Zum Inhalt springen Zur Navigation springen
Master-Vendor-Modell im Datenschutz

Master-Vendor-Modell im Datenschutz

Wird bei der Vermittlung von Zeitarbeitnehmern ein Unternehmen als Master-Vendor eingeschaltet, werden die beteiligten Unternehmen regelmäßig mit der Frage konfrontiert, in welchem datenschutzrechtlichen Verhältnis sie eigentlich stehen. Dieser Artikel bietet eine Übersicht.

Master-Vendor-Modell im Rahmen der Arbeitnehmerüberlassung

Zeitarbeitskräfte erbringen ihre Arbeitsleistung nicht beim Arbeitgeber (Verleiher), sondern bei einem Dritten (Entleiher). Der Arbeitnehmer wird diesem überlassen.

Beschränkt sich der Entleiher auf nur einen Verleiher, erhält er auch nur eine eingeschränkte Auswahl von möglichen Zeitarbeitskräften, die eben beim Verleiher angestellt sind. Hier ist es für den Entleiher sinnvoll, die jeweiligen Zeitarbeiter verschiedener Verleiher zu bündeln, um so eine geeignete Auswahl von Zeitarbeitern zur Verfügung stehen zu haben.

Diesem Gedanken entspringt das sog. „Master-Vendor-Modell“. Hier schließt der Master-Vendor mit verschiedenen Personaldienstleistern (sog. „Co-Lieferanten“) Verträge ab, um einem Unternehmen, das Zeitarbeitskräfte einsetzen möchte (der „Kunde“), diese zur Verfügung stellen zu können. Das Unternehmen zwischen den Co-Lieferanten und dem Kunden wird dadurch Hauptdienstleister gegenüber dem Kunden (daher „Master“).

In dieser Konstellation ist somit zwischen dem Kunden, dem Master-Vendor und den verschiedenen Co-Lieferanten zu unterscheiden.

Denkbar ist in diesem Kontext, dass es sich bei allen Beteiligten um datenschutzrechtlich selbst Verantwortliche, gemeinsame Verantwortliche oder um Auftragsverarbeitungsverhältnisse handelt.

Verhältnis Master-Vendor und Kunde

Einen Hinweis auf das datenschutzrechtliche Verhältnis zwischen Master-Vendor und Kunde liefert das Working Paper 169 der Artikel 29 Gruppe im Beispiel 6 zum Einsatz eines Personalvermittlers.

Hier stellt die Datenschutzgruppe fest, dass der Personalvermittler, der Bewerbungen, die bereits in seiner eigenen umfangreichen Datenbank vorhanden sind, auch dazu nutzt, um seine Einnahmen zu steigern, da er vertragsgemäß nur für abgeschlossene Arbeitsverträge bezahlt wird. Aus dem im Beispiel angeführten Sachverhalt ließe sich schließen, dass der Personaldienstleister trotz eines mit dem Kunden abgeschlossenen Auftragsverarbeitungsvertrages als ein für die Verarbeitung Verantwortlicher angesehen werden muss, der zumindest die Vorgangsreihen im Zusammenhang mit der Personalvermittlung für den Kundengemeinsam mit diesem koordiniert.

Keine Unterscheidung zwischen Leiharbeitern und Beschäftigten

Diese Überlegungen lassen sich unproblematisch auf das Master-Vendor-Modell übertragen, denn hier vermittelt der Master-Vendor gegenüber dem Kunden zwar nicht Arbeitskräfte zur Festanstellung, jedoch die Überlassung von Zeitarbeitskräften. Hier macht das Datenschutzrecht keinen Unterschied, wie sich aus § 26 Abs. 8 Nr.1 BDSG ergibt, wonach auch Leiharbeiter als Beschäftigte zu behandeln sind.

Die Feststellungen der Datenschutzgruppe decken sich auch mit den allgemeinen Grundsätzen zur Auftragsverarbeitung:

Diese ist nach Art. 29 DSGVO nur anzunehmen, wenn der Auftragnehmer (hier wäre dies der Master-Vendor) weisungsgebunden agiert und i.S.d. Art. 4 Nr.7 DSGVO nicht über die Mittel und Zwecke der Verarbeitung bestimmt. Beides ist im vorliegenden Kontext jedoch lebensfern, da der Master-Vendor nicht personenbezogene Daten des Kunden „für diesen“ verarbeitet, sondern mit der Verarbeitung der Daten über die Zeitarbeitskräfte schlicht eigene Geschäftszwecke verfolgt und damit die Daten auch nur zu eigenen Zwecken verarbeitet.

Verhältnis Co-Lieferant und Master-Vendor

Auch wird zwischen den jeweiligen Co-Lieferanten und dem Master-Vendor kein Auftragsverarbeitungsverhältnis vorliegen. Der „Master-Vendor“ verarbeitet personenbezogene Daten, die er von seinen Co- Lieferanten erhält, nicht weisungsgebunden. Damit fehlt es an einem wesentlichen Merkmal eines Auftragsverarbeitungsverhältnisses (vgl. Art. 29 DSGVO).

Die Verarbeitung der übermittelten Daten der Zeitarbeitskräfte erfolgt hier weder „für“ die Co-Lieferanten als vermeintliche „Auftraggeber“ i.S.d. Art. 28 DSGVO, noch steht den Co-Lieferanten hinsichtlich der Verarbeitung der übermittelten Daten (beispielsweise welche Zeitarbeitskräfte werden dem Kunden/Auftraggeber empfohlen?) ein Mitspracherecht zu. Eine Weisungsgebundenheit des Master-Vendor ist vor diesem Hintergrund lebensfern, denn faktisch wird hinsichtlich der übermittelten Daten der Zeitarbeitskräfte dem Master-Vendor ein vollständiger oder zumindest ganz erheblicher eigener Entscheidungsspielraum eingeräumt.

Rechtlich ähnelt die Position des Master-Vendor im Dreiecksverhältnis zwischen Co-Lieferanten als Verleiher, dem Master-Vendor als Bindeglied und dem Kunden/Auftraggeber als Entleiher, einem Maklerverhältnis (§§ 652 ff. BGB). Dieses ist dadurch gekennzeichnet, dass dem Makler für die erfolgreiche Vermittlung eines Vertrages eine Vergütung gezahlt wird. Im Master-Vendor-Modell hängt das Honorar des Master-Vendors an der Anzahl der vermittelten Arbeitnehmerüberlassungen zwischen dem Co-Lieferanten und dem Kunden/Auftraggeber ab.

Makler agieren jedoch nicht weisungsgebunden, sondern eigenständig und sind somit regelmäßig keine Auftragsverarbeiter.

Die Hauptmotivation des Master-Vendor zur Verarbeitung der Zeitarbeitskräfte des Co-Lieferanten liegt nicht darin, diese Daten „für“ den Co- Lieferanten zu verarbeiten, sondern die vertraglichen Verpflichtungen als Master-Vendor gegenüber dem Auftraggeber, also dem Kunden, zu erfüllen. Die Verarbeitung erfolgt daher mit eigenen Mitteln und insbesondere auch für eigene Zwecke. Dies ist ein wesentliches Merkmal einer eigenverantwortlichen Verarbeitung (siehe Art. 4 Nr.7 DSGVO).

Gemeinsame Verantwortlichkeit denkbar

Im Ergebnis dürfte grundsätzlich bei Einsatz des Master-Vendor-Modells von drei selbst Verantwortlichen auszugehen sein. Der Teufel kann jedoch hier im Detail stecken. Es ist im Einzelfall nämlich auch eine gemeinsame Verantwortlichkeit zwischen zwei Beteiligten denkbar, soweit in enger Abstimmung gemeinsam das „wofür“ und „wie“ der Verarbeitung personenbezogener Daten festgelegt wird, wodurch dann zusätzliche Anforderungen aus Art. 26 DSGVO zu beachten wären. Hier sind dann die jeweiligen konkreten vertraglichen Ausgestaltungen der Arbeitsteilung zwischen den Beteiligten maßgeblich.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Gut zusammengefasster und hilfreicher Sachverhalt. In der Praxis kamen wir zum selben Ergebnis.
    Schwierig zu bewerten ist jedoch die gängige Praxis, dass einer der Beteiligten (elektronische) Zeiterfassung betreibt, die zu Abrechnungszwecken betrieben wird. Konkret betreibt der Entleiher sowohl für seine Mitarbeiter, wie auch die geliehenen Mitarbeiter eine Zeiterfassung. Die Zeiten werden aber primär (wenn nicht sogar ausschließlich) dazu erfasst, damit der Verleiher oder Master die Abrechnung anlegen kann.
    Hier könnte es in der Praxis also schon zu einer Auftragsverarbeitung kommen, da die Daten (trotz Übergang der Mitarbeiter) nicht für den Betrieb selbst erfolgen, sondern für den Verleiher/Master. Hiermit würde eine Weisungsgebundene Tätigkeit erfolgen und die Daten nicht für eigene Zwecke des Entleihers genutzt.

    Ich freue mich über andere Einschätzungen oder Bestätigung :)

    • In dem genannten Beispiel ist die Problematik, dass die im Rahmen der elektronischen Zeiterfassung erhobenen und genutzten Daten sowohl vom Verleiher/Master als auch Entleiher benötigt und auch ausgetauscht werden. Hier dürfte die Nutzung der beteiligten Unternehmen jedoch häufig für lediglich eigene Zwecke erfolgen, womit eine eigene Verantwortlichkeit naheliegend ist.

      Haben Verleiher/Master und Entleiher beide Zugang zu dem elektronischen Zeiterfassungstool oder stimmen sich gemeinsam darüber ab, welches elektronische Zeiterfassungstool wie genutzt wird, wäre hier an eine gemeinsame Verantwortlichkeit zu denken.

      Regelmäßig werden große Kunden jedoch schon lange bestehende Systeme einsetzen und sich nicht nach dem Verleiher/ Master richten ( = eigene Verantwortlichkeit).

      Im Bereich der elektronischen Zeiterfassung zeigt sich insgesamt, dass je nach konkreter Ausgestaltung der Datenerhebung und Datenübermittlung neben der eigenen Verantwortlichkeit auch eine gemeinsame Verantwortlichkeit und sogar eine Auftragsverarbeitung denkbar ist.

  • Wie verhält es sich denn mit der vertraglichen Gestaltung? Wenn es sich nicht um eine Auftragsdatenverarbeitung handelt (sondern um drei Verantwortliche), welche vertraglichen Vereinbarung zur Datenweitergabe muss dann geben (vor allem zwischen Co Partner und Master)?
    Ich freue mich über eine Einschätzung dazu.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.