Freelancer zu beschäftigen, hat viele Vorteile. So bieten sie Unternehmen die Möglichkeit, durch die Heranziehung eine Fachexpertise zu erlangen, ohne eigene Mitarbeiter schulen bzw. einstellen zu müssen. Je nach Bereich lässt es sich kaum vermeiden, mit den Freelancern personenbezogene Daten zu teilen. Meine Tätigkeit als freiberuflicher (externer) Datenschutzbeauftragter bildet hier natürlich keine Ausnahme, bringt aber durch das Sachgebiet selbst gleich die Lösung mit sich.
Doch in anderen Bereichen lässt es sich kaum vermeiden, mit den Freelancern personenbezogene Daten zu teilen. Dabei spielt der Datenschutz wie immer eine entscheidende Rolle. Vor allem wenn es um die Frage geht, wer im Einzelfall die Verantwortung für die sichere Datenverarbeitung trägt.
Freelancer in Kategorien einteilen
Freelancer sind Mitarbeiter:innen, die entweder einen Teil ihrer Gesamtarbeitszeit in der Firma beschäftigt sind oder für bestimmte Projekte rekrutiert werden. Dazu gehören neben Datenschutzbeauftragte auch Journalisten, Texter, Berater, Programmierer und Grafiker. Freelancer erhalten dazu fast immer eingeschränkten Zugriff auf Unternehmensunterlagen. Aus Datenschutzsicht sind diese daher in drei Kategorien einzuteilen.
Freelancer
- die wie eigene Festangestellte einzustufen sind,
- die als Auftragsverarbeiter fungieren oder
- gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortung übernehmen.
In welche Kategorie ein Freelancer einzuordnen ist, hängt von der Beantwortung folgender Fragen ab:
- Kann der Freelancer eigene Vorteile aus den personenbezogenen Daten ziehen?
- Führt er seine Aufträge selbstständig oder nach Anweisung aus?
- Welche Macht hat der freie Mitarbeiter über die Daten des jeweiligen Unternehmens?
Die Macht, die ein Freelancer über personenbezogene Daten erhält, definiert in der Kooperation seinen datenschutzrechtlichen Status.
Freelancer gleichen Festangestellten
Freie Mitarbeiter, die über wenig Gestaltungsspielraum verfügen, häufig in die Firma kommen und die Infrastruktur dort nutzen, sind wie eigene Mitarbeiter einzustufen. Dies gilt unabhängig vom arbeitsrechtlichen Status, denn Arbeitsrecht und Datenschutz sind zwei Paar Schuhe. Bei Freelancern dieser Art ist das Unternehmen für den Datenschutz verantwortlich, der Selbstständige gilt weder als Auftragsverarbeiter noch als gemeinsam mit dem Auftraggeber für den Datenschutz verantwortlich. Diese Freelancer sind wie Angestellte zu behandeln und daher ebenfalls regelmäßige zu schulen und auf die Einhaltung des Datenschutzes zu verpflichten, genauso wie die festangestellte Belegschaft.
Freelancer als Auftragsverarbeiter
Als Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung (DSGVO) gelten Freelancer, die wesentlich unabhängiger arbeiten. Sie nutzen zum Beispiel eigenes technisches Equipment in eigenen oder angemieteten Räumen. In der Regel unterschreiben Freelancer dieser Kategorie einen Auftragsverarbeitungsvertrag (AVV). Aber es gilt auch hier zu beachten, dass der vorhandene Datenschutzbeauftragte vor der Unterschrift überprüft, ob dieser Vertrag auch wirklich zur jeweiligen Arbeitsbeziehung passt.
Freelancer mit gemeinsamer Verantwortlichkeit
Die gemeinsame Verantwortlichkeit für personenbezogene Daten zählt zu den Regelungen der DSGVO und besagt in diesem Zusammenhang, dass sich Freelancer und Auftraggeber die Verantwortung für personenbezogene Daten teilen, wenn sowohl der freie Mitarbeiter als auch dessen Auftraggeber eigene Zwecke verfolgen. Denn Datensätze, die etwa aus einer gemeinsam genutzten Datenbank stammen, lassen sich für unterschiedliche Zwecke nutzen.
Beispiele
Ein freiberuflicher Marketingmitarbeiter kann Daten wie Adressen von Kunden für eigene Zwecke verwenden. In diesem Fall reicht ein AVV nicht aus und hier müssen daher beide Parteien die gemeinsame Verantwortlichkeit im Hauptvertrag festhalten. Dort hat präzise zu stehen, zu welchen Zweck die bereitgestellte Daten zu nutzen bzw. nicht zu nutzen sind. Die gemeinsame Verantwortlichkeit ist individuell anpassbar und kann auch für mehr als zwei Vertragsparteien gelten.
Als reiner Auftragsverarbeiter gilt hingegen eine Druckerei, welche die Daten nach dem Druck eines Rundschreibens wieder löscht. Hier reicht der Abschluss eines AVV.
Verantwortungsdiffusion
Fehlerhafte Verträge, in denen der Status des Freelancers nicht festgehalten oder falsch eingeschätzt ist, missachten aus Datenschutzsicht die Betroffenenrechte. Es entsteht eine sogenannte Verantwortungsdiffusion, bei der Vorschriften der DSGVO verletzt sind, da es ist nicht klar geregelt, wer für die Betroffenenrechte Verantwortung übernimmt. In der Praxis geschieht es häufig, dass zum Beispiel ein AVV unterschrieben wird, obwohl eine Vereinbarung zur gemeinsamen Verantwortung (GVV) zwingend notwendig ist, um dem Thema Datenschutz und Freelancer Rechnung zu tragen.
Also lassen Sie sich gut beraten.