Das Thema
Am 25. Mai 2018 ist es soweit – die neue EU-Datenschutzgrundverordnung (DSGVO) ist europaweit anzuwenden. Dabei sorgt sie mit zahlreichen Neuerungen und vor allem einem deutlich verschärften Sanktionsrahmen in vielen Unternehmen für Katerstimmung. DSGVO und Zeitarbeit: Mit der kommenden DSGVO gilt es auch in der Zeitarbeitsbranche, die zahlreichen Änderungen zu beachten. Was gilt bald für Verleiher und Entleiher?
Neben der DSGVO tritt auch die Neufassung des Bundesdatenschutzgesetzes in Kraft
Nicht nur die DSGVO tritt als unmittelbar geltendes Recht in allen Mitgliedsstaaten der EU in Kraft, sondern auch eine vollständige Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) in Deutschland. Der Unionsgesetzgeber hat darauf verzichtet, den Beschäftigtendatenschutz in der DSGVO umfassend zu regeln. Stattdessen hat er mit Art. 88 DSGVO eine bereichsspezifische Öffnungsklausel geschaffen. Diese erlaubt es dem nationalen Gesetzgeber, den Beschäftigtendatenschutz selbst zu regeln – natürlich nur unter Beachtung der grundlegenden Prinzipien der DSGVO.
Auch für andere Detailbereiche finden sich Öffnungsklauseln in der DSGVO. Der deutsche Gesetzgeber hat – als bislang nur einer von zweien in der EU (!) – diesen Auftrag angenommen und ein vollständig neues BDSG erlassen, das ebenfalls am 25. Mai 2018 in Kraft tritt. Darin findet sich § 26 BDSG-neu, der den Bereich des Beschäftigtendatenschutzes regelt und den bisherigen § 32 BDSG ersetzt.
DSGVO und BDSG-neu: Die wichtigen Regelungen für Verleiher und Entleiher von Zeitarbeitskräften
Sowohl für den Verleiher als auch für den Entleiher von Zeitarbeitskräften sind die Neuerungen der DSGVO und des BDSG-neu von erheblicher Bedeutung. Wurden Verstöße gegen Bestimmungen des Datenschutzes bisher oftmals durch die Behörden nicht konsequent oder mit relativ unempfindlichen Strafen geahndet, wird sich dies nunmehr ändern. Zum einen haben die Aufsichtsbehörden bereits angekündigt, künftig konsequent gegen Verstöße vorgehen zu wollen; diese rüsten zu diesem Zweck auch personell auf.
Zum anderen sieht die DSGVO eine weitgehende Erweiterung der Haftung sowie eine erhebliche Verschärfung der Geldbußen vor. Diese können nunmehr je nach Qualität und Reichweite des Verstoßes entweder bis zu 10 Mio. EUR oder 2% des weltweiten Konzernumsatzes des letzten Geschäftsjahres (bei formellen Verstößen, nachfolgend „Stufe 1″) oder bis zu 20 Mio. EUR oder 4% des weltweiten Konzernumsatzes des letzten Geschäftsjahres (bei materiellen Verstößen, nachfolgend „Stufe 2″) betragen, je nachdem, welcher Betrag höher ist. Aus diesem Grund wird es für alle Unternehmen in Zukunft von außerordentlicher Bedeutung sein, durch ein entsprechendes Datenschutzmanagement die Einhaltung der Vorgaben der DSGVO und des BDSG-neu sicherzustellen. Der Stellenwert des Datenschutzes in Unternehmen ändert sich durch die gesetzlichen Neuregelungen von einem „Mauerblümchen″ zu einem Kernthema im Bereich der Compliance.
Für Unternehmen in der Zeitarbeitsbranche ergeben sich aufgrund des Dreiecksverhältnisses zwischen Verleiher, Entleiher und Zeitarbeitskraft Besonderheiten.
Datenverarbeitungen bei Verleiher und Entleiher nur mit Rechtsgrundlage zulässig
Die DSGVO übernimmt den Grundsatz des bisherigen deutschen Datenschutzrechts auf die europäische Ebene: Die Verarbeitung personenbezogener Daten bedarf stets einer Rechtsgrundlage. Dieses sogenannte „Verbot mit Erlaubnisvorbehalt″ bedeutet, dass jede Datenverarbeitung erst einmal verboten ist, es sei denn, der Verantwortliche kann sich auf eine gültige Rechtsgrundlage stützen. Diese kann sich im Beschäftigungskontext entweder aus dem Gesetz (§ 26 BDSG-neu oder Art. 6 Abs. lit. f) DSGVO), aus einer Einwilligung oder – mit gewissen Einschränkungen – auch aus einer Betriebsvereinbarung ergeben. Eine materiell unzulässige Datenverarbeitung wäre nach Stufe 2 bußgeldbewehrt.
Zeitarbeitskräfte sind „Beschäftigte″ bei Verleiher und Entleiher
Für die Zeitarbeitsbranche findet sich nunmehr die Klarstellung, dass auch Zeitarbeitnehmer zu den Beschäftigten im Sinne des BDSG-neu zu zählen sind (§ 26 Abs. 8 Nr. 1 BDSG-neu). Zeitarbeitskräfte sind somit nicht nur im Verhältnis zu dem Verleiher, sondern auch im Verhältnis zum Entleiher als Beschäftigte anzusehen. Dies bedeutet, dass sowohl die Datenverarbeitung beim Verleiher als auch beim Entleiher den Regelungen des Beschäftigtendatenschutzes nach Art. 88 DSGVO in Verbindung mit § 26 BDSG-neu unterliegen.
Wie nach dem bisherigen § 32 BDSG ist eine Verarbeitung personenbezogener Daten nach § 26 Abs. 1 BDSG-neu möglich, wenn diese für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Erforderlich ist eine Datenverarbeitung, wenn der Arbeitgeber entweder rechtlich zur Speicherung verpflichtet ist oder hinsichtlich bestimmter Daten eine Meldepflicht an Behörden besteht, wie beispielsweise hinsichtlich der Schwerbehindertenquote. Ebenfalls erforderlich ist sie, wenn sie den berechtigten Interessen des Arbeitgebers entspricht und die Interessen der Beschäftigten dahinter zurücktreten müssen. Dies ist eine Frage des Einzelfalls und bei den üblichen Personalstammdaten ohne weiteres der Fall.
Strenge Anforderung an umfangreiche Datenerfassung
Schwieriger wird es bei umfangreicher Erfassung von Daten über Leistung und Verhalten, insbesondere Standort- und/oder Videoüberwachung oder auch bei der Verarbeitung sensibler Daten, wie z.B. über Gesundheit oder Religion. Hierfür muss stets ein konkreter Tätigkeitsbezug bestehen. Die Verarbeitung muss dabei jedoch auf ein absolutes Mindestmaß beschränkt werden. Verstöße durch ausufernde und damit unverhältnismäßige Datenverarbeitung sind nach Stufe 2 bußgeldbewehrt.
Der Entleiher muss sich hinsichtlich der Verarbeitung der Daten der Zeitarbeitskräfte ebenfalls streng an diesem Erforderlichkeitsmaßstab orientieren. Das Anlegen kompletter Personalakten über Zeitarbeitskräfte ist also nicht zulässig. Weiterhin muss er die Daten der Zeitarbeitnehmer nach Beendigung des Überlassungsverhältnisses löschen, wenn er diese nicht mehr benötigt, um beispielsweise gegenüber Behörden Nachweise zu führen oder die Vorbeschäftigungszeit bei der Überlassungshöchstdauer gem. § 1 Abs. 1b AÜG zu ermitteln.
DSGVO und Zeitarbeit: Bewerberdatenbanken nur mit Einwilligung zulässig
Auch Bewerber gelten datenschutzrechtlich als Beschäftigte (§ 26 Abs. 8 S. 2 BDSG-neu). Die Verarbeitung von Daten, die für die Begründung des Beschäftigungsverhältnisses erforderlich sind, ist also zulässig (§ 26 Abs. 1 BDSG-neu).
Für Zeitarbeitsunternehmen ist besonders folgende Frage relevant: Dürfen personenbezogene Daten, die im Rahmen der Anbahnung eines Beschäftigungsverhältnisses gespeichert wurden, in einen Bewerberpool aufgenommen werden? Dies soll es den Unternehmen ermöglichen, bei einer passenden Anfrage die Bewerber wieder kontaktieren zu können. Eine solche Speicherung ist zumindest auf der Grundlage von § 26 Abs. 1 BDSG-neu nicht zulässig, da die Begründung des Beschäftigungsverhältnisses auf die Bewerbung hin nicht stattgefunden hat. Die entsprechenden Daten wären somit grundsätzlich nach Abschluss des Bewerbungsverfahrens zu löschen. Ein Verstoß ist auch hier nach Stufe 2 bußgeldbewehrt.
Die Aufnahme in eine Bewerberdatenbank ist allerdings zulässig, wenn der Bewerber in diese vorher eingewilligt hat. Zwar ist eine Einwilligung grundsätzlich schriftlich zu erteilen; für den Fall, dass die Bewerbung online erfolgt, ist allerdings auch eine digitale Einwilligung zulässig. Wichtig ist dabei allerdings, dass die Einwilligung ausdrücklich erfolgt, also beispielsweise über das Anklicken einer Schaltfläche. Ein bloßer Hinweis, dass mit Absenden der Bewerbungsunterlagen auch eine Aufnahme in einen Bewerberpool verbunden ist, der im Nachgang widersprochen werden kann, ist nicht ausreichend. Weiterhin muss die Einwilligung freiwillig erfolgen. Die Nichterteilung darf also keine negativen Auswirkungen in dem laufenden Bewerbungsverfahren haben.
Weiterhin ist wichtig, dass die Einwilligung „informiert″ erteilt werden muss. Dem Einwilligenden müssen also die in Art. 13 DSGVO aufgeführten Informationen spätestens bei Erteilung der Einwilligung vorliegen. Zudem muss er darauf hingewiesen werden, dass die Einwilligung jederzeit widerrufen werden kann. Für bereits bestehende Einwilligungen ist zu beachten, dass diese nach der DSGVO keinen Bestandsschutz genießen. Entsprechen sie nicht den Vorgaben der DSGVO, werden sie am 25. Mai 2018 unwirksam. Wir empfehlen ihnen daher eine Zeitnahe Prüfung ihrer Daten. Etwaige Mängel sollten durch eine rechtswirksame Erneuerung der Einwilligungserklärung umgehend behoben werden.
Löschpflichten, Informations- und Transparenzpflichten: Auch Entleiher sind datenschutzrechtlich verantwortlich
Wichtig ist zunächst die Klarstellung, dass der Entleiher nicht im Rahmen einer Auftragsverarbeitung für den Verleiher tätig wird. Vielmehr ist er im Verhältnis zu den Zeitarbeitnehmern selbst als datenschutzrechtlich Verantwortlicher anzusehen.
Dies bedeutet, dass sowohl der Verleiher als auch der Entleiher sämtliche Vorgaben der DSGVO umsetzen müssen. Hierzu gehören insbesondere umfangreiche Informations- und Transparenzpflichten (Art. 13 DSGVO). So muss der Verleiher bereits bei der Erhebung der personenbezogenen Daten des Zeitarbeitnehmers diesen darauf hinweisen, dass er die Daten später an einen Dritten, nämlich den Entleiher, weitergeben wird. Auch dieser muss die Zeitarbeitskräfte darüber informieren, wie er mit den über sie vom Verleiher erhaltenen gespeicherten (Art. 14 DSGVO) und ggf. zusätzlich selbst erhobenen Daten (Art. 13 DSGVO) verfährt.
Datenbestände sind sowohl beim Verleiher als auch beim Entleiher zu löschen, wenn diese nicht länger benötigt werden, also ihr Zweck entfallen ist. (Anm. der Redaktion, ausführlich: Datenschutzgrundverordnung – Die Löschpflichten richtig umsetzen).
Ein legitimer Zweck kann sich insbesondere daraus ergeben, dass Rechtsvorschriften die Speicherung der Daten für einen bestimmten Zeitraum verlangen, wie es z.B. bei § 7 Abs. 2 S. 4 AÜG oder den steuer- und sozialversicherungsrechtlichen Aufbewahrungsfristen der Fall ist. Solange eine solche Aufbewahrungsfrist läuft, kann der Zeitarbeitnehmer die Löschung der betroffenen Daten nicht verlangen.
Nach Ablauf müssen die gespeicherten Daten allerdings gelöscht werden, wenn die Speicherung nicht durch andere Zwecke oder etwa eine Einwilligung des Betroffenen erlaubt wird. Einer entsprechenden Löschungsaufforderung bedarf es dazu nicht. Die – grundsätzlich mögliche – Weiterverarbeitung von Daten zu einem anderen als dem ursprünglichen Erhebungszweck (Art. 6 Abs. 4 DSGVO) ist derzeit noch wenig konturiert. Sie sollte als Rechtsgrundlage für eine Verarbeitung nur zurückhaltend und unter Einholung rechtlicher Beratung im Einzelfall verwendet werden.
DSGVO und Zeitarbeit: Verfahrensverzeichnis und Datenschutzfolgenabschätzung
Zwar nicht gänzlich neu, aber deutlich weitreichender als nach bisheriger Rechtslage schreibt die DSGVO den Verantwortlichen die Führung eines Verfahrensverzeichnisses vor (Art. 30 DSGVO). Neu ist in diesem Zusammenhang, dass auch die Auftragsverarbeiter (also z.B. externe Cloud-Dienstleister oder auch interne Shared-Service-Stellen wie HR oder Payroll) ein solches Verzeichnis zu erstellen haben. In diesem müssen sämtliche Datenverarbeitungsvorgänge genau u.a. hinsichtlich ihres Zwecks, der verarbeiteten Datenkategorien, Löschfristen und der Datenübermittlung an Dritte beschrieben werden.
Eine Ausnahmeregelung gibt es für Unternehmen mit weniger als 250 Beschäftigten. Diese ist allerdings bei genauerem Hinsehen nicht viel wert, denn sie gilt nur für Unternehmen, die höchstens gelegentlich personenbezogene Daten verarbeiten (Art. 30 Abs. 5 DSGVO). Das dürfte indes bei keinem Personaldienstleister zutreffen, denn die Verarbeitung der Daten der Bewerber und der Zeitarbeitskräfte erfolgt hier permanent. Die Führung eines Verfahrensverzeichnisses ist also hier dringend anzuraten; ein Verstoß unterfiele Bußgeldstufe 1.
Ebenfalls nicht gänzlich neu, aber auch erweitert sieht die DSGVO vor, dass Verantwortliche eine sogenannte Datenschutzfolgenabschätzung (das aktuelle BDSG nennt dies „Vorabkontrolle″) im Vorfeld von solchen Verarbeitungen durchzuführen haben. Diese haben jedoch voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge. Beispielsweise, weil eine besonders umfangreiche Datenverarbeitung oder die Verarbeitung von sensiblen Daten erfolgt (Art. 35 DSGVO). (Anmerkung der Red., ausführlich: “Datenschutz-Folgenabschätzung nach der DSGVO: Ein neues Beteiligungsrecht für den Betriebsrat?”)
Im Falle von Bewerberdaten kann dies in Betracht kommen, wenn diese nicht nur gespeichert, sondern systematisch und automatisiert analysiert werden, um z.B. eine Bewertung der Fähigkeiten der Bewerber oder ein Profiling vorzunehmen. Im Rahmen der Datenschutzfolgenabschätzung muss der Verantwortliche eventuelle Gefahren für die Freiheiten und Rechte der Betroffenen analysieren und entsprechende Maßnahmen zur Sicherheit der Daten treffen. Ein Unterlassen unterfiele ebenfalls Bußgeldstufe 1.
DSGVO kennt kein Konzernprivileg
Bei Zeitarbeitsunternehmen, die in einem Konzernverbund organisiert sind, ist der konzerninterne Versand von Daten der Bewerber und Zeitarbeitskräfte oft an der Tagesordnung. Dabei ist zu berücksichtigen, dass die DSGVO (wie auch schon das aktuelle BDSG) kein Konzernprivileg kennt. Der Datenversand innerhalb eines Konzerns ist also grundsätzlich erst einmal unzulässig. Es sei denn, es gibt hierfür eine Rechtsgrundlage in einer der o.g. Ausprägungen. Denkbar wäre hier in erster Linie eine Einwilligung. Denn der Versand der Daten an Konzernunternehmen zur Durchführung des Arbeitsverhältnisses mit dem Vertragsarbeitgeber dürfte zumindest im Regelfall nicht erforderlich sein. Die in Betracht kommende Rechtsgrundlage ist im Einzelfall anhand des jeweiligen Zwecks und der konkret übermittelten Daten zu prüfen. Ein Verstoß unterliegt wiederum der Bußgeldkategorie 2.
Datenschutzbeauftragter europaweit verpflichtend
Die DSGVO hat den Datenschutzbeauftragten nach dem Vorbild des BDSG nunmehr europaweit eingeführt und die Voraussetzungen, wann dieser zu bestellen ist, weitgehend vereinheitlicht. (Anmerkung der Red., ausführlich: “DSGVO: Pflichten und Stellung des Datenschutzbeauftragten”)
Sie orientiert sich dabei an einem risikobezogenen Ansatz ohne konkrete Schwellenwerte hinsichtlich der Mitarbeiterzahl. Der Bundesgesetzgeber hat im BDSG-neu jedoch von einer Öffnungsklausel Gebrauch gemacht und zusätzlich den bereits geltenden Schwellenwert von in der Regel mindestens zehn Personen übernommen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG-neu). Wichtig und leicht zu übersehen ist, dass Unternehmen, die Datenverarbeitungen durchführen, die einer Datenschutzfolgenabschätzung unterliegen, unabhängig von diesem Schwellenwert einen Datenschutzbeauftragten bestellen müssen (§ 38 Abs. 1 S. 2 BDSG-neu).
Dieser kann als interner oder externer Datenschutzbeauftragter, im Falle eines Konzerns auch als Konzerndatenschutzbeauftragter bestellt werden (Art. 37 Abs. 2 DSGVO).
Die Uhr tickt – auch für Zeitarbeitsunternehmen
Die Reform des Datenschutzrechtes ist einschneidend und stellt die Wirtschaft – und dabei insbesondere Personaldienstleister, die in einem erheblichen Umfang mit den personenbezogenen Daten ihrer Zeitarbeitnehmer „arbeiten″ müssen – vor nicht unerhebliche Herausforderungen. Deren Bewältigung erfordert in der Regel sogar eine externe Beratung.
Vor dem Hintergrund der (drohenden) hohen Bußgelder, die verhängt werden können, wenn und soweit datenschutzrechtliche Anforderungen nicht erfüllt werden, kann jedem Zeitarbeitsunternehmen nur dringend angeraten werden, die Änderungen im Datenschutzrecht ernst zu nehmen und sich rechtzeitig um eine gesetzeskonforme Umsetzung zu kümmern. Die Uhr tickt dabei – bis zum Inkrafttreten der DSGVO Ende Mai 2018 ist es nicht mehr lang.
Senior Associate
CMS Hasche Sigle
(Büro Köln)
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
