ComplianceFreelancer und Datenschutz – das sollten Unternehmen beachten
Freelancer und Datenschutz – ein Thema, das viele Unternehmen bewegt. Denn: Freelancer zu beschäftigen, hat viele Vorteile. Das Unternehmen entrichtet keine Sozialabgaben für sie, Freelancer sind flexibel einsetzbar, oft auf ein bestimmtes Fachgebiet spezialisiert und sie können auch kurzfristig bei Projekten einspringen.
Je nach Bereich lässt es sich kaum vermeiden, mit den Freelancern personenbezogene Daten zu teilen. An dieser Stelle kommt das Thema Datenschutz ins Spiel: Was müssen die Beteiligten hier beachten? Und vor allem: Wer trägt im Einzelfall die Verantwortung für die sichere Datenverarbeitung?
Freelancer im Sinne des Datenschutzes in Kategorien einteilen
Freelancer sind Mitarbeiter, die einen Teil ihrer Arbeitszeit in der Firma beschäftigt sind oder für bestimmte Projekte rekrutiert werden. Das sind etwa Journalisten, Texter, Berater, Programmierer und Grafiker.
Freelancer erhalten fast immer eingeschränkten Zugriff auf Unternehmensunterlagen. Aus Datenschutzsicht werden dabei drei Kategorien unterschieden: freie Mitarbeiter,
- die wie eigene Mitarbeiter eingestuft werden müssen,
- die als Auftragsverarbeiter fungieren oder
- gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortung übernehmen.
In welche Kategorie der Freelancer einzuordnen ist, hängt von der Beantwortung folgender Fragen ab:
- Kann der Freelancer eigene Vorteile aus den personenbezogenen Daten ziehen?
- Führt er seine Aufträge selbstständig oder nach Anweisung aus?
- Welche Macht hat der freie Mitarbeiter über die Daten des jeweiligen Unternehmens?
Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, definiert in der Kooperation seinen datenschutzrechtlichen Status.
Kategorie 1: Freelancer, die wie Festangestellte zu behandeln sind
Freie Mitarbeiter, die über wenig Gestaltungsspielraum verfügen, häufig in die Firma kommen und die Infrastruktur dort nutzen, sollten wie ein eigener Mitarbeiter eingestuft werden. Dies gilt losgelöst vom arbeitsrechtlichen Status, denn Arbeitsrecht und Datenschutz sind zwei Paar Schuhe.
Bei Freelancern dieser Art ist das Unternehmen für den Datenschutz verantwortlich, der Selbstständige gilt weder als Auftragsverarbeiter noch als gemeinsam mit dem Auftraggeber für den Datenschutz verantwortlich.
Der Freelancer sollte wie ein Angestellter behandelt werden, regelmäßige Schulungen erhalten und eine Datenschutzerklärung unterschreiben – wie die feste Belegschaft auch.
Kategorie 2: Auftragsverarbeiter im Sinne der DSGVO
Als Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung (DSGVO) gelten Freelancer, die deutlich unabhängiger arbeiten. Sie nutzen etwa ihr eigenes technisches Equipment in ihren eigenen oder angemieteten Räumen. In der Regel unterschreiben Freelancer dieser Kategorie einen Auftragsverarbeitungsvertrag (AVV).
Doch Vorsicht: Der Datenschutzbeauftragte sollte vor der Unterschrift überprüfen, ob dieser Vertrag auch wirklich zur jeweiligen Arbeitsbeziehung passt. Denn der AVV eignet sich nur bedingt für Solo-Selbstständige, weil er Pflichten definiert, die ein Ein-Personen-Unternehmen kaum erfüllen kann. Hinzu kommt, dass in manchen Fällen eine Verantwortung vorliegen kann, die dieser Vertrag nicht erfasst.
Kategorie 3: Gemeinsame Verantwortlichkeit
Die DSGVO besagt, dass sich Freelancer und Auftraggeber die Verantwortung für personenbezogene Daten teilen müssen, wenn sowohl der freie Mitarbeiter als auch dessen Auftraggeber eigene Zwecke verfolgen. Denn Datensätze, die etwa aus einer gemeinsam genutzten Datenbank stammen, können für unterschiedliche Zwecke verwendet werden.
Beispiele: Datenschutz bei Beschäftigung von Freelancer
Ein freiberuflicher Marketingmitarbeiter könnte Daten, wie Adressen von Kunden, für eigene Zwecke verwenden. In diesem Fall reicht ein AVV nicht. Hier müssen beide Parteien die gemeinsame Verantwortlichkeit im Hauptvertrag festhalten.
Dort sollte präzise stehen, zu welchen Zwecken bereitgestellte Daten genutzt werden dürfen und zu welchen nicht. Die gemeinsame Verantwortlichkeit ist individuell anpassbar und kann auch für mehr als zwei Vertragsparteien gelten.
Als reiner Auftragsverarbeiter kann hingegen eine Druckerei gelten, die die Daten nach dem Druck eines Rundschreibens wieder löscht. Hier reicht der Abschluss eines AVV.
Falsche Verträge und ihre Folgen
Fehlerhafte Verträge, in denen der Status des Freelancers nicht festgehalten oder falsch eingeschätzt wird, missachten aus Datenschutzsicht Betroffenenrechte. Es entsteht eine sogenannte Verantwortungsdiffusion, bei der Vorschriften der DSGVO verletzt werden – denn es ist nicht klar geregelt, wer für die Betroffenenrechte Verantwortung übernimmt.
In der Praxis geschieht es häufig, dass zum Beispiel ein AVV unterschrieben wird, obwohl eine Vereinbarung zur gemeinsamen Verantwortung (GVV) zwingend notwendig gewesen wäre, um dem Thema Datenschutz und Freelancer Rechnung zu tragen.