Mindestlohn und Datenschutz

10.03.2015 Mindestlohn und Datenschutz

Zunächst könnte sich dem aufmerksamen Leser die Frage stellen, warum eine Unternehmensberatung für Datenschutz und Datensicherheit über das zum 01.01.2015 in Kraft getretene Mindestlohngesetz (MiLoG) berichtet.
Oder anders gefragt: Was hat das neue Mindestlohngesetz überhaupt mit Datenschutz zu tun? Die Antwort lautet: Eine ganze Menge. Dies überrascht nur auf den ersten Blick, denn der zweite Blick wird Klarheit bringen und Gegenstand dieses Berichtes sein.

Ziel des Mindestlohngesetzes

Ziel des Gesetzgebers ist es, den Auftraggeber mit in die Pflicht zu nehmen, die Einhaltung der Mindestlohnvorschriften zu gewährleisten. In der Vergangenheit kam es zu zahlreichen Unterwanderungen der vereinbarten Mindesttariflöhne und ähnlichen Lohnvereinbarungen, vor allem durch eine Art Scheinselbständigkeit mit Hilfe von Dienst- und Werkverträgen.
Diese Exkulpationsmöglichkeiten soll es mit Hilfe des MiLoG nicht mehr geben. Ein Unternehmer, der einen anderen Unternehmer damit beauftragt, Werk- und Dienstleistungen zu erbringen, haftet für die Unterauftragnehmer wie ein Bürge, der auf die Einrede der Vorausklage verzichtet hat (§ 13 MiLoG, § 14 AentG). Gleiches gilt für die Nachunternehmer / Subunternehmer des Auftragnehmers.

Bedeutung für den Auftraggeber

Der Auftraggeber haftet dafür, dass die von ihm beauftragten Unternehmer sowie die von diesen beauftragten Subunternehmer ihren ArbeitnehmerInnen den gesetzlich zustehenden Mindestlohn zahlen. Diese verschuldensunabhängige Auftraggeberhaftung kann durch „keine noch so sorgfältige Auswahl und Überwachung gänzlich ausgeschlossen werden“ (Informationstext des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein, 06.02.15).
Der Auftraggeber ist also gehalten, sein Haftungs- und Bußgeldrisiko zu minimieren. Er hat dafür geeignete Maßnahmen zu ergreifen.

Die datenschutzrechtliche Relevanz

Aus Auftraggebersicht kann es nun sinnvoll sein, Daten zu erheben und zu verarbeiten, aus denen ersichtlich wird, dass die beauftragten Unternehmen die Mindestlohnvorschriften einhalten. Naheliegend wäre die Kontrolle der Lohn- und Gehaltsabrechnungen.
Jedoch müssen bei derartigen Kontrollen datenschutzrechtliche Vorschriften eingehalten werden. Dies gilt sowohl für die Auftraggeberseite (Erheben, Verarbeiten, Nutzen der Daten), als auch für die Auftragnehmerseite (Übermitteln der Daten).

1. Auftraggeberseite
Die Auftraggeberseite muss gem. § 28 Abs.1 Satz 1 Nr. 2 BDSG prüfen, ob das Erheben und Speichern der Beschäftigtendaten als Mittel zur Erfüllung eigener Geschäftszwecke zur Wahrung berechtigter Auftraggeberinteressen erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

2. Auftragnehmerseite
Die Auftragnehmerseite muss prüfen, ob die Übermittlung von Beschäftigtendaten für die Durchführung des Beschäftigtenverhältnisses erforderlich und somit zulässig ist (§ 32 Abs.1 Satz 1 BDSG).

Aus datenschutzrechtlicher Sicht könnte der unter 1. aufgeführte Sachverhalt im Einzelfall noch zulässig sein, der unter 2. ausgeführte Sachverhalt ist jedoch als datenschutzrechtlich unzulässig anzusehen:
„Wenn der Auftraggeber auf Basis einer vertraglichen Abrede mit dem beauftragten Unternehmer bei diesem einen pauschalen Zugriff auf bestimmte arbeitsvertragliche Unterlagen möglicherweise aller Beschäftigten oder gar auf deren Personalakten erhält.“ (ULD Schleswig Holstein, 06.02.15)

Anders als in § 28 BDSG findet in § 32 BDSG keine Interessenabwägung statt. Eine Interessenabwägung kann Spielräume eröffnen. Die Prüfung der Erforderlichkeit ist wesentlich strikter auszulegen. Es wird nur noch darauf abgestellt, ob die Maßnahme, die Kontrolle der Lohn- und Gehaltsabrechnung, erforderlich für die Durchführung des Beschäftigungsverhältnisses ist.
Laut ULD muss der Auftraggeber zur Begrenzung seiner Haftung zunächst auf Maßnahmen zurückgreifen, bei denen eine Erhebung personenbezogener Daten entbehrlich ist (milderes Mittel). Wenn andere Möglichkeiten nicht ausgeschöpft wurden, kann die Kontrolle also nicht erforderlich sein. Eine Kontrolle von Lohn- und Gehaltsabrechnungen der Mitarbeiter von Auftragnehmern würde den Auftraggebern Zugriff auf Daten geben (Konfessionszugehörigkeit, Familienstand, Geburtsdatum, Steuerklasse, etc.), die nicht zur Verringerung des Haftungsrisikos erforderlich wären. Somit ist eine Übermittlung von Lohn- und Gehaltsabrechnungen vom Auftragnehmer an den Auftraggeber gesetzlich unzulässig.

Das Dilemma

Ein „Dilemma“, könnte sich der Auftraggeber nun denken. Einerseits hat er als Bürge für die Einhaltung der Mindestlohnvorschriften der Auftragnehmer einzustehen, andererseits darf er die Lohn- und Gehaltsabrechnungen des Auftragnehmers nicht kontrollieren, um sein Haftungsrisiko zu minimieren. Der Gesetzgeber hat Ihm keine entsprechende Rechtsgrundlage gem. § 1 Abs. 3 Satz 1 BDSG geschaffen, die eine solche umfassende Kontrolle rechtfertigen könnte.

Gute Lösungsansätze

Sicherlich ist es sinnvoll, bestimmte vertragliche Regelungen zu treffen und bei der Auswahl der Dienstleister besondere Sorgfalt walten zu lassen. Dies ist zwar keine gesetzliche Pflicht, aber als absolutes „Muss“ anzusehen, um das Haftungsrisiko des Auftraggebers zu minimieren.

An dieser Stelle sollen nur einige Lösungsansätze genannt werden:
• Prüfung des Angebots auf Indizien, dass keine Mindestlöhne gezahlt werden
• Vertragsklausel zur Einhaltung des Mindestlohns mit Vertragsstrafen-Regelung
• Regelungen für Unterauftragnehmer (Freistellung von Forderungen, Bankbürgschaften)
• Auditierungs-Regelungen (Anonymisierung, vertrauenswürdige Dritte)
• Zustimmungsvorbehalte für Unterauftragsverhältnisse

Für weitergehende bzw. detaillierte Lösungen kontaktieren Sie am besten Ihren fachkundigen und erfahrenen Datenschutzbeauftragten.