DA+

Aufsatz : Auftragsverarbeitung und gemeinsame Verantwortung bei der Arbeitnehmerüberlassung : aus der RDV 3/2021, Seite 141 bis 148

Insbesondere bei mehreren Zeitarbeitsfirmen und Nutzung eines Vendor-Management-Systems

Lesezeit 27 Min.

Die Arbeitnehmerüberlassung oder Zeitarbeit ist datenschutzrechtlich eine besondere Branche: zum einen, weil der Leiharbeitnehmer nach dem BDSG auch Beschäftigter im Betrieb des Entleihers wird, und zum anderen, weil das AÜG die Kettenüberlassung verbietet. Letzteres spielt eine wesentliche Rolle bei der datenschutzrechtlichen Bewertung insbesondere bei Großkunden, die häufig zahlreiche Zeitarbeitsfirmen im Betrieb haben und die Koordination aller Beteiligten auf eine der Zeitarbeitsfirmen als sog. Master Vendor auslagern und dabei zudem häufig ein elektronisches Vendor-Management-System nutzen. Dieser Beitrag geht der Frage nach, ob und wenn ja in welchen Konstellationen Auftragsverarbeitung bzw. gemeinsame Verantwortlichkeit vorliegt.

I. Einleitung

Obwohl der Anteil der Zeitarbeit an der Gesamtbeschäftigung signifikant ist (in den letzten zehn Jahren zwischen 2,3 und 2,8% der Gesamtbeschäftigung – mithin bis zu knapp 1 Mio. Leih-Arbeitnehmer)[1] und eine große Wirtschaftsbranche darstellt, wird das Datenschutzrecht der Arbeitnehmerüberlassung in der Literatur wenig beleuchtet. Das mag erklären, warum in der Praxis immer wieder eine recht geringe Kenntnis von den besonderen Leistungsbeziehungen nach dem AÜG und den sich daraus ergebenden datenschutzrechtlichen Konsequenzen festzustellen ist.

Bei der Arbeitsüberlassung sind datenschutzrechtlich zwei besondere Elemente von Bedeutung: zum einen wird der Leiharbeitnehmer nach § 26 Abs. 1 Ziff. 1 BDSG (auch) Beschäftigter des Entleihers, zum anderen verbietet § 1 Abs. 1 S. 3 AÜG die Kettenüberlassung, d.h. die Einschaltung eines Dritten, über den die Beschäftigung vermittelt würde. Mit anderen Worten: eine zulässige Arbeitnehmerüberlassung setzt immer den direkten Vertrag zwischen Verleiher und Entleiher voraus, der Leiharbeitnehmer wird datenschutzrechtlich eigener Beschäftigter des Entleihers.

Die Konstellationen, insbesondere auch bei Tätigkeit eines Master Vendor, der für einen Kunden mehrere Zeitarbeitsfirmen koordiniert, werden dadurch nicht einfacher, dass dort häufig ein gemeinsames digitales Vendor-Management-System genutzt wird, über das u.a. Order-Management, Vorschlagswesen, Anhörungsprozesse sowie elektronische Zeiterfassung und Rechnungskonsolidierung laufen können. Diese Verwendung eines elektronischen Tools ruft regelmäßig, aber unzutreffend den modernen pawlowschen Reflex der gemeinsamen Verantwortlichkeit hervor.

II. Grundsatz: Arbeitnehmerüberlassung ist keine Auftragsverarbeitung

Bei der Betrachtung der Arbeitnehmerüberlassung ist zunächst festzuhalten, dass es im Geschäftsleben Datenübertragungen zwischen Parteien geben kann, ohne dass ein Vertrag zwischen diesen besteht (etwa zwischen zwei Auftragsverarbeitern auf Weisung ihres gemeinsamen Verantwortlichen). Davon abgesehen erfolgen Datenübertragungen zwischen Wirtschaftsunternehmen aber immer im Zusammenhang mit einem Vertrag. Bei der Auftragsverarbeitung beispielsweise ist ein (in der Regel zivilrechtlicher) Auftrag zwischen Verantwortlichem und Auftragsverarbeiter erforderlich, also eine Leistungsbeziehung, die typischerweise in einem schriftlichen Vertrag (gegebenenfalls als AGB) festgelegt wird, aber nach zivilrechtlichen Grundsätzen auch mündlich sein kann. Es ist denkbar, dass der Vertrag über die Auftragsvereinbarung zugleich die Leistungsbeziehung beschreibt, aber grundsätzlich gilt: ohne Absprache der Leistung, dem „Auftrag“,[2] keine Auftragsverarbeitung. Zwischen zwei Verantwortlichen erfolgt ein Datenaustausch dann zur gegenseitigen Erfüllung der Vertragspflichten, ohne dass eine Partei die Daten auf Weisung der anderen Partei verarbeitet.

Die Leistungsbeziehung zwischen Verleiher und Entleiher nennt sich bei der Zeitarbeit in der Regel Arbeitnehmerüberlassungsvertrag. In dieser vertraglichen Geschäftsbeziehung bleiben beide Parteien eigenständige Verantwortliche, weil keine Partei Daten im Auftrag der anderen verarbeitet, sondern vielmehr verarbeiten beide die Daten für eigene Geschäftszwecke: Der Kunde benötigt und verarbeitet etwa Namen und Kontaktdaten des Leiharbeitnehmers, um dessen Einsatz in seinem Betrieb zu koordinieren. Der Personaldienstleister wiederum verarbeitet Namen und Stammdaten des Mitarbeiters, um dessen Leistungen einem Kunden anzubieten oder die Gehaltsabrechnung zu erstellen. Keine der beiden Parteien kann die jeweils andere anweisen, die Daten so oder so zu verarbeiten, was für eine Auftragsverarbeitung zwingendes Erfordernis wäre.[3]

Spätestens mit Einführung der Vorschrift des § 26 Abs. 8 Ziff. 1 BDSG n.F., nach der ein Leiharbeitnehmer Beschäftigter im Betrieb des Entleihers ist, kann nicht mehr vertreten werden, dass der Kunde Auftragsverarbeiter des Personaldienstleisters ist. Übernimmt der Kunde beispielsweise den Namen des Leiharbeitnehmer in seine Schicht- oder Urlaubsplanung, so ist dies eine Verarbeitung zu eigenen Zwecken und im eigenen Interesse. Auch die umgekehrte Variante, dass der Personaldienstleister Auftragsverarbeiter des Kunden sein könnte, liegt nicht vor: Zum einen entspricht dies nicht dem Datenfluss (die personenbezogenen Daten der Leiharbeitnehmer kommen vom Personaldienstleister und gehen zum Kunden), zum anderen verarbeitet der Personaldienstleister die Daten nicht auf Weisung und für Zwecke des Kunden, sondern für Aufgaben seiner eigenen betrieblichen Tätigkeit (nämlich der Arbeitnehmerüberlassung).

Als Zwischenergebnis lässt sich daher festhalten, dass mit Blick auf § 26 Abs. 1 Ziff. 1 BDSG einerseits und § 1 Abs. 1 S. 3 AÜG andererseits die Vertragsbeziehung der Arbeitnehmerüberlassung zwischen Entleiher und Verleiher eine Controller-Controller-Beziehung und keine Auftragsverarbeitung ist.

III. Arbeitnehmerüberlassung als gemeinsame Verantwortlichkeit?

Bei der Frage, ob bei der Arbeitnehmerüberlassung der Fall einer gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO vorliegen kann, ist – nach Darstellung der Voraussetzungen der gemeinsamen Verantwortlichkeit (nachfolgend Ziff. 1) – zwischen drei Konstellationen zu unterscheiden: zum einen (a) der einfachen Arbeitnehmerüberlassung zwischen Entleiher und Verleiher (nachfolgend Ziff. 2), zum anderen (b) der Arbeitnehmerüberlassung mit der Beteiligung mehrerer Zeitarbeitsunternehmen für einen Kunden unter Einschaltung eines Master-Vendor (nachfolgend Ziff. 3) sowie (c) der vorgenannte Sachverhalt mit Master-Vendor, jedoch unter gleichzeitiger gemeinsamer Verwendung eines Vendor-Management-Systems (nachfolgend Ziff. 4):

1. Grundsätze der gemeinsamen Verantwortlichkeit

Die Rechtsfigur der gemeinsamen Verantwortlichen nach Art. 26 DS-GVO adressiert die Fälle, in denen mehrere Akteure bei der Entscheidung über die Verarbeitung personenbezogener Daten beteiligt sind. Dabei geht es nicht allein um die Konstellationen, in denen es für ein und dieselbe Verarbeitung mehrere Akteure gibt, die gleichermaßen mit der gleichen Verantwortung über die Zwecke und Mittel der Verarbeitung entscheiden, sondern um verschiedene mögliche Formen der „pluralistischen Kontrolle“, bei der die Verarbeitung zusammen mit einem anderen in unterschiedlichen Spielarten und Konstellationen existiert.[4] Hierbei muss ein sachbezogener funktioneller Ansatz verfolgt werden, bei dem der Schwerpunkt auf der Prüfung liegt, ob mehr als eine Partei über die Zwecke und Mittel der Datenverarbeitung entscheidet.[5]

Nach Art. 26 Abs. 1 S. 1 DS-GVO legen die gemeinsam Verantwortlichen die Zwecke und die Mittel zur Verarbeitung gemeinsam fest. Die bloße Zusammenarbeit reicht nicht, Voraussetzung ist vielmehr die kooperative Festlegung der Zwecke und der Mittel, die bei der Erreichung des Zieles zum Einsatz kommen, also die Übereinkunft über die Motive und Instrumente der Datenverarbeitung.[6] Maßgeblich ist also, ob eine Entscheidungsbefugnis im Sinne einer konkreten Einwirkungsmöglichkeit auf den Datenverarbeitungsprozess besteht. Mit anderen Worten muss also jeder Verantwortliche einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nehmen.[7] Entscheidend ist dabei, dass sich die Möglichkeit der Einflussnahme kumulativ auf Zwecke und Mittel der Verarbeitung beziehen muss.[8] Auch das wird gelegentlich missverstanden, weil die Art. 29-Datenschutzgruppe, in ihrem WP 169[9] fehlerhaft – nämlich damals schon contra legem entgegen der Bestimmung in Art. 2 lit d) DS-RL – ausführte, dass die gemeinsame Festlegung entweder von Zweck oder Mittel ausreichend sein sollten. Dies lässt sich jedenfalls angesichts der eindeutigen Anordnung von Art. 26 DS-GVO heute nicht mehr vertreten.[10]

Bezogen auf die Mittel der Verarbeitung setzt dies also zwingend voraus, dass alle gemeinsam Verantwortlichen diese Mittel gleichermaßen für die Verarbeitung einsetzen, also bspw. eine gemeinsame IT-Infrastruktur.[11] Sind die Mittel nicht identisch, fehlt es an deren gemeinsamer Festlegung und damit an der gemeinsamen Verantwortlichkeit.[12] Sind die Mittel hingegen identisch, können die Verantwortlichen bspw. auch Pflichten wie die Sicherheit der Verarbeitung nach Art. 32 DS-GVO nur gemeinsam erfüllen – ein Umstand, der auch den Sinn und Zweck der gemeinsamen Verantwortlichkeit deutlich macht. Es geht darum, sowohl für die Verantwortlichen selbst als auch für Außenstehende wie Betroffene oder Aufsichtsbehörden transparent zu machen, wer welche Pflichten aus der DS-GVO erfüllt. Deshalb ist es ein weiteres wichtiges Indiz bei der Prüfung einer gemeinsamen Verantwortlichkeit, ob die Verantwortlichen zumindest teilweise die Pflichten der DS-GVO nur gemeinsam erfüllen können.[13]

Damit müssen in der Regel zumindest folgende Voraussetzungen kumulativ vorliegen, um von einer gemeinsamen Verantwortlichkeit ausgehen zu können:

  1. a) Verantwortliche betreiben übereinstimmende Mittel,
  2. b) Verantwortliche stimmen bei den bezweckten Ergebnissen überein,
  3. c) Verantwortlichen haben Mittel und Zwecke der Verarbeitung gemeinsam festgelegt, und
  4. d) Verantwortliche sind nur gemeinsam zur Erfüllung aller DS-GVO-Pflichten im Stande.

Auch das Urteil des EuGHs in Sachen Fashion ID[14] gibt keinen Anlass, diese grundsätzliche Struktur bzw. grundlegenden Anforderungen infrage zu stellen. Der Entscheidung des EuGHs liegt eine besondere Fallgestaltung mit Blick auf Internet & Social Plugins, mithin bei Telemedien, zugrunde und hat damit keine Vergleichbarkeit mit ganz anderen Leistungsbeziehungen wie der Arbeitnehmerüberlassung.[15]

2. Klassische Arbeitnehmerüberlassung als gemeinsame Verantwortlichkeit

Keine der vorstehenden Voraussetzungen liegt bei den Datenverarbeitungen zwischen dem Verleiher und dem Entleiher im Rahmen der klassischen Arbeitnehmerüberlassung vor (nachstehend a) bis d), auch nicht, wenn eine Partei des Arbeitnehmerüberlassungsvertrages der anderen die Nutzung eines Vendor-Management-System ermöglicht (nachfolgend e):

a) Keine übereinstimmenden Mittel

Es werden bei der Arbeitnehmerüberlassung keine übereinstimmenden Mittel verwendet (zum Einsatz eines VendorManagement-System unten e). Es existiert insbesondere keine gemeinsam betriebene Infrastruktur, sondern jeder Verantwortliche verarbeitet die Daten auf seinen eigenen jeweiligen IT-Systemen. Damit scheidet eine gemeinsame Verantwortlichkeit zwangsläufig bereits an diesem Punkt aus. Allein die Tatsache, dass die Parteien möglicherweise festlegen, wie eine Datenübermittlung (z.B. die Profilübermittlung von geeigneten Kandidaten vom Verleiher an den Entleiher) erfolgt, ändert hieran nichts. Denn mit einer Datenübermittlung zwischen zwei getrennt Verantwortlichen geht zwangsläufig einher, dass sich die Parteien über die Schnittstelle für diese Übermittlung abstimmen müssen. Dementsprechend liegt auch keine gemeinsame Infrastruktur vor, wenn die Parteien den Versand der Daten per verschlüsselter E-Mail beschließen; der Entleiher den Verleiher bittet, die Daten über einen FTP-Zugang hochzuladen; der Entleiher den Verleiher bittet, die Daten in seinem HR-System hochzuladen; der Verleiher den Entleiher bittet, die Daten aus seinem HR-System runterzuladen; oder der Verleiher den Entleiher bittet, die Daten über einen FTP-Zugang runterzuladen. Hierbei handelt es sich lediglich um die Absicherung von Datenübermittlungen durch Verschlüsselung und/oder Authentifikationsmechanismen, also Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 DS-GVO), die zur Erfüllung der jeweils eigenen ComplianceAnforderungen umgesetzt werden.

b) Kein gemeinsamer Zweck

Datenverarbeitungen finden sowohl auf Seiten des Verleihers als auch des Entleihers statt. Der Verleiher verarbeitet die personenbezogenen Daten zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses und den hiermit zusammenhängen Einsatz des Leiharbeitnehmers im Betrieb des Entleihers, während der Entleiher personenbezogene Daten des Leiharbeitnehmers bspw. für die Koordinierung der Einsatzplanung im eigenen Betrieb benötigt. Eine „Verbindung“ in Form eines Ausgangspunktes zwischen diesen Verarbeitungstätigkeiten bildet zwar der Arbeitnehmerüberlassungsvertrag zwischen Verleiher und Entleiher. Hieraus folgt, wie bereits beschrieben, aber nicht, dass eine Partei für die andere Partei die personenbezogenen Daten im Auftrag verarbeitet. Genauso wenig folgt hieraus zugleich, dass – quasi im Umkehrschluss – die bezweckten Ergebnisse übereinstimmen. Vielmehr verarbeiten beide Parteien die personenbezogenen Daten des überlassenen Mitarbeiters jeweils für eigene Geschäftszwecke.

Übernimmt der Entleiher beispielsweise den Namen des überlassenen Mitarbeiters in seine Schicht- oder Urlaubsplanung, so ist dies eine Verarbeitung zu eigenen Zwecken und im eigenen Interesse, die er auf § 26 Abs. 1 BDSG i.V.m. Art. 6, 88 DS-GVO stützen kann. Verarbeitet der Verleiher die Kontodaten des überlassenen Mitarbeiters für die Gehaltsauszahlung und Stammdaten des Mitarbeiters, um diesen einem Kunden anzubieten, so ist auch dies eine Verarbeitung zu eigenen Zwecken und im eigenen Interesse, die er auf § 26 Abs. 1 BDSG i.V.m. Art. 6, 88 DS-GVO stützen kann und teilweise auch vornehmen muss, um seiner gesetzlichen Konkretisierungspflicht gemäß § 1 Abs. 1 AÜG genügen zu können. In beiden Fällen stimmen die bezweckten Ergebnisse nicht überein – jede Partei verarbeitet die Daten nur zu ihren eigenen Zwecken.

Soweit ersichtlich, vertreten die deutschen Aufsichtsbehörden öffentlich keine davon abweichende Meinung. Lediglich in der Literatur gibt es Gegenstimmen, die der Auffassung sind, dass es sich bei der Verarbeitung personenbezogener Daten im Rahmen der Arbeitnehmerüberlassung um eine gemeinsame Verantwortlichkeit handelt.[16] Eine gemeinsame Verantwortlichkeit wird hier im Wesentlichen darauf gestützt, dass Entleiher und Verleiher die personenbezogenen Daten des Leiharbeitnehmers zum gemeinsamen Zweck der Arbeitnehmerüberlassung verarbeiten würden und eine Verarbeitung ohne die Übermittlung der jeweils anderen Partei nicht möglich sei. Diese Meinung lässt ganz erhebliche Defizite bei dem Verständnis des Datenaustausches bei der Erfüllung schuldrechtlicher Verträge erkennen.

Denn dass der „gemeinsame Zweck“ der Datenverarbeitung in der Abwicklung des Arbeitnehmerüberlassungsvertrages besteht und der Verleiher durch seine Datenübermittlung erst die notwendige Bedingung für die Verarbeitung der Leiharbeitnehmerdaten durch den Entleiher setzt, kann für sich genommen keine gemeinsame Verantwortlichkeit auslösen. Sonst wäre jede Übermittlung personenbezogener Daten von einem Verantwortlichen zu einem anderen Verantwortlichen im Rahmen der Erfüllung eines schuldrechtlichen Vertrages als gemeinsame Verantwortlichkeit einzuordnen – was abwegig ist.[17] Denn so erfolgt bspw. auch in einem normalen Einkaufsprozess im B2B-Bereich die Verarbeitung der jeweiligen Ansprechpartnerdaten zum „gemeinsamen Zweck“ der gegenseitigen Vertragserfüllung, nicht zum Zweck der gemeinsamen Datenverarbeitung.

Zusammenfassend gilt also: Der Verleiher verarbeitet die Daten für seine Zwecke in der Rolle als Verleiher (und Arbeitgeber), während der Entleiher die Daten für seine Zwecke in der Rolle als Entleiher (und Kunde) verarbeitet. Nur der Ausgangspunkt für die Verarbeitung (Arbeitnehmerüberlassung) stimmt also überein, die bezweckten Ergebnisse hingegen nicht.

c) Keine gemeinsame Festlegung von Mittel und Zweck der Verarbeitung

Die Zusammenarbeit der Parteien mit Blick auf personenbezogene Daten beschränkt sich also auf die Frage, welche personenbezogenen Daten bspw. vom Verleiher an den Entleiher übermittelt werden dürfen und müssen. Hierzu muss jede Partei jeweils für sich im eigenen Verantwortungsbereich prüfen, ob ein Erlaubnistatbestand für die Datenübermittlung durch die sendende Partei bzw. die Verarbeitung durch die empfangende Partei nach Art. 6 DS-GVO besteht. So muss die Zeitarbeitsfirma beispielsweise entscheiden, ob sie für eine Vertrauensposition das Führungszeugnis an den Kunden übermitteln darf oder ob der Kunde diese Daten selbst beim Leiharbeitnehmer erheben muss. Soweit beispielsweise zu Abrechnungszwecken konkrete Arbeitszeiten der Leiharbeitnehmer übermittelt werden, dient dies der Erfüllung der vertragsrechtlichen Hauptleistungspflichten.

Wird eine Datenübermittlung vorgenommen, ist die Zusammenarbeit aus datenschutzrechtlicher Sicht damit abgeschlossen. Jede Partei soll und will weiterhin selbstständig festlegen, welche Zwecke und Mittel der Datenverarbeitung zugrunde liegen. Dies wird durch die Parteien nicht gemeinsam festgelegt. Es besteht auch in funktioneller Hinsicht keine Entscheidungsbefugnis oder bestimmende tatsächliche Einflussmöglichkeit, die eine pluralistische Kontrolle im Sinne einer gemeinsamen Verantwortlichkeit begründen könnte.

d) Keine Erforderlichkeit der gemeinsamen Erfüllung aller DS-GVO-Pflichten

Die Beteiligten sind auch nicht in der Lage oder darauf angewiesen, die Pflichten aus der DS-GVO gemeinsam zu erfüllen.

§ 26 Abs. 8 Ziff. 1 BDSG n.F. macht hier schon deutlich, dass der Gesetzgeber von zwei unabhängigen Pflichtenkreisen ausgeht. Auch in der Praxis wäre eine gemeinsame Erfüllung nicht möglich: So können bspw. sowohl Zeitarbeitsunternehmen als auch der Kunde mangels gemeinsamer Mittel nur selbstständig die technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO festlegen und eigenverantwortlich entscheiden, ob Teile der Verarbeitungstätigkeiten an Auftragsverarbeiter über einen Vertrag nach Art. 28 DSGVO ausgelagert werden sollen. Ferner lassen sich auch die Anforderungen, die nach Art. 26 DS-GVO an eine entsprechende Vereinbarung gestellt werden, faktisch nicht umsetzen. So fordert die Norm von gemeinsam Verantwortlichen, in für den Betroffenen transparenter Form festzulegen, wer von ihnen die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DS-GVO erfüllt. Sowohl Verleiher als auch Entleiher können diese Informationspflichten aber nur jeweils getrennt für sich erfüllen, da weder Verleiher noch Entleiher Kenntnis darüber haben, wie und zu welchen Zwecken der jeweils andere welche Daten verarbeitet. Entsprechendes gilt für alle anderen Pflichten der DS-GVO. Ein gemeinsamer Verantwortungsbereich, bei dem eine Aufteilung sinnvoll oder möglich wäre, existiert nicht.

Zusammenfassend erfüllt die klassische Datenverarbeitung im Rahmen der Arbeitnehmerüberlassung kein Kriterium, das für die Annahme einer gemeinsamen Verantwortlichkeit erforderlich wäre. Selbst wenn man der Ansicht ist, dass die oben genannten Voraussetzungen keinen zwingenden Charakter haben, sondern nur Indizien darstellen, lässt jedenfalls die Gesamtschau keinen Rückschluss auf eine gemeinsame Verantwortlichkeit zu.

e) Nutzung eines VMS bei klassischer Arbeitnehmerüberlassung

Es gibt in der Praxis zusätzlich Konstellationen, in denen bei der klassischen Überlassungsbeziehung ein Vendor-Management-System genutzt wird, sei es auf Veranlassung des Kunden (weil er mehrere Zeitarbeitsfirmen einschaltet), sei es auf Wunsch des Verleihers (weil der Kunde dort den Einsatz der Leiharbeitnehmer verwalten kann). Der Einsatz eines solchen Vendor-Management-System im Rahmen der klassischen, bilateralen Arbeitnehmerüberlassung ändert aber an dem vorstehenden Befund, dass es sich nicht um eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO handelt, nichts:

Der arbeitsteilige Einsatz unter Hinzuziehung von elektronischen Hilfsmitteln kommt in allen möglichen Konstellationen des Wirtschaftslebens vor. Häufig werden in einer arbeitsteiligen Marktwirtschaft auf Wunsch einer Partei Plattformen für die Zusammenarbeit verwendet (zum Beispiel Einkaufs- oder Bestellplattformen). Darin liegt noch kein gemeinsamer Zweck oder Mittel, anderenfalls würden schon die Nutzung einer Software wie Microsoft SharePoint oder eines ftp-Fileservers zum Upload zur gemeinsamen Verantwortlichkeit führen. So verändert sich der Zweck einer Vertragsbeziehung auch nicht, wenn der Kunde seine Bestellung im E-Shop des Händlers aufgibt oder der Mieter seine Terminabsprache mit dem Heizungsableser über dessen Verwaltungstool abwickelt. Würde man allein die gemeinsame Nutzung des IT-Systems der einen Partei ausreichen lassen, dann wäre der Suchende bei Google oder der Einkäufer bei Amazon bereits in der gemeinsamen Verantwortlichkeit mit diesen Unternehmen.

Allein die Zurverfügungstellung von EDV durch eine Partei, die auch von der anderen Partei genutzt wird, führt nicht zur gemeinsamen Verantwortlichkeit. Denn nur dadurch, dass eine Partei elektronische Hilfsmittel einsetzt, führt dieses Mittel weder zu dem Betrieb eines gemeinsamen Mittels noch zu einem gemeinsamen Zweck. Das alte Schulbeispiel der Urlaubs-Fahrgemeinschaft als Urform der GbR mag dies illustrieren: Alle Fahrgenossen verfolgen den gemeinsamen Zweck der Urlaubsreise; das von einem zur Verfügung gestellte Reisemittel (das Auto) gehört aber nur einem und wird durch den gemeinsamen Zweck bzw. die gemeinsame Nutzung nicht zu einem gemeinsam betriebenen Mittel.

Wie bereits oben festgestellt, führt auch das EDPB aus, dass die Verwendung eines gemeinsamen Datenverarbeitungssystems oder einer gemeinsamen Infrastruktur nicht immer die Konsequenz hat, die beteiligten Parteien als gemeinsame Verantwortliche einzustufen.[18]Der Verwendung von EDV-Systemen wie in den hier diskutierten Arbeitnehmerüberlassungs-Konstellationen ist zu eigen, dass sie ein Hilfsmittel darstellen, die jede Partei nutzen oder nicht nutzen oder durch eine andere Anwendung ersetzen kann.[19] Dies mag die Zusammenarbeit weniger effizient machen oder gar erschweren, steht aber eben in der Freiheit der Parteien und zeigt, dass sie gerade keinen in der EDV manifestierten gemeinsamen Zweck verfolgen.

Notwendig wäre für eine gemeinsame Verantwortlichkeit vielmehr, dass Verleiher und Entleiher eine gemeinsame Plattform verwenden, auf die beide Parteien konkrete Einwirkungsmöglichkeiten haben, also gemeinsam betreiben. Dies ist hier nicht der Fall. Aus diesem Grunde ändert sich auch nichts, wenn eine Partei ein Vendor-Management-System betreibt und dem Vertragspartner die Nutzung dieses Systems anbietet bzw. im Rahmen seiner vertraglichen Leistungen erbringt. Denn dadurch gewinnt der mitnutzende Vertragspartner keine konkreten Einwirkungsmöglichkeiten auf das von einer Partei zur Verfügung gestellte (IT-) Mittel, es wird durch die gemeinsame Nutzung mit anderen Worten nicht zum gemeinsamen Mittel. In den Worten des EDPB[20] wäre diese Mitnutzung, etwa durch den Kunden (im Falle des Vendor-Management-Systems des Verleihers) oder durch den Verleiher (im Falle seines Vendor-ManagementSystems) jederzeit trennbar, sodass auch in dieser Konstellation keine gemeinsame Verantwortung vorliegt.

Mit Blick auf die Arbeitnehmerüberlassung hieße das zum Beispiel, dass verschiedene Entleiherbetriebe (etwa eine Gruppe von Automobilherstellern) eine gemeinsame Einkaufsplattform für Leiharbeitnehmer gründen und betreiben, um zusammen eine größere Auswahl an Leiharbeitnehmer zur Verfügung zu haben. Oder wenn verschiedene Verleiher (etwa in einem spezialisierten Bereich wie etwa Ingenieur-Dienstleistungen) eine gemeinsame Verkaufs- bzw. Vertriebsplattform ins Leben rufen, um ihren Kunden mehr Auswahl an Mitarbeitern zu ermöglichen. In diesen Fällen kann man gegebenenfalls, bei Vorliegen der anderen Voraussetzungen, eine gemeinsame Verantwortlichkeit annehmen.

Dafür reicht das zur Verfügung stellen eines Vendor-Management-Systems nicht aus. Hier liegen weder übereinstimmende Mittel vor, die gemeinsam betrieben werden, noch werden Mittel und Zwecke der Verarbeitung gemeinsam festgelegt.

3. Arbeitnehmerüberlassung bei Master-VendorStellung

Gerade bei großen Industriekunden, die mehrere Zeitarbeitsfirmen im Einsatz haben, wird in der Praxis häufig ein Dienstleister ausgesucht, der als sogenannter Master Vendor den Einsatz der Leiharbeitnehmer beim Kunden koordiniert, d.h. insbesondere auch die Leiharbeitnehmer von weiteren Zeitarbeitsfirmen (sogenannten Co-Lieferanten).

a) Master-Vendor-Funktion bei der Arbeitnehmerüberlassung

Im Regelfall wird der Master Vendor dann auch eigene Leiharbeitnehmer beim Kunden zum Einsatz bringen; bezüglich dieser Leistungsebene verbleibt es bei der vorstehenden Feststellung, dass dies eine Controller-Controller-Beziehung darstellt (s. dazu oben II.). Dabei ist zu berücksichtigen, dass zwar hinsichtlich eines konkreten Verarbeitungsvorgangs in einer Verarbeitungsrichtung ein- und dieselbe Person nicht Auftragsverarbeiter und verantwortliche Stelle sein kann. In einer Vertragsbeziehung mit unterschiedlichen vertraglichen Teil-Leistungen zwischen zwei Parteien kann es jedoch durchaus Verarbeitungsvorgänge geben, für die eine Partei sowohl Auftragsverarbeiter als auch Verantwortlicher ist. Das gleiche Unternehmen kann hinsichtlich bestimmter Verarbeitungen als für die Verarbeitung Verantwortlicher und hinsichtlich anderer Verarbeitungen als Auftragsverarbeiter handeln, die Einstufung muss jeweils im Hinblick auf die spezifischen Daten- oder Vorgangsreihen bewertet werden.[21]

Hinsichtlich der Tätigkeit als Master Vendor handelt es sich um eine Art Management-Funktion, die vergleichbar ist mit dem Teil einer Arbeit einer Personalabteilung. Dabei ist zu berücksichtigen, dass der Master Vendor die Daten (etwa die Qualifikation eines Leiharbeitnehmers und damit die Geeignetheit für einen konkreten Einsatz beim Kunden) inhaltlich beurteilt, und gegebenenfalls nur einen Teil der Daten, die er vom Co-Lieferanten bekommt, an den Kunden weitergibt und zwar ohne Weisung des Co-Lieferanten. Denn der Master Vendor entscheidet u.a., welche der vom CoLieferanten angebotenen Leiharbeitnehmer dem Kunden vorgeschlagen werden. Daher stellt sich die Frage, ob angesichts dieser Umstände auch der Master Vendor Verantwortlicher ist, soweit er die Daten der Co-Lieferanten verarbeitet:

b) Master Vendor als Auftragsverarbeiter?

Maßgeblich ist bei der Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter grundsätzlich, dass der Verantwortliche den rechtlichen oder tatsächlichen Einfluss auf die Entscheidung hat, wozu personenbezogene Daten verarbeitet werden. Das hängt nicht zuletzt mit der Antwort auf die Frage ab, warum die Verarbeitung durchgeführt wird und von wem sie veranlasst worden ist. Insoweit ist auf die konkreten Tätigkeiten abzustellen, und als Kriterien müssen die Ausführlichkeit der erteilten Weisungen, die Überwachung durch den Verantwortlichen, die Außenwirkung gegenüber den Betroffenen, die Fachkompetenz der beteiligten Parteien und der jeweils bestehende Entscheidungsspielraum herangezogen werden.[22]

Insoweit muss sich eine Auftragsverarbeitung nicht notwendigerweise nur auf die technische Durchführung eines solchen Auftrags beschränken. Die Datenschutzgruppe nennt als Beispiel für eine Auftragsverarbeitung etwa auch das Betreiben eines Call Centers.[23] Insoweit schadet es also nicht, wenn dem Auftragsverarbeiter ein gewisser Spielraum bei der Entscheidung über die eingesetzten Mittel, das heißt der Umsetzung seines Auftrags, erhält,[24] solange der Verantwortliche den wesentlichen Einfluss darauf hat, wie die personenbezogenen Daten verarbeitet werden.[25] Die Datenschutzgruppe nennt hier als Beispiel die Tätigkeit eines Auftragsverarbeiters im Rahmen von Direktwerbekampagnen mit entsprechenden Gestaltungsspielräumen.[26] Als wesentliches Abgrenzungskriterium lässt sich daraus das Kriterium extrahieren, ob der Vertragspartner die Daten des Verantwortlichen zu eigenen Zwecken und damit im eigenen Interesse verarbeitet oder nicht.[27]

Dabei geht es nicht darum, ob der Vertragspartner in Grenzen über die Ausführung des Auftrages entscheiden kann (wie etwa im vorzitierten Beispiel der Werbeagentur, die darüber entscheiden kann, ob eine Werbekampagne im Juli oder August stattfindet oder beim Callcenter, ob es die Kunden des Verantwortlichen am Vormittag oder Nachmittag abtelefoniert), sondern ob der Vertragspartner die Daten für sein eigenes Geschäft verwendet (zum Beispiel die Werbeagentur die Adressen der Kunden des Verantwortlichen für eigene Werbemailings nutzt). Immer dann, wenn der Vertragspartner die Daten für seine eigenen Geschäftszwecke einsetzt, ist davon auszugehen, dass die Tätigkeit über die eines Auftragsverarbeiters hinausgeht und der Vertragspartner selber Verantwortlicher ist. Dabei muss man allerdings zunächst abgrenzen, dass auch die reine Vertragserfüllung eines Auftragsverarbeiters eine Datenverarbeitung „für eigene Geschäftszwecke“ (nämlich die Erfüllung des Vertrages als Auftragsverarbeiter) ist. Die Verarbeitung bzw. Einsatz der Daten durch den Vertragspartner für eigene Geschäftszwecke meint also für andere Zwecke, als es der zugrunde liegende Vertrag vorsieht.[28]

Die Trennlinie zwischen eigener Festlegung des Zwecks der Verarbeitung einerseits und der Verarbeitung für den Verantwortlichen und dessen Zwecke andererseits verläuft im Fall der Tätigkeit als Master Vendor bei der Arbeitnehmerüberlassung entlang der Möglichkeiten des Einsatzes der Leiharbeitnehmer der Co-Lieferanten:

  • Die Tätigkeit des Master Vendor rund um das Management der Co-Lieferanten und die Arbeiten im Zusammenhang mit dem Einsatz von Leiharbeitnehmern für einen konkreten Kunden sind im Kern die Tätigkeit einer ausgelagerten Einkaufs-/Personalabteilung des Kunden. Dies gilt, soweit die Co-Lieferanten ihre Leiharbeitnehmer für einen bestimmten Einsatzzweck bei einem bestimmten Kunden anbieten und der Master Vendor das Shortlisting usw. macht.
  • Anders wäre es dann, wenn der Master Vendor darüber entscheiden könnte, die vom Co-Lieferanten angebotenen Leiharbeitnehmer auch für andere Kunden (Entleiher) einzusetzen, und zwar unabhängig vom Co-Lieferanten. Denn in diesem Fall würde der Master Vendor weder vom Kunden noch vom Co-Lieferanten eine Weisung erhalten und die Daten für eigene Zwecke bzw. im eigenen Geschäftsinteresse verarbeiten.
  • Im hier vorliegenden Fall, dass der Datensatz und der Verarbeitungshintergrund festgelegt sind (nämlich die Mitarbeiter Gruppe X vom Co-Lieferanten Y für den Kunden Z), bleibt kein ausreichender Spielraum mehr für eigene Verarbeitungszwecke seitens des Master Vendor. Zwar wird er an dem Zuschnitt der Gruppe X noch etwas ändern (beim Shortlisting), das fällt aber nicht aus dem Spielraum, den ein Auftragsverarbeiter als ausgelagerte Personalabteilung hat.[29]

Als Zwischenergebnis ist festzuhalten, dass das als Master Vendor tätige Zeitarbeits-Unternehmen als Auftragsverarbeiter fungiert. Allerdings ist damit noch nicht beantwortet, ob der Master Vendor Auftragsverarbeiter des Kunden und/oder des Co-Lieferanten ist. Aus dem Vorstehenden ergibt sich zunächst, dass der Master Vendor jedenfalls in seiner Tätigkeit beim Management der Arbeitnehmerüberlassung (also in der Funktion als ausgelagerte Einkaufs-/Personalabteilung) als Auftragsverarbeiter für den Kunden tätig wird.

Schwieriger ist, ob der Master Vendor auch die Daten des Co-Lieferanten im Auftrag des Kunden verarbeitet: Problematisch erscheint zunächst, dass die Daten bzgl. der Leiharbeitnehmer dem Co-Lieferanten „gehören“, von diesem erhoben und dem Master Vendor ohne Umweg über den Kunden direkt zur Verfügung gestellt werden. Insoweit widerspricht diese Einstufung auf den ersten Blick dem Datenfluss, denn üblicherweise würden in einer solchen Konstellation die Daten des Co-Lieferanten über den Kunden zum Master Vendor fließen. Allerdings ist der Datenfluss nur ein Indiz, entscheidend bleibt auch hier die Frage, wer Herr der Daten ist bzw. die Weisung zur Verarbeitung erteilen kann.

Vertragsrechtlich ist es so, dass der Arbeitnehmerüberlassungsvertrag zwischen dem Kunden und dem Co-Lieferanten geschlossen wird und dass daher die Rechtsgrundlage für die Datenverarbeitung (namentlich im ersten Schritt die Übertragung der Daten der Leiharbeitnehmer) zwischen diesen beiden Verantwortlichen in der Erfüllung der klassischen Arbeitnehmerüberlassung besteht. Auch das folgt zwingend aus dem Verbot der Kettenüberlassung nach § 1 Abs. 1 S. 3 AÜG.

In den Fällen, in denen der Master Vendor das VendorManagement-System stellt, gelangen die Daten vom CoLieferanten direkt in ein System, das der Master Vendor betreibt (oder seinerseits durch einen Auftragsverarbeiter betreiben lässt). Hier erscheint es vordergründig zunächst denkbar, zumindest diese Sachverhaltsvariante als Auftragsverarbeitung für den Co-Lieferanten zu betrachten. Das ist jedoch verkürzt, weil die Datenübertragung auch hier wegen einer (vertragsrechtlichen) Weisung des Kunden nach Maßgabe des Arbeitnehmerüberlassungsvertrags erfolgt. Lediglich hinsichtlich der Entgegennahme der Daten durch den Master Vendor könnte man überlegen, ob dies in Richtung einer Auftragsverarbeitung auszulegen sein könnte. Jedoch ist dieser Verarbeitungsvorgang mit der Übertragung abgeschlossen, danach endet ihr Zweck und eine weitere Weisung durch den Co-Lieferanten gegenüber dem Master Vendor ist nicht gegeben. Insbesondere erfolgt die an die Datenübertragung anknüpfende Datenverarbeitung im Rahmen des Leiharbeits-Managements für Zwecke und im Interesse des Kunden.

Offensichtlich wird dies durch die Identität von Datenfluss und Vertragsbeziehung in den Konstellationen, in denen vom Kunden das Vendor-Management-System zur Verfügung gestellt wird. Bei diesen Sachverhalten ist es klar, dass der Co-Lieferant hinsichtlich des Leiharbeitnehmer-Managements der (vertragsrechtlichen) Weisung des Kunden folgt, im Vendor-Management-System die Daten seiner Leiharbeitnehmer einzustellen (die dann vom Master Vendor als Auftragsverarbeiter des Kunden für den Kunden in diesem System für Zwecke des Kunden verarbeitet werden). Gerade in dieser Konstellation kann der Co-Lieferant den Master Vendor gar nicht mehr im Sinne einer Auftragsverarbeitung anweisen, weil die Auftragsverarbeitung nicht im System (und damit auch nicht mit Mitteln) des Master Vendor durchgeführt wird.

Zusammengefasst wird man diesen Konstellationen nur dann adäquat gerecht, wenn man die Tätigkeit des Master Vendor als Auftragsverarbeitung für den Kunden ansieht mit der Besonderheit, dass die Daten des Co-Lieferanten nicht vom bzw. über den Kunden kommen, sondern vom Co-Lieferanten direkt. Das ist aber sowohl in zivilrechtlichen als auch datenschutzrechtlichen Dreiecksverhältnissen unproblematisch möglich. Hinsichtlich der Einschaltung weiterer Dienstleister (zusätzlich zu dem Anbieter des Vendor-Management-Systems etwa Provider für Zeiterfassung) ergeben sich keine Besonderheiten, diese werden als Auftragsverarbeiter (zum Beispiel der Anbieter des Vendor-ManagementSystem für den Kunden) oder als Sub-Auftragsverarbeiter (des Master Vendor) tätig.

IV. Gesamtergebnis

Die Annahme einer gemeinsamen Verantwortlichkeit von Verleiher und Entleiher bei der klassischen Zeitarbeit bzw. Arbeitnehmerüberlassung ist fernliegend. Neben der – bei gegenseitigen schuldrechtlichen Vereinbarungen üblichen – gegenseitigen Vertragserfüllung verfolgen die Parteien keinen gemeinsamen Zweck und setzen auch keine gemeinsamen Mittel ein. Auch die Nutzung des ITTools des einen Vertragspartners auf Wunsch des anderen Vertragspartners (wie bei einem Vendor-ManagementSystem) entspricht nicht dem gemeinsamen Betrieb eines solchen Systems. Diese durch eine Partei veranlasste Nutzung kommt bei fast allen digitalisierten Diensten vor und führt nicht zur gemeinsamen Verantwortlichkeit. Bei den Konstellationen, in denen ein Zeitarbeitsunternehmen als Master Vendor eingesetzt wird, verarbeitet dieses die Daten der Leiharbeitnehmer seiner Co-Lieferanten als Auftragsverarbeiter für den Kunden (Entleiher).

Prof. Dr. Fabian Schuster Rechtsanwalt und Fachanwalt für IT-Recht in der Kanzlei SBR Schuster & Partner in Düsseldorf sowie Lehrbeauftragter und Honorarprofessor an der Universität zu Köln. Er ist u.a. Mitherausgeber des Spindler/ Schuster (Recht der elektronischen Medien, 4. Aufl. 2019) und des Schuster/ Grützmacher (IT-Recht, 1. Aufl. 2020) sowie Autor zahlreicher Fachartikel zum IT-Recht. Zudem ist er als externer Datenschutzbeauftragter tätig.

[1] Siehe dazu Statista, https://de.statista.com/statistik/daten/studie/72787/umfrage/anteil-der-zeitarbeitnehmer-an-allen-erwerbstaetigen-seit-2004; abgerufen im Januar 2021, sowie den Bericht der Bundesagentur für Arbeit zum Blickpunkt Arbeitsmarkt, Ausgabe Juli 2020 „Entwicklungen in der Zeitarbeit“, S. 7.

[2] Allerdings wird es sich bei der zugrunde liegenden schuldrechtlichen Beziehung nicht um den Auftrag nach §§ 662 BGB handeln, zumal dieser unentgeltlich auszuführen ist (s. dazu etwa Strittmatter, in: Schuster/Grützmacher, IT-Recht, § 662 Rz. 1), sondern alle möglichen Formen von vertragsrechtlichen Leistungspflichten, die als einen Teil der Leistung die Verarbeitung von personenbezogenen Daten beinhalten. S. dazu auch Hartung, in: Kühling/Buchner, DS-GVO, 3. Aufl. 2020, Art. 28 Rz. 24.

[3] S. dazu nur Hartung, in: Kühling/Buchner, DS-GVO, 3. Aufl. 2020, Art. 28 Rz. 16; und Martini, in: Paal/Pauly, DS-GVO, 3. Aufl. 2021, Art. 28 Rz. 2.

[4] Art. 29-Datenschutzgruppe, WP 169, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, 16.02.2010, S. 22.

[5] Art. 29-Datenschutzgruppe, WP 169, S. 22; DSK, Kurzpapier Nr. 16 – Gemeinsam für die Verarbeitung Verantwortliche Art. 26 DS-GVO, 19.03.2018, S. 2.

[6] Art. 29-Datenschutzgruppe, WP 169, S. 16; ebenso Martini, in: Paal/ Pauly, DS-GVO, 3. Aufl. 2021, Art. 26 Rz. 21 und Laue, in: Spindler/ Schuster, Recht der elektronischen Medien, Art. 26 DS-GVO Rz. 9.

[7] DSK, Kurzpapier Nr. 16, S. 2; Hacker, MMR 2018, 779, 780. Vgl. Spoerr, in: BeckOK DatenSR, 35. Ed. 2021, Art. 26 Rn. 13 f.

[8] So auch Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 26 Rn. 3; Spoerr, in: BeckOK DatenSR, 35. Ed. 2021, Art. 26 Rn. 17c; Martini, in: Paal/Pauly, DS-GVO, 3. Aufl. 2021, Art. 26 Rz. 21a.

[9] S. etwa S. 23.

[10] H.M.; zum Meinungsstreit nebst Stellungnahme der DSK ausführlich Kartheuser/Nabulsi, MMR 2018, 718 f.

[11] Vgl. etwa Beispiel 8 der Art. 29 Datenschutzgruppe, WP 169, S. 24.

[12] Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 26 Rn. 3; Plath, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 26 Rn. 2 f.; Kremer, CR 2019, 225, 227.

[13] Vgl. Hartung, in: Kühling/Buchner, DS-GVO, 3. Aufl. 2021, Art. 26 Rn. 10; Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 26 Rn. 2; Kremer, CR 2019, 225, 228

[14] EuGH v. 19.12.2018 – C-40/17, CR 2019, 574 m. Anm. Schleipfer. Zur Kritik am EuGH ausführlich auch Hartung, in: Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 26 Rz. 42 ff. m.w.N.

[15] S. Zum Urteil des EuGHs auch Schleipfer, a.a.O.; Böllhoff/Ratay, WRP 2019, 1536 ff.; Gierschmann, ZD 2020, 69 ff.; Golland, K&R 2019, 535 ff.; Kollmar, NVwZ 2019, 1740 ff.; Kremer, CR 2019, 681 ff.

[16] Siehe dazu Öztürk, DuD 2019, 143 ff.; Schemmel, DSB 2018, 202 ff.

[17] Ähnl. Hacker, MMR 2018, 779 f.

[18] EDPB Guidelines 7/2020, Rz. 66

[19] S. dazu auch EDPB Guidelines 7/2020, Rz. 66.

[20] EDPB Guidelines 7/2020, Rz. 66.

[21] S. dazu etwa Art. 29-Datenschutzgruppe, WP 169, S. 22.

[22] Art. 29-Datenschutzgruppe, WP 169, S. 40.

[23] Art. 29-Datenschutzgruppe, WP 169, S. 34 (Beispiel 20), so auch EDPB, Guidelines 7/2020, Rz. 81.

[24] S. dazu.a.uch Freund, in: Schuster/Grützmacher, Kommentar IT-Recht, 2020, Art. 26 DS-GVO, Rz. 24 ff.

[25] Vgl. Martini, in: Paal/Pauly, DS-GVO, 3. Aufl. 2021, Art. 28 Rz. 36; Hartung, in: Kühling/Buchner, DS-GVO, 3. Aufl. 2020, Art. 28 Rz. 30.

[26] WP 169, S. 17 (Beispiel 2).

[27] So im Ergebnis dann auch die Datenschutzgruppe (WP 169, S. 31), wenn es dort heißt, dass „im Auftrag eines anderen zu handeln bedeutet, in dessen Interesse zu handeln“.

[28] So im Kern auch der Fall von SWIFT, bei dem dieses Unternehmen die Entscheidung traf, bestimmte eigentlich für Banküberweisungen personenbezogene Daten auch für die Zwecke der Bekämpfung der Finanzierung terroristischer Aktivitäten bereitzustellen; s. dazu.a.uch Art. 29-Datenschutzgruppe, WP 169, S. 11 und 14.

[29] Siehe dazu.a.uch das Beispiel 2 zum Bereich Direktwerbung bei der Art. 29-Datenschutzgruppe; WP 169, S. 17.