Der Einsatz von Freelancern wird bei Unternehmen immer beliebter und ist sowohl bei Start-Ups aber auch bei etablierten Großkonzernen häufig anzutreffen. Unternehmen sparen sich die Einarbeitung eines neuen Mitarbeiters und profitieren vom eingekauften Know-How und der Flexibilität der Freelancer. Doch wie sind Freelancer datenschutzrechtlich einzuordnen und welche Anforderungen müssen Unternehmen beachten? Sind Sie wie eigene Mitarbeiter zu behandeln, gelten Sie als Auftragsverarbeiter oder sind sie gar eigen Verantwortliche? So viel vorab: Eine pauschale Antwort gibt es nicht. Denn wie so oft bei juristischen Fragen lautet die Antwort „Es kommt darauf an…“.
Hintergrund
Werden Freelancer eingesetzt, haben diese regelmäßig Zugriff auf die Systeme und/oder Datenbanken und arbeiten mit personenbezogenen Daten des Unternehmens. Unstrittig findet eine Datenverarbeitung im Sinne der DSGVO statt, die den datenschutzrechtlichen Anforderungen unterliegt. Wer für diese Verarbeitungen verantwortlich ist und welche Rechtsgrundlagen vorliegen, bemisst sich an der Rolle des Freelancers. Folgende Konstellationen sind denkbar:
1. Freelancer wie eigene Mitarbeiter?
Arbeitet ein Freelancer in den Räumlichkeiten des Unternehmens, an einem von diesem zur Verfügung gestellten Arbeitsplatz auf unternehmenseigener Hardware und ist nach festgelegten Arbeitszeiten in das Team eingegliedert, sprechen diese Indizien gegen eine eigene Verantwortlichkeit des Freelancers. Diese sind datenschutzrechtlich vielmehr wie feste Mitarbeiter zu behandeln und gelten als „dem Verantwortlichen unterstellte Person[en]“ nach Art. 29 DSGVO. Die Arbeit des Freelancers ist weiterhin dem Unternehmen zuzurechnen.
Bedeutung für die Praxis:
Vergleichbar mit festangestellten Mitarbeitern, sind diese Freelancer auf die Vertraulichkeit der Daten zu verpflichten und mit anderen internen Richtlinien, die Datenschutz und Datensicherheit betreffen, vertraut zu machen. Weitere vertragliche Vereinbarungen zum Datenschutz sind in dieser Konstellation regelmäßig nicht erforderlich.
2. Freelancer als Auftragsverarbeiter
Wird das Maß an Eigenverantwortlichkeit gesteigert und bestimmt ein Freelancer als externer Dienstleister oder Selbständiger selbst über Arbeitszeit und Arbeitsort und erfüllt somit ohne Aufsicht des Unternehmens klar definierte Aufgaben auf eigener Hardware mit Zugang zu den IT-Systemen des Unternehmens, deutet das auf eine Auftragsverarbeitung nach Art. 28 DSGVO hin. Voraussetzung für eine Auftragsverarbeitung nach Art. 28 DSGVO ist außerdem, dass die Verarbeitung personenbezogener Daten eigentlicher Gegenstand der Hauptleistung des Freelancers ist und die Daten nicht nur beiläufig eingesehen werden können. Mittel und Zwecke werden dabei maßgeblich vom Unternehmen vorgegeben. Die Übermittlung der Daten an den Freelancern ist vom Privileg der Auftragsverarbeitung gedeckt, sofern alle Anforderungen des Art. 28 DSGVO erfüllt wurden.
Bedeutung für die Praxis:
Mit dem Freelancer muss eine Vereinbarung zur Auftragsverarbeitung („AV-Vertrag“) geschlossen werden. Diese Situation kann jedoch für beide Vertragsparteien mit Nachteilen verbunden sein. Zum einen, ist der Freelancer als Auftragsverarbeiter in der Pflicht eigene technische und organisatorische Maßnahmen vorzuweisen, des Weiteren hat ein Auftraggeber umfassende Kontrollrechte, die bis zu einer Überprüfung der privaten Räumlichkeiten des Freelancers reichen können. Setzt ein Unternehmen Freelancer bei einem Kundenprojekt ein, so ist der Freelancer zum anderen als Unterauftragnehmer aufzuführen und unterliegt der Zustimmung des Kunden. Auf diese Weise wird ein schneller Einsatz oder Wechsel von Freelancern für Unternehmen erschwert.
Zwischenfazit:
Da bei der Einordnung verschiedenste Faktoren eine Rolle spielen, sind die Übergänge fließend und eine klare Abgrenzung fällt nicht immer leicht. Erfahrungsgemäß ist ein großer Teil der Freelancer zwischen der ersten und zweiten Kategorie einzuordnen. Um dieser Situation bestmöglich gerecht zu werden, kann auch in der Praxis auf eine Zwischenlösung zurückgegriffen werden. Hierzu dient eine Vereinbarung, die den Freelancer verpflichtet, weisungsgebunden und nach strikten Regeln zu agieren, die jedoch vor allem im Bereich Kontrollrechte und technische und organisatorische Maßnahmen nicht der Strenge eines AV-Vertrages nach Art. 28 DSGVO entspricht.
3. Freelancer als Verantwortliche
Freelancer sind datenschutzrechtliche „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO, wenn Sie über Mittel und Zwecke selbst bestimmen und eigenverantwortlich die Verarbeitung personenbezogener Daten vornehmen. Ein erhöhtes Maß an Eigenleistung des Freelancers übersteigt somit regelmäßig die Weisung des Unternehmens.
Bedeutung für die Praxis:
Als eigenständig Verantwortliche müssen Freelancer alle Anforderungen aus der DSGVO selbst beachten und entsprechende Maßnahmen ergreifen. Dazu gehören neben der Erfüllung der Informationspflichten und der Beachtung der Rechte der Betroffenen auch die Gewährleistung einer sicheren und rechtskonformen Datenverarbeitung. Auch die Übermittlung von personenbezogenen Daten an den Freelancer bedarf einer datenschutzrechtlichen Rechtfertigung. Als Rechtsgrundlage kommt in diesem Zusammenhang eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO in Betracht, was jedoch im Einzelfall zu prüfen ist. Da Freelancer und Unternehmen in der Zusammenarbeit oftmals gemeinschaftlich über Zwecke und Mittel der Verarbeitung entscheiden, besteht in der Praxis eine sogenannte gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Die Zuständigkeiten für die datenschutzrechtlichen Pflichten, insbesondere in Bezug auf Informationspflichten und Erfüllung der Rechte der Betroffenen sind in diesen Fällen dann vertraglich zu regeln und aufzuteilen.
Fazit
Dreh- und Angelpunkt der datenschutzrechtlichen Einordnung von Freelancern ist deren Weisungsgebundenheit. Bei arbeitnehmerähnlichen Konstellationen mit festen Arbeitsplätzen, Kontrollen und konkreten Weisungen der Datenverarbeitung, bestehen keine Unterschiede gegenüber regulären Beschäftigten. Bestimmt der Freelancer hingegen selbst über Arbeitszeit und Arbeitsort, agiert jedoch weiterhin streng weisungsgebunden gegenüber dem Verantwortlichen, deutet dies auf eine Auftragsverarbeitung hin. Steigert sich das Maß an Eigenverantwortlichkeit weiter und erstreckt sich zusätzlich über die Mittel und Zwecke der Datenverarbeitung, wird der Freelancer selbst zum Verantwortlichen. Bei gemeinsamer Entscheidung über Mittel und Zwecke kommt in vielen Fällen eine gemeinsame Verantwortlichkeit in Betracht. Um am Ende einen datenschutzkonformen Einsatz von Freelancern zu gewährleisten, gilt es bei der Beurteilung sämtliche Indizien auf die Waagschale zu legen und die aus dem Ergebnis resultierenden Maßnahmen gewissenhaft umzusetzen.
Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.