Home
Intern
zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 3 Minuten
Der Einsatz freier Mitarbeiter mit Zugriff auf personenbezogene Daten erfordert auch datenschutzrechtlich organisatorische Maßnahmen und Vertragsgrundlagen. Fehler in der arbeitsrechtlichen Beurteilung können dabei auf die datenschutzrechtliche Verantwortlichkeit durchschlagen – und umgekehrt.
Neben der Arbeitnehmerüberlassung erfreut sich insbesondere im administrativen Bereich der Einsatz freier Mitarbeiter großer Beliebtheit. Dabei werden Einzelpersonen auf der Grundlage von Dienst- oder Werkverträgen vertraglich gebunden, ohne dass ein Arbeitsverhältnis entstehen soll. Die Abgrenzungskriterien zwischen Arbeitnehmern und freien Mitarbeitern laufen über Weisungsgebundenheit, Fremdbestimmung und persönlicher Abhängigkeit, hängen jedoch auch von der Eigenart der Tätigkeit ab und erfordern eine Gesamtabwägung aller Umstände. Maßgeblich sind v.a. innerhalb der Weisungsgebundenheit Vorgaben des Auftraggebers zu Inhalt, Zeit, Dauer, Ort und Durchführung der Tätigkeit. Je stärker hierzu Vorgaben des Auftraggebers bestehen und je intensiver die betroffene Person in die Organisation des Auftraggebers eingebunden ist, desto eher liegt tatsächlich ein Arbeitsverhältnis vor. Dem damit einhergehenden arbeits- und sozialversicherungsrechtlichen Risikos sind sich Personalabteilungen durchaus bewusst: Fehlerhafte Behandlungen als freie Mitarbeiter statt als Arbeitnehmer führen dazu, dass Sozialversicherungsbeiträge rückwirkend für bis zu vier Jahre durch den Arbeitgeber nachentrichtet werden müssen. Zudem ist zu Unrecht geltend gemachte Umsatzsteuer – weil sie dem „freien Mitarbeiter” gezahlt wurde – durch den Arbeitgeber zu korrigieren.
Unter den drakonischen Bußgeldern der Datenschutz-Grundverordnung (DSGVO) gerät noch ein weiterer Aspekt „echter” freier Mitarbeiter ins Blickfeld: Sofern sie durch ihre Tätigkeit für den Auftraggeber Zugriff auf personenbezogene Daten erlangen und an den Daten arbeiten (sollen), ist das Verhältnis zwischen Auftraggeber und Auftragnehmer auch datenschutzrechtlich zu klären und zu regeln.
Für die Datenverarbeitung durch ihre eigenen Arbeitnehmer muss eine Gesellschaft organisatorische Maßnahmen nach Art. 29 DSGVO ergreifen. Danach dürfen die Daten eines Verantwortlichen nur auf dessen Weisung verarbeitet werden. Innerhalb ihrer Organisation hat eine Gesellschaft daher gegenüber ihren Mitarbeitern festzulegen, wer wie welche Verarbeitungen durchführen soll und den Zugriff auf die personenbezogenen Daten zu organisieren.
Maßgeblich ist datenschutzrechtlich, wer die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Erfolgt die Festlegung bei einer Verarbeitung durch externe Dritte und abschließend durch den Auftraggeber, dann liegt eine Auftragsverarbeitung i.S.v. Art. 28 DSGVO vor. Legt der Dritte dagegen die Zwecke und Mittel der Datenverarbeitung selbst fest, so besteht eine eigene Verantwortlichkeit des Externen für die Datenverarbeitung, ggf. gemeinsam mit dem Auftraggeber (dann Art. 26 DSGVO). Datenschutzrechtlich bedarf es dann aber einer wirksamen Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO, die personenbezogenen Daten an den Dritten zu übertragen und durch ihn in eigener Verantwortung verarbeiten zu lassen.
In jeder Hinsicht kommt es auf die tatsächliche Ausgestaltung der Beziehung zu dem freien Mitarbeiter an; nicht lediglich eine bloße Bezeichnung der vermeintlichen Tätigkeiten. Schematisch ergeben sich daher folgende Möglichkeiten. Dabei gibt es insbesondere bei der arbeitsrechtlichen Beurteilung keine festen Grenzen zwischen Selbstständigkeit und Arbeitnehmerstatus:
Sofern freie Mitarbeiter mit personenbezogenen Daten umgehen sollen, erfordert ihr Einsatz neben einer arbeitsrechtlichen auch eine datenschutzrechtliche Prüfung sowie eine vertragliche Regelung.
Alexander von Chrzanowski
Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht
Associate Partner
Anfrage senden
Profil
Kein Themenspecial verpassen mit unserem Newsletter!