Freelancer und Datenschutz
- Freelancer-Verhältnis erfordert Klärung der Datenverarbeitung und Verantwortlichkeit.
- Unterscheidung: Freelancer als Mitarbeiter, Auftragsverarbeiter oder Verantwortlicher.
- AV-Vertrag nötig, wenn Freelancer personenbezogene Daten im Kern verarbeitet.
- Freelancer müssen datenschutzrechtlich geschult und auf Vertraulichkeit verpflichtet werden.
- Datensparsamkeit erleichtert datenschutzkonforme Beschäftigung von Freelancern.
- Item A
- Item B
- Item C
Der Einsatz von freien Mitarbeiter:innen im Unternehmen ist beliebt. Vom Start-Up bis zum etablierten Unternehmen finden sich freie Mitarbeiter:innen, die mit ihrem Know-How feste Teams flexibel unterstützen. Dabei gibt es aber beim Arbeitsrecht und beim Datenschutz diverse Anforderungen an ein solches Beschäftigungsverhältnis. Was sieht der Datenschutz beim Thema Freelancern vor?
Datenschutz bei Beschäftigung von Freelancern
Aus datenschutzrechtlicher Sicht ist vor allem der Umfang der Datenverarbeitung von Freelancern wichtig, heißt: ist die Verarbeitung personenbezogener Daten Kern der Tätigkeit des Freelancers? . Daran können Sie einordnen, ob es einen Auftragsverarbeitungsvertrag (AV-Vertrag) für dieses Beschäftigungsverhältnis braucht. Weitere wichtige Punkte, die Sie in Zusammenhang mit diesem Thema klären müssen, sind:
- Die Verantwortlichkeit des Freelancers
- Die Weisungsgebundenheit des Freelancers
- Die Ortsgebundenheit des Freelancers.
Datenschutzstatus von Freelancern laut DSGVO
Die oben genannten Punkte helfen Ihnen, die freien Mitarbeiter:innen auch aus Sicht der DSGVO angemessen zu beschäftigen. Dabei gibt es drei Möglichkeiten, zwischen denen hauptsächlich unterschieden wird (Sonderregelungen sind hier ausgeschlossen):
Freelancer als quasi-Mitarbeiter:in
- Hier ist es wichtig zu wissen, wann der / die freie Mitarbeiter:in mit welcher Hardware von wo aus arbeitet. Angenommen, er / sie arbeitet auf unternehmenseigener Hardware zu vorgegeben Zeiten an einem extra zur Verfügung gestellten Arbeitsplatz in Ihrem Unternehmen, so ist er / sie quasi als Mitarbeiter:in anzusehen. Hier braucht es dann regelmäßig keinen AV-Vertrag, denn der Freelancer ist datenschutzrechtlich als Mitarbeiter:in anzusehen und Ihnen als Verantwortliche:m unterstellte Person (vgl. Art 29 DSGVO).
- Wichtig: Auch in dieser Konstellation bedarf es natürlich einer Einweisung, wenn der Freelancer mit personenbezogenen Daten arbeitet. Die konkreten Vorgaben hierfür wird meist im Hauptvertrag geregelt. Zudem müssen die freien Mitarbeiter:innen entsprechend eingewiesen und datenschutzrechtlich geschult werden. Zudem muss auf die datenschutzrechtliche Vertraulichkeit verpflichtet werden und es sollte auch eine Verschwiegenheitserklärung unterzeichnet werden.
Freelancer als Auftragsverarbeiter:in
- Können freie Mitarbeiter:innen selbstständig über ihre Arbeitszeit und den Arbeitsort bestimmen, dann handelt es sich meist um externe Dienstleister:innen oder Selbstständige. Sie arbeiten mit ihrer eigenen Hardware und sind weder an die Arbeitszeit noch den physischen Arbeitsplatz des Unternehmens gebunden. In diesem Fall kann der / die Verantwortlich:e die Rahmenbedingungen der Verarbeitung personenbezogener Daten durch den Freelancer nur bedingt kontrollieren. Zur Absicherung muss gegebenenfalls ein AV-Vertrag nach Art. 28 DSGVO abgeschlossen werden, um sicherzustellen, dass der Freelancer die personenbezogenen Daten nach Ihren Weisungen verarbeitet. Es handelt sich regelmäßig dann um einen Auftragsverarbeiter:in nach Art. 4 Abs. 7 DSGVO mit Ihnen als Auftraggeber bzw. Auftraggeberin, wenn der Kern der Tätigkeit in der Verarbeitung personenbezogener Daten liegt.
- Ob der Kern der Tätigkeit in der Verarbeitung personenbezogener Daten liegt und demnach der Abschluss eines AV-Vertrags notwendig wird, sollte im Einzelfall mit Ihrem Datenschutzbeauftragten geprüft werden.
- Praktisch: Die Übermittlung der personenbezogenen Daten an Freelancer wird vom AV-Vertrag abgedeckt, wenn die Anforderungen von Art. 28 DSGVO erfüllt sind.
Freelancer als Verantwortliche:r
- Der letzte mögliche Fall ist folgender: Der Freelancer hat „freie Hand“ und darf selbst über die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmen, die Ihr Unternehmen zur Verfügung stellt. Die Arbeit erfolgt somit nicht streng weisungsgebunden für das Unternehmen. Der Freelancer muss den Pflichten der DSGVO (wie z.B. Betroffenenanfragen managen oder Informationspflichten nachkommen) theoretisch selbstständig nachkommen, wenn keine weiteren Verträge geschlossen werden.
- Zur Absicherung der Beteiligten sollten schriftliche Regelungen zur Zweckbindung und Vertraulichkeit getroffen werden.
- Übrigens bedarf es auch bei der Zusammenarbeit in diesem Fall einer datenschutzrechtlichen Grundlage für die Übermittlung personenbezogener Daten Ihres Unternehmens an den / die freie Mitarbeiter:in. In bestimmten Fällen dürfte als Rechtsgrundlange hier das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO ausreichen. Ob allerdings ein berechtigtes Interesse vorliegt, muss im jeweiligen Einzelfall geprüft werden! Es lässt sich somit keine allgemeine Aussage darüber treffen, ob diese Rechtsgrundlage ausreichend für die Datenverarbeitung ist. Es könnten Interessen der betroffenen Person(en) überwiegen. In dieser Konstellation kann womöglich auch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen den Beteiligten vorliegen. Die Einzelheiten zur Datenverarbeitung bzw. -weiterleitung sollten hierbei genau vertraglich geregelt werden, um einen Verstoß gegen Vorgaben des Datenschutzrechts zu vermeiden.
Freelancer datenschutzkonform beschäftigen
Um Freelancer gemäß den DSGVO-Richtlinien zu beschäftigen, müssen Sie vorher deren Arbeitsaufgaben und die Rahmenbedingungen klären. Als wichtigstes Einordnungsindiz kann hierbei die Weisungsgebundenheit gesehen werden. Darum ist es hier definitiv sinnvoll, nach einem der wichtigsten Grundsätze der Datenschutzgrundverordnung, der Datensparsamkeit, zu agieren. Kurz gesagt ist es aus Datenschutz-Sicht umso einfacher, einen Freelancer zu beschäftigen, umso weniger personenbezogene Daten er verarbeitet.
Wissen Sie, welche weiteren datenschutzrechtlichen Punkte im Marketing unbedingt beachtet werden sollten? In unserem Leitfaden für den Datenschutz im Marketing informieren wir Sie umfassend über den Handlungs- und Nachbesserungsbedarf im Marketing-Bereich.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.