Wie ist die Rolle und Verantwortung eines Freelancers zu definieren, der Aufträge in ein System aufnimmt, in dem er nicht lesen, sondern nur schreiben und dann nie wieder abrufen kann?
1. Freelancer, die Kundendaten eingeben
Sind Freelancer, die die Kundendaten, die sie in eine Datenbank eingeben, die sie nach der Übermittlung nicht lesen können, nicht speichern oder sich merken:
a) Datenverarbeiter
b) gemäß der DSGVO haftbar?
Gemäß der Datenschutz-Grundverordnung (DSGVO) hängt die Bestimmung, ob ein Freelancer ein „Datenverarbeiter“ ist und ob er gemäß der DSGVO haftbar ist, von der Art seiner Arbeit und seiner Interaktion mit personenbezogenen Daten ab.
1.1. Rolle des Freelancers: Datenverarbeiter?
• Definition eines Datenverarbeiters: Ein Datenverarbeiter gemäß der DSGVO ist jede Entität (mit Ausnahme eines Mitarbeiters des Datenverantwortlichen), die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
• Verarbeitung: „Verarbeitung“ ist weit gefasst und umfasst Aktivitäten wie das Sammeln, Speichern, Ändern, Abrufen, Verwenden, Offenlegen und Löschen personenbezogener Daten.
Da der Freiberufler im Auftrag des Datenverantwortlichen (wahrscheinlich des Kunden, dem die Datenbank gehört) Daten in ein System eingibt, stellt diese Handlung eine „Verarbeitung“ dar. Auch wenn der Freiberufler die Daten nach der Eingabe nicht abrufen oder lesen kann, ist er dennoch an der Erfassung und Eingabe personenbezogener Daten beteiligt. Daher ist der Freiberufler wahrscheinlich ein Datenverarbeiter.
1.2. Haftung gemäß DSGVO
Pflichten des Verarbeiters: Gemäß DSGVO haben Datenverarbeiter bestimmte Pflichten, darunter:
- Daten nur auf dokumentierte Anweisung des Datenverantwortlichen zu verarbeiten.
- Geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit umsetzen.
- Den Datenverantwortlichen bei der Einhaltung bestimmter Pflichten unterstützen (z. B. Benachrichtigungen über Datenschutzverletzungen, Rechte der betroffenen Person).
- Haftung: Während die Hauptverantwortung für die Einhaltung der DSGVO beim Datenverantwortlichen liegt, können Datenverarbeiter haftbar gemacht werden, wenn sie ihren DSGVO-Pflichten nicht nachkommen oder gegen die Anweisungen des Datenverantwortlichen handeln. Wenn der Freelancer beispielsweise die Daten bei der Eingabe falsch behandelt, könnte er für die Nichteinhaltung haftbar gemacht werden.
- Da der Freelancer als Datenverarbeiter handelt, könnte er gemäß DSGVO haftbar gemacht werden, wenn er die entsprechenden Verpflichtungen nicht erfüllt. Wenn er jedoch den Anweisungen des Datenverantwortlichen folgt und keine DSGVO-Bestimmungen verletzt (z. B. durch falsche Handhabung von Daten), kann seine Haftung begrenzt sein.
1.3. Zusammenfassung
- Ist der Freelancer ein Datenverarbeiter? Ja, der Freelancer würde wahrscheinlich als Datenverarbeiter betrachtet werden, da er personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet.
- Ist der Freelancer gemäß DSGVO haftbar? Ja, der Freelancer könnte gemäß DSGVO haftbar gemacht werden, insbesondere wenn er die in der Verordnung festgelegten Pflichten des Datenverarbeiters nicht einhält. Das Ausmaß der Haftung hängt jedoch von den konkreten Umständen ab und davon, ob er die Anweisungen des Verantwortlichen und die DSGVO-Anforderungen befolgt hat.
Es wäre ratsam, wenn der Freelancer sicherstellen würde, dass er eine klare Vereinbarung mit dem Datenverantwortlichen (dem Kunden) hat, in der seine Verantwortlichkeiten und DSGVO-Pflichten dargelegt sind, um eine mögliche Haftung zu mindern.
2. Door To Door
Wenn dieser Handelsvertreter im Haustürverkauf tätig ist und weder eine andere Beziehung zu der Person, deren Daten verarbeitet werden, noch zum Datenverantwortlichen hat und nur als Datentypist arbeitet, würde dies seinen Verantwortungs- und Haftungsbereich ändern?
Das beschriebene Szenario – in dem ein Haustürverkäufer (der quasi als Datentypist arbeitet) keine direkte Beziehung zur betroffenen Person (der Person, deren Daten verarbeitet werden) oder zum Datenverantwortlichen (der Organisation, der die Daten gehören) hat – fügt seinen Verantwortlichkeiten und seiner Haftung gemäß der DSGVO einige Nuancen hinzu.
2.1. Beziehung zum Datenverantwortlichen und zur betroffenen Person
Keine direkte Beziehung: Die Tatsache, dass der Vertreter keine direkte Beziehung zum Datenverantwortlichen oder zur betroffenen Person hat, ändert nichts an der Kernanalyse gemäß der DSGVO. Die Schlüsselfrage ist, ob er personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
2.2. Rolle des Handelsvertreters: Datenverarbeiter?
Selbst in diesem Szenario wird der Handelsvertreter gemäß der DSGVO wahrscheinlich immer noch als Datenverarbeiter betrachtet. Dies liegt daran, dass sie im Auftrag des Datenverantwortlichen mit der Verarbeitung personenbezogener Daten (Erhebung und Eingabe) beschäftigt sind, auch wenn ihre Rolle auf das Eintippen und Übermitteln von Daten beschränkt ist.
Fehlende Beziehung: Das Fehlen einer direkten Beziehung zum Datenverantwortlichen oder der betroffenen Person hebt den Status des Handelsvertreters als Datenverarbeiter nicht auf. Die Beziehung zu den Daten wird durch ihre Handlungen (Verarbeitung) und nicht durch ihre vertraglichen oder persönlichen Verbindungen definiert.
2.3. Verantwortung und Haftung
- Umfang der Verantwortung: Als Datenverarbeiter konzentriert sich die Verantwortung des Vertreters weiterhin darauf, sicherzustellen, dass er Daten nur gemäß den Anweisungen des Datenverantwortlichen verarbeitet und dass die Sie halten sich an die Grundsätze der DSGVO, wie Datenminimierung und -sicherheit.
- Begrenztes Wissen und eingeschränkter Zugriff: Da der Vertriebsmitarbeiter nach der Übermittlung keinen fortlaufenden Zugriff oder keine Kontrolle über die Daten hat und die Daten nicht abrufen oder lesen kann, ist seine Rolle recht begrenzt. Dies befreit ihn jedoch nicht von der Haftung. Er ist weiterhin verpflichtet, die Daten sicher und gemäß den Anweisungen des Datenverantwortlichen zu verarbeiten.
- Haftung: Der Agent könnte weiterhin gemäß der DSGVO haftbar sein, wenn er die relevanten Pflichten des Datenverarbeiters nicht erfüllt. Wenn er beispielsweise die Daten während der Erfassung oder Eingabe versehentlich oder absichtlich falsch behandelt, könnte er zur Rechenschaft gezogen werden.
2.4. Praktische Auswirkungen
- Haftungsbeschränkung: Die begrenzte Art der Rolle des Agenten (er fungiert nur als Datentypist und hat keine weitere Interaktion mit den Daten) kann sein Haftungsrisiko verringern, insbesondere wenn er alle Anweisungen und DSGVO-Anforderungen befolgt.
- Rolle des Datenverantwortlichen: Die Hauptverantwortung liegt weiterhin beim Datenverantwortlichen, der sicherstellen muss, dass alle von ihm beauftragten Datenverarbeiter die DSGVO einhalten. Der Verantwortliche sollte klare Anweisungen geben und sicherstellen, dass der Vertreter die notwendige Schulung oder Anleitung hat, um die Daten richtig zu verarbeiten.
2.5. Zusammenfassung
- Status des Datenverarbeiters: Der Handelsvertreter wird im Rahmen der DSGVO wahrscheinlich immer noch als Datenverarbeiter betrachtet, obwohl er keine direkte Beziehung zum Datenverantwortlichen oder der betroffenen Person hat.
- Verantwortung und Haftung: Die Verantwortung des Vertreters im Rahmen der DSGVO konzentriert sich weiterhin auf die Verarbeitung der Daten gemäß den Anweisungen des Verantwortlichen. Seine Haftung im Rahmen der DSGVO könnte weiterhin bestehen, obwohl sie aufgrund seiner eingeschränkten Rolle und des fehlenden weiteren Zugriffs auf die Daten begrenzt sein könnte. Dennoch muss er darauf achten, die Daten sicher und in Übereinstimmung mit den bereitgestellten Anweisungen zu verarbeiten.
Der Datenverantwortliche sollte sicherstellen, dass der Vertreter seine Verpflichtungen versteht, und die notwendige Unterstützung bieten, um eine mögliche Haftung im Rahmen der DSGVO zu minimieren.
3. Pflichten des Datenverarbeiters
Der Freiberufler im D2D muss:
- Daten nur auf Grundlage dokumentierter Anweisungen verarbeiten.
- Datensicherheit gewährleisten.
- Prinzipien der Datenminimierung einhalten.
- Vertraulichkeit wahren.
- Daten nicht über ihren Zweck hinaus aufbewahren.
- Datenverletzungen sofort melden.
- Rechte der betroffenen Personen respektieren.
- Schulungen absolvieren und sich der DSGVO bewusst sein.
- Auf die unbefugte Vergabe von Unteraufträgen verzichten.
- Mit Aufsichtsbehörden und Audits zusammenarbeiten.
- Verarbeitungsaktivitäten nach Bedarf dokumentieren.
- Bei Bedarf bei Datenschutz-Folgenabschätzungen (DSFA) behilflich sein.
Diese Anforderungen stellen sicher, dass der Freiberufler in einer Weise arbeitet, die der DSGVO entspricht und zum Schutz der Datenschutzrechte der Personen beiträgt, deren Daten verarbeitet werden.
4. Initiativen seitens des Auftraggebers, um “private Buchhaltung” zu vermeiden
Um zu vermeiden, dass Freiberufler ein private Buchführung erstellen müssen (z. B. Screenshots machen) und um die Einhaltung der DSGVO sicherzustellen, sollte der Datenverantwortliche die folgenden Schritte unternehmen:
4.1. Implementierung eines sicheren Vertragsverfolgungssystems
- Zugriff auf ein Dashboard oder Berichtstool bereitstellen: Der Datenverantwortliche sollte ein sicheres System entwickeln oder integrieren, mit dem Freiberufler in Echtzeit auf Updates zu ihren Vertragsabschlüssen und ihrem Zahlungsstatus zugreifen können. Dieses System sollte es dem Freiberufler ermöglichen, relevante Informationen (z. B. Vertrags-ID, Abschlussdatum, fällige Zahlung) anzuzeigen, ohne unnötige personenbezogene Daten preiszugeben.
- Eingeschränkter Zugriff: Stellen Sie sicher, dass der Zugriff des Freiberuflers auf dieses System gemäß dem Grundsatz der Datenminimierung auf die Daten beschränkt ist, die er zur Überprüfung der Zahlungen benötigt.
4.2. Zahlungsüberprüfung automatisieren
- Automatisierte Benachrichtigungen: Implementieren Sie ein automatisiertes Benachrichtigungssystem, das Freiberufler benachrichtigt, wenn ein von ihnen abgeschlossener Vertrag verarbeitet wurde und die Zahlung fällig ist. Dies könnte per E-Mail, SMS oder In-App-Benachrichtigung erfolgen und eine Bestätigung liefern, ohne dass Freiberufler Verträge manuell verfolgen müssen.
- Zahlungsabgleichserklärungen: Stellen Sie regelmäßige (z. B. wöchentliche oder monatliche) Zahlungsabgleichserklärungen bereit, die alle geschlossenen Verträge und die entsprechenden Zahlungen zusammenfassen, sodass Freiberufler diese nicht mehr manuell nachverfolgen müssen.
- Entwickeln Sie eine sichere Hauptbuchfunktion innerhalb des Systems
- Hauptbuch im System: Integrieren Sie eine sichere, interne Hauptbuchfunktion in das System, mit der Freiberufler ihre Verträge und Zahlungen nachverfolgen können. Dieses Hauptbuch sollte so konzipiert sein, dass die Daten gemäß der DSGVO verarbeitet werden und personenbezogene Daten auf ein Minimum beschränkt und sicher gespeichert werden.
- Prüfprotokolle: Fügen Sie Prüfprotokolle hinzu, die aufzeichnen, wann Verträge geschlossen und Zahlungen geleistet werden, sodass Freiberufler diese Informationen innerhalb des Systems selbst überprüfen können.
4.3. Minimieren Sie die Datenexposition
- Maskieren oder pseudonymisieren Sie personenbezogene Daten: Wenn Freiberufler Vertragsdaten anzeigen oder nachverfolgen müssen, stellen Sie sicher, dass alle personenbezogenen Daten der betroffenen Personen in der von ihnen verwendeten Schnittstelle maskiert oder pseudonymisiert werden. Zeigen Sie beispielsweise nur die erforderlichen Kennungen (z. B. Vertragsnummern) und nicht vollständige Namen oder Adressen an.
- Datensegmentierung: Segmentieren Sie die Daten, sodass Freiberufler nur auf die für ihre eigenen Verträge relevanten Informationen zugreifen können. So wird das Risiko unnötiger Datenfreigabe verringert.
4.4. Stellen Sie klare Anweisungen und Schulungen bereit
- Richtlinien zum Umgang mit Daten: Bieten Sie Freiberuflern detaillierte Richtlinien und Schulungen zum Umgang mit personenbezogenen Daten und zur Nachverfolgung ihrer Verträge auf DSGVO-konforme Weise an. Dazu sollten Anweisungen zur Verwendung der bereitgestellten Systeme und Tools sowie klare Richtlinien gegen unbefugte Datenverarbeitung (z. B. Erstellen von Screenshots) gehören.
- Regelmäßige Updates und Support: Informieren Sie Freiberufler regelmäßig über bewährte Praktiken zum Datenschutz und bieten Sie fortlaufenden Support bei Problemen oder Fragen im Zusammenhang mit der Vertragsverfolgung und Zahlungsüberprüfung.
4.5. Implementieren Sie einen Feedback-Mechanismus
- Sammeln Sie Feedback von Freiberuflern: Erstellen Sie eine Feedback-Schleife, in der Freiberufler Verbesserungen der Nachverfolgungs- und Zahlungsüberprüfungsprozesse vorschlagen können. Dies hilft, potenzielle Probleme zu identifizieren, bevor sie zu nicht konformem Verhalten wie dem Erstellen von Screenshots führen.
- Kontinuierliche Verbesserung: Verwenden Sie dieses Feedback, um das System kontinuierlich zu verbessern und sicherzustellen, dass es benutzerfreundlich, sicher und DSGVO-konform bleibt. 7. Rechtliche und vertragliche Schutzmaßnahmen
- Explizite Vertragsbedingungen: Legen Sie in Verträgen mit Freiberuflern klar fest, dass die gesamte Datenverarbeitung innerhalb der vom Datenverantwortlichen bereitgestellten sicheren Systeme erfolgen muss, und verbieten Sie externe Datenaufzeichnungsmethoden wie Screenshots.
- Überwachung und Durchsetzung: Überwachen Sie die Einhaltung dieser Vertragsbedingungen
4.6. Zusammenfassung
Der Datenverantwortliche (also der Auftraggeber des Freelancers oder Handelsagenten) sollte:
- Ein sicheres, internes System zur Vertragsverfolgung und Zahlungsüberprüfung bereitstellen.
- Zahlungsbenachrichtigungen und Abstimmungsauszüge automatisieren, um den manuellen Verfolgungsbedarf zu reduzieren.
- Eine sichere Hauptbuchfunktion in das System integrieren, mit der Freiberufler ihre Arbeit verfolgen können.
- Die Datenfreigabe minimieren, indem personenbezogene Daten maskiert und der Zugriff segmentiert wird.
- Klare Anweisungen und Schulungen anbieten, um sicherzustellen, dass Freiberufler DSGVO-konforme Praktiken verstehen.
- Einen Feedback-Mechanismus implementieren, um das System basierend auf Benutzereingaben kontinuierlich zu verbessern.
- Rechtliche Schutzmaßnahmen in Verträge aufnehmen, um nicht autorisierte Datenverarbeitungsmethoden zu verbieten.
- Durch diese Maßnahmen kann der Verantwortliche das Risiko von DSGVO-Verstößen minimieren, die Erstellung externer Aufzeichnungen durch Freiberufler vermeiden und einen sicheren und gesetzeskonformen Umgang mit personenbezogenen Daten gewährleisten.
5. Disclaimer
Ich bin kein Rechtsanwalt und gebe keine Rechtsberatung. Die vorstehenden Anmerkungen sind Ergebnisse meiner persönlichen Recherche und Erfahrungen und sollen als Anregung für Projektmanager bei Glasfaser- oder Photovoltaik-Projekten dienen, die D2D-Freelancer einsetzen.