Kaum ein Thema unter der DSGVO bringt derart viel Verunsicherung wie die „Auftragsverarbeitung“ nach Art. 28 DSGVO. Immer noch bestehen Abgrenzungsschwierigkeiten zu den vielfältigen Anwendungsfällen, die beispielsweise die Eigenverantwortlichkeit des Dienstleisters bzw. eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorsehen können.
Besonders bei Agenturen und kleineren Unternehmen stellt sich dann noch die zusätzliche Frage, wie Freelancer bzw. freie Mitarbeiter datenschutzrechtlich einzuordnen sind und welche Konsequenzen sich hieraus ergeben können. Sind Freelancer als externer Dienstleister zu beurteilen und ist daher ein Vertrag über die Auftragsverarbeitung zu schließen? Oder gelten diese Personen „quasi“ als Mitarbeiter, so dass auf jedweden zusätzlichen Vertrag verzichtet werden könnte? Und wie ist in jedem Fall die Haftung?
Im Rahmen des Schwerpunktheftes zur Auftragsverarbeitung der aktuellen Ausgabe der Fachzeitschrift „DuD“ (03/2019) befasst sich unser Justiziar, Conrad S. Conrad, innerhalb seines Aufsatzes „Freelancer als Auftragsverarbeiter?“ mit dieser Thematik und zeigt praxisnahe Kriterien der datenschutzrechtlichen Einordnung wie auch Lösungen auf.
In Zusammenarbeit mit dem Verlag können wir Ihnen diesen Fachaufsatz hier kostenlos zum Download bereitstellen.
Viel Spaß beim Lesen!
30. April 2019 @ 23:05
hallo, berufsbeamter der kommune A, erschließungsbeitragsspezialist, teilzeit 2 tage, arbeitet bis zu 5 tage, ja 5, als freelancer für eine anwaltskanzlei im bereich erschließungsbeiträge für andere kommunen, also B, C, D, erhält bei allen Kommunen Einblich in sämtliche Beitragszahler Daten
mind 1 Beitragszahler BZ bezahlt in B und C, berufsbeamter informiert B über Daten des BZ aus C und umgekehrt
Was erlauben DSVGO und BDG (neu) dem beamten-freelancer?
spannend, oder?
23. April 2019 @ 9:24
Frage: Ein Freelancer als Ein-Personen-Unternehmen verarbeitet besondere Kategorien personenbezogener Daten in einem größeren Ausmaß als eigener Verantwortlicher. Er hat demnach die Pflicht eine Datenschutz-Folgenabschätzung vorzunehmen bzw. einen Datenschutzbeauftragten zu bestellen. Kann er selbst die Rolle des Datenschutzbeauftragten übernehmen (=Zielkonflikt) oder braucht er einen externen Datenschutzbeauftragten? Wie wird diese Konstellation in Ein-Personen-Unternehmen gelöst?
23. April 2019 @ 10:21
Vielen Dank für den Kommentar.
Das ist in der Tat eine spannende Frage. Es darf kein „Interessenkonflikt“ bestehen, was wohl in der von Ihnen geschilderten Situation anzunehmen wäre. Dann dürfte ein externer bDSB diesen Konflikt auflösen. Gleichwohl unterliegen die Anforderungen aus der DS-GVO und dem BDSG(neu) gewissermaßen dem Grundsatz der Verhältnismäßigkeit und Angemessenheit (,so dass auch die dann anfallenden Kosten berücksichtigt werden sollten meines Erachtens nach). Alles hängt daher vom Einzelfall und der konkreten Datenverarbeitung ab.