Joint Controllership Agreement

So sieht Arbeitnehmerüberlassung DSGVO-konform aus

29.11.2018
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Der Personaldienstleister auf der einen Seite und der Auftraggeber auf der anderen Seite. Dazwischen steht die Person, dessen personenbezogene Daten von beiden Beteiligten benötigt werden. Lesen Sie hier, wie es sicher geht.

Arbeitnehmerüberlassung, auch oft als Leih- oder Zeitarbeit bezeichnet, hat sich als taugliches Mittel erwiesen, um Produktions- und Arbeitsspitzen durch flexibel einsetzbare Leiharbeiter aufzufangen. Am stärksten vertreten ist sie in der Metall-, Elektro- und Logistikbranche. Dabei werden alle Qualifikationsstufen abgedeckt, vom Facharbeiter bis hin zum Akademiker.

Frage: Wer trägt die Verantwortung für die persönlichen Daten eines Leiharbeitnehmers? Antwort: Es kommt darauf an.
Frage: Wer trägt die Verantwortung für die persönlichen Daten eines Leiharbeitnehmers? Antwort: Es kommt darauf an.
Foto: acarapi - shutterstock.com

Der Leiharbeitnehmer wird oft in die Arbeitsorganisation des Entleihers eingegliedert und nach dessen Weisung tätig. Dies führt dann schnell in die Grauzone der verbotenen Arbeitnehmerüberlassung (AÜ). Im Fall einer AÜ würde ein direktes Arbeitsverhältnis zwischen dem eigentlichen Leiharbeiter und dem Entleiher entstehen. Dem Mitarbeiter stehen dann die üblichen Leistungen wie beispielsweise Vergütung, Sonderzahlungen und Altersvorsorge, zu. Ebenso trifft den Entleiher dann die Haftung für das laufende Jahr sowie maximal der vorangegangenen vier Jahre für den Arbeitgeber- und Arbeitnehmeranteil zur Sozialversicherung auf die geschuldete Arbeitsvergütung.

DSGVO beachten

Datenschutzrechtlich spannend wird es ab dem Zeitpunkt der Eingliederung in die Arbeitsorganisation des Entleihers. Denn bis zu diesem Zeitpunkt liegt die Verarbeitung der Daten ausschließlich in der Verantwortung des Verleihers. Mit der Eingliederung verarbeitet aber der Entleiher ebenso personenbezogene Daten des Leiharbeiters, zum Beispiel zu Zwecken der Abrechnung mit dem Verleiher, der Zeiterfassung sowie der Erfassung von Urlaubs- und sonstiger Fehlzeiten.

Selbst das Ausstellen einer Kantinenkarte, eines Mitarbeiterausweises und das Stellen von IT am Arbeitsplatz bringen die Verarbeitung personenbezogener Daten mit sich. Die Verantwortung hat sich damit jedoch nicht verlagert, sie befindet sich nun auf beiden Seiten.

Keine Auftragsverarbeitung

Fälschlicherweise wird bei der Arbeitnehmerüberlassung in datenschutzrechtlicher Hinsicht noch oft davon ausgegangen, dass ein Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO geschlossen werden muss. Im Unterschied zur Joint Controllership nach Art. 26 DSGVO gibt es bei der Auftragsverarbeitung einen Verantwortlichen und einen Auftragsverarbeiter. Der Auftragsverarbeiter darf nur nach Weisung des Verantwortlichen personenbezogene Daten verarbeiten. Der Verantwortliche bestimmt in dieser Konstellation auch allein über Zweck und Mittel der Datenverarbeitung und ob zusätzliche Dienstleister als Unterauftragsverarbeiter eingesetzt werden dürfen.


Aber wer soll im Fall der Arbeitnehmerüberlassung welche Stellung einnehmen? Weder der Ver- noch der Entleiher werden ein gegenseitiges Mitspracherecht einräumen.

Joint Controller: Gemeinsam Verantwortliche

Richtigerweise ist nach Erlass der DSGVO die Konstruktion des Joint Controller: Denn gemäß Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dabei kann es sich um natürliche Personen, juristische Personen, Behörden, Einrichtungen oder sonstige Stellen handeln.
Der Leiharbeiter ist im Verhältnis zu Ver- und Entleiher Beschäftigter im Sinne des § 26 BDSG. Nun kann man sagen, dass beide die Daten des Leiharbeitnehmers für eigene Zwecke verarbeiten, jedoch liegt dem Ganzen der Zweck der Durchführung der Arbeitnehmerüberlassung zugrunde.

Bei Vorliegen von zwei für die Verarbeitung Verantwortlichen bietet die DSGVO eine neue und sichere Möglichkeit die Verarbeitung vertraglich zu regeln. Art. 26 DSGVO regelt das Verhältnis gemeinsam Verantwortlicher, auch Joint Controllership genannt, und verlangt nach Abschluss einer Vereinbarung. Für diese Vereinbarung gelten folgende gesetzliche Anforderungen:

  • Transparente Form (am besten schriftlich);

  • Konkrete Festlegung der Verantwortlichkeiten für die Einhaltung der Pflichten gem. DSGVO, speziell die zur Wahrung der Betroffenenrechte und der Informationspflichten gem. Art. 13, 14 DSGVO;

  • Beschreibung der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber dem Betroffenen;

  • Information des Betroffenen über die wesentlichen Inhalte der Vereinbarung.

Paragraf 26 DSGVO
Paragraf 26 DSGVO

Eine sorgfältige Ausgestaltung der Vereinbarung bringt für die gemeinsam Verantwortlichen auch Vorteile: Zwar ist die Haftung bei diesem "Joint Controllership" gemeinschaftlich ausgestaltet (vgl. Art. 82 DSGVO), jedoch erleichtert eine klare Regelung den Haftungsausgleich im Innenverhältnis nach Art. 82 Abs. 5 DSGVO zwischen den Verantwortlichen.