Lesezeit: 3 Min
Bei Leiharbeit ist auch der Entleiher im Datenschutz gefordert
Zeitarbeit ist ein beliebtes Mittel, um kurz- oder auch mittelfristig Personalengpässe zu vermeiden, aber auch um Produktionsprozesse flexibler zu gestalten. Dabei werden personenbezogene Daten verarbeitet und das sowohl beim Verleiher als auch beim Entleiher. Ein funktionierender Datenschutz muss daher beim Umgang mit den Daten Betroffener an allen Punkten sichergestellt werden.
Leiharbeiter sind Betroffene lt. DS-GVO
Überall dort, wo personenbezogene Daten verarbeitet werden, muss die Sicherheit des Betroffenen durch den Schutz seiner Daten gewährleistet sein. Zeitarbeitskräfte sind daher auch Betroffene laut Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG).
Es muss daher genau geprüft werden, welche Daten erfasst werden dürfen. Dabei spielen im Datenschutz vor allem gesetzliche Vorgaben eine Rolle – also vor allem, welche gesetzliche Vorgabe die Verarbeitung der personenbezogenen Daten überhaupt erlaubt (siehe auch Verbot mit Erlaubnisvorbehalt). Darüber hinaus müssen auch der Zweck (damit zusammenhängend auch die Zweckbindung) und die Prüfung, welche Daten überhaupt benötigt werden (Datenminimierung) genau eingeschätzt werden.
BLOG-TIPP: WANN IST DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN ERLAUBT?
Zeitarbeitskräfte – Beschäftigte mit zwei Verantwortlichen im Datenschutz
Bei der Arbeitnehmerüberlassung stehen zwei Verantwortliche im Datenschutz in der Pflicht diesen ausreichend umzusetzen. Das sind der Verleiher, also die Firma welche Zeitarbeiter zur Verfügung stellt und der Entleiher, also derjenige, der die Arbeitskraft auf Zeit in Anspruch nimmt.
Dabei muss genau geprüft werden, welche Daten an welcher Stelle weitergegeben werden dürfen oder sogar müssen. In erster Linie gilt: Daten dürfen nur weitergegeben werden, wenn dafür eine gesetzliche Grundlage vorliegt. Das muss genau geprüft und auch an den Betroffenen kommuniziert werden.
Vermeiden Sie es, nicht notwendige Daten weiterzugeben und prüfen Sie dies auch regelmäßig und genau. Darüber hinaus müssen beide Verantwortlichen sich an die Vorgaben der DS-GVO halten und die entsprechenden Verarbeitungen der personenbezogenen Daten mit den technischen und organisatorischen Maßnahmen (TOM) und ggf. einer Datenschutzfolgenabschätzung absichern und deren Sicherheit prüfen. Die Datenverarbeitung muss in das Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen und entsprechend dokumentiert werden.
Betroffenenrechte bei der Zeitarbeit
Eine wichtige Rolle spielen im Datenschutz auch die Betroffenenrechte nach der DS-GVO, welche u.a. folgende sind:
Recht auf:
- Auskunft
- Berichtigung
- Löschung
- Vergessenwerden
- Einschränkung der Verarbeitung
Diese Betroffenenrechte können im Fall der Zeitarbeit zum Beispiel durch erweiterte Löschpflichten, einen Übertragbarkeitsanspruch des Leiharbeitnehmers oder gesonderte Vorgaben bei der Speicherung ergänzt werden. Diese müssen immer auch im Einzelfall geprüft werden.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Ab wann werden personenbezogene Daten verarbeitet?
Um sicherzustellen, dass die Vorgaben des Datenschutzes auch bei der zeitlich begrenzten Arbeitnehmerüberlassung eingehalten werden, sollte beim Entleiher erst einmal genau geprüft werden, ab wann und an welcher Stelle personenbezogene Daten verarbeitet werden.
Dazu macht es Sinn, sich kritisch mit den Daten zu beschäftigen, die erfasst werden und zu überlegen, welche Daten überhaupt benötigt werden. Nur diese sollten erfasst werden. Danach sollten die Abläufe im Unternehmen auf die Verarbeitung der personenbezogenen Daten hin geprüft und ggf. angepasst werden.
Arbeitnehmerüberlassung – Schnittstellen prüfen
Dabei spielt auch die Übermittlung von Daten eine wichtige Rolle. Wie werden die Daten vom Verleiher an den Entleiher vermittelt und zurück. Hier gilt es zum einen die Daten so gut wie möglich zu anonymisieren, aber auch entsprechende IT-Sicherheit zu gewährleisten. Zugriffsrechte sollten bei beiden Unternehmen entsprechend der Datenschutzrichtlinien festgelegt und eingehalten werden und nur notwendige Daten verarbeitet werden.
Vorsicht ist dabei auch bei der online-Erfassung und der Nutzung von Bewerberdatenbanken geboten. Die IP-Adressen bei der Erfassung über online-Tools oder Cookies, welche die Daten bei der Nutzung speichern oder verarbeiten sind meist nicht erlaubt. Bewerberdatenbanken erfordern in der Regel eine Zustimmung des Betroffenen.
Vereinbarungen zum Datenschutz treffen
Liegen zwei oder mehr Verantwortliche im Datenschutz vor, so spricht man von einem sogenannten „Joint Controllership“. Im Bereich der Zeitarbeit finden wir unter Umständen eine solche Situation. Fälschlicherweise wird hier oft davon ausgegangen, dass es ausreichend ist einen sogenannten Auftragsverarbeitungsvertrag abzuschließen. In der Regel ist dies aber nicht der Fall, da die Arbeitnehmerüberlassung damit datenschutzrechtlich nicht ausreichend abgedeckt ist.
Um hier die klaren und gesetzlich sicheren Festlegungen der Verantwortlichkeiten und somit den sicheren Umgang mit personenbezogenen Daten zu gewährleisten, müssen deutliche Vereinbarungen getroffen werden. Schon aus DS-GVO und BDSG heraus, entstehen Verantwortlichkeiten, die durch einen Auftragsverarbeitungsvertrag in dieser Konstellation nicht abgedeckt werden.
Fachmann zur Beurteilung hinzuziehen
Klare Regelungen und regelmäßige Audits stellen auch im Bereich Datenschutz den gesetzeskonformen Umgang mit Arbeitnehmerüberlassungen sicher. Spätestens in diesen speziellen Fällen, kommt ein Unternehmen nicht darum herum, einen (externen) Fachmann zu Rate zu ziehen. Sollte per gesetzlicher Vorgaben nicht sowieso schon ein (externer) Datenschutzbeauftragter bestellt worden sein, so ist in dieser Konstellation spätestens jetzt ratsam sich einen Spezialisten an die Seite zu stellen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.