Anzeige

Freelancer

Freelancer haben viele Vorteile: Unternehmen müssen keine Sozialabgaben für sie entrichten, sie sind flexibel einsetzbar, oft auf ein bestimmtes Fachgebiet spezialisiert und können auch kurzfristig anfallende Projekte umsetzen. Firmen, die mit freien Mitarbeitern kooperieren, können es jedoch nur selten vermeiden, personenbezogene Daten mit ihnen zu teilen.

An dieser Stelle kommt der Datenschutz ins Spiel: Was müssen die Beteiligten hier alles beachten – und wer trägt im Einzelfall die Verantwortung für die Datenverarbeitung?

Freelancer: Definition und Kategorien

Zunächst einmal stellt sich die Frage, wer überhaupt zu den Freelancern zählt. Diese können aus allen möglichen Bereichen stammen: Journalisten, Texter, Berater, Programmierer, Grafiker und so weiter. Wir verstehen in diesem Beitrag unter ihnen Mitarbeiter, die nur einen Teil ihrer Gesamtarbeitszeit in der Firma beschäftigt sind oder für bestimmte Projekte rekrutiert werden. Auf Unternehmensunterlagen erhalten sie fast immer nur eingeschränkten Zugriff. Aus Datenschutzsicht müssen wir dennoch verschiedene Kategorien für sie finden. Wir unterscheiden zwischen freien Mitarbeitern, die wie eigene Mitarbeiter eingestuft werden müssen, als Auftragsverarbeiter fungieren oder gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortung übernehmen. Um den Freelancer in eine dieser drei Kategorien einzuordnen, müssen im Sinne des Datenschutzes zwei Fragen beantwortet werden: Kann der Freelancer eigene Vorteile aus den personenbezogenen Daten ziehen? Und zweitens: Führt er seine Aufträge selbstständig oder nach Anweisung aus? Anders formuliert: Welche Macht hat der freie Mitarbeiter über die Daten des jeweiligen Unternehmens? Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, definiert in der Kooperation seinen datenschutzrechtlichen Status. 

Kategorie eins: Freelancer, die wie Festangestellte zu behandeln sind

Wer als freier Mitarbeiter über wenig Gestaltungsspielraum verfügt, häufig in die Firma kommt und die Infrastruktur dort nutzt, sollte wie ein eigener Mitarbeiter eingestuft werden. Dies gilt losgelöst vom arbeitsrechtlichen Status, denn Arbeitsrecht und Datenschutz gelten als zwei Paar Schuhe und sollen hier nicht weiter Beachtung finden. Bei Freelancern dieser Art bleibt das Unternehmen weitgehend Herr der Daten, der Selbstständige gilt weder als Auftragsverarbeiter noch als gemeinsam mit dem Auftraggeber für den Datenschutz verantwortlich. Er sollte wie ein Angestellter behandelt werden, regelmäßige Schulungen erhalten und eine Datenschutzerklärung unterschreiben – wie die feste Belegschaft auch.

Kategorie zwei: Auftragsverarbeiter

Unter Auftragsverarbeitern im Sinne der Datenschutzgrundverordnung (DSGVO) verstehen wir Freelancer, die deutlich unabhängiger arbeiten. Sie nutzen beispielsweise ihr eigenes technisches Equipment in ihren eigenen oder angemieteten Räumen. In der Regel unterschreiben Freelancer dieser Sorte einen Auftragsverarbeitungsvertrag (AVV), doch Vorsicht: Der oder die Datenschutzbeauftragte sollte vor der Unterschrift überprüfen, ob dieser Vertrag auch wirklich zur jeweiligen Arbeitsbeziehung passt. Denn der AVV eignet sich nur bedingt für Soloselbstständige, weil er Pflichten definiert, die Ein-Mann- beziehungsweise Ein-Frau-Unternehmen kaum erfüllen können. Hinzu kommt, dass in manchen Fällen eine Verantwortung vorliegen kann, die dieser Vertag nicht erfasst.  

Kategorie drei: gemeinsame Verantwortlichkeit 

Die gemeinsame Verantwortlichkeit für personenbezogene Daten zählt zu den Neuheiten der DSGVO, die seit dem 25. Mai 2018 zur Anwendung kommt. Die DSGVO besagt in diesem Zusammenhang, dass sich Freelancer und Auftraggeber die Verantwortung für personenbezogene Daten dann teilen müssen, wenn sowohl der freie Mitarbeiter als auch dessen „Auftraggeber“ (aus dem Blickwinkel des Arbeitsverhältnisses – nicht datenschutzrechtlich) eigene Zwecke verfolgen. Denn Datensätze, die etwa aus einer gemeinsam genutzten Datenbank stammen, können für unterschiedliche Zwecke verwendet werden. Ein Beispiel: Ein freiberuflicher Marketingmitarbeiter könnte die Daten wie Adressdaten eines Kunden für eigene Zwecke verwenden. In diesem Fall reicht ein AVV nicht, hier müssen beide Parteien die gemeinsame Verantwortlichkeit im Hauptvertrag festhalten. Als reiner Auftragsverarbeiter, für den der Abschluss eines AVV reicht, kann hingegen eine Druckerei gelten, die die Daten nach dem Druck eines Rundschreibens wieder löscht. Im Fall des Marketingexperten sollte im Vertag präzise stehen, zu welchen Zwecken bereitgestellte Daten genutzt werden dürfen und zu welchen nicht. Die gemeinsame Verantwortlichkeit ist individuell anpassbar und kann auch für mehr als zwei Vertragsparteien gelten. 

Falsche Verträge und ihre Folgen

Fehlerhafte Verträge, in denen der Status des Freelancers nicht festgehalten oder falsch eingeschätzt wird, missachten aus Datenschutzsicht Betroffenenrechte. Es entsteht eine sogenannte Verantwortungsdiffusion, bei der Vorschriften der DSGVO verletzt werden – es ist nicht klar geregelt, wer für die Betroffenenrechte Verantwortung übernimmt. In der Praxis geschieht es häufig, dass zum Beispiel ein AVV unterschrieben wird, obwohl eine Vereinbarung zur gemeinsamen Verantwortung (GVV) zwingend notwendig gewesen wäre. Grundsätzlich gilt: Der Umgang mit personenbezogenen Datensätzen muss stets kritisch hinterfragt werden – auch und gerade bei der Zusammenarbeit mit Freiberuflern. Hier sind Datenminimierung und Datensparsamkeit essenzielle Gebote. Der Datenschutzbeauftrage eines Unternehmens muss den Datenschutzstatus des Freelancers korrekt einschätzen, um einen der Situation angemessenen Vertrag abschließen zu können.  

 

Maren Wienands, Projektmanagerin
Maren Wienands
Projektmanagerin, DataGuard
Als zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) ist Maren Wienands Projektmanagerin bei DataGuard und betreut rund 280 Kunden in puncto internationalem (Konzern-)Datenschutz. Sie kam mit dem Thema in einer Unternehmensberatung in Berührung, wo sie sich mit datenschutzrechtlichen Maßnahmen für die Verarbeitung von Big Data befasste. In ihrem Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erlangen können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus. Heute ist ihr Datenschutz ein besonderes Anliegen. Sie setzt sich dafür ein, die gleichen fairen Bedingungen für Verbraucher und Unternehmen zu schaffen.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Datenschutz Schild
Jun 24, 2020

Datenschutzbarometer 2020

Commanders Act, Anbieter der europäischen integrierten Consent-Management- (CMP) und…
Corona Crash
Jun 21, 2020

Jeder Zweite verzeichnet Neukunden - Krisenende erst 2021

Die immer noch kritische Lage unter Freelancern stabilisiert sich und zeigt im Juni…
Freelancer
Jun 11, 2020

Remote-Freelancer als Schlüssel des digitalen Erfolgs für Unternehmen?

Expertenwissen, Flexibilität, Manpower – die Zusammenarbeit mit Freelancern bringt viele…

Weitere Artikel

DSGVO

DSGVO–EU-Kommission zieht Bilanz: KMUs im Nachteil?

Gut zwei Jahre nach Inkrafttreten der DSGVO zieht die EU-Kommission Bilanz. Eine Erkenntnis: Die Compliance für kleine und mittlere Unternehmen stellt sich häufig noch als schwierig dar. So haben KMUs vor allem steigende Kosten im Rahmen von…
Datenschutz Schild

Datenschutzbarometer 2020

Commanders Act, Anbieter der europäischen integrierten Consent-Management- (CMP) und Customer-Data-Plattform (CDP), veröffentlicht sein aktuelles Datenschutzbarometer, das die Performance der von Unternehmen eingeführten Maßnahmen zur Einholung expliziter…
Datensicherheit

5 Tipps zur Datensicherheit mit Augmented-Reality-Lösungen

Die Vorteile der Nutzung von Augmented-Reality-Lösungen liegen auf der Hand. Mitarbeiter*innen können mithilfe von Wearables ihre Arbeit schneller, flexibler und sicherer ausführen, machen nachweislich weniger Fehler und sind bei der Arbeit zufriedener.
Data Breach

Internationaler Report zu Datenverstößen

ForgeRock gibt die Ergebnisse seines Consumer-Identity-Breach-Jahresbericht zu Datenverstößen in Deutschland, USA, Großbritannien und Australien bekannt. Mehr als 7,8 Milliarden US-Datensätze in den letzten zwei Jahren betroffen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!