Wie entsteht das Spannungsfeld zwischen Datenschutz und Scheinselbstständigkeit beim Einsatz von Fremdpersonal im Unternehmen?

**Das Spannungsfeld ist real: Unternehmen wollen Fremdpersonal datenschutzrechtlich eng steuern, dürfen es aber arbeitsorganisatorisch nicht so einbinden, dass aus dem „Selbstständigen“ faktisch ein Arbeitnehmer wird. Genau dieser Zielkonflikt ist einer der häufigsten Praxisfehler.** ## Wo der Konflikt entsteht Beim Datenschutz muss das Unternehmen personenbezogene Daten kontrollieren: Zugriffe begrenzen, Weisungen zur Datensicherheit geben, Vertraulichkeit absichern, Löschfristen regeln und die Verarbeitung dokumentieren. Nach der DSGVO bleibt der Verantwortliche für die Datenverarbeitung rechenschaftspflichtig, auch wenn externe Personen eingebunden sind. ([bfdi.bund.de](https://www.bfdi.bund.de/DE/BfDI/Inhalte/Datenschutzpfad/DSGVO.html)) Bei der Scheinselbstständigkeit gilt aber das Gegenteil als Warnsignal: Wenn ein Solo-Selbstständiger wie ein interner Mitarbeiter geführt wird, also fachlich eng angewiesen, in Abläufe eingegliedert und persönlich abhängig eingesetzt wird, spricht das gegen echte Selbstständigkeit. Für die Statusbeurteilung zählt nicht nur der Vertrag, sondern das gesamte tatsächliche Auftragsverhältnis. ([haufe.de](https://www.haufe.de/id/beitrag/scheinselbststaendigkeit-stand-2024-arbeitsrecht-HI16484116.html)) Die praktische Kollision lautet also: **Datenschutz verlangt Kontrolle über Daten, Sozialversicherungsrecht verbietet Kontrolle über die Person in einer arbeitnehmertypischen Form.** ## Der entscheidende Unterschied Viele Unternehmen steuern falsch, weil sie **Datenschutz-Weisungen** mit **Arbeitsweisungen** vermischen. Datenschutzrechtlich zulässig und oft nötig sind Vorgaben wie: - welche Systeme genutzt werden dürfen, - auf welche Daten zugegriffen werden darf, - welche Sicherheitsmaßnahmen gelten, - wann Daten zu löschen oder zurückzugeben sind, - wie Vertraulichkeit und Incident-Meldungen laufen. Kritisch für die Selbstständigkeit wird es, wenn daraus operative Personensteuerung wird, etwa: - feste Anwesenheitszeiten wie bei Beschäftigten, - laufende Detailanweisungen zur täglichen Arbeit, - Einbindung in Linienorganisation und Berichtsketten, - Nutzung wie eine dauerhafte interne Stelle, - Vertretung interner Mitarbeiter auf identischem Arbeitsplatz. Der Kern ist: **Das Unternehmen darf den Datenschutzrahmen definieren, aber nicht die Person wie einen Arbeitnehmer führen.** Genau diese Trennung fehlt in vielen Standardprozessen. ## Warum Verträge allein nicht reichen Ein sauberer Werk- oder Dienstvertrag schützt kaum, wenn die Realität anders aussieht. Die Rechtsprechung und die Deutsche Rentenversicherung schauen auf die tatsächliche Durchführung, nicht nur auf Überschriften im Vertrag. Gerade bei Fremdpersonal mit mehreren Beteiligten wird das gesamte Geflecht betrachtet. ([haufe.de](https://www.haufe.de/personal/entgelt/statusfeststellungsverfahren/beurteilung-des-gesamten-auftragsverhaeltnisses_78_549116.html)) Das ist der heikle Punkt: Aus Datenschutzsicht dokumentieren Unternehmen oft sehr genau, wer welche Vorgaben erhalten hat. Wenn diese Dokumentation faktisch eine enge persönliche Steuerung belegt, kann sie im Statusverfahren gegen das Unternehmen wirken. Das ist der wenig beachtete Teil des Problems. ## So löst man den Konflikt sauber Unternehmen sollten **Datenschutzvorgaben systembezogen** und **Leistungssteuerung ergebnisbezogen** organisieren. Das heißt konkret: - Datenschutz- und IT-Sicherheitsregeln schriftlich für Externe separat festlegen. - Nur Zugriffsrechte, Sicherheitsstandards und Vertraulichkeit vorgeben, nicht die tägliche Arbeitsausführung im Detail. - Keine Einbindung in normale Mitarbeiterhierarchien, wenn echte Selbstständigkeit gewollt ist. - Leistungen über Ergebnisse, Meilensteine oder definierte Deliverables steuern, nicht über permanente persönliche Anleitung. - Früh prüfen, ob überhaupt echte Selbstständigkeit passt oder ob Arbeitnehmerüberlassung bzw. Anstellung rechtssicherer wäre. ## Praktische Bewertung Der häufigste Irrtum ist: „Wegen Datenschutz müssen wir den Freelancer eng führen.“ Das stimmt so nicht. **Datenschutz rechtfertigt Sicherheitsvorgaben, aber keine arbeitnehmertypische Eingliederung.** Die beste Praxis ist deshalb eine klare Trennung: **Datenzugriff streng kontrollieren, Arbeitsausführung nicht wie bei eigenem Personal dirigieren.** Wer beides vermischt, riskiert gleichzeitig Datenschutzverstöße und Scheinselbstständigkeit – also genau das Gegenteil von Rechtssicherheit.