Freelancing & Datenschutz

Heutzutage arbeiten Selbständige oft in Arbeitskonstrukten, die schwer mit den klassischen Kategorien von selbständiger oder abhängiger Beschäftigung zu greifen sind. Unternehmensübergreifende Zusammenarbeit benötigt intensive Koordination zwischen den Beteiligten, die häufig mit der Nutzung übergreifenden Infrastrukturen einhergeht, die von einer der Parteien – meist vom Auftraggeber –  zur Verfügung stellt.

Diese zum Teil fließenden Übergänge zwischen Arbeiten von fest angestellten und freiberuflichen Mitarbeitern machen die Feststellungen von missbräuchlicher Scheinselbständigkeit und selbständiger Arbeit teilweise schwierig. Was hat das jedoch mit Datenschutz zu tun? Zunächst kommt kein Freiberufler oder Selbständiger darum herum, bei Kundenprojekten personenbezogene Daten aus dem Einflussbereich des Kunden zu verarbeiten – und wenn es am Ende nur die Ansprechpartner beim Kunden sind, mit denen er eng zusammenarbeitet und sich regelmäßig koordiniert. Aber auch der Austausch sonstiger Dokumente oder die Durchführung von Projekten (gerade im IT-Bereich) führen meist dazu, dass Externe auch personenbezogene Informationen über Mitarbeitende, Kunden oder Lieferanten des Auftraggebers zur Kenntnis bekommen.

Kern dieses Artikels ist daher die Frage, in wieweit sich datenschutzrechtliche Anforderungen und Bedingungen zur Anerkennung der Arbeit als selbständige Arbeit im Wege stehen bzw. die Absicherung des Selbständigenstatus unweigerlich zu erweiterten Anforderungen im Bereich des Datenschutzes führt.

Wer ist Verantwortlicher?

Bei jeder Datenverarbeitung beginnt die Suche mit der Frage nach dem Verantwortlichen. Wer bestimmt die Zwecke und Mittel der Datenverarbeitung. Ist es der Freiberufler, der Auftraggeber, ein eventuell dazwischen stehender Projektvermittler? Und was ist der Freiberufler überhaupt? Eigener Verantwortlicher, Auftragsverarbeiter oder Mitarbeiter? Je nach Schlussfolgerung kommen datenschutzrechtlich andere Fragestellungen zum Vorschein. Aber was das Leben datenschutzrechtlich einfach machen kann, bricht dem Freiberufler bei der Frage nach der Scheinselbständigkeit geradezu das Knick. Was aber genau ist das Problem? 

Statusfeststellung und der Kriterienkatalog

Als Selbständiger ist der Freiberufler kein Mitglied des Sozialsystems und zahlt daher auf seine Einkünfte auch keine Sozialabgaben wie ein normaler Angestellter. Im Gegenzug ist er für seine soziale Absicherung selbst verantwortlich. Um das System vor Missbrauch und Mitarbeiter vor Ausbeutung zu schützen, dürfen “normale” Mitarbeiter nicht einfach von Unternehmen zu Selbständigen deklariert und die Sozialabgaben eingespart werden. Scheinselbständig ist daher aus Sicht der Rentenversicherung Bund, die den Status von Selbständigen regelmäßig überprüft, wer in einem Unternehmen als Selbständiger wie ein normaler Angestellter arbeitet. Es gilt daher, eine sinnvolle Abgrenzung von Mitarbeitern und Selbständigen zu finden, die in modernen komplexen Arbeitswelten nicht trivial ist.

Auch wenn das aktuelle Statusfeststellungsverfahren der Rentenversicherung Bund aus Sicht des Autors vollkommen an der Realität vieler Freiberufler vorbeigeht und letztlich zu vielen Fehlurteilen führt, können wir für einen Moment bei den Kriterien bleiben, die häufig bei der Beurteilung der Selbständigkeit angewendet werden. Zunächst ist da der Grad der Einbindung des Freiberuflers in die Organisation des Kunden. Normalerweise meiden Selbständige diese Einbindung wie der Teufel das Weihwasser, da die organisatorische Einbindung des Selbständigen in das Kundenunternehmen meist zu einer Beurteilung als Scheinselbständiger führt. In den meisten Verträgen, die Unternehmen mit Freiberuflern schließen, ist daher auch die weitgehende Unabhängigkeit des Freiberuflers dokumentiert. So ist er z.B. in der Wahl seines Arbeitsortes und der Arbeitszeit weitgehend frei.

Behandlung als Mitarbeiter

Aus Sicht des Datenschutzrechts, ist die Behandlung des Freiberuflers als Beschäftigter die mit Abstand einfachste Variante. Durch die Einbindung in das Unternehmen sowie die Unterstellung unter die betriebliche Kontrolle kann der Freiberufler datenschutzrechtlich  wie ein eigener Mitarbeitender behandelt werden. In diesem Falle sind keine besonderen vertraglichen Vereinbarungen für den Datenschutz zu treffen. Aber genau diese Vereinfachung ist es, die den Freiberufler hier auf die gleiche Stufe wie den fest angestellten Mitarbeitenden stellt. Dies gilt es selbstverständlich zu vermeiden, da damit der Status als Selbständiger in Gefahr ist. Insoweit sollte §26 Abs 8. Nr. 6 BDSG auf freie Mitarbeiter besser nicht angewendet werden. Hier wird explizit von Personen gesprochen, die aufgrund ihrer wirtschaftlichen Abhängigkeit als arbeitnehmerähnlich einzuschätzen sind. 

Sobald sich der freie Mitarbeiter der betrieblichen Kontrolle entzieht, indem er z.B. über den Arbeitsort, die Arbeitsmittel u.v.a. selbst entscheiden kann, liegt die datenschutzrechtlich notwendige Einflußnahme des Unternehmens aber nicht mehr vor. Eine datenschutzrechtliche Privilegierung des freien Mitarbeiters lässt sich so nicht mehr belegen.

Eigenständiger Verantwortlicher oder Auftragsverarbeiter

Als Alternative kommt die Verarbeitung personenbezogener Daten des Kunden in Form einer Auftragsverarbeitung in Betracht. Der freie Mitarbeiter unterwirft sich den Regelungen des Art 28 DSGVO und damit den Weisungen des Auftraggebers im Hinblick auf die Verarbeitung personenbezogener Daten aus dem Verantwortungsbereich des Auftraggebers. Auch hier besteht durch die Weisungsgebundenheit des freien Mitarbeiters ein Spannungsfeld zu der von der Sozialversicherung geforderten weitgehenden Unabhängigkeit des Freiberuflers. Dennoch kann argumentiert werden, dass diese Weisungsgebundenheit nicht so weit geht, wie bei einem Angestellten. Zudem existiert diese Form der Weisungsgebundenheit üblicherweise zwischen ansonsten selbständigen Unternehmen. Eine Einschränkung der unternehmerischen Freiheit oder ein arbeitnehmerähnliches Abhängigkeitsverhältnis kann hieraus nicht abgeleitet werden.

Eine Bewertung als Auftragsverarbeitung kommt nur dann in Frage, wenn das Auftragsverhältnis von der in Frage stehenden Datenverarbeitung dominiert wird. Ist die Datenverarbeitung nur eine Nebenleistung zur Erbringung im Grundsatz anderer Leistungen, so scheidet eine Auftragsverarbeitung regelmäßig aus.

Über den Autor
Marc Dauenhauer
Marc Dauenhauer
Marc Dauenhauer ist Diplom Informatiker und Politikwissenschaftler. Er beschäftigt sich seit 30 Jahren mit den unterschiedlichen Aspekten der digitalen Transformation und der Digitalisierung. Er hat viele Unternehmen – von kleinen Mittelständlern bis hin zu Weltkonzernen – beraten und bei IT-Projekten unterstützt. Sein Spezialgebiet ist die Umsetzung von Privacy by Design bei neuen Entwicklungsprojekten, die er in der Kombination aus Solution Architect und Datenschutzexperte betreut. Darüberhinaus arbeitet er als Datenschutzbeauftragter (TÜV) und Auditor (TÜV).

Eine zufällige Auswahl weiterer Artikel
Blogartikel
Marc Dauenhauer

Wann brauche ich einen DSB?

Komplexes Thema – Bestellpflicht Wann brauche ich einen DSB? Datenschutz ist ein komplexes Thema und viele Verantwortliche wissen oft nicht, wo sie anfangen und wo sie aufhören sollen. Eine wichtige

Weiterlesen »
22. Oktober 2021 Keine Kommentare
Blogartikel
Marc Dauenhauer

Wofür mache ich eigentlich noch Datenschutz?

Würdet Ihr mir glauben, dass Millionen von personenbezogenen Daten inklusive vollem Geburtsdatum und anderen teils sensiblen Informationen frei verfügbar im Internet zu finden sind? Inklusive von Dokumenten mit den persönlichen

Weiterlesen »
26. August 2022 Keine Kommentare
Blogartikel
Marc Dauenhauer

Ad hoc Datenschutzfragen

Eine Alltagsfrage zum Datenschutz mal eben stellen und eine fundierte, schnelle und ausführliche Antwort erhalten? So einfach wie online-shopping? Das geht! In vielen Gesprächen höre ich immer wieder – und

Weiterlesen »
22. Dezember 2022 Keine Kommentare

Grundrechte bewahren – auch und gerade in der Krise

Wichtig: „Die Eindämmung der Infektionen mit dem neuartigen Coronavirus ist eine hinsichtlich ihrer Größenordnung und Globalität bisher unbekannte Herausforderung für demokratische Gesellschaften. Sie müssen der Pandemie und ihren Folgen entschlossen

Weiterlesen »
19. April 2020 Keine Kommentare

Die Tragik der Digitalisierung

In welcher Welt wollen wir eigentlich leben? Und noch viel wichtiger, in welcher Welt leben wir eigentlich? Diese Frage scheint mir immer schwerer zu beantworten zu sein, so schnell wie

Weiterlesen »
21. Dezember 2021 Keine Kommentare
Blogartikel
Marc Dauenhauer

Wann sind wir endlich digital?

Unser Staat und seine Bürger haben ein zwiespältiges Verhältnis zueinander. Viele Bürger trauen dem Staat und seinen Repräsentanten nicht mehr über den Weg, während jene mit immer neuen bürokratischen Erfindungen

Weiterlesen »
29. Oktober 2021 Keine Kommentare

(c) 2022 Marc Dauenhauer IT Management Consulting | Impressum | Datenschutzerklärung | Newsletter