Ob Start-ups, mittelständische Firmen oder Großbetriebe – viele Unternehmen setzen mittlerweile gezielt auf den Einsatz von Freelancern. Als freie Mitarbeiter sorgen sie für zusätzliches Know-how und Fachkompetenz. Mit ihrem Wissen und ihren Fähigkeiten unterstützen sie die Unternehmen bei Projekten und spezifischen Aufgaben. Doch wie verhält es sich mit Datenschutz bei der Zusammenarbeit mit einem Freelancer?
Freelancer gehen bei einer Zusammenarbeit verschiedene Formen von Beschäftigungsverhältnissen ein. Das geht zum einen einher mit gesetzlichen Anforderungen im Hinblick auf das Arbeitsrecht. Zum anderen sind aber auch viele datenschutzrechtliche Vorschriften und Regelungen zwingend zu berücksichtigen.
Verstößt Du dabei gegen geltende Datenschutzbestimmungen, zieht dies Bußgelder in stattlicher Höhe und andere empfindliche Strafen nach sich. Was Du bei der Thematik Datenschutz und Freelancer beachten musst und wie Du in welchen Situationen am besten vorgehst, erfährst Du im folgenden Beitrag.
Wer zählt vor dem Gesetz als Freelancer?
Grundsätzlich gehören gemäß § 18 Abs. 1 Nr. 1 Satz 2 EStG selbständig ausgeübte wissenschaftliche, erzieherische, unterrichtende, schriftstellerische und künstlerische Tätigkeiten. Die selbständig ausgeführten bzw. freiberuflichen Tätigkeiten definiert der Gesetzgeber ausdrücklich in den so bezeichneten Katalogberufen.
Das Spektrum reicht diesbezüglich von Ärzten und Rechtsanwälten über Ingenieure und Architekten bis hin zu Wirtschaftsprüfern, Steuerberatern sowie Journalisten. IT-Freelancer zählen im Rahmen ihrer freiberuflichen Tätigkeit allerdings nicht zu diesen Katalogberufen. Sie erhalten also nicht direkt automatisch einen Freiberufler-Status.
Trotzdem aber gibt es die Möglichkeit, dass die jeweils angebotenen IT-Tätigkeiten in den Bereich der katalogähnlichen Berufe fallen. Beispielhaft hierfür stehen diese IT-Leistungen:
- Beratung und Planung von IT-Infrastruktur- und –Systemen
- IT-Sicherheit und Datenschutz
- Installation und Konfiguration von Software und Hardware
- Datenmanagement und Backup-Lösungen
- Server- und Netzwerk-Management
- Proaktive Reparatur und Wartung von IT-Systemen
- Helpdesk- und Support-Services
- Cloud-Computing und Hosting Services
- Schulungs- und Trainingsprogramme für Unternehmensmitarbeiter
KEY POINTS
- Freelancer müssen je nach Arbeitsweise und Bindung an Unternehmensanweisungen unterschiedliche Datenschutzverantwortungen berücksichtigen.
- Eine genaue Prüfung und Anpassung vertraglicher Vereinbarungen ist entscheidend, um die DSGVO-Richtlinien in der Zusammenarbeit mit Freelancern einzuhalten.
- Die korrekte Klassifizierung der Arbeitsbeziehung zwischen Unternehmen und Freelancern ist wesentlich, um adäquate Datenschutzmaßnahmen zu ergreifen.
Die Verarbeitung personenbezogener Daten durch Freelancer im Fokus
Datenschutzrechtlich besonders relevant ist dabei die mögliche Verarbeitung personenbezogener Daten. Je nachdem wie groß sich der Umfang der verarbeiteten personenbezogenen Daten darstellt, benötigst Du für ein solches Beschäftigungsverhältnis oftmals einen Auftragsverarbeitungsvertrag (kurz: AVV). Wichtige Aspekte für die Einordnung der freiberuflichen Arbeit sind zudem die Weisungs– und Ortsgebundenheit sowie die Verantwortlichkeit der Freelancer.
Welchen Status haben Freelancer im Hinblick auf den Datenschutz?
Um die DSGVO-Richtlinien bei einem Beschäftigungsverhältnis mit einem Freelancer vollumfänglich einzuhalten, spielen diese drei Aspekte dann auch eine wesentliche Rolle. Dabei solltest Du immer diesen Grundsatz im Kopf behalten: Je weniger personenbezogene Daten der für Dein Unternehmen tätige Freelancer verarbeitet, desto einfacher stellt sich das gesamte Beschäftigungsverhältnis aus datenschutzrechtlicher Sicht dar. Du kannst Dich dabei im Hinblick auf die Frage nach der Weisungs– und Ortsgebundenheit zwischen insgesamt drei Modellen entscheiden, um einen Freelancer DSGVO-konform zu beschäftigen.
1. Freelancer fungiert als freier Mitarbeiter
Arbeitet der Freelancer zu festgelegten Zeiten mit unternehmenseigener Hardware an einem extra für ihn bereitgestellten Arbeitsplatz in Deinem Unternehmen, nimmt er dadurch den Status eines quasi festen Unternehmensmitarbeiter ein. Das hat den Vorteil, dass Du in diesem Fall keinen AVV aus datenschutzrechtlichen Gründen benötigst.
Allerdings wird er dadurch gleichzeitig auch zu einer Dir unterstellten Person. Das bedeutet, dass die datenschutzrechtliche Verantwortung alleine bei Dir bzw. Deinem Unternehmen liegt. Im Art 29 DSGVO wird dies explizit formuliert. Natürlich muss sich der Freelancer dabei an die jeweiligen Unternehmensvorgaben halten.
Konkretisiert werden diese Vorgaben in der Regel im Hauptvertrag. Meistens geht dies einher mit einer Verschwiegenheitserklärung und der Verpflichtung zu datenschutzrechtlicher Vertraulichkeit seitens der Freelancer, sofern diese personenbezogene Daten im Rahmen ihrer Tätigkeit verarbeiten.
2. Freelancer definiert sich als Auftragsverarbeiter
Anders sieht es aus, wenn freie Mitarbeiter selbst über Arbeitsort und Arbeitszeit bestimmen sowie ihre eigene Hardware nutzen. In diesem Fall gelten sie rechtlich als Selbstständige oder externe Dienstleister. Zählt die Verarbeitung personenbezogener Daten dabei zu den Schwerpunktaufgaben, arbeitet ein Freelancer nach Art. 4 Abs. 7 DSGVO als ein von Dir beauftragter Auftragsverarbeiter.
Daraus ergibt sich für Dich und Dein Unternehmen allerdings ein Problem: Die durch den Freelancer autark durchgeführte Verarbeitung personenbezogener Daten lässt sich nur unzureichend kontrollieren. Um hier auf der sicheren Seite zu bleiben, empfiehlt es sich, einen AV-Vertrag nach Art. 28 DSGVO mit dem externen Dienstleister abzuschließen.
Gleichzeitig ist durch einen gegebenenfalls abgeschlossenen AVV auch die Übermittlung personenbezogener Daten abgedeckt. Auf diese Weise stellst Du sicher, dass der Freelancer alle personenbezogenen Daten genau nach Deinen Weisungen verarbeitet, erfasst und weiterleitet bzw. Übermittelt.
3. Freelancer arbeitet selbstständig und autark
In der Praxis gibt es noch einen weiteren Fall: Dein Unternehmen stellt zwar die Daten, aber ansonsten ist der Freelancer vergleichsweise frei in seinen Entscheidungen und bestimmt selbst über die Rahmenbedingungen der personenbezogenen Datenverarbeitung. Das heißt: Der Freelancer agiert Deinem Unternehmen gegenüber nicht streng weisungsgebunden und muss daher die DSGVO-Anforderungen bei seiner Tätigkeit selbstständig erfüllen.
Besonders wichtig ist es dabei, dass er seinen Informationspflichten zuverlässig und vollumfänglich nachkommt. Aber auch beispielsweise das Managen von Betroffenenanfragen fällt dann in den Aufgabenbereich der Freelancer. Trotzdem aber solltest Du Dein Unternehmen zusätzlich absichern. So kannst Du entscheidende Punkte wie gerade die Vertraulichkeit und Zweckbindung der Daten vertraglich fixieren.
Schwierige Einordnung: Verschiedene Rechtsgrundlagen sind möglich
Das gilt auch für die Übermittlung personenbezogener Daten durch Dein Unternehmen an den Freelancer. Für eine gesicherte Rechtsgrundlage hinsichtlich Verarbeitung und Übermittlung sorgt hier in vielen Fällen eine schriftliche Vereinbarung zur gemeinsamen Verantwortung (GVV). In einigen Fällen reicht auch ein normaler AV-Vertrag. In einigen Fällen reicht auch ein normaler AV-Vertrag. Zudem gibt es fallspezifische Situationen, bei denen von vorneherein Art. 6 Abs. 1 lit. f DSGVO (hier: berechtigtes Interesse) greift.
Finde jetzt dein nächstes Freelance-Projekt!
Wer ist für den Datenschutz von Freelancern verantwortlich?
Neben der Frage nach der Orts- und Weisungsgebundenheit stellt aus datenschutzrechtlicher Sicht zudem ganz besonders die Verantwortlichkeit einen zentralen Punt dar. Die Verantwortung für eine entsprechende DSGVO–Konformität sollte dabei immer bereits im Vorfeld vertraglich klar geregelt werden. Wie eine diesbezüglich vertragliche Vereinbarung letztendlich aussieht, ist abhängig vom Arbeitseinsatz und von der Arbeitsleistung des freien Mitarbeiters. Insgesamt vier datenschutzrechtliche Konstellationen stehen Dir hier zur Verfügung:
1. Verantwortung liegt alleine beim Unternehmen
Werden die Freelancer aus den zuvor angeführten Gründen wie eigene Mitarbeiter eingestuft, ist Dein Unternehmen für DSGVO-Konformität respektive den Datenschutz alleine verantwortlich. Du behandelst den Freelancer in diesem Fall wie einen klassischen Angestellten. Wie Deine festen Mitarbeiter auch, sollte ein freier Mitarbeiter im Rahmen dieser Konstellation eine entsprechende Datenschutzerklärung unterzeichnen und an regelmäßigen Schulungen oder ähnlichen Features teilnehmen.
2. Verantwortlichkeiten werden bei Auftragsverarbeitern oft über einen AVV geregelt
Nutzen die freien Mitarbeiter dagegen ihr eigenes technisches Equipment und arbeiten sie in eigenen Räumlichkeiten, handelt es sich um Auftragsverarbeiter. In der Regel unterschreiben freie Mitarbeiter dieser Art einen Auftragsverarbeitungsvertrag, in dem die Pflichten rund um den Datenschutz für Freelancer detailliert dokumentiert werden.
Für die Zusammenarbeit mit reinen Auftragsverarbeitern, wie zum Beispiel Druckereien, gilt ein AVV dabei dann auch als bester Lösungsansatz. Aber beauftragst Du lediglich einen einzelnen Freelancer, kann ein AVV oftmals nicht korrekt die Wirklichkeit abbilden. Denn der AVV definiert vom Grundsatz her umfassende Pflichten für den Freelancer.
Manchmal passt das aber überhaupt nicht zur tatsächlichen Arbeitsbeziehung. Das Erfüllen dieser Pflichten ist für Solo-Selbständige bzw. für Ein-Personen-Betriebe kaum umsetzbar. Hinzu kommt: Es kann je nach Fall eine Verantwortung vorliegen, die von einem AV-Vertrag überhaupt nicht erfasst wird. Daher sind teilweise Zusatzvereinbarungen nötig.
3. Gemeinsame Verantwortlichkeit bei jeweils eigener Zweckverfolgung
Werden die Freelancer aus den zuvor angeführten Gründen wie eigene Mitarbeiter eingestuft, ist Dein Unternehmen für DSGVO-Konformität respektive den Datenschutz alleine verantwortlich. Du behandelst den Freelancer in diesem Fall wie einen klassischen Angestellten. Wie Deine festen Mitarbeiter auch, sollte ein freier Mitarbeiter im Rahmen dieser Konstellation eine entsprechende Datenschutzerklärung unterzeichnen und an regelmäßigen Schulungen oder ähnlichen Features teilnehmen.
Seit dem 25. Mai 2018 erlaubt die DSGVO auch eine geteilte bzw. gemeinsame Verantwortlichkeit gegenüber personenbezogenen Daten. Diese Regelung kommt immer dann zum Tragen, wenn Du als Auftraggeber und auch der Freelancer eigene Zwecke im Hinblick auf das personenbezogene Datenmaterial verfolgen.
Ein typisches Beispiel hierfür sind Kundenadressen. Denn diese stellen nicht nur für Dein Unternehmen eine wesentliche Geschäftsbasis dar, sondern können auch von freiberuflichen IT- oder Marketing-Dienstleistern für eigene Zwecke genutzt werden. Ein klassischer AVV reicht hier als Rechtsgrundlage nicht aus.
Stattdessen musst Du in solchen Situationen im Hauptvertrag genau definieren, in welcher Form und zu welchem Zweck der Freelancer die bereitgestellten Daten verwenden darf. Daraus ergibt sich eine gemeinsame Verantwortlichkeit, die sich fallspezifisch individuell anpassen lässt. Dementsprechende vertragliche Vereinbarungen sind auch für mehr als zwei Vertragspartner möglich.
4. Der Freelancer trägt die alleinige Verantwortung
Bestimmt der beauftragte Freelancer seine Arbeitszeiten und seinen Arbeitsort völlig eigenständig, trägt er in der Regel dann auch beim Datenschutz die volle Verantwortung. Dies liegt nicht zuletzt daran, dass Dein Unternehmen bei dieser Konstellation die Einhaltung der datenschutzrechtlichen Vorschriften nicht im ausreichenden Maße kontrollieren kann.
Fazit
Eine Arbeitsbeziehung zwischen Unternehmen und Freelancer kann sich in unterschiedlicher Form darstellen. Das bringt gleichzeitig auch verschiedenartige Anforderungen in Bezug auf die datenschutzrechtlichen Regelungen mit sich.
Dies spiegelt sich vor allem in der Festlegung der Verantwortlichkeit bei der Verarbeitung von personenbezogenen Daten wider. Es gibt zwar ein Schema, das fallspezifische Zuordnungen erlaubt, aber die Grenzen können dabei durchaus verschwimmen.
Denn wenn Du mit einem Freelancer zusammen arbeitest oder ihn gezielt mit der Erledigung verschiedener Aufgaben betraust, entstehen jeweils individuelle Arbeitsbeziehungen. Es gilt also, für die jeweilige Konstellation den exakt passenden Lösungsansatz für Datenschutz und DSGVO-Konformität zu identifizieren und auszuwählen.
Nein. Es liegt nur dann eine reine Auftragsverarbeitung vor, wenn das Unternehmen alleine Mittel und Zwecke der Verarbeitung von Daten mit personenbezogenen Inhalten bestimmt. Zudem muss der Freelancer strikt an die Weisungen des Unternehmens als Auftraggeber gebunden sein.
Diese Frage kann nicht pauschal beantwortet werden. Hier gilt es, fallspezifisch zwischen vier verschiedenen Konstellationen zu unterscheiden:
- Verantwortung liegt alleine beim Unternehmen (Freelancer wird wie ein fester Mitarbeiter behandelt)
- Verantwortung liegt alleine beim Freelancer (Freelancer bestimmt Arbeitszeit und Arbeitsort selbst)
- Verantwortung wird durch einen Auftragsverarbeitungsvertrag geregelt (kommt insbesondere bei reinen Auftragsverarbeitern zum Tragen)
- Verantwortung wird gemeinsam ausgeübt (Lösungsansatz, wenn beide Vertragspartner hinsichtlich der bereitgestellten Daten eigene Zwecke verfolgen)
Sowohl die Unternehmen als auch die Freelancer sind je nach vertraglich vereinbarter Verantwortlichkeit verpflichtet, alle datenschutzrechtlichen Vorschriften zwingend umzusetzen. Kommt es hier zu Verfehlungen, verhängen die Behörden neben zeitlich begrenzten Datenverarbeitungsverboten zusätzlich Geldbußen in stattlicher Höhe. Je nach Vergehen, Unternehmensgröße und Umsatz können mehrere Millionen Euro als Geldbuße anfallen.