Das Zeitarbeitsunternehmen ist Vertragsarbeitgeber des Leiharbeiters und erfüllt dessen arbeitsvertragliche Lohn-, Urlaubs- und Entgeltfortzahlungsansprüche. Das Zeitarbeitsunternehmen Datenschutz setzt den Leiharbeitnehmer jedoch nicht selbst ein, sondern überlässt diesen für definierte Zeiträume auf Grundlage eines Arbeitnehmerüberlassungsvertrages an einen Entleiher.  Während der Überlassung wird der Leiharbeitnehmer in den Betriebsstrukturen des Entleihers eingesetzt und dort weisungsgebunden für diesen tätig. Der Entleiher zahlt dem Zeitarbeitsunternehmen für die Überlassung des Leiharbeiters eine Vergütung, die sich üblicherweise nach einem vereinbarten Stundensatz bemisst. 

Datenschutz Zeitarbeitsfirma: Welche personenbezogenen Daten werden verarbeitet? 

Die Verarbeitung von Daten während des Recruitment ist ein Schwerpunkt der unternehmerischen Tätigkeit des Zeitarbeitsunternehmens (Verleihers), um überhaupt eingestellte Arbeitnehmer an die Entleiher überlassen zu können. Hierzu übermitteln Arbeitssuchende insbesondere folgende Daten: 

  • Stammdaten: Vorname, Nachname, Anschrift, Telefonnummer sowie E-Mail-Adresse 
  • Bewerbungsdaten: Anschreiben, Lebenslauf, Zeugnissen, Bewerber-Fragebögen, Bewerber-Interviews
  • Angaben zur gewünschten Tätigkeit und Gehaltsvorstellung
  • Ggf. amtliche Dokumente: Personalausweis, Aufenthalts- und Arbeitserlaubnis, Führerscheine
  • Ggf. Daten zur gesundheitlichen Eignung für eine bestimmte Tätigkeit

Die Datenübermittlung an interessierte Entleiher muss sich auf die Daten beschränken, die für die Beurteilung der Eignung des Bewerbers erforderlich sind.  Bestenfalls werden an den Entleiher anonymisierte Bewerbungsdaten oder Profile weitergegeben. Die Verarbeitung sensibler Daten durch den Entleiher sollte nur erfolgen, wenn dies aus rechtlichen oder tatsächlichen Gründen erforderlich ist.

Brauchen Zeitarbeitsunternehmen einen Auftragsverarbeitungsvertrag?

In der Praxis lässt sich immer wieder beobachten, dass Zeitarbeitsunternehmen und Entleiher im Zuge der Arbeitnehmerüberlassung einen Auftragsverarbeitungsvertrag schließen. Dies ist falsch. Im Falle der klassischen Arbeitnehmerüberlassung ist zwischen dem Zeitarbeitsunternehmen und dem Entleiher kein Auftragsverarbeitungsvertrag abzuschließen. 

Hintergrund: Eine Auftragsverarbeitung setzt stets Weisungsgebundenheit des Auftragnehmers und mögliche Kontrollbefugnisse des Auftraggebers voraus. Bei der klassischen Arbeitnehmerüberlassung ist der Entleiher gegenüber dem Zeitarbeitsunternehmen im Hinblick auf die Verarbeitung der personenbezogenen Beschäftigtendaten nicht weisungsgebunden. Auch besitzt der Entleiher keinerlei Kontrollmöglichkeiten gegenüber dem Zeitarbeitsunternehmen, so wie es Art. 28 DSGVO für eine Auftragsverarbeitung vorsieht. 

Deshalb kamen auch die Datenschutz-Aufsichtsbehörden in Baden-Württemberg (LDI Tätigkeitsbericht Datenschutz für 2019)   und in  NRW (LDI NRW im Tätigkeitsbericht Datenschutz für 2020) zu dem Ergebnis, dass zwischen Zeitarbeitsunternehmen und Entleiher in Bezug auf die personenbezogenen Daten von Leiharbeitnehmern keine Auftragsverarbeitung vorliegt. Die Verarbeitung von Daten erfolgt durch beide Akteure eigenständig für ihre eigenen oder gemeinsamen Zwecke. Somit sind sie nicht Gegenstand einer Auftragsverarbeitung.

Im Ergebnis heißt dies, dass Entleiher und Zeitarbeitsunternehmen entweder die personenbezogenen Daten der Leiharbeitnehmer jeweils in eigener Verantwortlichkeit – mit der Folge, dass sie sich als Dritte gegenüberstehen oder dass sie die personenbezogenen Daten in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) – verarbeiten. 

Welche datenschutzrechtlichen Verantwortlichkeiten bestehen bei der Arbeitnehmerüberlassung?

Nach einhelliger Ansicht der Aufsichtsbehörden ist das Zeitarbeitsunternehmen  kein Auftragsverarbeiter (Art. 28 DSGVO) des Entleihers. Zu diesem Ergebnis kommt auch die  Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) Baden-Württemberg im Tätigkeitsbericht Datenschutz für 2019.  In Betracht kommt, dass Entleiher und Zeitarbeitsunternehmen  entweder die personenbezogenen Daten der Zeitarbeitnehmer jeweils in eigener Verantwortlichkeit oder in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) verarbeiten (vgl. LDI NRW im Tätigkeitsbericht Datenschutz für 2020). 

Bei der klassischen Arbeitnehmerüberlassung liegt grundsätzlich keine gemeinsame Verantwortlichkeit vor, da Zeitarbeitsunternehmen  und Entleiher in keinem Zusammenhang Mittel und Zwecke der Datenverarbeitung gemeinsam festlegen: Soweit das Zeitarbeitsunternehmen  die Qualifikation der Leiharbeitnehmer überprüft, geschieht dies mit selbst gewählten Methoden, um seine eigene Rechtspflicht zur ordnungsgemäßen Auswahl des Leiharbeitnehmers zu erfüllen. Reicht er Bewerbungsunterlagen an den Entleiher weiter, entscheidet der Entleiher im Anschluss allein, auf welche Weise die Daten in den Bewerbungsunterlagen verarbeitet werden, insbesondere welche Schlüsse er aus diesen zieht.

Datenschutz Arbeitnehmerüberlassung: Gemeinsame Verantwortlichkeit ?

Bei weiterführenden Services durch das Zeitarbeitsunternehmen, z. B. der gemeinsamen Personalbedarfsplanung für den Einsatzbetrieb  im Rahmen des Onsite-Managements und gemeinsam genutzten Systemen (Onsite Management) müssen die wechselseitigen Rechte und Pflichten vom Datenschutzbeauftragten und die Verarbeitung vertraglich unter die Lupe genommen werden. Nur so kann im Einzelfall entschieden werden, ob eine gemeinsame Verantwortlichkeit (Art 26 DSGVO) vorliegt. 

Datenschutz Arbeitnehmerüberlassung: 10 Tipps zur Einhaltung der datenschutzrechtlichen Pflichten  

Bei der klassischen Arbeitnehmerüberlassung sind Zeitarbeitsunternehmen (Verleiher) und Entleiher grundsätzlich selbst für ihre jeweiligen Handlungen im Umgang mit den personenbezogenen Daten der Leiharbeitnehmer verantwortlich. Vor diesem Hintergrund sollten Zeitarbeitsunternehmen und Entleiher folgende Datenschutz-Praxistipps beachten:

  • Datenschutzbeauftragter benennen: Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung von Daten von Personen beschäftigt sind oder eine besonders umfangreiche Datenverarbeitung vorgenommen wird, müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen.  Welche Personen in der Bemessung der Beschäftigtenzahl zu berücksichtigen sind, erfahren Sie in unserem Artikel „Ab wann ist ein Datenschutzbeauftragter Pflicht?“
  • Alle datenschutzrelevanten Geschäftsprozesse, z. B. Bewerbermanagement, Personalmanagement, Personalplanung, Datenweitergabe zwischen Entleiher und Zeitarbeitsunternehmen, buchhaltungsrelevante Prozesse etc. sind im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren und fortlaufend zu aktualisieren. 
  • Datenschutzerklärungen gegenüber Bewerbern:  In dessen Bewerberportal sollte das Zeitarbeitsunternehmen  den Bewerbern mit einer Datenschutzerklärung über die bevorstehende Datenverarbeitung aufklären (Art. 13 DSGVO). Die Datenschutzerklärung muss insbesondere Informationen über die erhobenen Daten, Verarbeitungszweck und Rechtsgrundlage und Erläuterungen zu den Betroffenenrechten enthalten. Weiterhin ist auf eine leichte Erreichbarkeit der Datenschutzerklärung zu achten.
  • Nutzt das Zeitarbeitsunternehmen bei der Erfassung der Daten einen Bewerberfragebogen, sollte dieser nur Fragen enthalten, die für das jeweilige Arbeitsverhältnis relevant sind. Das Fragerecht des Arbeitgebers wird durch das Allgemeine Gleichbehandlungsgesetz, die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz beschränkt.
  • Bewerbungsunterlagen sollten sechs Monate nach Ablehnung des Bewerbers (automatisiert) gelöscht werden (LDI NRW, 26. Bericht 2021, S. 99). Es sind geeignete technische und organisatorische  Vorkehrungen zu treffen,  sodass eine zeitgerechte Löschung gewährleistet werden kann. 
  • Talentpool: Ohne eine ausdrückliche Einwilligung des Bewerbers – diese sollte aus Beweiszwecken zudem dokumentiert werden – ist die Nutzung eines Bewerberprofils im Talentpool strikt untersagt. Eine digitale Einwilligung ist ebenfalls zulässig.
  • Identität des Leiharbeitnehmers schützen: Stellt der Verleiher zur Gewinnung potenzieller Kunden detaillierte Kandidatenprofile zu Werbezwecken vor, sollten diese Profile pseudonymisiert werden. Das Zeitarbeitsunternehmen  sollte die Identität eines Leiharbeitnehmers erst dann offenlegen, wenn der Entleiher ein konkretes Interesse an einem vorgestellten Kandidaten gezeigt hat.
  • Biometrische Daten (z. B. die Kopie des Personalausweises oder Reisepasses) und Gesundheitsdaten (z. B. Impfzertifikate) sind besonders zu schützen. Nicht nur bei einem laufenden Bewerbungsverfahren, sondern auch nach der Einstellung dürfen Zeitarbeitsunternehmen eine entgegengenommene Ablichtung des Personalausweises grundsätzlich nicht an den Entleiher weitergeben.
  • Die Auswahl von Softwareanbietern sollte stets nach datenschutzrechtlichen Gesichtspunkten erfolgen. Bei der Nutzung eines externen IT-gestützten HR-Systems (zum Beispiel SaaS) ist regelmäßig der Abschluss eines Auftragsverarbeitungsvertrages  mit dem Softwareanbieter erforderlich.

Es gehört zu den datenschutzrechtlichen Pflichten, geeignete technische und organisatorische Datensicherheitsmaßnahmen festzulegen. Zeitarbeitsunternehmen und Entleiher sollte Maßnahmen hinsichtlich der physischen Sicherheit (Gebäudezutritt), Sicherheit am Arbeitsplatz (Sperrbildschirm, Passwörter, Festplattenverschlüsselung), Zugriffssicherheit  und der sicheren Datenübertragung zwischen Ent- und Verleiher festlegen. Weitere nützliche Praxistipps für einen datenschutzkonformen Bewerbungsprozess finden Sie im gleichnamige Artikel.

FAQ Datenschutz Arbeitnehmerüberlassung

Brauchen Zeitarbeitsunternehmen einen Datenschutzbeauftragten?  

Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss eine Zeitarbeitsfirma als verantwortliche Stelle einen Datenschutzbeauftragten benennen (§ 38 BDSG). Bei der Bemessung der Anzahl der Beschäftigten werden auch die Mitarbeiter im Kundeneinsatz (Leiharbeitnehmer)  Auszubildende, freie Mitarbeiter und Praktikanten sowie (Vollzeit-/Teilzeit-) Beschäftigte im Home-Office oder in Telearbeit voll berücksichtigt.

Was ist zu tun, wenn kein Datenschutzbeauftragter benannt werden muss? 

Falls kein Datenschutzbeauftragter benannt werden muss, etwa weil die Schwelle von 20 Mitarbeitern unterschritten wird, befreit dies das Unternehmen nicht von den übrigen DSGVO-Pflichten. Zur Klarstellung: Die DSGVO-Vorgaben müssen natürlich weiterhin vollständig umgesetzt werden. Dazu gehört z. B.  
•Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten 
•Implementierung und Dokumentation geeigneter technischer und organisatorischer Datensicherheitsmaßnahmen 
•Abschluss von Auftragsverarbeitungsverträgen 
•Erstellung und Einbindung von Datenschutzerklärungen  

Sind Zeitarbeitsfirmen Auftragsverarbeiter im Sinne der DSGVO? 

Nach einhelliger Ansicht der Aufsichtsbehörden ist das Zeitarbeitsunternehmen  kein Auftragsverarbeiter des Entleihers (Art. 28 DSGVO). Bei der klassischen Arbeitnehmerüberlassung fehlt es an der Weisungsbefugnis des Entleihers und den Kontrollmöglichkeiten gegenüber dem Zeitarbeitsunternehmen, so wie es Art. 28 DSGVO für eine Auftragsverarbeitung vorsieht. Zu diesem Ergebnis kommt auch die  Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) Baden-Württemberg im Tätigkeitsbericht Datenschutz für 2019.  

Sind Entleiher und Zeitarbeitsunternehmen “gemeinsame Verantwortliche” im Sinne der DSGVO?

Bei der klassischen Arbeitnehmerüberlassung liegt grundsätzlich keine gemeinsame Verantwortlichkeit vor. Die Zwecke und Mittel der Datenverarbeitung werden vom Zeitarbeitsunternehmen  und Entleiher nicht gemeinsam festgelegt. Sofern das Zeitarbeitsunternehmen die Qualifikation der Leiharbeitnehmer überprüft, geschieht dies mithilfe eigens ausgewählter Methoden, um seine eigene rechtliche Verpflichtung zur ordnungsgemäßen Auswahl der Leiharbeitnehmer zu erfüllen. Bei zusätzlichen Dienstleistungen des Zeitarbeitsunternehmens, wie beispielsweise der gemeinsamen Personalbedarfsplanung für den Einsatzbetrieb im Rahmen des Onsite-Managements und der Nutzung gemeinsamer Systeme (Onsite Management), müssen die gegenseitigen Rechte und Pflichten vom Datenschutzbeauftragten genau geprüft werden. Nur so kann im Einzelfall entschieden werden, ob eine gemeinsame Verantwortlichkeit (gemäß Art. 26 DSGVO) besteht (vgl. LDI NRW im Tätigkeitsbericht Datenschutz für 2020). 

Dürfen Bewerberdaten zu Recruiting-Zwecken verarbeitet werden? 

Die Datenverarbeitung ist zulässig, wenn es für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Die Verarbeitung der Bewerberdaten, wie Anschreiben, Lebenslauf, Zeugnisse und andere Qualifikationsnachweise sind üblicherweise erforderlich, um die Eignung eines Bewerbers zu überprüfen und daher von §26 Ab. 1 S. 1 BDSG gedeckt.

Wie lange dürfen Bewerberdaten gespeichert werden?

Bewerbungsunterlagen sollten sechs Monate nach Ablehnung des Bewerbers (automatisiert) gelöscht werden (LDI NRW, 26. Bericht 2021, S. 99). Die Sechs-Monats-Frist ergibt sich unter anderem aus § 15 Abs. 4 AGG und den damit verbundenen Klagefristen unter Berücksichtigung der Prozessschritte und der Zeit für Schriftwechsel. 

Dürfen Bewerberdaten länger als 6 Monate gespeichert werden?  

In besonderen Fällen ist es erlaubt, die Bewerberdaten länger als 6 Monate zu speichern. Wenn Bewerberinnen und Bewerber in einen Bewerber- oder Talentpool aufgenommen werden sollen, weil derzeit keine geeignete Stelle ausgeschrieben ist, können die Daten länger gespeichert werden, um sie zu einem späteren Zeitpunkt zu kontaktieren. Die Voraussetzung hierfür ist, dass die Bewerberinnen und Bewerber zu diesem Zweck zuvor ihre Einwilligung zur Speicherung der Daten erteilt haben. 

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

Wir arbeiten zertifiziert

Social Media