München (btn/Gastbeitrag von Maren Wienands, Projektmanagerin bei DataGuard) – Freelancer haben viele Vorteile: Unternehmen müssen keine Sozialabgaben für sie entrichten, sie sind flexibel einsetzbar, oft auf ein bestimmtes Fachgebiet spezialisiert und können auch kurzfristig anfallende Projekte umsetzen. Firmen, die mit freien Mitarbeitern kooperieren, können es jedoch nur selten vermeiden, personenbezogene Daten mit ihnen zu teilen. An dieser Stelle kommt der Datenschutz ins Spiel: Was müssen die Beteiligten hier alles beachten – und wer trägt im Einzelfall die Verantwortung für die Datenverarbeitung?
Freelancer: Definition und Kategorien
Zunächst einmal stellt sich die Frage, wer überhaupt zu den Freelancern zählt. Diese können aus allen möglichen Bereichen stammen: Journalisten, Texter, Berater, Programmierer, Grafiker und so weiter. Wir verstehen in diesem Beitrag unter ihnen Mitarbeiter, die nur einen Teil ihrer Gesamtarbeitszeit in der Firma beschäftigt sind oder für bestimmte Projekte rekrutiert werden. Auf Unternehmensunterlagen erhalten sie fast immer nur eingeschränkten Zugriff. Aus Datenschutzsicht müssen wir dennoch verschiedene Kategorien für sie finden. Wir unterscheiden zwischen freien Mitarbeitern, die wie eigene Mitarbeiter eingestuft werden müssen, als Auftragsverarbeiter fungieren oder gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortung übernehmen. Um den Freelancer in eine dieser drei Kategorien einzuordnen, müssen im Sinne des Datenschutzes zwei Fragen beantwortet werden: Kann der Freelancer eigene Vorteile aus den personenbezogenen Daten ziehen? Und zweitens: Führt er seine Aufträge selbstständig oder nach Anweisung aus? Anders formuliert: Welche Macht hat der freie Mitarbeiter über die Daten des jeweiligen Unternehmens? Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, definiert in der Kooperation seinen datenschutzrechtlichen Status.
Kategorie eins: Freelancer, die wie Festangestellte zu behandeln sind
Wer als freier Mitarbeiter über wenig Gestaltungsspielraum verfügt, häufig in die Firma kommt und die Infrastruktur dort nutzt, sollte wie ein eigener Mitarbeiter eingestuft werden. Dies gilt losgelöst vom arbeitsrechtlichen Status, denn Arbeitsrecht und Datenschutz gelten als zwei Paar Schuhe und sollen hier nicht weiter Beachtung finden. Bei Freelancern dieser Art bleibt das Unternehmen weitgehend Herr der Daten, der Selbstständige gilt weder als Auftragsverarbeiter noch als gemeinsam mit dem Auftraggeber für den Datenschutz verantwortlich. Er sollte wie ein Angestellter behandelt werden, regelmäßige Schulungen erhalten und eine Datenschutzerklärung unterschreiben – wie die feste Belegschaft auch.
Kategorie zwei: Auftragsverarbeiter
Unter Auftragsverarbeitern im Sinne der Datenschutzgrundverordnung (DSGVO) verstehen wir Freelancer, die deutlich unabhängiger arbeiten. Sie nutzen beispielsweise ihr eigenes technisches Equipment in ihren eigenen oder angemieteten Räumen. In der Regel unterschreiben Freelancer dieser Sorte einen Auftragsverarbeitungsvertrag (AVV), doch Vorsicht: Der oder die Datenschutzbeauftragte sollte vor der Unterschrift überprüfen, ob dieser Vertrag auch wirklich zur jeweiligen Arbeitsbeziehung passt. Denn der AVV eignet sich nur bedingt für Soloselbstständige, weil er Pflichten definiert, die Ein-Mann- beziehungsweise Ein-Frau-Unternehmen kaum erfüllen können. Hinzu kommt, dass in manchen Fällen eine Verantwortung vorliegen kann, die dieser Vertag nicht erfasst.
Kategorie drei: gemeinsame Verantwortlichkeit
Die gemeinsame Verantwortlichkeit für personenbezogene Daten zählt zu den Neuheiten der DSGVO, die seit dem 25. Mai 2018 zur Anwendung kommt. Die DSGVO besagt in diesem Zusammenhang, dass sich Freelancer und Auftraggeber die Verantwortung für personenbezogene Daten dann teilen müssen, wenn sowohl der freie Mitarbeiter als auch dessen „Auftraggeber“ (aus dem Blickwinkel des Arbeitsverhältnisses – nicht datenschutzrechtlich) eigene Zwecke verfolgen. Denn Datensätze, die etwa aus einer gemeinsam genutzten Datenbank stammen, können für unterschiedliche Zwecke verwendet werden. Ein Beispiel: Ein freiberuflicher Marketingmitarbeiter könnte die Daten wie Adressdaten eines Kunden für eigene Zwecke verwenden. In diesem Fall reicht ein AVV nicht, hier müssen beide Parteien die gemeinsame Verantwortlichkeit im Hauptvertrag festhalten. Als reiner Auftragsverarbeiter, für den der Abschluss eines AVV reicht, kann hingegen eine Druckerei gelten, die die Daten nach dem Druck eines Rundschreibens wieder löscht. Im Fall des Marketingexperten sollte im Vertag präzise stehen, zu welchen Zwecken bereitgestellte Daten genutzt werden dürfen und zu welchen nicht. Die gemeinsame Verantwortlichkeit ist individuell anpassbar und kann auch für mehr als zwei Vertragsparteien gelten.
Falsche Verträge und ihre Folgen
Fehlerhafte Verträge, in denen der Status des Freelancers nicht festgehalten oder falsch eingeschätzt wird, missachten aus Datenschutzsicht Betroffenenrechte. Es entsteht eine sogenannte Verantwortungsdiffusion, bei der Vorschriften der DSGVO verletzt werden – es ist nicht klar geregelt, wer für die Betroffenenrechte Verantwortung übernimmt. In der Praxis geschieht es häufig, dass zum Beispiel ein AVV unterschrieben wird, obwohl eine Vereinbarung zur gemeinsamen Verantwortung (GVV) zwingend notwendig gewesen wäre. Grundsätzlich gilt: Der Umgang mit personenbezogenen Datensätzen muss stets kritisch hinterfragt werden – auch und gerade bei der Zusammenarbeit mit Freiberuflern. Hier sind Datenminimierung und Datensparsamkeit essenzielle Gebote. Der Datenschutzbeauftrage eines Unternehmens muss den Datenschutzstatus des Freelancers korrekt einschätzen, um einen der Situation angemessenen Vertrag abschließen zu können.
Über die Autorin Maren Wienands, Projektmanagerin bei DataGuard: Als zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) ist Maren Wienands Projektmanagerin bei DataGuard und betreut rund 280 Kunden in puncto internationalem (Konzern-)Datenschutz. Sie kam mit dem Thema in einer Unternehmensberatung in Berührung, wo sie sich mit datenschutzrechtlichen Maßnahmen für die Verarbeitung von Big Data befasste. In ihrem Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erlangen können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus. Heute ist ihr Datenschutz ein besonderes Anliegen. Sie setzt sich dafür ein, die gleichen fairen Bedingungen für Verbraucher und Unternehmen zu schaffen.