Die Beliebtheit von Freelancern wächst und der Einsatz ist längst keine Seltenheit mehr. Ob Start-Ups, Großkonzerne oder Agenturen, die Vorteile von Freelancern werden in sämtlichen Branchen und Unternehmensgrößen genutzt. Freelancer (deutsch: freie Mitarbeiter) sind selbstständige Arbeitskräfte, die Aufträge im Rahmen eines Dienst- oder Werkvertrags für einen Auftraggeber ausführen. In der Regel haben Freelancer keine Angestellten und bearbeiten ihre Aufträge persönlich. Unternehmen können sich durch Freelancer vorübergehende Unterstützung suchen und so deren Know-How nutzen. Zeit und Kosten zur Einarbeitung eines neuen Mitarbeiters werden hierbei eingespart. Immer mehr Unternehmen stellen sich im Zuge des Aufbaus einer Datenschutz-Organisation die Frage, wie die Stellung von Freelancern datenschutzrechtlich zu bewerten ist, da Freelancer häufig auch Zugriff auf personenbezogene Daten des Auftraggebers haben.
1. Datenschutzrechtliche Einordnung
Unstrittig ist, dass bei dem Einsatz von Freelancern, die Zugriff auf personenbezogene Daten des Unternehmens haben, eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung (DSGVO) stattfindet. Fraglich ist jedoch, wer für die Verarbeitung der Daten verantwortlich ist, insbesondere welche Rolle der Freelancer hierbei einnimmt. Der Freelancer kann als Auftragsverarbeiter (hierzu a.), als Mitarbeiter des Unternehmens (hierzu b.), als Verantwortlicher (hierzu c.) oder als mit dem Unternehmen gemeinsam Verantwortlicher (hierzu d.) eingestuft werden.
1.1. Der Freelancer als Auftragsverarbeiter
Wenn ein Freelancer im Auftrag des Unternehmens personenbezogene Daten verarbeitet, hierbei an Weisungen des Unternehmens gebunden ist und sich nicht in den Räumlichkeiten des Unternehmens befindet, spricht viel dafür, dass der Freelancer Auftragsverarbeiter im Sinne des Art. 28 DSGVO ist. Dies führt zu der Notwendigkeit, einen Vertrag über die Auftragsverarbeitung (AV-Vertrag) abzuschließen. In der Praxis ergeben sich dabei häufig Problemen, der Freelancer ist nämlich durch den AV-Vertrag z.B. verpflichtet ist ein Konzept zum technischen und organisatorischen Datenschutz (TOM-Konzept) vorzulegen, welches das Unternehmen als Auftraggeber regelmäßig zu kontrollieren hat. Dies kann bis zur Überprüfung der privaten Räumlichkeiten des Freelancers führen. In der Regel haben Freelancer jedoch kein TOM-Konzept oder datenschutzrechtliche Dokumentation, um die Anforderungen eines sorgfältigen Auftraggebers zu erfüllen. Auch für das Unternehmen kann die Einstufung des Freelances als Auftragsverarbeiter und der Abschluss eines AV-Vertrags mit Problemen verbunden sein. Wird der Freelancer etwa bei einem Kundenprojekt eingesetzt, so müsste er als Unterauftragnehmer aufgeführt und ggf. von dem Kunden „genehmigt“ werden. Dies gestaltet den Einsatz von Freelancern sehr kompliziert.
1.2. Der Freelancer als „Mitarbeiter“ des Unternehmens
Arbeitet der Freelancer in den Räumlichkeiten des Unternehmens zu festgelegten Arbeitszeiten, an einem vom Unternehmen zur Verfügung gestellten Arbeitsplatz ist dieser vergleichbar mit eigenen Mitarbeitern des Unternehmens. Die Übergänge zwischen der Einstufung als „vergleichbar mit eigenen Mitarbeitern“ und Auftragsverarbeiter sind hierbei fließend, sodass eine Einstufung nicht immer klar vorgenommen werden kann. Ein VPN-Zugang des Freelancers kann bereits dazu führen, dass das Maß an Eigenverantwortlichkeit des Freelancers verringert und dieser in die Unternehmensstruktur des Unternehmens einbezogen wird. Der Freelancer kann somit vergleichbar mit eigenen Mitarbeitern behandelt werden. Die Verantwortlichkeit für die personenbezogenen Daten verbleibt in diesem Fall bei dem Unternehmen. Die Anforderungen einer Auftragsverarbeitung müssen in diesem Fall nicht erfüllt werden. Der Freelancer sollte jedoch, wie reguläre Mitarbeiter, auf die Vertraulichkeit verpflichtet sein und sämtliche interne Richtlinien zum Datenschutz und zur Datensicherheit einhalten. Bei dieser Gestaltung werden datenschutzrechtliche Probleme elegant „umschifft“, es könne sich jedoch arbeitsrechtliche Herausforderungen ergeben, wie die Vermeidung von Scheinselbstständigkeit. Dies soll hier jedoch nicht weiter vertieft werden.
1.3. Der Freelancer als Verantwortlicher
Als Verantwortlicher im Sinne der DSGVO gelten Freelancer, wenn sie die Mittel und Zwecke der Verarbeitung personenbezogener Daten selbst bestimmten. Dies ist etwa anzunehmen, wenn der Freelancer Arbeitszeit und -ort sowie die eingesetzten Systeme zur Verarbeitung der personenbezogenen Daten selbst festlegt. In diesem Fall müssen Freelancer sämtliche Pflichten und Anforderungen der DSGVO an die Datenverarbeitung erfüllen. Dazu gehört auch die Beachtung der Rechte der betroffenen Personen, wie z.B. die umfangreichen Informationspflichten. Für das Unternehmen hat dies Einordnung/Gestaltung Vorteile, da weder Anforderungen an die Auftragsverarbeitung noch die Einbindung in die Datenschutz-Organisation wie bei eigenen Arbeitnehmern erforderlich ist.
1.4. Gemeinsame Verantwortlichkeit
Entscheiden der Freelancer und das Unternehmen gemeinsam über die Mittel und Zwecke der Verarbeitung, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor. Eine gemeinsame Verantwortlichkeit besteht immer, wenn die Datenverarbeitung ohne die Beteiligung und Mitwirkung des jeweils anderen Verantwortlichen mit großer Wahrscheinlichkeit anders gestalte worden wäre. Bei der gemeinsamen Verantwortlichkeit muss zwischen beiden Verantwortlichen ein Vertrag geschlossen werden, der die Zuständigkeiten, insbesondere für die Erfüllung der Rechte der betroffenen Personen, regelt und klar den Parteien zuordnet.
2. Checklisten
Die folgenden Checklisten sollen bei der datenschutzrechtlichen Einordnung der Freelancer helfen:
2.1. Ist der Freelancer ein Auftragsverarbeiter?
Der Freelancer ist wahrscheinlich ein Auftragsverarbeiter, wenn
• er weisungsgebunden gegenüber dem Unternehmen ist,
• das Unternehmen über die Mittel und Zwecke der Datenverarbeitung entscheidet,
• die Verarbeitung personenbezogener Daten die Hauptleistung des Freelancers ist und diese nicht nur beiläufig eingesehen werden können.
2.2. Ist der Freelancer vergleichbar mit eigenen Mitarbeitern des Unternehmens?
Der Freelancer ist vergleichbar mit eigenen Mitarbeitern des Unternehmens, wenn
• er in den Räumlichkeiten des Unternehmens arbeitet,
• er an einem vom Unternehmen zur Verfügung gestellten Arbeitsplatz arbeitet,
• er an feste Arbeitszeiten und den Arbeitsort gebunden ist,
• er wenigstens über z.B. eine VPN-Verbindung auf den Servern des Unternehmens arbeitet und dabei keine personenbezogenen Daten lokal auf eigener Hardware speichert.
2.3. Ist der Freelancer Verantwortlicher?
Der Freelancer ist Verantwortlicher, wenn
• er selbst über die Mittel und Zwecke der Datenverarbeitung bestimmt,
• er über Arbeitszeit und -ort entscheidet,
• er über die zur Datenverarbeitung eingesetzten Systeme bestimmt,
• er personenbezogene Daten auf eigener Hardware speichert.
2.4. Ist der Freelancer ein gemeinsamer Verantwortlicher?
Der Freelancer ist mit dem Unternehmen gemeinsam verantwortliche, wenn
• das Unternehmen und der Freelancer gemeinsam über die Mittel und Zwecke der Datenverarbeitung bestimmen,
• der Freelancer demnach nicht weisungsgebunden gegenüber dem Unternehmen ist,
• er selbst über Arbeitszeit und -ort bestimmen kann.
3. Fazit
Die datenschutzrechtliche Einordnung der Freelancer steht in direktem Zusammenhang mit dem Maß an Eigenverantwortlichkeit, mit der der Freelancer seinen Auftrag erfüllt. Eine klare Abgrenzung kann schwierig sein. Ist der Freelancer an einem vom Unternehmen vorgegebenen Arbeitsplatz gebunden und erhält konkrete Weisungen zur Datenverarbeitung, kann dieser in der Regel als arbeitnehmerähnlich eingestuft werden. Ist der Freelancer zwar weisungsgebunden gegenüber dem Verantwortlichen, kann aber selbst über z.B. Arbeitszeit und -ort entscheiden, deutet dies auf eine Auftragsverarbeitung hin. Legt der Freelancer die Mittel und Zwecke der Datenverarbeitung selbst fest, steigert sich das Maß an Eigenverantwortlichkeit und der Freelancer wird selbst zum Verantwortlichen. In bestimmten Fällen kann eine gemeinsame Verantwortlichkeit des Freelancers und des Unternehmens vorliegen. Freelancer und Unternehmen legen dann die Mittel und Zwecke der Datenverarbeitung gemeinsam fest.