Master-Vendor-Modell im Datenschutz

Fachbeitrag

Wird bei der Vermittlung von Zeitarbeitnehmern ein Unternehmen als Master-Vendor eingeschaltet, werden die beteiligten Unternehmen regelmäßig mit der Frage konfrontiert, in welchem datenschutzrechtlichen Verhältnis sie eigentlich stehen. Dieser Artikel bietet eine Übersicht.

Master-Vendor-Modell im Rahmen der Arbeitnehmerüberlassung

Zeitarbeitskräfte erbringen ihre Arbeitsleistung nicht beim Arbeitgeber (Verleiher), sondern bei einem Dritten (Entleiher). Der Arbeitnehmer wird diesem überlassen.

Beschränkt sich der Entleiher auf nur einen Verleiher, erhält er auch nur eine eingeschränkte Auswahl von möglichen Zeitarbeitskräften, die eben beim Verleiher angestellt sind. Hier ist es für den Entleiher sinnvoll, die jeweiligen Zeitarbeiter verschiedener Verleiher zu bündeln, um so eine geeignete Auswahl von Zeitarbeitern zur Verfügung stehen zu haben.

Diesem Gedanken entspringt das sog. „Master-Vendor-Modell“. Hier schließt der Master-Vendor mit verschiedenen Personaldienstleistern (sog. „Co-Lieferanten“) Verträge ab, um einem Unternehmen, das Zeitarbeitskräfte einsetzen möchte (der „Kunde“), diese zur Verfügung stellen zu können. Das Unternehmen zwischen den Co-Lieferanten und dem Kunden wird dadurch Hauptdienstleister gegenüber dem Kunden (daher „Master“).

In dieser Konstellation ist somit zwischen dem Kunden, dem Master-Vendor und den verschiedenen Co-Lieferanten zu unterscheiden.

Denkbar ist in diesem Kontext, dass es sich bei allen Beteiligten um datenschutzrechtlich selbst Verantwortliche, gemeinsame Verantwortliche oder um Auftragsverarbeitungsverhältnisse handelt.

Verhältnis Master-Vendor und Kunde

Einen Hinweis auf das datenschutzrechtliche Verhältnis zwischen Master-Vendor und Kunde liefert das Working Paper 169 der Artikel 29 Gruppe im Beispiel 6 zum Einsatz eines Personalvermittlers.

Hier stellt die Datenschutzgruppe fest, dass der Personalvermittler, der Bewerbungen, die bereits in seiner eigenen umfangreichen Datenbank vorhanden sind, auch dazu nutzt, um seine Einnahmen zu steigern, da er vertragsgemäß nur für abgeschlossene Arbeitsverträge bezahlt wird. Aus dem im Beispiel angeführten Sachverhalt ließe sich schließen, dass der Personaldienstleister trotz eines mit dem Kunden abgeschlossenen Auftragsverarbeitungsvertrages als ein für die Verarbeitung Verantwortlicher angesehen werden muss, der zumindest die Vorgangsreihen im Zusammenhang mit der Personalvermittlung für den Kundengemeinsam mit diesem koordiniert.

Keine Unterscheidung zwischen Leiharbeitern und Beschäftigten

Diese Überlegungen lassen sich unproblematisch auf das Master-Vendor-Modell übertragen, denn hier vermittelt der Master-Vendor gegenüber dem Kunden zwar nicht Arbeitskräfte zur Festanstellung, jedoch die Überlassung von Zeitarbeitskräften. Hier macht das Datenschutzrecht keinen Unterschied, wie sich aus § 26 Abs. 8 Nr.1 BDSG ergibt, wonach auch Leiharbeiter als Beschäftigte zu behandeln sind.

Die Feststellungen der Datenschutzgruppe decken sich auch mit den allgemeinen Grundsätzen zur Auftragsverarbeitung:

Diese ist nach Art. 29 DSGVO nur anzunehmen, wenn der Auftragnehmer (hier wäre dies der Master-Vendor) weisungsgebunden agiert und i.S.d. Art. 4 Nr.7 DSGVO nicht über die Mittel und Zwecke der Verarbeitung bestimmt. Beides ist im vorliegenden Kontext jedoch lebensfern, da der Master-Vendor nicht personenbezogene Daten des Kunden „für diesen“ verarbeitet, sondern mit der Verarbeitung der Daten über die Zeitarbeitskräfte schlicht eigene Geschäftszwecke verfolgt und damit die Daten auch nur zu eigenen Zwecken verarbeitet.

Verhältnis Co-Lieferant und Master-Vendor

Auch wird zwischen den jeweiligen Co-Lieferanten und dem Master-Vendor kein Auftragsverarbeitungsverhältnis vorliegen. Der „Master-Vendor“ verarbeitet personenbezogene Daten, die er von seinen Co- Lieferanten erhält, nicht weisungsgebunden. Damit fehlt es an einem wesentlichen Merkmal eines Auftragsverarbeitungsverhältnisses (vgl. Art. 29 DSGVO).

Die Verarbeitung der übermittelten Daten der Zeitarbeitskräfte erfolgt hier weder „für“ die Co-Lieferanten als vermeintliche „Auftraggeber“ i.S.d. Art. 28 DSGVO, noch steht den Co-Lieferanten hinsichtlich der Verarbeitung der übermittelten Daten (beispielsweise welche Zeitarbeitskräfte werden dem Kunden/Auftraggeber empfohlen?) ein Mitspracherecht zu. Eine Weisungsgebundenheit des Master-Vendor ist vor diesem Hintergrund lebensfern, denn faktisch wird hinsichtlich der übermittelten Daten der Zeitarbeitskräfte dem Master-Vendor ein vollständiger oder zumindest ganz erheblicher eigener Entscheidungsspielraum eingeräumt.

Rechtlich ähnelt die Position des Master-Vendor im Dreiecksverhältnis zwischen Co-Lieferanten als Verleiher, dem Master-Vendor als Bindeglied und dem Kunden/Auftraggeber als Entleiher, einem Maklerverhältnis (§§ 652 ff. BGB). Dieses ist dadurch gekennzeichnet, dass dem Makler für die erfolgreiche Vermittlung eines Vertrages eine Vergütung gezahlt wird. Im Master-Vendor-Modell hängt das Honorar des Master-Vendors an der Anzahl der vermittelten Arbeitnehmerüberlassungen zwischen dem Co-Lieferanten und dem Kunden/Auftraggeber ab.

Makler agieren jedoch nicht weisungsgebunden, sondern eigenständig und sind somit regelmäßig keine Auftragsverarbeiter.

Die Hauptmotivation des Master-Vendor zur Verarbeitung der Zeitarbeitskräfte des Co-Lieferanten liegt nicht darin, diese Daten „für“ den Co- Lieferanten zu verarbeiten, sondern die vertraglichen Verpflichtungen als Master-Vendor gegenüber dem Auftraggeber, also dem Kunden, zu erfüllen. Die Verarbeitung erfolgt daher mit eigenen Mitteln und insbesondere auch für eigene Zwecke. Dies ist ein wesentliches Merkmal einer eigenverantwortlichen Verarbeitung (siehe Art. 4 Nr.7 DSGVO).

Gemeinsame Verantwortlichkeit denkbar

Im Ergebnis dürfte grundsätzlich bei Einsatz des Master-Vendor-Modells von drei selbst Verantwortlichen auszugehen sein. Der Teufel kann jedoch hier im Detail stecken. Es ist im Einzelfall nämlich auch eine gemeinsame Verantwortlichkeit zwischen zwei Beteiligten denkbar, soweit in enger Abstimmung gemeinsam das „wofür“ und „wie“ der Verarbeitung personenbezogener Daten festgelegt wird, wodurch dann zusätzliche Anforderungen aus Art. 26 DSGVO zu beachten wären. Hier sind dann die jeweiligen konkreten vertraglichen Ausgestaltungen der Arbeitsteilung zwischen den Beteiligten maßgeblich.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Gut zusammengefasster und hilfreicher Sachverhalt. In der Praxis kamen wir zum selben Ergebnis.
    Schwierig zu bewerten ist jedoch die gängige Praxis, dass einer der Beteiligten (elektronische) Zeiterfassung betreibt, die zu Abrechnungszwecken betrieben wird. Konkret betreibt der Entleiher sowohl für seine Mitarbeiter, wie auch die geliehenen Mitarbeiter eine Zeiterfassung. Die Zeiten werden aber primär (wenn nicht sogar ausschließlich) dazu erfasst, damit der Verleiher oder Master die Abrechnung anlegen kann.
    Hier könnte es in der Praxis also schon zu einer Auftragsverarbeitung kommen, da die Daten (trotz Übergang der Mitarbeiter) nicht für den Betrieb selbst erfolgen, sondern für den Verleiher/Master. Hiermit würde eine Weisungsgebundene Tätigkeit erfolgen und die Daten nicht für eigene Zwecke des Entleihers genutzt.

    Ich freue mich über andere Einschätzungen oder Bestätigung :)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.