Keine-Fiverr-Freelancer-beauftragen

Auf Fiverr gibt es nahezu für alle Dienstleistungen ein Angebot von zahlreichen Freelancer*innen: Websites erstellen, Automatisierungen einrichten, Logos oder Corporate Designs kreieren, Blogposts verfassen… Die digitale Wirtschaft würde ohne solche Plattformen wie Fiverr und Upwork sicherlich sehr karg aussehen. Menschen aus der ganzen Welt können ihre Dienstleistungen anbieten und Kund*innen vom gesamten Globus können diese anfragen. So entsteht ein riesiges Netzwerk, in dem nahezu jede digitale Dienstleistung vertreten ist.

Wir geben zu: Wir nutzen selbst gerne Fiverr als Freelancer-Plattform. Besonders kleine Aufgaben, die nicht unser Kerngeschäft sind, können dort optimal nachgefragt werden. Über die Suchfunktion kann man nach Land, Bewertungen, Erfahrungen oder gesprochenen Sprachen filtern und so aus einer Unmenge an Freelancer*innen die richtige Person auswählen. Und dabei haben wir nahezu ausschließlich positive Erfahrungen gemacht.

Allerdings: Dienstleistungen über Fiverr nachzufragen und zu beauftragen könnte ein Risiko bergen, welches die meisten Unternehmen in Europa wahrscheinlich nur zu gut kennen: Datenschutz.

Datenschutz bei Auftragsvergabe auf Fiverr und UpWork

Ja, mal wieder. Mit den (im weltweiten Vergleich) strengen Datenschutzregeln der europäischen Union, insbesondere der DSGVO, haben Unternehmer*innen meistens nur wenig Spaß. Und auch beim Thema Freelancer*innen spielt Datenschutz eine entscheidende Rolle. Wir erklären, warum es vor diesem Hintergrund zielführender und sicherer sein kann, europäische Dienstleister*innen anstelle von Freelancer*innen für ein Projekt anzuheuern:

Punkt 1: Passwörter, Zugangsdaten und personenbezogene Daten auf Fiverr austauschen vs. DSGVO

Artikel 32 Absatz 1 der DSGVO regelt die Gewährleistung eines “dem Risiko angemessenes Schutzniveau” und meint damit insbesondere “die Pseudonymisierung und Verschlüsselung personenbezogener Daten”. Dafür sei es notwendig, dass Verantwortliche und Auftragsverarbeitende geeignete technische und organisatorische Maßnahmen diesbezüglich treffen.

Um es einfacher auszudrücken: Passwörter oder Zugangsdaten in Klartext über den Chat in Fiverr austauschen könnte nach der DSGVO als sehr kritisch betrachtet werden.

Ebenso müssten die Parteien gewährleisten, dass die sensiblen Daten entsprechend geschützt würden. Dies geschieht idR. über sogenannte technische und organisatorische Maßnahmen, kurz TOMs. Unternehmen, die DSGVO konform wirtschaften wollen, müssten ebendiese TOMs verfassen und offenlegen, sagt Sebastian Mertens. In diesen müssten europäische Dienstleister*innen ihre Infrastruktur der Verarbeitung indirekt offenlegen und somit Rückschlüsse auf ihre IT-Sicherheit zulassen. Somit könnten Kund*innen einschätzen, wie ihre Daten verwendet würden.

Ganz ehrlich: Solch ein Prozedere haben wir auf Fiverr noch nie erlebt. Passwörter werden einfach ausgetauscht und auch nach Projektende nicht geändert. TOMs haben wir persönlich noch nie von Freelancer*innen auf Fiverr erhalten oder gelesen.

Punkt 2: Auftragsdatenverarbeitung nach DSGVO (ADV) mit Fiverr Freelancern

Artikel 28 der DSGVO trägt den schönen Titel “Auftragsverarbeiter”. Dieser regele, dass Auftragnehmer*innen nur mit solchen “Auftragsverarbeiter*innen”, sprich Personen, Behörden, Einrichtungen oder andere Stelle, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeitet würden, zusammenarbeiten könnten, die “hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet” – fügt Sebastian Mertens an.

Zu solchen Auftragsverarbeiter*innen zählten jegliche in Anspruch genommene Services, die Zugriff auf die Daten der Kund*innen hätten, wie etwa: Hosting, E-Mail-Services, Server, CRM-Systeme. Mit all diesen Subprocessorn müsste ein europäisches Unternehmen einzelne ADV-Verträge abschließen. In diesen sei zu regeln, wie und wofür die Daten der Kund*innen gespeichert, genutzt und gesichert würden, beschreibt Sebastian Mertens.

Das heißt, auch mit Fiverr Freelancer*innen bräuchte ein Unternehmen theoretisch einen solchen ADV-Vertrag, sobald der Zugang zu Integromat, Zapier, WordPress und Co gegeben würden, denn sehr häufig werden bei Aufträgen personenbezogene Daten ausgetauscht, dies sei auch schon der Fall, wenn es nur um einen einfachen Blogpost ginge.

Uns ist nicht bekannt, dass wir jemals eine ADV von Freelancer*innen auf Fiverr erhalten hätten. Dabei ist es völlig egal, aus welchem EU oder Nicht-EU Land die Person kam.

Punkt 3: Haftungsfragen bei einer Zusammenarbeit mit Dienstleister*innen auf Fiverr und UpWork

Wie so oft im Leben geht es am Ende vor allem um die Frage der Haftung. Und natürlich regelt die DSGVO auch diesen Punkt. So habe laut Artikel 82, Absatz 1 “jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.”

Mit immateriellen Schäden könnte hierbei beispielsweise Diskriminierung oder Rufschädigung aufgrund der verarbeiteten Daten gemeint sein. Aber auch wenn die entsprechenden personenbezogenen Daten an die Öffentlichkeit gelangen würden und aus diesen politische Meinungen, Weltanschauungen, Überzeugungen oder die ethnische Herkunft hervorgehen könnten, entstehe womöglich ein immaterieller Schaden.

Das heißt, im schlimmsten Falle kann eine Zusammenarbeit mit Freelancer*innen, die nicht nach DSGVO-Standards Daten verarbeiten würden, dies könnte mit unter teure Folgen haben.

Fazit: Mehr Unterstützung von Fiverr für Freelancer

Wir könnten jetzt ewig so weiter machen und einzelne Artikel der DSGVO zitieren, an denen wir festmachen würden, dass die Plattformen Fiverr oder Upwork sich häufig nicht für eine datenschutzkonforme Zusammenarbeit eignen würde. Und das ist eigentlich extrem schade, denn diese Services bringen großen Nutzen für zahlreiche Unternehmen und bieten schier endlose Möglichkeiten, warum Fiverr nicht DPAs mit Subprocessors standardmäßig anbietet, wissen wir nicht, einfach als Lösung wäre dies sicherlich! So könnten Dokumente als Vorlage zur Verfügung gestellt werden oder vor Projektvergabe eine Zustimmung zu ADV, Datenschutz und AGBs verpflichtend sein- fügt Sebastian Mertens als konzeptionelle Idee an.

Solange dies aber nicht passiert, empfehlen wir die Zusammenarbeit mit Dienstleister*innen, die eine ausreichende Datenschutzerklärung, AGBs und ADVs vorweisen können.

Nichtsdestotrotz raten wir bei Projekten und Aufträgen mit personenbezogenen Daten (und das sind fast alle) zur Zusammenarbeit mit europäischen Dienstleister*innen, die sich diesen Regulatorien verpflichten müssen, TOMs und ADV-Verträge vorweisen können und Daten mit der vorgeschriebenen Sicherheit verarbeiten könnten.

Disclaimer: Dieser Beitrag stellt keine Rechtsberatung, sondern lediglich einen redaktionellen Beitrag dar – der auf Erfahrungen und Expertise von Sebastian Mertens beruht. Wir sind keine Anwälte und führen lediglich eine IT-technische Bewertung anhand der DSGVO und öffentlich zugänglichen Daten, sowie uns bekannten Projekten durch. Wir übernehmen keinerlei Haftung für Inhalte oder abgeleitete Handlungsempfehlungen.