Das Wichtigste in Kürze
- Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, gibt Aufschluss über seinen datenschutzrechtlichen Status.
- Unabhängig vom Arbeitsrecht müssen Unternehmen bestimmte Freelancer aus Sicht des Datenschutzes wie eigene Mitarbeiter behandeln.
- Andere Fälle erfordern Auftragsverarbeitungsverträge, die aber oft nicht ideal für die Zusammenarbeit mit kleinen Selbstständigen sind.
- Liegt eine gemeinsame Verantwortlichkeit vor, ist der Umgang mit personenbezogenen Daten im Hauptvertrag zu regeln.
- Klären Sie den Status Ihres Freelancers: Ist er Auftragsverarbeiter oder besteht eine gemeinsame Verantwortlichkeit?
- Passen Sie Verträge entsprechend an – helfen kann der Datenschutzbeauftragte.
- Verpflichten Sie daneben Freelancer auf den Datenschutz, wie Sie es auch mit Mitarbeitern tun.
In diesem Beitrag
- Wer zählt zu den Freelancern?
- Welchen Status haben Freelancer aus Sicht des Datenschutzes?
- Wann sind Freelancer wie eigene Mitarbeiter zu behandeln?
- Welche Fälle erfordern Auftragsverarbeitungsverträge?
- Was ist die gemeinsame Verantwortlichkeit?
- Welche Folgen haben fehlerhafte Verträge?
- Wie regele ich die Zusammenarbeit mit Freelancern datenschutzkonform?
Freie Mitarbeiter, auch Freelancer genannt, sind für viele Unternehmen unverzichtbar. Ob freier Grafiker, Programmierer, Texter oder Berater – durch ihren Einsatz lassen sich kurzfristig anfallende Projekte flexibel umsetzen. Doch wer mit Freelancern zusammenarbeitet, kommt selten umhin, personenbezogene Daten mit ihnen zu teilen. Was gibt es aus Sicht des Datenschutzes zu beachten? Und wer trägt im Einzelfall die Verantwortung für die Datenverarbeitung?
Wer zählt zu den Freelancern?
Gleich vorweg: Arbeitsrecht und Datenschutz sind zwei Paar Schuhe. In diesem Beitrag behandeln wir als Freelancer freie Mitarbeiter, die nur gewisse prozentuale Anteile ihrer Arbeitszeit in der Firma mitarbeiten oder für bestimmte Projekte rekrutiert werden. In der Regel haben solche Freelancer nur einen eingeschränkten Zugriff auf Unternehmensunterlagen. Wie wir gleich sehen werden, sind diese Freelancer aus Datenschutzsicht in bestimmten Fällen wie eigene Mitarbeiter zu betrachten. Hiermit ist aber noch keine arbeitsrechtliche Aussage getroffen, z. B. zu einer möglichen Scheinselbstständigkeit – die kann im Einzelfall nur ein entsprechend spezialisierter Arbeitsrechtler vornehmen.
Welchen Status haben Freelancer aus Sicht des Datenschutzes?
Freie Mitarbeiter können in Hinblick auf den Datenschutz je
nach Konstellation
- wie eigene Mitarbeiter behandelt werden,
- als Auftragsverarbeiter fungieren oder
- gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortliche sein.
In welche dieser drei Kategorien ein freier Mitarbeiter fällt, hängt zum einen davon ab, inwieweit er seine Aufträge nach Anweisung oder aber eigenständig ausführt. Zentral ist auch die Frage, ob der Freelancer unabhängig vom vorgegebenen Auftrag eigene Vorteile aus den erhaltenen personenbezogenen Daten zieht. Beide Fragen zusammenfassen kann man mit dem Begriff der „Macht“, die ein Freelancer über personenbezogene Daten des Unternehmens hat.
Wann sind Freelancer wie eigene Mitarbeiter zu behandeln?
Arbeitet Ihr freier Mitarbeiter physisch vorrangig in den Räumen des Unternehmens? Nutzt er dessen Infrastruktur und hat wenig eigene Gestaltungsfreiheit in der Ausführung seiner Aufgaben? Bleiben Sie „Herr der Daten“, die nicht Ihr Unternehmen verlassen? All diese Indizien deuten darauf hin, dass der Freelancer – unabhängig vom arbeitsrechtlichen Status – wie ein eigener Mitarbeiter zu behandeln ist. So, wie Sie Ihren eigenen Angestellten Schulungen zukommen lassen, Ihnen eine sichere IT-Umgebung zur Verfügung stellen und diese Erklärungen zum Datenschutz unterschreiben lassen, sollten Sie es auch mit dem Freelancer handhaben. In diesem Fall gilt der freie Mitarbeiter vor dem Gesetz weder als Auftragsverarbeiter noch als gemeinsam mit Ihnen für den Datenschutz verantwortlich.
Welche Fälle erfordern Auftragsverarbeitungsverträge?
Bei größerer Eigenständigkeit der Arbeit – z. B. eigene Räume, eigene technische Ausstattung, größere Gestaltungsfreiheit – kann der Freelancer als Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung (DSGVO) gelten. Der berühmt-berüchtigte Auftragsverarbeitungsvertrag (AVV) sollte jedoch nicht einfach standardmäßig allen Freelancern zur Unterschrift vorgelegt werden, sondern erst nach Prüfung des individuellen Falls durch den Datenschutzbeauftragten. Dafür gibt es zwei Gründe: Einerseits ist das Instrument des AVV nicht primär auf Ein-Mann- bzw. Ein-Frau-Unternehmen wie selbstständige Grafiker oder Texter zugeschnitten. Er definiert Pflichten, denen „kleine“ Freelancer in der Praxis schwer nachkommen können. Außerdem kann in bestimmten Fällen auch eine Verantwortung vorliegen, die ein AVV nicht abdeckt.
Was ist die gemeinsame Verantwortlichkeit?
Verfolgt der Freelancer eigene „Zwecke“, wie es in der DSGVO
heißt, teilen freier Mitarbeiter und Auftraggeber die Verantwortung für
personenbezogene Daten. Dieses rechtliche Konzept ist neu, es existiert erst
seit dem Inkrafttreten der DSGVO im Jahr 2018. Ein und derselbe Datensatz – z.
B. eine Adressdatenbank – kann für unterschiedliche Zwecke verwendet werden:
- Die Druckerei, die sie vertragsgemäß für ein
Rundschreiben verwendet und löscht, kann als reiner Auftragsverarbeiter gelten.
Hier ist ein AVV abzuschließen. - Der Marketingexperte,
der neben seiner vertraglichen Leistung für einen Kunden diese Daten auch im
eigenen Interesse verwenden könnte: Hier ist anstelle des AVV die gemeinsame
Verantwortlichkeit im Hauptvertrag zu regeln. Dabei wird genau definiert, zu
welchen Zwecken bereitgestellte Daten genutzt werden dürfen und zu welchen
nicht.
Wichtig zu wissen: Die gemeinsame Verantwortlichkeit kann in unterschiedlichen Konstellationen auftreten und auch mehr als zwei Vertragsparteien umfassen. Auch hier sollte jeder Fall individuell von Datenschutzexperten unter die Lupe genommen werden.
Welche Folgen haben fehlerhafte Verträge?
Durch den ungeklärten oder falsch eingeschätzten Status von Freelancern werden in der Praxis notwendige Vereinbarungen fehlerhaft oder gar nicht getroffen. Häufig wird ein AVV unterzeichnet, wo eigentlich eine Vereinbarung zur gemeinsamen Verantwortung (GVV) vorliegen müsste. Aus Sicht des Datenschutzes hat dies zur Folge, dass in großem Umfang Betroffenenrechte missachtet werden: Das Unternehmen kann seine Informationspflicht den Betroffenen gegenüber nicht mehr erfüllen, da die Weiterverwendung ihrer personenbezogenen Daten nicht transparent geregelt ist. Damit wird eine der wichtigsten Maximen der DSGVO missachtet.
Wie regele ich die Zusammenarbeit mit Freelancern datenschutzkonform?
Sicherheitsregeln und Maßnahmen, die für eigene Angestellte gelten, sollten für freie Mitarbeiter sinngemäß ebenso den Maßstab im Datenschutz darstellen – ob im Büro oder im Homeoffice. Der Grundsatz, die Notwendigkeit und den Umfang der Verarbeitung personenbezogener Daten kritisch zu hinterfragen, gilt immer und überall – in der Zusammenarbeit mit Freelancern aber sind Datenvermeidung und Datensparsamkeit ganz besonders zentrale Gebote. Schließlich ist es wichtig, den Status eines freien Mitarbeiters anhand seiner Macht über die Daten, die das Unternehmen abgibt, korrekt einzuschätzen. Nur durch die Einschätzung der jeweiligen Situation mithilfe eines Datenschutzexperten lässt sich auch der angemessene Vertrag aufsetzen.
Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen: