Arbeitnehmerüberlassung: oft keine Auftragsverarbeitung

Verleiher und Entleiher schließen im Rahmen der Arbeitnehmerüberlassung oft einen Vertrag zur Auftragsverarbeitung (AV) ab. Und zwar obwohl im konkreten Fall überhaupt keine Auftragsverarbeitung vorliegt.

Darauf weist auch der aktuelle Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hin (https://ogy.de/tb-bw-2020, S. 95).

Doch warum ist es rechtlich falsch, einen AV-Vertrag abzuschließen?

Beschäftigte beider Parteien

Datenschutzrechtlich sind Leiharbeiter Beschäftigte des Entleihers und des Verleihers. Das ergibt sich aus Art. 88 Datenschutz-Grundverordnung (DSGVO) in Verbindung mit § 26 Abs. 8 Nr. 1 Bundesdatenschutzgesetz (BDSG).

Beide Verantwortliche – also sowohl der Verleiher als auch der Entleiher – müssen sich bei der Verarbeitung von Beschäftigtendaten an die (engen) Voraussetzungen von § 26 Abs. 1 BDSG halten.

Im Umkehrschluss ergibt sich daraus, dass eine Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen Verleiher und Entleiher beim Kernbereich der Arbeitnehmerüberlassung nicht infrage kommt.

Denn der Verleiher verarbeitet die personenbezogenen Daten des Leiharbeitnehmers nicht auf Weisung, nicht unter Kontrolle und auch nicht für Zwecke des Entleihers, wie es Art. 28 DSGVO voraussetzt.

Gemeinsame Verantwortlichkeit ist die Regel

Im Gegenteil: Beide Parteien verarbeiten die Daten eigenständig und für ihre eigenen oder gemeinsamen Zwecke und Absichten – und damit nicht im Auftrag des jeweils anderen.

Das bedeutet, dass die Parteien für einige Verarbeitungen datenschutzrechtl…