Logo Persoblogger.de - HR-Portal für ür Recruiting, Employer Branding, Personalmarketing, New Work und die Digitalisierung digitalHR
Logo Persoblogger.de - HR-Portal für ür Recruiting, Employer Branding, Personalmarketing, New Work und die Digitalisierung digitalHR
Titelbild: Datenschutz bei der Zusammenarbeit mit Freelancern

Freelancer im Einsatz: Worauf Sie beim Datenschutz achten müssen

Freelancer bieten viele Vorteile: Unternehmen müssen keine Sozialabgaben für freie Mitarbeiter bezahlen, sie sind flexibel, häufig auf bestimmte Fachgebiete spezialisiert und können auch kurzfristige Projekte stemmen. Firmen, die mit Freelancern arbeiten, können es aber nur selten vermeiden, personenbezogene Daten mit ihnen zu teilen. Hier kommt der Datenschutz ins Spiel: Worauf müssen die Beteiligten hier achten? Und wer trägt für die Datenverarbeitung die Verantwortung? Gastautorin Maren Wienands von DataGuard klärt auf.

Hinweis: Die Einstufungen erfolgen rein aus Sicht des Datenschutzes. Insofern handelt es sich um keine arbeitsrechtliche Beratung.

Freelancer: Definition und Konstellation

Die erste Frage lautet, wer überhaupt zu den Freelancern zählt. Diese können aus allen möglichen Bereichen stammen. Definitorisch sind es beispielsweise Journalisten, Videofilmer, Grafiker, Berater, Softwareentwickler und so weiter.

Wir verstehen im Rahmen dieses Beitrags unter dem Begriff „Freelancer“ Mitarbeiter, die nur einen Teil ihrer Gesamtarbeitszeit im Unternehmen verbringen oder an bestimmten, zeitlich begrenzten Projekten arbeiten.

Zuordnung der Freelancer zu verschiedenen Kategorien

Auf Unternehmensunterlagen erhalten Freelancer meist nur eingeschränkten Zugriff. Aus Sicht des Datenschutzes, müssen sie trotzdem in verschiedene Kategorien eingeordnet werden.

Wir unterscheiden dabei zwischen Freelancern:

  1. diejenigen, die wie eigene Mitarbeiter eingestuft werden müssen
  2. solche, die als Auftragsverarbeiter fungieren
  3. oder gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortung tragen.

Um Freelancer (m/w/d) in eine dieser drei Kategorien zu packen, müssen in puncto Datenschutz zwei Fragen beantwortet werden:

  • Kann der Freelancer eigene Vorteile aus den personenbezogenen Daten ziehen?
  • Führt er seine Aufträge selbstständig oder nach Anweisung aus?

Anders ausgedrückt: Welche Macht erlangt der Selbstständige über die Daten des jeweiligen Unternehmens? Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, definiert seinen datenschutzrechtlichen Status in der Zusammenarbeit.

Konstellation 1: Freelancer, die wie Festangestellte behandelt werden müssen

Wer als Freelancer über wenig Gestaltungsspielraum verfügt, häufig in die Firma kommt und die Infrastruktur dort nutzt, sollte wie ein angestellter Mitarbeiter eingestuft werden. Dies gilt unabhängig vom arbeitsrechtlichen Status. Denn Arbeitsrecht und Datenschutz sind zwei verschiedene Paar Schuhe und werden hier nicht weiter beachtet.

Bei Freelancern dieser Art bleibt das Unternehmen weitgehend Herr der Daten. Der Selbstständige gilt somit weder als Auftragsverarbeiter noch als gemeinsam mit dem Auftraggeber für den Datenschutz verantwortlich. Insofern sollte er oder sie wie ein Angestellter behandelt werden, regelmäßig Schulungen besuchen und eine Datenschutzerklärung unterschreiben. Genauso wie die feste Belegschaft dies tut.

Konstellation 2: Auftragsverarbeiter

Unter Auftragsverarbeitern im Sinne der DSGVO verstehen wir Freelancer, die wesentlich unabhängiger arbeiten. Sie nutzen zum Beispiel ihr eigenes technisches Equipment in ihren eigenen oder angemieteten Räumlichkeiten.

In der Regel unterschreiben solche Freelancer einen Auftragsverarbeitungsvertrag (AVV). Doch Vorsicht: Der oder die Datenschutzbeauftragte sollte überprüfen, ob dieser Vertrag tatsächlich zum jeweiligen Arbeitsverhältnis passt. Denn der AVV eignet sich nur bedingt für Soloselbstständige. Denn er definiert Pflichten, die Ein-Mann- beziehungsweise Ein-Frau-Unternehmen kaum umsetzen können. Darüber hinaus kann in manchen Fällen eine Verantwortung vorliegen, die dieser Vertrag nicht abdeckt.

Konstellation 3: geteilte Verantwortlichkeit

Die gemeinsame Verantwortung für die Verarbeitung personenbezogener Daten zählt zu den Neuheiten der DSGVO, die seit dem 25. Mai 2018 zur Anwendung kommt. Die DSGVO besagt in diesem Kontext, dass sich Freelancer und Auftraggeber die Verantwortung für personenbezogene Daten dann teilen müssen, wenn sowohl der freie Mitarbeiter als auch dessen „Auftraggeber“ (aus dem Blickwinkel des Arbeitsverhältnisses – nicht datenschutzrechtlich) eigene Zwecke verfolgen.

Denn Informationen, die beispielsweise aus einer gemeinsam genutzten Datenbank stammen, können für unterschiedliche Zwecke verwendet werden. Ein Beispiel dazu: Ein freiberuflicher Marketingmitarbeiter könnte die Adressdaten eines Kunden für seine eigenen Zwecke einsetzen. In diesem Fall genügt ein AVV nicht. Hier müssen beide Parteien die gemeinsame Verantwortlichkeit im Hauptvertrag regeln.

Als reiner Auftragsverarbeiter, für den der Abschluss eines AVV ausreicht, kann hingegen eine Druckerei eingestuft werden, die die Daten nach dem Druck eines Rundschreibens wieder löscht. Im Fall des Marketingexperten sollten Sie in den Vertrag ganz genau hineinschreiben, zu welchen Zwecken der Freelancer die bereitgestellten Daten nutzen darf und zu welchen nicht. Die gemeinsame Verantwortlichkeit kann auch für mehr als zwei Vertragsparteien gelten und lässt sich individuell anpassen.

Die Folgen von fehlerhaften Verträgen

Fehlerhafte Verträge, in denen der Status des Freelancers nicht festgehalten oder falsch eingestuft wird, missachten aus Datenschutzsicht Betroffenenrechte. Das ist der Grund für eine sogenannte Verantwortungsdiffusion mit Verletzung der Vorschriften der DSGVO. Denn letztlich ist nicht klar geregelt, wer für die Betroffenenrechte die Verantwortung trägt.

In der Praxis geschieht es häufig, dass beispielsweise ein AVV abgeschlossen wird, obwohl ein Abkommen zur gemeinsamen Verantwortung (GVV) zwingend notwendig gewesen wäre. Grundsätzlich gilt: Der Umgang mit personenbezogenen Datensätzen muss immer kritisch hinterfragt werden – auch und gerade bei der Zusammenarbeit mit Freelancern. Hier gelten Datenminimierung und Datensparsamkeit als essenzielle Gebote.

Der Datenschutzbeauftrage eines Unternehmens muss den Datenschutzstatus des Freiberuflers korrekt einschätzen, damit ein der Situation angemessener Vertrag aufgesetzt werden kann.

Maren Wienands

Gastautorin Maren Wienands von DataGuard

 

Maren Wienands ist zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) und arbeitet als Principal Corporate Consultant bei DataGuard.

Seit ihrem Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus umfassende Einblicke in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erlangt.

Sie setzt sich dafür ein, die gleichen fairen Bedingungen für Verbraucher und Unternehmen zu schaffen.

Weitere Informationen über DataGuard.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

  • Anzeigen:

  • Mein aktuelles Buch: Praxisleitfaden Homeoffice und mobiles Arbeiten
  • abci für Ihre besten Personalentscheidungen
  • Abonnieren Sie den Persoblogger.de Newsletter
  • PERSOBLOGGER Newsletter Newsletter
    ×

    Holen Sie sich den HR-Newsletter für Praktiker von PERSOBLOGGER.DE!

    Die aktuellen Blogbeiträge, die neusten HR-Studien und Infografiken, Zugriff auf alle HR-Veranstaltungen im DACH-Raum und die wichtigsten Trends und Personaler-News.