Einsatz von Freelancern – Muss es immer die Auftragsverarbeitung sein?

Der Einsatz von Freelancern ist in der modernen Arbeitswelt längst zur Normalität geworden; ob in agilen Start-Ups oder in etablierten Großkonzernen. Unternehmen schätzen dabei vor allem die Flexibilität der Freelancer und die Möglichkeit, gezielt Fachkompetenz einzukaufen. Doch wie sind Freelancer datenschutzrechtlich einzuordnen und welche Anforderungen müssen Unternehmen beachten? Sind sie wie eigene Mitarbeiter zu behandeln, gelten sie als Auftragsverarbeiter oder sind sie gar eigene Verantwortliche? So viel vorab: Eine pauschale Antwort gibt es nicht. Denn wie so oft bei juristischen Fragen lautet die Antwort „Es kommt darauf an…“.

Hinweis: Erstveröffentlichung am 28. Mai 2019

Hintergrund:

Werden Freelancer eingesetzt, haben diese regelmäßig Zugriff auf die Systeme des Unternehmens und arbeiten dadurch zwangsläufig mit personenbezogenen Daten. Unstrittig findet eine Datenverarbeitung im Sinne der DSGVO statt, die den datenschutzrechtlichen Anforderungen unterliegt. Wer für diese Verarbeitungen verantwortlich ist und welche Rechtsgrundlagen vorliegen, bemisst sich an der Rolle des Freelancers. Folgende Konstellationen sind denkbar:

Freelancer wie eigene Mitarbeiter?

Ist ein Freelancer eng in die Organisation des Unternehmens eingebunden, spricht vieles für die datenschutzrechtliche Einordnung des Freelancers wie ein „normaler“ Beschäftigter. Indizien für eine solche enge organisatorische Einbindung sind unter anderem:

• Der Freelancer arbeitet auf den Systemen des Unternehmens und bekommt hierfür eigene Zugänge (z.B. eine eigene E-Mail-Adresse und Zugang zu den internen Kollaborationsdiensten, sodass ein direkter Austausch mit den Kolleg:innen stattfinden kann).
• Der Freelancer arbeitet gar nicht oder nur sehr eingeschränkt auf eigenen Systemen und speichert insbesondere keine personenbezogenen Daten auf eigenen Speichermedien ab.
• Das Unternehmen gibt den Inhalt der Tätigkeit vor und bestimmt, auf welche personenbezogene Daten Zugriff erfolgen darf (Weisungsgebundenheit).

In Bezug auf die weiteren Umstände der Tätigkeit (z.B. Ort und Zeitpunkt der Leistungserbringung) ist der Freelancer häufig frei. Das unterscheidet ihn zwar häufig von festangestellten Beschäftigten. Diese Flexibilität spricht aber nicht gegen die datenschutzrechtliche Einordnung als mitarbeiterähnliche Person.

Freelancer sind unter diesen Umständen datenschutzrechtlich wie feste Beschäftigte zu behandeln und gelten als „dem Verantwortlichen unterstellte Person[en]“ nach Art. 29 DSGVO. Die Arbeit des Freelancers ist weiterhin dem Unternehmen zuzurechnen.

Bedeutung für die Praxis:

Vergleichbar mit festangestellten Beschäftigten, sind in die Organisation eingebundene Freelancer auf die Vertraulichkeit der Daten zu verpflichten und mit anderen internen Datenschutz- und Datensicherheitsrichtlinien vertraut zu machen. Je nach Umfang der Tätigkeiten können für die Freelancer erweiterte Vertraulichkeitsvereinbarungen verwendet werden, um beispielsweise die Weisungsgebundenheit der Freelancer stärker hervorzuheben. Weitere vertragliche Vereinbarungen zum Datenschutz sind in dieser Konstellation aber regelmäßig nicht erforderlich. Der Freelancer ist in dieser Konstellation nicht als Empfänger zu klassifizieren und dementsprechend weder in Datenschutzinformationen noch bei Auskunftsanfragen betroffener Personen als Empfänger zu nennen. Folglich wird auch keine Rechtsgrundlage für die Übermittlung von Daten an den Freelancer benötigt. Für alle Tätigkeiten des Freelancers, die innerhalb der Weisungen des Unternehmens geleistet werden, ist das Unternehmen voll verantwortlich.

Freelancer als Auftragsverarbeiter

Wird das Maß an Eigenverantwortlichkeit gesteigert und bestimmt ein Freelancer als externer Dienstleister oder Selbständiger selbst über die Art der Leistungserbringung, deutet dies auf eine Auftragsverarbeitung nach Art. 28 DSGVO hin. Indizien hierfür sind insbesondere:

• Der Freelancer arbeitet auf eigener Hardware und mit eigenen IT-Systemen.
• Der Freelancer ist nicht in die IT-Systeme des Unternehmens eingegliedert, hat aber bei Bedarf Zugang zu den notwendigen Daten.
• Der Freelancer arbeitet nicht unter der direkten Aufsicht des Unternehmens, sondern erbringt die Leistungen eigenständiger.

Voraussetzung für eine Auftragsverarbeitung nach Art. 28 DSGVO ist außerdem, dass die Verarbeitung personenbezogener Daten eigentlicher Gegenstand der Hauptleistung des Freelancers ist und die Daten nicht nur beiläufig eingesehen werden können. Mittel und Zwecke werden dabei maßgeblich vom Unternehmen vorgegeben. Die Übermittlung der Daten an den Freelancern ist vom Privileg der Auftragsverarbeitung gedeckt, sofern alle Anforderungen des Art. 28 DSGVO erfüllt wurden.

Bedeutung für die Praxis:

Mit dem Freelancer muss eine Vereinbarung zur Auftragsverarbeitung („AV-Vertrag“) geschlossen werden. Geht mit der Beauftragung eine Übermittlung personenbezogener Daten in Drittländer einher, müssen zusätzlich die Anforderungen der Art. 44 ff. DSGVO erfüllt werden.

Der Abschluss eines AV-Vertrages  kann in der Praxis  für beide Vertragsparteien mit Nachteilen verbunden sein. Zum einen ist der Freelancer als Auftragsverarbeiter in der Pflicht, eigene technische und organisatorische Maßnahmen vorzuweisen. Des Weiteren hat ein Auftraggeber umfassende Kontrollrechte, die bis zu einer Überprüfung der privaten Räumlichkeiten des Freelancers reichen können. In der Praxis kann deshalb versucht werden, die Regelungen im AV-Vertrag auf das notwendige Minimum (Art. 28 Abs. 3 DSGVO) zu reduzieren.

Setzt ein Unternehmen Freelancer bei einem B2B-Kundenprojekt ein, so ist der Freelancer zum anderen als Unterauftragnehmer aufzuführen und unterliegt der Zustimmung des Kunden. Auf diese Weise wird ein schneller Einsatz oder Wechsel von Freelancern für Unternehmen erschwert. Darüber hinaus muss der Freelancer als Empfänger benannt werden, zum Beispiel im Rahmen von Auskunftsanfragen betroffener Personen.

Zwischenfazit

Da bei der Einordnung verschiedenste Faktoren eine Rolle spielen, sind die Übergänge fließend und eine klare Abgrenzung fällt nicht immer leicht. Erfahrungsgemäß ist ein großer Teil der Freelancer zwischen der ersten und zweiten Kategorie einzuordnen. In der Praxis hat sich zudem bewährt, mit größeren Freelancer-Agenturen zunächst zu versuchen, einen wirksamen AV-Vertrag abzuschließen. Bei der Beauftragung von Einzelpersonen wird man dagegen gut beraten sein, die Einbindung des Freelancers als „dem Verantwortlichen unterstellte Person“ (Art. 29 DSGVO) zu prüfen.

Freelancer als Verantwortliche

Freelancer sind datenschutzrechtlich gesprochen „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO, wenn sie über Mittel und Zwecke selbst bestimmen und eigenverantwortlich die Verarbeitung personenbezogener Daten vornehmen. Ein erhöhtes Maß an Eigenleistung des Freelancers übersteigt somit regelmäßig die Weisungsgebundenheit des Unternehmens. Eine solche Konstellation tritt in der Praxis häufig in Fällen auf, bei denen die Freelancer eine unabhängige Tätigkeit erbringen sollen, zum Beispiel bei Consulting-Leistungen.

Freelancer können aber auch dann als separate Verantwortliche zu klassifizieren sein, wenn die von ihnen erbrachten Leistungen im Kern gerade keine Verarbeitung von personenbezogenen Daten darstellt. Das kann beispielsweise bei Leistungen der Fall sein, bei denen die Content-Erstellung (z.B. auf Blogs, für Newsletter, für Printprodukte) oder die Produktentwicklung (z.B. Softwareentwicklung) im Vordergrund stehen. Wichtig ist dann allerdings, dass die Freelancer zur Erfüllung dieser Tätigkeiten auch keinen Zugriff auf personenbezogene Daten erhalten (z.B. auf Daten im CRM-System oder auf Analysedaten eines Produkts).

Bedeutung für die Praxis:

Als eigenständig Verantwortliche müssen Freelancer alle Anforderungen aus der DSGVO selbst beachten und entsprechende Maßnahmen ergreifen. Dazu gehören neben der Erfüllung der Informationspflichten und der Beachtung der Rechte der Betroffenen auch die Gewährleistung einer sicheren und rechtskonformen Datenverarbeitung.

Das Unternehmen muss nun allerdings für die Übermittlung von personenbezogenen Daten an den Freelancer eine datenschutzrechtlichen Rechtfertigung vorweisen können. Als Rechtsgrundlage kommt in diesem Zusammenhang zum Beispiel eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO in Betracht, was jedoch im Einzelfall zu prüfen ist. Sind Freelancer außerhalb der EU bzw. des EWR tätig, unterliegt die Übermittlung personenbezogener Daten an sie zusätzlich den Anforderungen der Art. 44 ff. DSGVO.

Wenn Freelancer und Unternehmen in der Zusammenarbeit gemeinschaftlich über Zwecke und Mittel der Verarbeitung entscheiden, kann in der Praxis auch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegen. Dies ist etwa dann denkbar, wenn beide Parteien eine gemeinsame Kampagne oder ein gemeinsames Projekt durchführen und dabei gleichrangig Einfluss auf die Art und den Umfang der Verarbeitung nehmen. In diesen Fällen sind die jeweiligen Zuständigkeiten für die datenschutzrechtlichen Pflichten, insbesondere in Bezug auf Informationspflichten und Erfüllung der Rechte der Betroffenen, vertraglich zu regeln und aufzuteilen.

Fazit

Dreh- und Angelpunkt der datenschutzrechtlichen Einordnung von Freelancern ist deren Weisungsgebundenheit. Bei arbeitnehmerähnlichen Konstellationen mit enger Einbindung in das Unternehmen bestehen keine Unterschiede gegenüber regulären Beschäftigten. Bestimmt der Freelancer hingegen selbst über die Art der Leistungserbringung, agiert jedoch weiterhin streng weisungsgebunden gegenüber dem Verantwortlichen, deutet dies auf eine Auftragsverarbeitung hin. Steigert sich das Maß an Eigenverantwortlichkeit weiter und erstreckt sich zusätzlich über die Mittel und Zwecke der Datenverarbeitung, wird der Freelancer selbst zum Verantwortlichen. Bei gemeinsamer Entscheidung über Mittel und Zwecke kommt in vielen Fällen eine gemeinsame Verantwortlichkeit in Betracht. Um am Ende einen datenschutzkonformen Einsatz von Freelancern zu gewährleisten, gilt es bei der Beurteilung sämtliche Indizien auf die Waagschale zu legen und die aus dem Ergebnis resultierenden Maßnahmen gewissenhaft umzusetzen.