Zusammenarbeit mit Freelancern – was ist beim Datenschutz zu beachten?

Das Wichtigste in Kürze

  • Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, gibt Aufschluss über seinen datenschutzrechtlichen Status.
  • Unabhängig vom Arbeitsrecht müssen Unternehmen bestimmte Freelancer aus Sicht des Datenschutzes wie eigene Mitarbeiter behandeln.
  • Andere Fälle erfordern Auftragsverarbeitungsverträge, die aber oft nicht ideal für die Zusammenarbeit mit kleinen Selbstständigen sind.
  • Liegt eine gemeinsame Verantwortlichkeit vor, ist der Umgang mit personenbezogenen Daten im Hauptvertrag zu regeln.

So gehen Sie vor

  • Klären Sie den Status Ihres Freelancers: Ist er Auftragsverarbeiter oder besteht eine gemeinsame Verantwortlichkeit?
  • Passen Sie Verträge entsprechend an – helfen kann der Datenschutzbeauftragte.
  • Verpflichten Sie daneben Freelancer auf den Datenschutz, wie Sie es auch mit Mitarbeitern tun.

In diesem Beitrag

  1. Wer zählt zu den Freelancern?
  2. Welchen Status haben Freelancer aus Sicht des Datenschutzes?
  3. Wann sind Freelancer wie eigene Mitarbeiter zu behandeln?
  4. Welche Fälle erfordern Auftragsverarbeitungsverträge?
  5. Was ist die gemeinsame Verantwortlichkeit?
  6. Welche Folgen haben fehlerhafte Verträge?
  7. Wie regele ich die Zusammenarbeit mit Freelancern datenschutzkonform?

Freie Mitarbeiter, auch Freelancer genannt, sind für viele Unternehmen unverzichtbar. Ob freier Grafiker, Programmierer, Texter oder Berater – durch ihren Einsatz lassen sich kurzfristig anfallende Projekte flexibel umsetzen. Doch wer mit Freelancern zusammenarbeitet, kommt selten umhin, personenbezogene Daten mit ihnen zu teilen. Was gibt es aus Sicht des Datenschutzes zu beachten? Und wer trägt im Einzelfall die Verantwortung für die Datenverarbeitung?

Wer zählt zu den Freelancern?

Gleich vorweg: Arbeitsrecht und Datenschutz sind zwei Paar Schuhe. In diesem Beitrag behandeln wir als Freelancer freie Mitarbeiter, die nur gewisse prozentuale Anteile ihrer Arbeitszeit in der Firma mitarbeiten oder für bestimmte Projekte rekrutiert werden. In der Regel haben solche Freelancer nur einen eingeschränkten Zugriff auf Unternehmensunterlagen. Wie wir gleich sehen werden, sind diese Freelancer aus Datenschutzsicht in bestimmten Fällen wie eigene Mitarbeiter zu betrachten. Hiermit ist aber noch keine arbeitsrechtliche Aussage getroffen, z. B. zu einer möglichen Scheinselbstständigkeit – die kann im Einzelfall nur ein entsprechend spezialisierter Arbeitsrechtler vornehmen.

Welchen Status haben Freelancer aus Sicht des Datenschutzes?

Freie Mitarbeiter können in Hinblick auf den Datenschutz je
nach Konstellation

  • wie eigene Mitarbeiter behandelt werden,
  • als Auftragsverarbeiter fungieren oder
  • gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortliche sein.

In welche dieser drei Kategorien ein freier Mitarbeiter fällt, hängt zum einen davon ab, inwieweit er seine Aufträge nach Anweisung oder aber eigenständig ausführt. Zentral ist auch die Frage, ob der Freelancer unabhängig vom vorgegebenen Auftrag eigene Vorteile aus den erhaltenen personenbezogenen Daten zieht. Beide Fragen zusammenfassen kann man mit dem Begriff der „Macht“, die ein Freelancer über personenbezogene Daten des Unternehmens hat.

Wann sind Freelancer wie eigene Mitarbeiter zu behandeln?

Arbeitet Ihr freier Mitarbeiter physisch vorrangig in den Räumen des Unternehmens? Nutzt er dessen Infrastruktur und hat wenig eigene Gestaltungsfreiheit in der Ausführung seiner Aufgaben? Bleiben Sie „Herr der Daten“, die nicht Ihr Unternehmen verlassen? All diese Indizien deuten darauf hin, dass der Freelancer – unabhängig vom arbeitsrechtlichen Status – wie ein eigener Mitarbeiter zu behandeln ist. So, wie Sie Ihren eigenen Angestellten Schulungen zukommen lassen, Ihnen eine sichere IT-Umgebung zur Verfügung stellen und diese Erklärungen zum Datenschutz unterschreiben lassen, sollten Sie es auch mit dem Freelancer handhaben. In diesem Fall gilt der freie Mitarbeiter vor dem Gesetz weder als Auftragsverarbeiter noch als gemeinsam mit Ihnen für den Datenschutz verantwortlich.

Welche Fälle erfordern Auftragsverarbeitungsverträge?

Bei größerer Eigenständigkeit der Arbeit – z. B. eigene Räume, eigene technische Ausstattung, größere Gestaltungsfreiheit – kann der Freelancer als Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung (DSGVO) gelten. Der berühmt-berüchtigte Auftragsverarbeitungsvertrag (AVV) sollte jedoch nicht einfach standardmäßig allen Freelancern zur Unterschrift vorgelegt werden, sondern erst nach Prüfung des individuellen Falls durch den Datenschutzbeauftragten. Dafür gibt es zwei Gründe: Einerseits ist das Instrument des AVV nicht primär auf Ein-Mann- bzw. Ein-Frau-Unternehmen wie selbstständige Grafiker oder Texter zugeschnitten. Er definiert Pflichten, denen „kleine“ Freelancer in der Praxis schwer nachkommen können. Außerdem kann in bestimmten Fällen auch eine Verantwortung vorliegen, die ein AVV nicht abdeckt.

Was ist die gemeinsame Verantwortlichkeit?

Verfolgt der Freelancer eigene „Zwecke“, wie es in der DSGVO
heißt, teilen freier Mitarbeiter und Auftraggeber die Verantwortung für
personenbezogene Daten. Dieses rechtliche Konzept ist neu, es existiert erst
seit dem Inkrafttreten der DSGVO im Jahr 2018. Ein und derselbe Datensatz – z.
B. eine Adressdatenbank – kann für unterschiedliche Zwecke verwendet werden:

  1. Die Druckerei, die sie vertragsgemäß für ein
    Rundschreiben verwendet und löscht, kann als reiner Auftragsverarbeiter gelten.
    Hier ist ein AVV abzuschließen.
  2.  Der Marketingexperte,
    der neben seiner vertraglichen Leistung für einen Kunden diese Daten auch im
    eigenen Interesse verwenden könnte: Hier ist anstelle des AVV die gemeinsame
    Verantwortlichkeit im Hauptvertrag zu regeln. Dabei wird genau definiert, zu
    welchen Zwecken bereitgestellte Daten genutzt werden dürfen und zu welchen
    nicht.

Wichtig zu wissen: Die gemeinsame Verantwortlichkeit kann in unterschiedlichen Konstellationen auftreten und auch mehr als zwei Vertragsparteien umfassen. Auch hier sollte jeder Fall individuell von Datenschutzexperten unter die Lupe genommen werden.

Welche Folgen haben fehlerhafte Verträge?

Durch den ungeklärten oder falsch eingeschätzten Status von Freelancern werden in der Praxis notwendige Vereinbarungen fehlerhaft oder gar nicht getroffen. Häufig wird ein AVV unterzeichnet, wo eigentlich eine Vereinbarung zur gemeinsamen Verantwortung (GVV) vorliegen müsste. Aus Sicht des Datenschutzes hat dies zur Folge, dass in großem Umfang Betroffenenrechte missachtet werden: Das Unternehmen kann seine Informationspflicht den Betroffenen gegenüber nicht mehr erfüllen, da die Weiterverwendung ihrer personenbezogenen Daten nicht transparent geregelt ist. Damit wird eine der wichtigsten Maximen der DSGVO missachtet.

Wie regele ich die Zusammenarbeit mit Freelancern datenschutzkonform?

Sicherheitsregeln und Maßnahmen, die für eigene Angestellte gelten, sollten für freie Mitarbeiter sinngemäß ebenso den Maßstab im Datenschutz darstellen – ob im Büro oder im Homeoffice. Der Grundsatz, die Notwendigkeit und den Umfang der Verarbeitung personenbezogener Daten kritisch zu hinterfragen, gilt immer und überall – in der Zusammenarbeit mit Freelancern aber sind Datenvermeidung und Datensparsamkeit ganz besonders zentrale Gebote. Schließlich ist es wichtig, den Status eines freien Mitarbeiters anhand seiner Macht über die Daten, die das Unternehmen abgibt, korrekt einzuschätzen. Nur durch die Einschätzung der jeweiligen Situation mithilfe eines Datenschutzexperten lässt sich auch der angemessene Vertrag aufsetzen.

Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen:Kostenloses Erstgespräch buchen

Über den Autor

Maren Wienands Maren Wienands
Maren Wienands

Maren Wienands ist Juristin, zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) und besitzt umfangreiche Kenntnisse sowohl aus der datenschutzrechtlichen als auch der IT-sicherheitsrechtlichen Perspektive. Als Team Lead Privacy (Corporate) leitete sie bei DataGuard außerdem ein Team aus Konzernexperten und unterstützte unsere Kunden bei der pragmatischen Umsetzung der DSGVO. Durch ihr Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erhalten können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus. Durch ihre langjährige detaillierte Befassung mit diesen Themen konnte sie einen umfassenden Einblick in die gesamte Materie des Datenschutzes gewinnen.

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000