Freie Mitarbeiter – selbstständig und daten­schutz­rechtlich verantwortlich

PrintMailRate-it

zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 3 Minuten


Der Einsatz freier Mitarbeiter mit Zugriff auf personenbezogene Daten erfordert auch datenschutz­rechtlich organisatorische Maßnahmen und Vertragsgrundlagen. Fehler in der arbeitsrechtlichen Beurteilung können dabei auf die datenschutzrechtliche Ver­antwortlichkeit durchschlagen – und umgekehrt.


 

Freie Mitarbeiter im Unternehmen

Neben der Arbeitnehmerüberlassung erfreut sich insbesondere im administrativen Bereich der Einsatz freier Mitarbeiter großer Beliebtheit. Dabei werden Einzelpersonen auf der Grundlage von Dienst- oder Werkver­trägen vertraglich gebunden, ohne dass ein Arbeitsverhältnis entstehen soll. Die Abgrenzungskriterien zwischen Ar­beit­nehmern und freien Mitarbeitern laufen über Weisungsgebundenheit, Fremdbestimmung und per­sön­licher Abhängigkeit, hängen jedoch auch von der Eigenart der Tätigkeit ab und erfordern eine Gesamtabwägung aller Umstände. Maßgeblich sind v.a. innerhalb der Weisungsgebundenheit Vorgaben des Auftraggebers zu Inhalt, Zeit, Dauer, Ort und Durchführung der Tätigkeit. Je stärker hierzu Vorgaben des Auftraggebers bestehen und je intensiver die betroffene Person in die Organisation des Auftraggebers eingebunden ist, desto eher liegt tat­sächlich ein Arbeitsverhältnis vor. Dem damit einhergehenden arbeits- und sozialversicherungsrechtlichen Risikos sind sich Personalabteilungen durchaus bewusst: Fehlerhafte Behandlungen als freie Mitarbeiter statt als Arbeitnehmer führen dazu, dass Sozialversicherungsbeiträge rückwirkend für bis zu vier Jahre durch den Arbeitgeber nachentrichtet werden müssen. Zudem ist zu Unrecht geltend gemachte Umsatzsteuer – weil sie dem „freien Mitarbeiter” gezahlt wurde – durch den Arbeitgeber zu korrigieren.

 

Datenverantwortlichkeit im Unternehmen

Unter den drakonischen Bußgeldern der Datenschutz-Grundverordnung (DSGVO) gerät noch ein weiterer Aspekt „echter” freier Mitarbeiter ins Blickfeld: Sofern sie durch ihre Tätigkeit für den Auftraggeber Zugriff auf personenbezogene Daten erlangen und an den Daten arbeiten (sollen), ist das Verhältnis zwischen Auf­trag­geber und Auftragnehmer auch datenschutzrechtlich zu klären und zu regeln.


Für die Datenverarbeitung durch ihre eigenen Arbeitnehmer muss eine Gesellschaft organisatorische Maß­nahmen nach Art. 29 DSGVO ergreifen. Danach dürfen die Daten eines Verantwortlichen nur auf dessen Weisung verarbeitet werden. Innerhalb ihrer Organisation hat eine Gesellschaft daher gegenüber ihren Mitar­beitern festzulegen, wer wie welche Verarbeitungen durchführen soll und den Zugriff auf die personen­be­zogenen Daten zu organisieren.

   

Sollen unternehmensfremde Dritte personenbezogene Daten verarbeiten, so handelt es sich dabei entweder um eine Verarbeitung im Auftrag des ursprünglich Verantwortlichen (Auftragsverarbeitung) oder in – mindes­tens teilweise – eigener Verantwortlichkeit des Dritten (entweder in gemeinsamer Verant­wortung mit dem ur­sprünglich Verantwortlichen – gemeinsam Verantwortliche – oder zur Erfüllung eigener Aufgaben in vollständig eigener Verantwortlichkeit des Dritten). Beispiele dafür sind etwa:
  • die gemeinsame Ausrichtung einer Kundenveranstaltung durch eine Bank und einen Seminaranbieter (gemeinsam Verantwortliche),
  • die Verarbeitung von Adressdaten zum Versand von Einladungen für die Veranstaltung durch die Druckerei (Auftragsdatenverarbeitung) oder
  • die eigenverantwortliche Verarbeitung der Adressdaten durch den Logistiker bei der Auslieferung der Einla­dungen (eigene Verantwortlichkeit).

  

Datenschutz- und arbeitsrechtliches Zusammenspiel

Maßgeblich ist datenschutzrechtlich, wer die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Erfolgt die Festlegung bei einer Verarbeitung durch externe Dritte und abschließend durch den Auf­traggeber, dann liegt eine Auftragsverarbeitung i.S.v. Art. 28 DSGVO vor. Legt der Dritte dagegen die Zwecke und Mittel der Datenverarbeitung selbst fest, so besteht eine eigene Verantwortlichkeit des Externen für die Datenverarbeitung, ggf. gemeinsam mit dem Auftraggeber (dann Art. 26 DSGVO). Datenschutzrechtlich bedarf es dann aber einer wirksamen Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO, die personenbezogenen Daten an den Dritten zu übertragen und durch ihn in eigener Verantwortung verarbeiten zu lassen.

   

In jedem Fall ist die Einbeziehung Dritter, insbesondere auch freier Mitarbeiter, bei der Verarbeitung perso­nen­bezogener Daten zu prüfen und ggf. zu regeln. Dabei ist es möglich, die Weisungsgebundenheit des Auftrag­nehmers im Hinblick auf die datenschutz- und arbeitsrechtlichen Anforderungen verschieden auszugestalten:
  • Macht der Auftraggeber Vorgaben insbesondere zu Inhalt, Ort und Zeit der Leistungserbringung durch den Dritten, kann damit die Stellung des Dritten als „freier Mitarbeiter” gefährdet sein. Tatsächlich könnte es sich eher um einen (verdeckten) eigenen Arbeitnehmer handeln.
  • Erteilt der Auftraggeber dagegen (lediglich) Weisungen zu den Zwecken und Mitteln der Datenverar­beitung durch den Externen – lässt aber freie Hand hinsichtlich Zeit und Ort der Leistungserbringung – kann es sich um einen freien Mitarbeiter handeln, der datenschutzrechtlich als Auftragsverarbeiter eingesetzt wird. Damit gehen allgemeine Anforderungen der DSGVO einher: der Abschluss einer Auftragsverarbeitungsvereinbarung mit dem freien Mitarbeiter sowie – wenn bereits der Auftraggeber als Auftragsverarbeiter für seinen Kunden tätig ist – die Genehmigung des Kunden zur Einbeziehung des freien Mitarbeiters als weiteren Unterauftragsverarbeiter (vgl. Art. 28 Abs. 2 DSGVO).
  • Schließlich könnte dem Dritten auch völlig freie Hand gelassen werden, sodass er als freier Mitarbeiter und datenschutzrechtlich selbst Verantwortlicher agiert. Dann treffen den freien Mitarbeiter sämtliche Anfor­derungen der DSGVO, insbesondere auch die erforderliche Rechtfertigung zur Übertragung der Daten an und Verarbeitung durch ihn.

 

In jeder Hinsicht kommt es auf die tatsächliche Ausgestaltung der Beziehung zu dem freien Mitarbeiter an; nicht lediglich eine bloße Bezeichnung der vermeintlichen Tätigkeiten.
 
Schematisch ergeben sich daher folgende Möglichkeiten. Dabei gibt es insbesondere bei der arbeitsrecht­lichen Beurteilung keine festen Grenzen zwischen Selbstständigkeit und Arbeitnehmerstatus:

 


   

Fazit

Sofern freie Mitarbeiter mit personenbezogenen Daten umgehen sollen, erfordert ihr Einsatz neben einer arbeitsrechtlichen auch eine datenschutzrechtliche Prüfung sowie eine vertragliche Regelung.

Deutschland Weltweit Search Menu