Praxiswissen Daily Business

2 Min

Zusammenarbeit mit Freelancern – was ist beim Datenschutz zu beachten?

Maren Wienands
Maren Wienands

Das Wichtigste in Kürze

  • Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, gibt Aufschluss über seinen datenschutzrechtlichen Status.
  • Unabhängig vom Arbeitsrecht müssen Unternehmen bestimmte Freelancer aus Sicht des Datenschutzes wie eigene Mitarbeiter behandeln.
  • Andere Fälle erfordern Auftragsverarbeitungsverträge, die aber oft nicht ideal für die Zusammenarbeit mit kleinen Selbstständigen sind.
  • Liegt eine gemeinsame Verantwortlichkeit vor, ist der Umgang mit personenbezogenen Daten im Hauptvertrag zu regeln.

So gehen Sie vor

  • Klären Sie den Status Ihres Freelancers: Ist er Auftragsverarbeiter oder besteht eine gemeinsame Verantwortlichkeit?
  • Passen Sie Verträge entsprechend an – helfen kann der Datenschutzbeauftragte.
  • Verpflichten Sie daneben Freelancer auf den Datenschutz, wie Sie es auch mit Mitarbeitern tun.

In diesem Beitrag

  1. Wer zählt zu den Freelancern?
  2. Welchen Status haben Freelancer aus Sicht des Datenschutzes?
  3. Wann sind Freelancer wie eigene Mitarbeiter zu behandeln?
  4. Welche Fälle erfordern Auftragsverarbeitungsverträge?
  5. Was ist die gemeinsame Verantwortlichkeit?
  6. Welche Folgen haben fehlerhafte Verträge?
  7. Wie regele ich die Zusammenarbeit mit Freelancern datenschutzkonform?

Freie Mitarbeiter, auch Freelancer genannt, sind für viele Unternehmen unverzichtbar. Ob freier Grafiker, Programmierer, Texter oder Berater – durch ihren Einsatz lassen sich kurzfristig anfallende Projekte flexibel umsetzen. Doch wer mit Freelancern zusammenarbeitet, kommt selten umhin, personenbezogene Daten mit ihnen zu teilen. Was gibt es aus Sicht des Datenschutzes zu beachten? Und wer trägt im Einzelfall die Verantwortung für die Datenverarbeitung?

Wer zählt zu den Freelancern?

Gleich vorweg: Arbeitsrecht und Datenschutz sind zwei Paar Schuhe. In diesem Beitrag behandeln wir als Freelancer freie Mitarbeiter, die nur gewisse prozentuale Anteile ihrer Arbeitszeit in der Firma mitarbeiten oder für bestimmte Projekte rekrutiert werden. In der Regel haben solche Freelancer nur einen eingeschränkten Zugriff auf Unternehmensunterlagen. Wie wir gleich sehen werden, sind diese Freelancer aus Datenschutzsicht in bestimmten Fällen wie eigene Mitarbeiter zu betrachten. Hiermit ist aber noch keine arbeitsrechtliche Aussage getroffen, z. B. zu einer möglichen Scheinselbstständigkeit – die kann im Einzelfall nur ein entsprechend spezialisierter Arbeitsrechtler vornehmen.

Welchen Status haben Freelancer aus Sicht des Datenschutzes?

Freie Mitarbeiter können in Hinblick auf den Datenschutz je
nach Konstellation

  • wie eigene Mitarbeiter behandelt werden,
  • als Auftragsverarbeiter fungieren oder
  • gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortliche sein.

In welche dieser drei Kategorien ein freier Mitarbeiter fällt, hängt zum einen davon ab, inwieweit er seine Aufträge nach Anweisung oder aber eigenständig ausführt. Zentral ist auch die Frage, ob der Freelancer unabhängig vom vorgegebenen Auftrag eigene Vorteile aus den erhaltenen personenbezogenen Daten zieht. Beide Fragen zusammenfassen kann man mit dem Begriff der „Macht“, die ein Freelancer über personenbezogene Daten des Unternehmens hat.

Wann sind Freelancer wie eigene Mitarbeiter zu behandeln?

Arbeitet Ihr freier Mitarbeiter physisch vorrangig in den Räumen des Unternehmens? Nutzt er dessen Infrastruktur und hat wenig eigene Gestaltungsfreiheit in der Ausführung seiner Aufgaben? Bleiben Sie „Herr der Daten“, die nicht Ihr Unternehmen verlassen? All diese Indizien deuten darauf hin, dass der Freelancer – unabhängig vom arbeitsrechtlichen Status – wie ein eigener Mitarbeiter zu behandeln ist. So, wie Sie Ihren eigenen Angestellten Schulungen zukommen lassen, Ihnen eine sichere IT-Umgebung zur Verfügung stellen und diese Erklärungen zum Datenschutz unterschreiben lassen, sollten Sie es auch mit dem Freelancer handhaben. In diesem Fall gilt der freie Mitarbeiter vor dem Gesetz weder als Auftragsverarbeiter noch als gemeinsam mit Ihnen für den Datenschutz verantwortlich.

Welche Fälle erfordern Auftragsverarbeitungsverträge?

Bei größerer Eigenständigkeit der Arbeit – z. B. eigene Räume, eigene technische Ausstattung, größere Gestaltungsfreiheit – kann der Freelancer als Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung (DSGVO) gelten. Der berühmt-berüchtigte Auftragsverarbeitungsvertrag (AVV) sollte jedoch nicht einfach standardmäßig allen Freelancern zur Unterschrift vorgelegt werden, sondern erst nach Prüfung des individuellen Falls durch den Datenschutzbeauftragten. Dafür gibt es zwei Gründe: Einerseits ist das Instrument des AVV nicht primär auf Ein-Mann- bzw. Ein-Frau-Unternehmen wie selbstständige Grafiker oder Texter zugeschnitten. Er definiert Pflichten, denen „kleine“ Freelancer in der Praxis schwer nachkommen können. Außerdem kann in bestimmten Fällen auch eine Verantwortung vorliegen, die ein AVV nicht abdeckt.

Was ist die gemeinsame Verantwortlichkeit?

Verfolgt der Freelancer eigene „Zwecke“, wie es in der DSGVO
heißt, teilen freier Mitarbeiter und Auftraggeber die Verantwortung für
personenbezogene Daten. Dieses rechtliche Konzept ist neu, es existiert erst
seit dem Inkrafttreten der DSGVO im Jahr 2018. Ein und derselbe Datensatz – z.
B. eine Adressdatenbank – kann für unterschiedliche Zwecke verwendet werden:

  1. Die Druckerei, die sie vertragsgemäß für ein
    Rundschreiben verwendet und löscht, kann als reiner Auftragsverarbeiter gelten.
    Hier ist ein AVV abzuschließen.
  2.  Der Marketingexperte,
    der neben seiner vertraglichen Leistung für einen Kunden diese Daten auch im
    eigenen Interesse verwenden könnte: Hier ist anstelle des AVV die gemeinsame
    Verantwortlichkeit im Hauptvertrag zu regeln. Dabei wird genau definiert, zu
    welchen Zwecken bereitgestellte Daten genutzt werden dürfen und zu welchen
    nicht.

Wichtig zu wissen: Die gemeinsame Verantwortlichkeit kann in unterschiedlichen Konstellationen auftreten und auch mehr als zwei Vertragsparteien umfassen. Auch hier sollte jeder Fall individuell von Datenschutzexperten unter die Lupe genommen werden.

Welche Folgen haben fehlerhafte Verträge?

Durch den ungeklärten oder falsch eingeschätzten Status von Freelancern werden in der Praxis notwendige Vereinbarungen fehlerhaft oder gar nicht getroffen. Häufig wird ein AVV unterzeichnet, wo eigentlich eine Vereinbarung zur gemeinsamen Verantwortung (GVV) vorliegen müsste. Aus Sicht des Datenschutzes hat dies zur Folge, dass in großem Umfang Betroffenenrechte missachtet werden: Das Unternehmen kann seine Informationspflicht den Betroffenen gegenüber nicht mehr erfüllen, da die Weiterverwendung ihrer personenbezogenen Daten nicht transparent geregelt ist. Damit wird eine der wichtigsten Maximen der DSGVO missachtet.

Wie regele ich die Zusammenarbeit mit Freelancern datenschutzkonform?

Sicherheitsregeln und Maßnahmen, die für eigene Angestellte gelten, sollten für freie Mitarbeiter sinngemäß ebenso den Maßstab im Datenschutz darstellen – ob im Büro oder im Homeoffice. Der Grundsatz, die Notwendigkeit und den Umfang der Verarbeitung personenbezogener Daten kritisch zu hinterfragen, gilt immer und überall – in der Zusammenarbeit mit Freelancern aber sind Datenvermeidung und Datensparsamkeit ganz besonders zentrale Gebote. Schließlich ist es wichtig, den Status eines freien Mitarbeiters anhand seiner Macht über die Daten, die das Unternehmen abgibt, korrekt einzuschätzen. Nur durch die Einschätzung der jeweiligen Situation mithilfe eines Datenschutzexperten lässt sich auch der angemessene Vertrag aufsetzen.

Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen:Kostenloses Erstgespräch buchen
Veröffentlicht am Aktualisiert am
Tags Praxiswissen Daily Business

Über den Autor

Maren Wienands Maren Wienands
Maren Wienands

Maren Wienands ist Juristin, zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) und besitzt umfangreiche Kenntnisse sowohl aus der datenschutzrechtlichen als auch der IT-sicherheitsrechtlichen Perspektive. Als Team Lead Privacy (Corporate) leitete sie bei DataGuard außerdem ein Team aus Konzernexperten und unterstützte unsere Kunden bei der pragmatischen Umsetzung der DSGVO. Durch ihr Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erhalten können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus. Durch ihre langjährige detaillierte Befassung mit diesen Themen konnte sie einen umfassenden Einblick in die gesamte Materie des Datenschutzes gewinnen.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen
Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen
Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?
Informationssicherheit

10 Min

Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?

Jedes Dienstleistungsunternehmen ist einzigartig. Erfahren Sie, wie Sie Ihre Cybersicherheitsstrategie optimal an die spezifischen Bedrohungen Ihres Unternehmens anpassen können.

Weiterlesen
Welche Auswirkungen hat ein Hackerangriff auf ein Unternehmen?
Informationssicherheit

6 Min

Welche Auswirkungen hat ein Hackerangriff auf ein Unternehmen?

Ein Hackerangriff bedroht die Sicherheit eines Systems. Phishing, Malware & mehr: Wie schützen Sie sich? Wichtige Tipps zur Vorbereitung & Reaktion.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren