Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Freie Mitarbeiter zwischen scheinbarer Selbständigkeit und datenschutzrechtlicher Verantwortlichkeit

PrintMailRate-it

veröffentlicht am 22. Mai 2019


Der Einsatz freier Mitarbeiter mit Zugriff auf personenbezogene Daten erfordert auch datenschutz­rechtlich organisatorische Maßnahmen und Vertragsgrundlagen. Fehler in der arbeitsrechtlichen Beurteilung können dabei auf die datenschutzrechtliche Verantwortlichkeit durchschlagen – und umgekehrt.


 

Freie Mitarbeiter im Unternehmen

Neben der Arbeitnehmerüberlassung erfreut sich insbesondere im administrativen Bereich der Einsatz freier Mitarbeiter großer Beliebtheit. Dabei werden Einzelpersonen auf der Grundlage von Dienst- oder Werkver­trägen vertraglich gebunden, ohne dass ein Arbeitsverhältnis entstehen soll. Die Abgrenzungskriterien zwischen Arbeitnehmern und freien Mitarbeitern laufen über Weisungsgebundenheit, Fremdbestimmung und persönlicher Abhängigkeit, hängen jedoch auch von der Eigenart der Tätigkeit ab und erfordern eine Gesamtabwägung aller Umstände. Maßgeblich sind v.a. innerhalb der Weisungsgebundenheit Vorgaben des Auftraggebers zu Inhalt, Zeit, Dauer, Ort und Durchführung der Tätigkeit. Je stärker hierzu Vorgaben des Auftraggebers bestehen und je intensiver die betroffene Person in die Organisation des Auftraggebers eingebunden ist, desto eher liegt tatsächlich ein Arbeitsverhältnis vor. Dem damit einhergehenden arbeits- und sozialversicherungsrechtlichen Risikos sind sich Personalabteilungen durchaus bewusst: Fehlerhafte Behandlungen als freie Mitarbeiter statt als Arbeitnehmer führen dazu, dass Sozialversicherungsbeiträge rückwirkend für bis zu vier Jahre durch den Arbeitgeber nachentrichtet werden müssen. Zudem ist zu Unrecht geltend gemachte Umsatzsteuer – weil sie dem „freien Mitarbeiter” gezahlt wurde – durch den Arbeitgeber zu korrigieren.

 

Datenverantwortlichkeit im Unternehmen

Unter den drakonischen Bußgeldern der Datenschutz-Grundverordnung (DSGVO) gerät noch ein weiterer Aspekt „echter” freier Mitarbeiter ins Blickfeld: Sofern sie durch ihre Tätigkeit für den Auftraggeber Zugriff auf personenbezogene Daten erlangen und an den Daten arbeiten (sollen), ist das Verhältnis zwischen Auftraggeber und Auftragnehmer auch datenschutzrechtlich zu klären und zu regeln.


Für die Datenverarbeitung durch ihre eigenen Arbeitnehmer muss eine Gesellschaft organisatorische Maßnahmen nach Art. 29 DSGVO ergreifen. Danach dürfen die Daten eines Verantwortlichen nur auf dessen Weisung verarbeitet werden. Innerhalb ihrer Organisation hat eine Gesellschaft daher gegenüber ihren Mitarbeitern festzulegen, wer wie welche Verarbeitungen durchführen soll und den Zugriff auf die personenbezogenen Daten zu organisieren.


Sollen unternehmensfremde Dritte personenbezogene Daten verarbeiten, so handelt es sich dabei entweder um eine Verarbeitung im Auftrag des ursprünglich Verantwortlichen (Auftragsverarbeitung) oder in – mindestens teilweise – eigener Verantwortlichkeit des Dritten (entweder in gemeinsamer Verant­wortung mit dem ursprünglich Verantwortlichen – gemeinsam Verantwortliche – oder zur Erfüllung eigener Aufgaben in vollständig eigener Verantwortlichkeit des Dritten). Beispiele dafür sind etwa:
  • die gemeinsame Ausrichtung einer Kundenveranstaltung durch eine Bank und einen Seminaranbieter (gemeinsam Verantwortliche),
  • die Verarbeitung von Adressdaten zum Versand von Einladungen für die Veranstaltung durch die Druckerei (Auftragsdatenverarbeitung) oder
  • die eigenverantwortliche Verarbeitung der Adressdaten durch den Logistiker bei der Auslieferung der Einladungen (eigene Verantwortlichkeit).

 

Datenschutz- und arbeitsrechtliches Zusammenspiel

Maßgeblich ist datenschutzrechtlich, wer die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Erfolgt die Festlegung bei einer Verarbeitung durch externe Dritte und abschließend durch den Auftraggeber, dann liegt eine Auftragsverarbeitung i.S.v. Art. 28 DSGVO vor. Legt der Dritte dagegen die Zwecke und Mittel der Datenverarbeitung selbst fest, so besteht eine eigene Verantwortlichkeit des Externen für die Datenverarbeitung, ggf. gemeinsam mit dem Auftraggeber (dann Art. 26 DSGVO). Datenschutzrechtlich bedarf es dann aber einer wirksamen Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO, die personenbezogenen Daten an den Dritten zu übertragen und durch ihn in eigener Verantwortung verarbeiten zu lassen.


In jedem Fall ist die Einbeziehung Dritter, insbesondere auch freier Mitarbeiter, bei der Verarbeitung personenbezogener Daten zu prüfen und ggf. zu regeln. Dabei ist es möglich, die Weisungsgebundenheit des Auftragnehmers im Hinblick auf die datenschutz- und arbeitsrechtlichen Anforderungen verschieden auszugestalten:
  • Macht der Auftraggeber Vorgaben insbesondere zu Inhalt, Ort und Zeit der Leistungserbringung durch den Dritten, kann damit die Stellung des Dritten als „freier Mitarbeiter” gefährdet sein. Tatsächlich könnte es sich eher um einen (verdeckten) eigenen Arbeitnehmer handeln.
  • Erteilt der Auftraggeber dagegen (lediglich) Weisungen zu den Zwecken und Mitteln der Datenverar­beitung durch den Externen – lässt aber freie Hand hinsichtlich Zeit und Ort der Leistungserbringung – kann es sich um einen freien Mitarbeiter handeln, der datenschutzrechtlich als Auftragsverarbeiter eingesetzt wird. Damit gehen allgemeine Anforderungen der DSGVO einher: der Abschluss einer Auftragsverarbeitungsvereinbarung mit dem freien Mitarbeiter sowie – wenn bereits der Auftraggeber als Auftragsverarbeiter für seinen Kunden tätig ist – die Genehmigung des Kunden zur Einbeziehung des freien Mitarbeiters als weiteren Unterauftragsverarbeiter (vgl. Art. 28 Abs. 2 DSGVO).
  • Schließlich könnte dem Dritten auch völlig freie Hand gelassen werden, sodass er als freier Mitarbeiter und datenschutzrechtlich selbst Verantwortlicher agiert. Dann treffen den freien Mitarbeiter sämtliche Anforderungen der DSGVO, insbesondere auch die erforderliche Rechtfertigung zur Übertragung der Daten an und Verarbeitung durch ihn.


In jeder Hinsicht kommt es auf die tatsächliche Ausgestaltung der Beziehung zu dem freien Mitarbeiter an; nicht lediglich eine bloße Bezeichnung der vermeintlichen Tätigkeiten.


Schematisch ergeben sich daher folgende Möglichkeiten. Dabei gibt es insbesondere bei der arbeitsrechtlichen Beurteilung keine festen Grenzen zwischen Selbständigkeit und Arbeitnehmerstatus:




Fazit

Sofern freie Mitarbeiter mit personenbezogenen Daten umgehen sollen, erfordert ihr Einsatz neben einer arbeitsrechtlichen auch eine datenschutzrechtliche Prüfung sowie eine vertragliche Regelung.

Deutschland Weltweit Search Menu