Datenschutz bei Personaldienstleistern

Im Fokus der Prüfung standen Fragen nach dem Rollenverständnis der geprüften Unternehmen im Hinblick auf ihre datenschutzrechtliche Verantwortlichkeit gegenüber Bewerber*innen und Beschäftigten, der Wahrung von Informations- und Auskunftspflichten gegenüber diesen Personen, dem Zweck und Umfang der Datenerhebung mittels Bewerbungsfragebögen, der Übermittlung von Daten von Bewerber*innen und Beschäftigten an interessierte Arbeitgeber*innen oder Entleiher*innen sowie die Löschung dieser Daten.

Arbeitssuchende wenden sich an Personaldienstleistungs- und Leiharbeitsunternehmen bzw. Verleiher*innen, um dauerhaft oder befristet in ein Arbeitsverhältnis vermittelt zu werden. Hierzu übermitteln sie ihre Bewerbungsunterlagen mit personenbezogenen Daten, wie Daten zur Person, zur Qualifikation, zur gewünschten Tätigkeit und Gehaltsvorstellung. Erhoben werden mitunter aber auch Daten zur gesundheitlichen Eignung für eine bestimmte Tätigkeit. Diese Daten werden an interessierte Arbeitgeber*innen und Entleiher*innen weitergegeben. Bei Interesse wird der Kontakt mit der arbeitssuchenden Person hergestellt.

1. Gemäß § 1 Abs. 1 Satz 2 Arbeitnehmerüberlassungsgesetz (AÜG) werden Arbeitnehmer*innen zur Arbeitsleistung überlassen, wenn sie in die Arbeitsorganisation der Entleiher*innen eingegliedert sind und deren Weisungen unterliegen. Voraussetzung hierfür ist das Bestehen eines Arbeitsverhältnisses zwischen Leiharbeitnehmer*in und Verleiher*in. Leiharbeitnehmer*innen sind gemäß § 26 Abs. 8 Nr. 1 Bundesdatenschutzgesetz (BDSG) wie „Beschäftige“ zu sehen und sowohl Verleiher*in als auch Entleiher*in sind als Arbeitgeber*in gemäß Art. 4 Nr. 7 DatenschutzGrundverordnung (DSGVO) „Verantwortliche“. Dessen waren sich alle befragten Unternehmen bewusst. Ebenso war ihnen klar, dass Verleiher*in und Entleiher*in jeweils selbständig die Zwecke und Mittel der Datenverarbeitung festlegen. Mit den Zwecken ist das „Warum“ der Verarbeitung gemeint, während Mittel das „Wie“ der Verarbeitung betrifft. Ein Auftragsverarbeitungsverhältnis besteht nicht.
   Die beteiligten Unternehmen können unter bestimmten Umständen gemeinsam Verantwortliche sein. Art. 26 DSGVO regelt, dass zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, gemeinsam Verantwortliche sind. Sie legen in einer Vereinbarung fest, wer welche datenschutzrechtlichen Pflichten erfüllt. Diese Vereinbarung ist keine Rechtsgrundlage für die Datenverarbeitung, sondern regelt lediglich, wer die datenschutzrechtlichen Pflichten der Parteien erfüllt.
   Die gesetzlichen Anforderungen an die Vereinbarung sind überschaubar. Art. 26 DSGVO verlangt, dass die Verantwortlichen in transparenter Form in einer Vereinbarung festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person betrifft, und wer welchen Informationspflichten gemäß Art. 13 und 14 DSGVO nachkommt. In einer solchen Vereinbarung kann auch eine Anlaufstelle für die betroffene Person angegeben werden.Keines der befragten Leiharbeitsunternehmen hat eine Vereinbarung im vorgenannten Sinn abgeschlossen, da die Voraussetzung einer gemeinsamen Verantwortung mit dem jeweiligen Entleiher nicht vorlag. Nur vereinzelt wurde die Möglichkeit eines solchen Vertrages gesehen und vorsorglich ein Mustervertrag erstellt.
2. Personaldienstleistungs- und Leiharbeitsunternehmen erheben mittels Bewerbungsfragebogen eine Vielzahl von personenbezogenen Daten bei den Bewerber*innen auf der Basis einer Einwilligung. Dies erfolgte entweder online über die Homepage des Unternehmens oder per E-Mail oder Post. Die Bewerber*innen wurden in allen Unternehmen über die genannten Kommunikationswege über die Datenverarbeitung, ihre Informationsrechte nach Art. 13, 14 DSGVO, ihr Auskunftsrecht nach Art. 15 DSGVO und auch das Recht auf Datenlöschung gemäß Art. 17 DSGVO unterrichtet. Alle Unternehmen verfügten über externe, mitunter auch interne betriebliche Datenschutzbeauftragte. Wünschenswert, wenn auch nicht verpflichtend, wäre die Unterrichtungen der Betroffenen, an welche Stelle sie ihr Anliegen richten könnten. In der Regel waren hier die Datenschutzbeauftragten der verantwortlichen Stellen genannt. Unternehmen, die hierzu keine weiteren Angaben machten, werden wir auf diese Option hinweisen.
   Die Verpflichtung, im Rahmen von Auskunftsersuchen nach Art. 15 DSGVO auch Kopien an die betroffenen Personen herauszugeben, wurde durchgehend gesehen und auch im Hinblick auf Leistungsdaten bejaht, sofern kein Geheimhaltungsinteresse entgegenstand (Urteil des Landesarbeitsgerichts BadenWürttemberg vom 20. Dezember 2018, Az. 17 Sa 11/18).
   Bei den Bewerbungsfragebögen wurden die Zwecke der Datenerhebung sämtlich erläutert. Zum Teil fehlten Hinweise auf die Freiwilligkeit der Datenerhebung, etwa bei der Schwerbehinderteneigenschaft. Oder es war nicht kenntlich gemacht, dass eine Datenerhebung nur dann erforderlich war, wenn die Information Einfluss auf die Eingehung bzw. Durchführung des Arbeitsverhältnisses haben würde, zum Beispiel bei Erkrankungen oder Behinderungen. Ein weiteres Beispiel hierfür waren Angaben zur Aufenthaltsund Arbeitserlaubnis. Diese sind im Rahmen der Prüfung der gesetzlichen Vorgaben des AÜG nur bei Nicht-EU-Ausländern erforderlich. Die LDI NRW hat den betroffenen Personaldienstleistungs- und Leiharbeitsunternehmen im Hinblick auf die Datenerhebung mittels Bewerbungsfragebogen entsprechende Hinweise gegeben.
3. Die Datenübermittlung an interessierte Arbeitgeber*innen und Entleiher*innen erfolgte in der Regel nur im Hinblick auf die erforderlichen Daten, wie Namen, Vornamen und Qualifikation. Zum Teil wurden nur anonymisierte Bewerbungsdaten oder Profile weitergeben. Die Information über die Empfänger*innen der Daten verlief sehr unterschiedlich. Überwiegend wurde entsprechend Art. 13 Abs. 1 Buchstabe e DSGVO nur über die Kategorien von Empfänger*innen der personenbezogenen Daten, zum Beispiel Branchen, nicht aber die konkreten Unternehmen selbst unterrichtet. Dies ist nur dann hinnehmbar, wenn die Zahl der Empfänger sehr groß oder nur schwer recherchierbar ist oder ein berechtigtes Geheimhaltungsinteresse der Preisgabe konkreter Empfänger entgegensteht.
   Im Falle eines Interesses an einer Beschäftigung auf Seiten eines Unternehmens wurden Bewerber*innen hierüber konkret unterrichtet und gezielt darauf angesprochen, ob sie eine weitere Kommunikation oder Kontaktaufnahme mit diesem Unternehmen wünschten.
4. Bei der Datenlöschung zeigte sich, dass die zulässige Frist von sechs Monaten zur Löschung bei abgelehnten Bewerber*innen eingehalten wurde. Allerdings bestand für die Bewerber*innen häufig auch die Möglichkeit, sich freiwillig bei dem Personaldienstleistungs- oder Leiharbeitsunternehmen in einen sog. Bewerbungspool für etwaige weitere Vermittlungsangebote aufnehmen zu lassen. Personaldienstleistungs- und Leiharbeitsunternehmen fragten bei den betroffenen Personen in Abständen von mehreren Wochen oder Monaten nach, ob auch weiterhin Interesse an einer Vermittlung bestehen würde. In der Regel wurden die Bewerbungsdaten bei fehlendem Interesse nach zwölf Monaten gelöscht.
   Vereinzelt wurden die Daten bis zu zwei Jahre bzw. bis auf Widerruf gespeichert. Zwar enthält die DSGVO keine spezifische Frist für die Gültigkeit einer Einwilligung. Wie lange eine Einwilligung gültig ist, hängt aber von den Umständen ab, besonders vom Kontext, dem Umfang der ursprünglichen Einwilligung und den Erwartungen der betroffenen Person. Jedenfalls dürfte eine Vermittlungsmöglichkeit von Kandidat*innen nach Ablauf mehrerer Jahre nicht mehr bestehen, so dass es an der Erforderlichkeit der weiteren Datenspeicherung fehlte. Die betroffenen Unternehmen sind hierüber unterrichtet worden. Allgemein ist zu empfehlen, den Bewerber*innen bereits zum Zeitpunkt der Einwilligung in die Speicherung ihrer Bewerbungsdaten in einem Bewerbungspool die Möglichkeit einzuräumen, hierzu bestimmte Zeitfenster, etwa durch Setzen eines Häkchens unter der Erklärung zu bestimmen. Fehlt ein solches Zeitfenster, sollten Personaldienstleister und Leiharbeitsunternehmen nach dem letzten erfolglosen Kontaktversuch mit Bewerber*innen eine konkrete und kurz bemessene Endfrist zur Datenlöschung setzen und diese hierüber unterrichten.

Insgesamt erbrachte die Prüfung der ausgewählten Personaldienstleistungs- und Leiharbeitsunternehmen ein ausgesprochen positives Ergebnis im Hinblick auf das Verständnis von Rollen und Verantwortlichkeiten nach der DSGVO. Entsprechendes gilt auch in Bezug auf die Implementierung von datenschutzrechtlich erforderlichen und gebotenen Abläufen im Rahmen der Personalvermittlung und -überlassung an Dritte.

Soweit zu bestehenden Prozessen der Erhebung und Speicherung von Bewerbungsdaten Optimierungsbedarf festgestellt wurde, werden wir die betroffenen Unternehmen hierüber unterrichten und entsprechend beraten.

Quelle: LDI NRW

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks