Datenschutz beim Einsatz von Freelancern im Unternehmen

Um den Bedarf an Personal im Unternehmen zu decken oder spezielle Expertise für einzelne Projekte einzusetzen, greifen immer mehr Unternehmen auf Freelancer zurück. Sei es für ein Tagesprojekt oder eine längerfristige Tätigkeit, bei der der Freiberufler ins Team integriert wird. In den häufigsten Fällen haben diese Selbstständigen auch Zugriff auf personenbezogenen Daten im Unternehmen, etwa wenn sie eine Online-Marketing-Kampagne planen oder sogar in der Personalabteilung eingesetzt werden.

Dieser Artikel zeigt auf, welche datenschutzrechtlichen Konstellationen bei dem Einsatz eines Freelancers möglich sind und welche vertraglichen Regelungen zu treffen sind.

Konstellationen beim Einsatz von Freiberuflern

Wie ein Freelancer datenschutzrechtlich zu behandeln ist, hängt wesentlich von den Faktoren ab, ob er seine Aufträge nach Anordnung des Unternehmens ausführt und wie er in das Unternehmen integriert ist. Es hängt auch davon ab, ob der freie Mitarbeiter die Hardware vom Auftraggeber erhält und ob er zu festen Arbeitszeiten im Unternehmen anwesend ist und mit dem Team vor Ort die Arbeit ausführt.

Achtung: Im Folgenden betrachten wir die datenschutzrechtlichen Aspekte. Arbeitsrechtliche Fragestellungen, wie etwa die Problematik der Einstufung als Scheinselbständiger, sind gesondert zu bewerten.

Werden Freelancer im Unternehmen eingesetzt, kann zwischen folgenden Konstellationen unterschieden werden:

  • Freelancer wie ein eigener Mitarbeiter
  • Freelancer als Auftragsverarbeiter
  • Freelancer als eigener Verantwortlicher oder gemeinsamer Verantwortlicher.

Der Freelancer kann folglich als externer Selbständiger, als externer Dienstleister oder als Mitarbeiter des Verantwortlichen eingestuft werden.

Freelancer wie ein eigener Mitarbeiter

Arbeitet der Freelancer in den Geschäftsräumen des Unternehmens, mit der Hardware des Arbeitgebers und zu festen Arbeitszeiten, wird der Freelancer datenschutzrechtlich wie ein eigener Mitarbeiter einzustufen sein. In diesem Fall greift die Regelung aus Art. 29 Datenschutz-Grundverordnung (DSGVO): Der Freelancer gilt als dem Verantwortlichen unterstellte Person, welche personenbezogene Daten nur auf Weisung des Unternehmens verarbeiten darf. Der Abschluss eines Vertrages zur Auftragsverarbeitung ist in dieser Konstellation nicht erforderlich. Es ist jedoch darauf zu achten, dass mit dem Freelancer eine Verpflichtung zur Vertraulichkeit abgeschlossen wurde.

Insbesondere in diesem Fall ist die arbeitsrechtliche Problematik einer möglichen Scheinselbständigkeit zu beachten.

Freelancer als Auftragsverarbeiter

Arbeitet der Freelancer nicht unter Aufsicht, kann er also den Arbeitsort und die -zeit frei wählen und übernimmt er festgelegte Aufgaben nach Weisung auf seiner eigenen Hardware, gegebenenfalls auch mit Zugang zu den Systemen des Unternehmens, wird der Freelancer als Auftragsverarbeiter tätig. Als relevantes Bespiel kann die Wartungs- und Supporttätigkeit genannt werden, bei der der Freelancer unter Weisung ein vorab definiertes Ergebnis herzustellen hat (z.B. die Funktionsfähigkeit einer Software).

Wird der Freelancer als Auftragsverarbeiter tätig, ist der Abschluss eines Vertrages zur Auftragsverarbeitung gemäß Art. 28 DSGVO erforderlich. Der Abschluss einer solchen Vereinbarung kann Freelancer vor große Herausforderungen stellen. Der Freelancer hat technische und organisatorische Maßnahmen auszuarbeiten und dem Auftraggeber zur Verfügung zu stellen. Auch hat der Auftraggeber umfassende Kontrollrechte gegenüber dem Freelancer, die sogar soweit gehen können, dass der Auftraggeber die privaten Räumlichkeiten des Freelancers überprüfen kann, sofern dieser von dort arbeitet. Auch für das Unternehmen können sich Herausforderungen ergeben, da der Freelancer als Unterauftragnehmer zu nennen ist, sofern das Unternehmen selber als Auftragsverarbeiter tätig ist. Bei einem erstmaligen Einsatz oder Wechsel des Freelancers ist die Zustimmung aller Auftraggeber einzuholen, mit deren personenbezogenen Daten der Freelancer in Berührung kommt.

Freelancer als eigener Verantwortlicher oder gemeinsamer Verantwortlicher

Bestimmt der Freelancer den Arbeitsort und die -zeit selbständig und steht er nur bei Bedarf im Kontakt mit dem Unternehmen und legt somit die Zwecke und Mittel der Verarbeitung eigenständig fest, spricht vieles für eine eigene Verantwortlichkeit des Freelancers.

Der Freelancer hat die datenschutzrechtlichen Bestimmungen, wie etwa die Informationspflichten, die Umsetzung der Betroffenenrechte oder auch die Datensicherheit selbständig einzuhalten. Als Rechtsgrundlage für die Datenübermittlung an den Freelancer könnte Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen. Eine Interessensabwägung ist für den Einzelfall vorzunehmen.

Ebenfalls denkbar ist eine gemeinsame Verantwortlichkeit, bei der das Unternehmen und der Freelancer gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden. Dies wäre der Fall, wenn der Freelancer die Kundendaten des Unternehmens auch für eigene Zwecke nutzt. In diesem Fall ist ein Vertrag zur gemeinsamen Verantwortlichkeit abzuschließen, in dem festgelegt wird, wer für welche datenschutzrechtlichen Pflichten zuständig ist.

Fazit: Auf das Wie kommt es an

Wenn Sie als Unternehmen Freelancer einsetzen wollen, sollten Sie zunächst prüfen, wie Sie den freien Mitarbeiter in Ihrer Organisation integrieren wollen. Für die datenschutzrechtliche Einordnung ist entscheidend, von wo der Freelancer seine Tätigkeit ausübt, und unter welcher Weisungsgebundenheit und Kontrolle er steht.

Beachten Sie auch, dass sich die Rolle eingesetzter Freiberufler im Laufe des Auftrags oder bei neuen Projekten maßgeblich ändern kann. Ggfs. müssen Sie den Freelancer dann auch datenschutzrechtlich anders betrachten. Ziehen Sie im Zweifelsfall Ihren Datenschutzbeauftragten hinzu!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.