Freelancer bieten viele Vorteile: Unternehmen müssen keine Sozialabgaben für freie Mitarbeiter bezahlen, sie sind flexibel, häufig auf bestimmte Fachgebiete spezialisiert und können auch kurzfristige Projekte stemmen. Firmen, die mit Freelancern arbeiten, können es aber nur selten vermeiden, personenbezogene Daten mit ihnen zu teilen. Hier kommt der Datenschutz ins Spiel: Worauf müssen die Beteiligten hier achten? Und wer trägt für die Datenverarbeitung die Verantwortung? Gastautorin Maren Wienands von DataGuard klärt auf.
Hinweis: Die Einstufungen erfolgen rein aus Sicht des Datenschutzes. Insofern handelt es sich um keine arbeitsrechtliche Beratung.
Freelancer: Definition und Konstellation
Die erste Frage lautet, wer überhaupt zu den Freelancern zählt. Diese können aus allen möglichen Bereichen stammen. Definitorisch sind es beispielsweise Journalisten, Videofilmer, Grafiker, Berater, Softwareentwickler und so weiter.
Wir verstehen im Rahmen dieses Beitrags unter dem Begriff „Freelancer“ Mitarbeiter, die nur einen Teil ihrer Gesamtarbeitszeit im Unternehmen verbringen oder an bestimmten, zeitlich begrenzten Projekten arbeiten.
Zuordnung der Freelancer zu verschiedenen Kategorien
Auf Unternehmensunterlagen erhalten Freelancer meist nur eingeschränkten Zugriff. Aus Sicht des Datenschutzes, müssen sie trotzdem in verschiedene Kategorien eingeordnet werden.
Wir unterscheiden dabei zwischen Freelancern:
- diejenigen, die wie eigene Mitarbeiter eingestuft werden müssen
- solche, die als Auftragsverarbeiter fungieren
- oder gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortung tragen.
Um Freelancer (m/w/d) in eine dieser drei Kategorien zu packen, müssen in puncto Datenschutz zwei Fragen beantwortet werden:
- Kann der Freelancer eigene Vorteile aus den personenbezogenen Daten ziehen?
- Führt er seine Aufträge selbstständig oder nach Anweisung aus?
Anders ausgedrückt: Welche Macht erlangt der Selbstständige über die Daten des jeweiligen Unternehmens? Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, definiert seinen datenschutzrechtlichen Status in der Zusammenarbeit.
Konstellation 1: Freelancer, die wie Festangestellte behandelt werden müssen
Wer als Freelancer über wenig Gestaltungsspielraum verfügt, häufig in die Firma kommt und die Infrastruktur dort nutzt, sollte wie ein angestellter Mitarbeiter eingestuft werden. Dies gilt unabhängig vom arbeitsrechtlichen Status. Denn Arbeitsrecht und Datenschutz sind zwei verschiedene Paar Schuhe und werden hier nicht weiter beachtet.
Bei Freelancern dieser Art bleibt das Unternehmen weitgehend Herr der Daten. Der Selbstständige gilt somit weder als Auftragsverarbeiter noch als gemeinsam mit dem Auftraggeber für den Datenschutz verantwortlich. Insofern sollte er oder sie wie ein Angestellter behandelt werden, regelmäßig Schulungen besuchen und eine Datenschutzerklärung unterschreiben. Genauso wie die feste Belegschaft dies tut.
Konstellation 2: Auftragsverarbeiter
Unter Auftragsverarbeitern im Sinne der DSGVO verstehen wir Freelancer, die wesentlich unabhängiger arbeiten. Sie nutzen zum Beispiel ihr eigenes technisches Equipment in ihren eigenen oder angemieteten Räumlichkeiten.
In der Regel unterschreiben solche Freelancer einen Auftragsverarbeitungsvertrag (AVV). Doch Vorsicht: Der oder die Datenschutzbeauftragte sollte überprüfen, ob dieser Vertrag tatsächlich zum jeweiligen Arbeitsverhältnis passt. Denn der AVV eignet sich nur bedingt für Soloselbstständige. Denn er definiert Pflichten, die Ein-Mann- beziehungsweise Ein-Frau-Unternehmen kaum umsetzen können. Darüber hinaus kann in manchen Fällen eine Verantwortung vorliegen, die dieser Vertrag nicht abdeckt.
Konstellation 3: geteilte Verantwortlichkeit
Die gemeinsame Verantwortung für die Verarbeitung personenbezogener Daten zählt zu den Neuheiten der DSGVO, die seit dem 25. Mai 2018 zur Anwendung kommt. Die DSGVO besagt in diesem Kontext, dass sich Freelancer und Auftraggeber die Verantwortung für personenbezogene Daten dann teilen müssen, wenn sowohl der freie Mitarbeiter als auch dessen „Auftraggeber“ (aus dem Blickwinkel des Arbeitsverhältnisses – nicht datenschutzrechtlich) eigene Zwecke verfolgen.
Denn Informationen, die beispielsweise aus einer gemeinsam genutzten Datenbank stammen, können für unterschiedliche Zwecke verwendet werden. Ein Beispiel dazu: Ein freiberuflicher Marketingmitarbeiter könnte die Adressdaten eines Kunden für seine eigenen Zwecke einsetzen. In diesem Fall genügt ein AVV nicht. Hier müssen beide Parteien die gemeinsame Verantwortlichkeit im Hauptvertrag regeln.
Als reiner Auftragsverarbeiter, für den der Abschluss eines AVV ausreicht, kann hingegen eine Druckerei eingestuft werden, die die Daten nach dem Druck eines Rundschreibens wieder löscht. Im Fall des Marketingexperten sollten Sie in den Vertrag ganz genau hineinschreiben, zu welchen Zwecken der Freelancer die bereitgestellten Daten nutzen darf und zu welchen nicht. Die gemeinsame Verantwortlichkeit kann auch für mehr als zwei Vertragsparteien gelten und lässt sich individuell anpassen.
Die Folgen von fehlerhaften Verträgen
Fehlerhafte Verträge, in denen der Status des Freelancers nicht festgehalten oder falsch eingestuft wird, missachten aus Datenschutzsicht Betroffenenrechte. Das ist der Grund für eine sogenannte Verantwortungsdiffusion mit Verletzung der Vorschriften der DSGVO. Denn letztlich ist nicht klar geregelt, wer für die Betroffenenrechte die Verantwortung trägt.
In der Praxis geschieht es häufig, dass beispielsweise ein AVV abgeschlossen wird, obwohl ein Abkommen zur gemeinsamen Verantwortung (GVV) zwingend notwendig gewesen wäre. Grundsätzlich gilt: Der Umgang mit personenbezogenen Datensätzen muss immer kritisch hinterfragt werden – auch und gerade bei der Zusammenarbeit mit Freelancern. Hier gelten Datenminimierung und Datensparsamkeit als essenzielle Gebote.
Der Datenschutzbeauftrage eines Unternehmens muss den Datenschutzstatus des Freiberuflers korrekt einschätzen, damit ein der Situation angemessener Vertrag aufgesetzt werden kann.
Newsletter