Internetplattformen bestimmen immer mehr die moderne Arbeitswelt. Einen aktuellen Trend begründet das sog. „Crowdworking“, wenn also Unternehmen oder Privatpersonen über eine hierfür vorgesehene Webseite einzelne Aufträge bzw. Aufgaben anbieten, die dann von den Personen aus dieser Community übernommen werden. Einige Medien sprechen schon vom „modernen Leiharbeiter“. So kommen kürzere Mikrojobs zustande, die von der Erstellung eines Logos oder einer Webseite bis zum Einkauf im Einzelhandel oder zur Vorort-Kontrolle von Adressdaten reichen. Die projektbezogenen Details werden zunächst bei der Auftragsbeschreibung über die App oder Plattform ausgetauscht. Später erfolgt die Korrespondenz zwischen dem Auftraggeber und dem Crowdworker dann je nach Ausgestaltung über die gängigen elektronischen Kommunikationsmittel des Mikrojobbers oder die vom Auftraggeber gestellten Systeme.
Diese kurzfristige Zusammenarbeit wirft erhebliche arbeitsrechtliche wie auch datenschutzrechtliche Fragen auf, mit denen sich bereits die ersten Richter im Rahmen einer Auseinandersetzung vor einem Arbeitsgericht zu befassen hatten. Die primäre Frage lautet, ob der Crowdworker durch die Übernahme dieses Auftrags bzw. Projekts in ein Arbeitsverhältnis mit dem Auftraggeber eintritt und dann die einschlägigen arbeitsrechtlichen Vorschriften gelten.
Arbeitsrechtliche Einordnung
Das LAG München (LAG München, Urteil vom 04.12.2019, Az.: 8 Sa 146/19) entschied jüngst diesbezüglich recht eindeutig, dass kein Arbeitsverhältnis bestünde, da diese Personen (Crowdworker) nicht verpflichtet seien, die Aufträge zu übernehmen. „Ein Arbeitsvertrag liegt nach der gesetzlichen Definition nur dann vor, wenn der Vertrag die Verpflichtung zur Leistung von weisungsgebundener, fremdbestimmter Arbeit in persönlicher Abhängigkeit vorsieht“, teilte das Gericht mit. In diesem Fall hatte der Mikrojobber nach Beendigung der Zusammenarbeit mit einer Internetfirma auf den Schutz aus einem Arbeitsverhältnis geklagt. Das Gericht gab jedoch dem Auftraggeber Recht, der von der Selbstständigkeit des Crowdworkers ausgeht und kein Arbeitsverhältnis wollte.
Angesichts der abweichenden Projekte bzw. Mikrojobs über die unterschiedlichen Apps und Plattformen zum Crowdworking fällt die rechtliche Einordnung dieser Tätigkeiten schwer. Insbesondere sehr langfristige, umfangreiche und streng vom Auftraggeber vorgegebene Aufgaben könnten womöglich dennoch ein Arbeitsverhältnis begründen. Hier werden sich die Gerichte in den nächsten Jahren noch mit zu beschäftigen haben.
Datenschutzrechtliche Vorgaben
Diese Situation strahlt auch auf das Datenschutzrecht aus, denn in der Regel findet bei Durchführung des Auftrages auch eine Verarbeitung von personenbezogenen Daten (für den Auftraggeber) statt, beispielsweise bei der Erhebung von Kundendaten, Überprüfung von Adressdaten der Kunden oder Herstellung und Zusendung von Fotos aus der Öffentlichkeit.
Immerhin führen einzelne Nuancen in der Gestaltung dieser Rechtsbeziehung zwischen Crowdworker und dem Auftraggeber zu abweichenden datenschutzrechtlichen Konstellationen. Hier könnte eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vorliegen oder aber die Besonderheit des Art. 29 DSGVO greifen bzw. bei Annahme einer Selbständigkeit des Mikrojobbers eine Datenübermittlung bestehen.
Liegt eine Auftragsverarbeitung vor?
Alle drei möglichen Szenarien setzen eine andere Vertragssituation mit jeweils anderen Konsequenzen voraus und begründen abweichende Anforderungen. Ähnlich wie bei Freelancern bzw. freien Mitarbeitern sollte vorab geklärt und geregelt werden, welche (arbeitsrechtliche) datenschutzrechtliche Einordnung zutrifft und konsequenterweise umgesetzt wird. Anschließend müsste entweder ein Vertrag über die Auftragsverarbeitung nach Art. 28 DSGVO mit den sich daraus ergebenen Folgen geschlossen werden oder eine vergleichbare Regelung im Sinne von Art. 29 DSGVO heranzuziehen sein. Dann hätte der Auftraggeber die Möglichkeit, im Rahmen der Weisung und seiner Kontrollrechte auf die Datenverarbeitung des Crowdworkers Einfluss auszuüben und beispielsweise die Sicherheit der Datenverarbeitung wie auch die Löschung dieser Daten nach Ablauf der Zusammenarbeit vorzugeben. Wird dem Mikrojobber ein Arbeitsgerät vom Auftraggeber gestellt und bleibt die Datenverarbeitung in der Organisation und IT-Infrastruktur desselbigen, wäre an eine Verarbeitung unter Aufsicht gem. Art. 29 DSGVO zu denken.
Ist der Crowdworker hingegen ein Selbstständiger, kann das „Wie“ und ebenso Ort und Zeit der Durchführung der Aufträge frei und eigenständig entscheiden und nutzt dabei die eigenen IT-Systeme bzw. seine eigenen Arbeitsgeräte, wäre er womöglich als eigener Verantwortlicher im Sinne von Art. 4 Ziffer 7 DSGVO einzuordnen. In dem Fall erfolgt hingegen eine Datenübermittlung, und dann hat der Auftraggeber gegenüber dem Crowdworker keine wesentlichen Kontrollrechte aus der Verordnung. Für die Umsetzung der Informationspflichten, der Betroffenenrechte wie auch technisch-organisatorischen Maßnahmen und insbesondere auch bei der Haftung ist der Crowdworker selbst verantwortlich. Auch muss er sicherstellen, dass die Datenverarbeitung rechtmäßig erfolgt und dies nachgewiesen werden kann. Zur Sicherheit bzw. für die Wahrung der Vertraulichkeit der vom Auftraggeber dem Selbständigen zur Verfügung gestellten Daten sollte eine Vertrauchlichkeitsvereinbarung (NDA) schriftlich getroffen werden.
Mitunter und bei sensiblen Daten kann diese Situation für den Auftraggeber auch nachteilig sein, da er wenig Einfluss auf die Daten aufseiten des Mikrojobbers hat. So könnte er beispielsweise nicht die Herausgabe bzw. Löschung der personenbezogenen Daten auf Grundlage datenschutzrechtlicher Vereinbarungen beim Crowdworker einfordern. Und bleiben dann die Kontaktdaten, Fotos oder Studienergebnisse beim Crowdworker?
Fazit
Die datenschutzrechtliche (und arbeitsrechtliche) Einstufung mit den teils erheblich divergierenden Konsequenzen, die sogar Bußgelder und Haftung nach sich ziehen könnten, obliegt dem konkreten Einzelfall und sollte vorab geprüft und sodann passend umgesetzt werden. Dies führt zur Rechtssicherheit beim Auftraggeber wie auch dem Crowdworker. Jedoch sollte bedacht werden, dass eine womöglich naheliegende Selbständigkeit des Crowdworkers massive datenschutzrechtliche Anforderungen für diesen bedeuten, wenn er als Verantwortlicher gilt und selbst die Bestimmungen der DSGVO zu wahren hat. Die Informationspflichten und Betroffenenrechte sind allein vom ihm selbst zu wahren. Ebenso trägt er die Rechenschaftspflicht. Schließlich gilt auch nicht das Haushaltsprivileg, da hier vom Handelnden kommerzielle Zwecke verfolgt werden und überdies die Daten auch den persönlichen bzw. familiären Raum verlassen.