„Der gläserne Bauarbeiter“ – Angaben des Arbeitgebers über Beschäftigte zur Einhaltung des gesetzlichen Mindestlohnes
§ 13 Mindestlohngesetz beziehungsweise § 14 AEntG bieten keine Rechtsgrundlage für eine Datenweitergabe von Beschäftigtendaten eines Arbeitgebers an dessen Auftraggeber. Auch sonst besteht für die Bekanntgabe des vollständigen Namens, Geburtsdatums, Adresse und Pass-Nummer/ Personalausweis-Nummer der Beschäftigten durch den Arbeitgeber an einen Auftraggeber keine datenschutzrechtliche Rechtsgrundlage gemäß Art. 6 DSGVO in Verbindung mit § 26 BDSG.
An den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) wandte sich ein Unternehmen aus dem Baugewerbe. Bei der Auftragsvergabe würden einzelne Auftraggeber die Vorlage von schriftlichen Bestätigungen der Beschäftigten des Unternehmens über den Erhalt des Mindestlohnes verlangen. Nach der dem TLfDI übersandten Muster-Bestätigung wurden folgende personenbezogenen Daten der Beschäftigten abgefragt: Name, Geburtsdatum, Adresse, Pass-Nummer/ Personalausweis-Nummer. In einer Tabelle sollten die Beschäftigten sodann je nach Zeitraum und Gewerk den gültigen Arbeitslohn ankreuzen und den sich daraus errechnenden Nettolohn für die geleisteten Arbeitsstunden nach Abzug von Steuern und Sozialversicherung bestätigen. Als letzten Satz beinhaltete die Muster-Bestätigung eine Erklärung, wonach sich die Beschäftigten mit der Weiterleitung der ausgefüllten Bestätigung an den Auftraggeber einverstanden erklären. Jeder am Bauvorhaben beteiligte Beschäftigte müsse diese Bestätigung unterschreiben. Andernfalls drohe der Auftragsverlust. Der Arbeitgeber hatte zu Recht datenschutzrechtliche Bedenken gegen eine solche umfassende Datenweiterleitung.
Wie jede andere Datenverarbeitung bedarf auch die Datenweitergabe von Beschäftigtendaten zwischen einem Auftragnehmer und Auftraggeber einer gültigen Rechtsgrundlage gemäß Art. 6 DatenschutzGrundverordnung (DSGVO). Zuvorderst kam im vorliegenden Fall die ausdrückliche und schriftliche Einwilligung der Beschäftigten gemäß Art. 6 Abs. 1 Satz 1 Buchstabe a) DSGVO in Betracht. Eine solche Einwilligung der Beschäftigten ist nach dem Willen des Gesetzgebers nicht per se ausgeschlossen, was in der Regelung des § 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) zum Ausdruck kommt. Jedoch sind die Wirksamkeitsanforderungen an eine solche Einwilligung hoch; sie muss freiwillig, in verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache sowie unter Hinweis auf die Widerrufsmöglichkeit abgegeben werden (Art. 7 DSGVO).
Bereits Letzteres sah die Muster-Bestätigung nicht vor. Auch konnte durch die Aufnahme von teilweise komplizierten Erläuterungen zu Gesetzen eine einfache und klare Sprache zumindest in Frage gestellt werden. Hierbei muss beachtet werden, dass die betroffenen Beschäftigten zum Teil nicht einmal der deutschen Sprache hinreichend mächtig sein werden, geschweige denn die Rechtslage zur Nachunternehmerhaftung für Mindestlöhne kennen. Auch der Standort der Einwilligung als letzter Satz in kleinerer Schriftgröße als der übrige Text führte dazu, dass die Einwilligung schnell überlesen werden konnte. Entscheidend für die negative Beurteilung der Freiwilligkeit im konkreten Sachverhalt war jedoch die Tatsache, dass den Beschäftigten, die ihre Daten an Dritte, nämlich den Auftraggeber und damit den Vertragspartner des Arbeitgebers, zur Verfügung stellen, keinerlei rechtlicher oder wirtschaftlicher Vorteil durch die Datenweitergabe entsteht, § 26 Abs. 2 Satz 2 BDSG. Ein solcher Vorteil entstünde vielmehr entweder auf Seiten des Arbeitgebers als Auftragnehmer oder auf Seiten des Auftraggebers durch eine mögliche Haftungseinschränkung, zum Beispiel durch vertragliche Regelungen mit dem Subunternehmen beziehungsweise Arbeitgeber. Nun könnte man der Auffassung sein, dass Beschäftigte und Arbeitgeber zumindest gleichgelagerte Interessen verfolgen, indem der Arbeitgeber durch die Bestätigung der Beschäftigten nicht vom Auftrag ausgeschlossen wird, was wiederum indirekt die Verdienstmöglichkeiten der Beschäftigten absichert. Eine solch weite Auslegung des „Vorteils-Begriffs“ oder der „gleichgelagerten Interessen von Arbeitgeber und Beschäftigten“ würde jedoch dazu führen, dass nahezu alle Einwilligungen von Beschäftigten als freiwillig anerkannt werden müssten, da ein irgendwie gearteter Zusammenhang zu Aufträgen des Arbeitgebers in nahezu allen Fällen gegeben sein dürfte. Eine solche weite Auslegung liefe jedoch den Interessen der Beschäftigten und deren Grundrechte auf informationelle Selbstbestimmung zuwider. Auch dürfte es an der Lebenswirklichkeit vorbeigehen, in einer solchen Konstellation, in der Arbeitgeber auf Aufträge angewiesen sind und allein hieraus indirekt eine Drucksituation für die Beschäftigten entsteht, von einer freiwilligen Erklärung der Beschäftigten auszugehen. Damit schied eine Einwilligung der betroffenen Beschäftigten als Rechtsgrundlage für die Datenweitergabe aus.
Eine Rechtsgrundlage gemäß Art. 6 Abs. 1 Satz 1 Buchstabe b) DSGVO („zur Erfüllung eines Vertrages“) kam ebenfalls nicht in Betracht, da die Bestimmung voraussetzt, dass die betroffene Person Vertragspartei ist. Die Beschäftigten stehen jedoch in keinem Vertragsverhältnis zum Auftraggeber.
Gemäß Art. 6 Abs. 1 Satz 1 Buchstabe c) DSGVO ist eine Datenverarbeitung gerechtfertigt, wenn diese „zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen“ erforderlich ist. Verantwortlicher ist der Arbeitgeber, der die Daten seiner Beschäftigten an den Auftraggeber weitergibt. § 13 Mindestlohngesetz (MiLoG) beziehungsweise § 14 Arbeitnehmerentsendegesetz (AEntG) beinhalten jedoch „lediglich“ eine Haftungsregel zu Lasten des Auftraggebers, legen dem Arbeitgeber jedoch keine rechtliche Verpflichtung zur Weiterleitung von personenbezogenen Daten der Beschäftigten an den Auftraggeber auf und können daher nicht für eine Rechtsgrundlage gemäß Art. 6 Abs. 1 Satz 1 Buchstabe c) DSGVO herangezogen werden.
Schließlich scheiterte auch eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO an der Erforderlichkeit der Übermittlung der erhobenen Daten. So gibt es für den Auftraggeber andere Möglichkeiten, sich von seinen Auftragnehmern die Einhaltung der Zahlung des gesetzlichen Mindestlohnes nachweisen zu lassen und damit seiner Haftung gemäß § 14 AEntG zu begegnen, ohne derart detaillierte Informationen von den Beschäftigten zu erfragen. Hierzu zählen Lohn- und Arbeitszeitlisten, in denen mit dem Gewerk betraute Beschäftigte teilweise anonymisiert (Anfangsbuchstaben von Vor- und Nachnamen, gegebenenfalls Geburtsdatum) geführt werden, eine Bestätigung des Auftragnehmers/Arbeitgebers oder eine Bestätigung einer unabhängigen Stelle, zum Beispiel eines Wirtschaftsprüfers oder des Steuerberaters des Auftragnehmers.
Mangels Erforderlichkeit der Datenverarbeitung zum Zwecke der Durchführung des Beschäftigungsverhältnisses sind auch die Voraussetzungen des § 26 Abs. 1 BDSG als zentrale Norm im Beschäftigungsdatenschutz nicht erfüllt. Das Beschäftigungsverhältnis zwischen Arbeitgeber und Beschäftigtem kann auch ohne die Datenweitergabe an den Auftraggeber als Dritten gemäß Art. 4 Nr. 10 DSGVO durchgeführt werden. Übermittlungen von Beschäftigtendaten an Dritte sind im Regelfall nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich und deshalb in den meisten Fällen nicht von § 26 Abs. 1 Satz 1 BDSG gedeckt (vergleiche Simitis, Hornung, Spiecker, Datenschutzrecht DSGVO mit BDSG, 1. Auflage 2019, Art. 88 Rn. 188).
Im Übrigen: Sollte sich der Arbeitgeber gegenüber dem Auftraggeber vertraglich zu einer Informationspflicht hinsichtlich der Mindestlohnzahlung verpflichten (was im zu entscheidenden Fall nicht der Fall war), zum Beispiel durch monatliche Vorlage entsprechender Unterlagen oder durch Gewährung der Einsichtnahme in Lohnlisten, so gilt das Gesagte vor dem Hintergrund des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO) fort. Auch in einem solchen Fall dürfte der Arbeitgeber nur die Daten preisgeben, die es dem Auftraggeber ermöglichen, sein Haftungsrisiko einzuschätzen. Hierzu zählen nicht vollständige Namenslisten der Beschäftigten mit Wohnanschriften, Pass-Nummern et cetera.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks