Personalüberlassung als Auftragsverarbeitung?
Frage des GDD-Erfa-Kreises Coburg:
Ein Unternehmen steht mit einem Personaldienstleister in einem vertraglichen Verhältnis, d.h. es werden regelmäßig Mitarbeiter des Personaldienstleisters bei dem Unternehmen eingesetzt; teilweise erfolgt dies nur kurzzeitig für spezielle Projekte, teilweise aber auch über einen längeren Zeitraum hinweg. Im Rahmen der Erbringung der Arbeitsleistung für das Unternehmen haben die Mitarbeiter des Personaldienstleisters auch Zugriffsmöglichkeiten auf personenbezogene Daten des Unternehmens. Die Tätigkeit selbst liegt bei manchen der überlassenen Mitarbeiter in der Erbringung von IT- und Wartungstätigkeiten auf dem System des Unternehmens. Ist in dieser Konstellation ein Auftragsverarbeitungsverhältnis im Sinne des Art. 28 DS-GVO zu sehen? Sofern dies verneint wird und kein AVV mit dem Personaldienstleister zu schließen ist, was ist dann aus datenschutzrechtlicher Sicht zu tun? (…)
Antwort des BayLDA:
Wir sehen hier bei der Personalüberlassung keinen Sachverhalt einer Auftragsverarbeitung, sondern im Schwerpunkt eine Zurverfügungstellung von (weiteren) Arbeitskräften, die beim „Einsatz-Unternehmen“ wie eigene Mitarbeiter zu sehen und dementsprechend zu belehren bzw. zu verpflichten sind. Siehe dazu auch das Kurzpapier Nr. 19 der DSK unter https://www.lda.bayern.de/media/dsk_kpnr_19_verpflichtungBeschaeftigte.pdf , dort insbesondere auf Seite 2, „Wer muss verpflichtet werden“, mit dem Beispiel von Leiharbeitern. Eine Verpflichtung durch den Personaldienstleister ist unzureichend, weil es auf die Gegebenheiten beim „Einsatz-Unternehmen“ ankommt (Unterschiede bei Bank, Versicherung, Produktionsbetrieb von Gesundheitsprodukten, usw.). Der Personaldienstleister ist kein datenschutzrechtlicher Subunternehmer, weil er mit den Daten, die die ausgeliehenen Personen beim „Einsatz-Unternehmen“ verarbeiten, nichts zu tun hat.
Bild von StartupStockPhotos auf Pixabay
Das könnte Sie auch interessieren
-
Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO
Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.
Mehr erfahren -
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren
