Zum Inhalt springen Zur Navigation springen
Freelancer und ihre datenschutzrechtliche Verantwortung

Freelancer und ihre datenschutzrechtliche Verantwortung

Artikel von Miriam Fischer·31. Januar 2024

Freelancer, Freie Mitarbeiter oder Freiberufler bieten Unternehmen die Möglichkeit durch die Heranziehung von Dritten Fachexpertise zu erlangen ohne eigene Mitarbeiter anstellen zu müssen. Dabei kommen sie oft zwangsläufig in Kontakt mit personenbezogenen Daten der Kunden des Unternehmens. Aber welche Stellung nehmen sie aus datenschutzrechtlicher Sicht ein und wie bewältigt man das Problem der Scheinselbstständigkeit?

Freelancer sind unterschiedlich einsetzbar

Freelancer, freie Mitarbeiter oder Freiberufler (im Folgenden: Freelancer) können auf unterschiedlichste Weise in den Workflow eines Unternehmens eingegliedert werden. Dementsprechend kann ihnen keine eindeutige Rolle in Bezug auf die Verantwortlichkeit der Verarbeitung personenbezogener Daten zugeordnet werden. In Betracht kommen neben einer eigenen Verantwortlichkeit gem. Art. 24 DSGVO und einer gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO mit einem anderen Unternehmer, eine Auftragsverarbeitung nach Art. 28 DSGVO sowie eine Verarbeitung unter der Aufsicht des Verantwortlichen als dem Verantwortlichen unterstellte Person gem. Art. 29 DSGVO.

Insoweit ist anhand des konkreten Einzelfalls herauszuarbeiten, welche Stellung in dem jeweiligen Verhältnis am besten passt.

Weisungsgebundenheit als maßgebliches Abgrenzungskriterium

Als maßgebliches Abgrenzungskriterium ist dabei auf die Weisungsgebundenheit und Eigenverantwortlichkeit des Freelancers abzustellen. Je weisungsabhängiger ein Freelancer von dem Verantwortlichen ist, desto eher ist er dem Unternehmen als Auftragsverarbeiter oder als Untergeordneter im Sinne des Art. 29 DSGVO zuzuordnen. Je mehr eigene Befugnisse und Handlungsfreiheit er hat, desto eher ist er eigener Verantwortlicher nach Art. 24 DSGVO.

Für eine hohe Weisungsgebundenheit spricht die starke Eingliederung des Freelancers in den Workflow des Unternehmens, vergleichbar einem Arbeitnehmer. Anhaltspunkt dafür sind zunächst die tatsächlichen Umstände. Darüber hinaus kann der Inhalt eines abgeschlossenen Vertrags Indizwirkung entfalten und zur Klarstellung der Aufgaben und Stellung des Freelancers beitragen.

Der Freelancer als eigener Verantwortlicher

Sofern der Freelancer eigenständig festlegt für welche Zwecke und mit welchen Mitteln er die Daten verarbeitet, ist er im Verhältnis zu seinem Auftraggeber als Dritter gem. Art. 4 Nr. 10 DSGVO und als eigener Verantwortlicher im Sinne von Art. 24 DSGVO anzusehen. Diese eigenständige Entscheidungsbefugnis übersteigt etwaige Weisungen des Auftraggebers. In Betracht kommt hier auch eine gemeinsame Verantwortlichkeit mit dem Auftraggeber gem. Art. 26 DSGVO, sofern beide Parteien die Zwecke und Mittel der Verarbeitung gemeinsam festlegen. Die gemeinsamen Verantwortlichen müssen sodann vertraglich vereinbaren, wie die Verpflichtungen der DSGVO untereinander verteilt werden.

Die Möglichkeit der Auftragsverarbeitung

Wenn die Freelancer jedoch Weisungen unterliegen, ist eine Abgrenzung zwischen dem Verantwortlichen unterstelle Personen nach Art. 29 DSGVO und Auftragsverarbeitern nach Art. 28 DSGVO vorzunehmen. Dies gestaltet sich in der Praxis meist schwieriger.

Bestimmt der Freelancer selbst über Arbeitszeit und Arbeitsort und/oder benutzt eigene Soft- und Hardware als eigenständiger Dienstleister/Werkunternehmer, agiert jedoch weiterhin streng weisungsgebunden gegenüber dem Verantwortlichen, deutet dies auf eine Auftragsverarbeitung nach Art. 28 DSGVO hin. Der Auftragsverarbeiter handelt insofern als verlängerter Arm des Verantwortlichen, hat jedoch grundsätzlich Freiheiten über die technische und organisatorische Gestaltung seiner Leistung. Voraussetzung hierfür ist jedoch darüber hinaus, dass die Verarbeitung personenbezogener Daten Kern der Hauptleitung und nicht nur Nebenprodukt der Tätigkeit ist. Sodann bedarf es eines Auftragsverarbeitungsvertrags (AVV).

Die Stellung als Auftragsverarbeiter entlastet die Freelancer zwar von den Aufgaben eines Verantwortlichen, allerdings schafft sie andere Pflichten, wie etwa der Ergreifung von technischen und organisatorischen Maßnahmen zur Datensicherheit.

Art. 29 DSGVO – nur bei enger Eingliederung in das Unternehmen

Darüber hinaus bietet Art. 29 DSGVO eine weitere Möglichkeit. Sofern der Freelancer den Weisungen des Auftraggebers derart unterliegen, dass er faktisch mit einem Mitarbeiter in dem Unternehmen vergleichbar ist, kann er als eine dem Verantwortlichen unterstellte Person gelten. Anhaltspunkte, die dafür sprechen sind:

  • Vergleichbarkeit mit Arbeitnehmern im Unternehmen bzgl. Stellung, Aufgaben und Befugnissen
  • Keine eigene Hard-/Software
  • Eingliederung in den betrieblichen Ablauf
  • Arbeit aus den Räumlichkeiten des Verantwortlichen
  • Eigener Mitarbeiterausweis
  • Vorgegebene Arbeitszeit
  • Eingliederung in Zeiterfassungssysteme des Verantwortlichen
  • Ablieferung regelmäßiger Reports über den Stand des Projekts
  • wenig eigene Gestaltungsfreiheit in der Ausführung der zugewiesenen Aufgaben

Die Datenverarbeitung durch den Freelancer ist dem Verantwortlichen zuzurechnen. Um das Weisungsrecht rechtlich abzusichern, sollte dieses vertraglich vereinbart werden. Darüber hinaus sind die Freelancer auch zur Vertraulichkeit zu verpflichten und müssen entsprechend belehrt werden.

Das Risiko der Scheinselbstständigkeit

Bei einer derart engen Eingliederung in das Unternehmens drängt sich die Frage auf, ob der Freelancer überhaupt noch als selbstständig einzuordnen ist, und ob ein Fall der Scheinselbstständigkeit vorliegt. Eine solche kann für den Freelancer und das Unternehmen verheerende arbeits-, sozial-, steuer- und sogar strafrechtliche Konsequenzen haben. Eine Scheinselbstständigkeit wird angenommen, wenn ein Auftragnehmer formal als Selbstständiger aufgrund eines Dienst- oder Werkvertrags Leistungen für ein anderes Unternehmen erbringt, tatsächlich jedoch abhängig, also sozialversicherungspflichtig beschäftigt ist. Die Prüfung ob eine selbstständige oder abhängige Beschäftigung vorliegt ist anhand einer Gesamtschau der Umstände vorzunehmen und denkbar komplex. Neben der oben genannten Weisungsgebundenheit und starken Integration des Freelancers in den Workflow des Unternehmens, muss deren sozial- und steuerrechtliche Stellung berücksichtigt werden. Darauf kann jedoch hier nicht vertieft eingegangen werden.

Daneben ist zu beachten, ob der Mitarbeiter einem Wettbewerbs- und Nebentätigkeitsverbot unterliegt und ob er ggf. auch noch für andere Auftraggeber tätig ist, inwiefern der Mitarbeiter eigenes Kapital einsetzt und ob es möglich ist Dritte für die Leistungserbringung einzusetzen.

Die Einordnung von Freelancern aus datenschutzrechtlicher Sicht muss somit von der Frage, ob eine selbstständige Tätigkeit vorliegt unterschieden werden. Es stehen sich unterschiedliche Schutzgüter gegenüber, die differenziert betrachtet werden müssen. Zwar überschneiden sich die Bereiche in diesem Teil weitestgehend, dennoch ist eine Einordnung eines Freelancers unter Art. 29 DSGVO ohne gleichermaßen scheinselbständig zu sein möglich. In der Praxis bedarf es demnach einer genauen Betrachtung des Einzelfalls. Bei Vertragsverhandlungen sollte dieses Problem, sofern relevant berücksichtigt und besprochen werden.

Durch Umsicht werden Fehler vermieden

Durch die unterschiedlichen Grade an Weisungsgebundenheit kann ein Freelancer viele ,,Rollen‘‘ im Bereich Datenschutz einnehmen. Jeder Einzelfall ist anders und sollte gesondert betrachtet werden. Besonderes Augenmerk sollte auf die Abgrenzung zwischen Auftragsverarbeitung und Verarbeitung unter der Aufsicht des Verantwortlichen nach Art. 29 DSGVO gelegt werden. Die Anwendung des Art. 29 DSGVO darf nicht dazu missbraucht werden, den Abschluss von grundsätzlich anspruchsvolleren Auftragsverarbeitungsverträgen nach Art. 28 DSGVO zu umgehen. Sofern eindeutige Indizien für eine Auftragsverarbeitung vorliegen, sollte ein solcher Vertrag abgeschlossen werden.

Auftraggeber und Freelancer sollten sich nicht nur unter dem Gesichtspunkt der möglichen Folgen einer Scheinselbstständigkeit regelmäßig hinsichtlich ihrer Rollen kontrollieren. Bei einer fehlerhaften Einordnung können Sanktionen durch die Datenschutzaufsichtsbehörde erfolgen. In jedem Fall sind genaue und präzise vertragliche Vereinbarungen sinnvoll, welche ein etwaiges Weisungsrecht im Detail abbilden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.