Auf Fiverr gibt es nahezu für alle Dienstleistungen ein Angebot von zahlreichen Freelancer*innen: Websites erstellen, Automatisierungen einrichten, Logos oder Corporate Designs kreieren, Blogposts verfassen… Die digitale Wirtschaft würde ohne solche Plattformen wie Fiverr und Upwork sicherlich sehr karg aussehen. Menschen aus der ganzen Welt können ihre Dienstleistungen anbieten und Kund*innen vom gesamten Globus können diese anfragen. So entsteht ein riesiges Netzwerk, in dem nahezu jede digitale Dienstleistung vertreten ist.
Wir geben zu: Wir nutzen selbst gerne Fiverr als Freelancer-Plattform. Besonders kleine Aufgaben, die nicht unser Kerngeschäft sind, können dort optimal nachgefragt werden. Über die Suchfunktion kann man nach Land, Bewertungen, Erfahrungen oder gesprochenen Sprachen filtern und so aus einer Unmenge an Freelancer*innen die richtige Person auswählen. Und dabei haben wir nahezu ausschließlich positive Erfahrungen gemacht.
Allerdings: Dienstleistungen über Fiverr nachzufragen und zu beauftragen könnte ein Risiko bergen, welches die meisten Unternehmen in Europa wahrscheinlich nur zu gut kennen: Datenschutz.
Ja, mal wieder. Mit den (im weltweiten Vergleich) strengen Datenschutzregeln der europäischen Union, insbesondere der DSGVO, haben Unternehmer*innen meistens nur wenig Spaß. Und auch beim Thema Freelancer*innen spielt Datenschutz eine entscheidende Rolle. Wir erklären, warum es vor diesem Hintergrund zielführender und sicherer sein kann, europäische Dienstleister*innen anstelle von Freelancer*innen für ein Projekt anzuheuern:
Artikel 32 Absatz 1 der DSGVO regelt die Gewährleistung eines “dem Risiko angemessenes Schutzniveau" und meint damit insbesondere “die Pseudonymisierung und Verschlüsselung personenbezogener Daten”. Dafür sei es notwendig, dass Verantwortliche und Auftragsverarbeitende geeignete technische und organisatorische Maßnahmen diesbezüglich treffen.
Um es einfacher auszudrücken: Passwörter oder Zugangsdaten in Klartext über den Chat in Fiverr austauschen könnte nach der DSGVO als sehr kritisch betrachtet werden.
Ebenso müssten die Parteien gewährleisten, dass die sensiblen Daten entsprechend geschützt würden. Dies geschieht idR. über sogenannte technische und organisatorische Maßnahmen, kurz TOMs. Unternehmen, die DSGVO konform wirtschaften wollen, müssten ebendiese TOMs verfassen und offenlegen, sagt Sebastian Mertens. In diesen müssten europäische Dienstleister*innen ihre Infrastruktur der Verarbeitung indirekt offenlegen und somit Rückschlüsse auf ihre IT-Sicherheit zulassen. Somit könnten Kund*innen einschätzen, wie ihre Daten verwendet würden.
Ganz ehrlich: Solch ein Prozedere haben wir auf Fiverr noch nie erlebt. Passwörter werden einfach ausgetauscht und auch nach Projektende nicht geändert. TOMs haben wir persönlich noch nie von Freelancer*innen auf Fiverr erhalten oder gelesen.
Artikel 28 der DSGVO trägt den schönen Titel “Auftragsverarbeiter”. Dieser regele, dass Auftragnehmer*innen nur mit solchen “Auftragsverarbeiter*innen”, sprich Personen, Behörden, Einrichtungen oder andere Stelle, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeitet würden, zusammenarbeiten könnten, die “hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet” - fügt Sebastian Mertens an.
Zu solchen Auftragsverarbeiter*innen zählten jegliche in Anspruch genommene Services, die Zugriff auf die Daten der Kund*innen hätten, wie etwa: Hosting, E-Mail-Services, Server, CRM-Systeme. Mit all diesen Subprocessorn müsste ein europäisches Unternehmen einzelne ADV-Verträge abschließen. In diesen sei zu regeln, wie und wofür die Daten der Kund*innen gespeichert, genutzt und gesichert würden, beschreibt Sebastian Mertens.
Das heißt, auch mit Fiverr Freelancer*innen bräuchte ein Unternehmen theoretisch einen solchen ADV-Vertrag, sobald der Zugang zu Make, Zapier, Wordpress und Co gegeben würden, denn sehr häufig werden bei Aufträgen personenbezogene Daten ausgetauscht, dies sei auch schon der Fall, wenn es nur um einen einfachen Blogpost ginge.
Uns ist nicht bekannt, dass wir jemals eine ADV von Freelancer*innen auf Fiverr erhalten hätten. Dabei ist es völlig egal, aus welchem EU oder Nicht-EU Land die Person kam.
Wie so oft im Leben geht es am Ende vor allem um die Frage der Haftung. Und natürlich regelt die DSGVO auch diesen Punkt. So habe laut Artikel 82, Absatz 1 “jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.”
Mit immateriellen Schäden könnte hierbei beispielsweise Diskriminierung oder Rufschädigung aufgrund der verarbeiteten Daten gemeint sein. Aber auch wenn die entsprechenden personenbezogenen Daten an die Öffentlichkeit gelangen würden und aus diesen politische Meinungen, Weltanschauungen, Überzeugungen oder die ethnische Herkunft hervorgehen könnten, entstehe womöglich ein immaterieller Schaden.
Das heißt, im schlimmsten Falle kann eine Zusammenarbeit mit Freelancer*innen, die nicht nach DSGVO-Standards Daten verarbeiten würden, dies könnte mit unter teure Folgen haben.
Wir könnten jetzt ewig so weiter machen und einzelne Artikel der DSGVO zitieren, an denen wir festmachen würden, dass die Plattformen Fiverr oder Upwork sich häufig nicht für eine datenschutzkonforme Zusammenarbeit eignen würde. Und das ist eigentlich extrem schade, denn diese Services bringen großen Nutzen für zahlreiche Unternehmen und bieten schier endlose Möglichkeiten, warum Fiverr nicht DPAs mit Subprocessors standardmäßig anbietet, wissen wir nicht, einfach als Lösung wäre dies sicherlich! So könnten Dokumente als Vorlage zur Verfügung gestellt werden oder vor Projektvergabe eine Zustimmung zu ADV, Datenschutz und AGBs verpflichtend sein- fügt Sebastian Mertens als konzeptionelle Idee an.
Solange dies aber nicht passiert, empfehlen wir die Zusammenarbeit mit Dienstleister*innen, die eine ausreichende Datenschutzerklärung, AGBs und ADVs vorweisen können.
Nichtsdestotrotz raten wir bei Projekten und Aufträgen mit personenbezogenen Daten (und das sind fast alle) zur Zusammenarbeit mit europäischen Dienstleister*innen, die sich diesen Regulatorien verpflichten müssen, TOMs und ADV-Verträge vorweisen können und Daten mit der vorgeschriebenen Sicherheit verarbeiten könnten.
Disclaimer: Dieser Beitrag stellt keine Rechtsberatung, sondern lediglich einen redaktionellen Beitrag dar - der auf Erfahrungen und Expertise von Sebastian Mertens beruht. Wir sind keine Anwälte und führen lediglich eine IT-technische Bewertung anhand der DSGVO und öffentlich zugänglichen Daten, sowie uns bekannten Projekten durch. Wir übernehmen keinerlei Haftung für Inhalte oder abgeleitete Handlungsempfehlungen.
Cloud Integration, iPaaS, SaaS, BPA… Ough, hard to keep track of all these terms. They are currently used frequently (and increasingly) in the context of automation, and it is sometimes difficult to make a clear distinction and distinction. We have already written blog posts on the terms iPaaS, SaaS and BPA, but we’ll take them up again here to make the difference.
But let’s start with cloud integration, because that’s the central umbrella term in which we embed all the other technologies in this blog post.
Arrange a free cloud integration consultation now
Arrange a free cloud integration consultation now
To illustrate these advantages, an example is suitable that we know well from our everyday work as an automation agency:
The central data to be used here is the data of a major customer. This can be the simplest information, such as the address. This address is required in numerous but completely different processes in the company: on the one hand, for correct invoicing in accounting. On the other hand, in the CRM system, where all the data of the large customer is also stored. But the address is also important in sales, for example, when employees go to the sales meeting on site.
Now the customer announces that the address of the company has changed after a move. This information will reach you by e-mail. There are now two options:
01. The e-mail is forwarded to all affected departments, accounting, sales, customer service, marketing… All persons open their corresponding program, CRM, accounting software, marketing tools (such as newsletter marketing) and change the data already stored there of the customer. This means that in multiple applications, different people do exactly the same thing: change one address.
02. But there is also an alternative: By connecting your applications, thus by integrizing them, the customer’s e-mail, or rather the information it contains about the address change, is automatically passed on to all affected applications: CRM, accounting, marketing, ERP. This does not require any clicks, because the cloud integration detects a trigger, i.e. address change, and thus automatically starts the process.
What sounds unimpressive in a single process becomes more effective when such a process occurs several times a day or weekly. Because there is a lot of data that is available in different applications and should always be correct. If these applications are cloud applications they are suitable for cloud integration.
But cloud integration doesn’t just happen. There are now a variety of applications that enable and implement this. Such tools usually allow us to link the relevant cloud applications on a central platform and define clear rules on when, how, where, how much data should be passed on and what happens to them.
To realize cloud integration, there are various applications and technologies that are sometimes used interchangeably.
We have made a first distinction between iPaaS and BPA here.
We explain the term SaaS in more detail here.
Cloud integration is rather an umbrella term that includes numerous technologies, such as SaaS, iPaaS and BPA, and this is also absolutely necessary. Cloud integration is a concept that is made possible by appropriate technologies.
However, all terms share the commonality that they are cloud-based and thus offer enormous potential for growth and scaling. In addition, they are often cheaper to implement and maintain because changed requirements are easy to implement.
As an independent automation agency, we implement cloud integration according to your requirements. We use a variety of SaaS tools and iPaas (strictly speaking BPA) software. Together we find individual solutions that are flexible and scalable.
