Der Einsatz von Zeitarbeitskräften und Freelancern stellt Unternehmen vor einige datenschutzrechtliche Herausforderungen. Wie mit den personenbezogenen Daten dieser „Mitarbeiter“ umzugehen ist, wird im Beitrag des Expertenforums Arbeitsrecht detailliert dargestellt. Neben dieser Thematik stellt sich jedoch stets auch die Frage, wie damit umzugehen ist, dass diese Mitarbeiter ganz zwangsläufig auch mit personenbezogenen Daten der Kunden in Kontakt kommen.
Der Inhalt im Überblick
Wie ist das mit der Verarbeitung durch Mitarbeiter eigentlich generell?
Nach Definition des Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmt. Auch wenn einzelne Mitarbeiter bei ihren Tätigkeiten in einem gewissen Rahmen bei der Entscheidung über Mittel und Zwecke der Datenverarbeitung frei sind, bleibt es bei der Verantwortlichkeit des Arbeitgebers. Zum einen wird der grundsätzliche Rahmen durch den Arbeitgeber festgelegt und zum anderen ist in Art. 29 DSGVO festgeschrieben, dass dem Verantwortlichen unterstellte Personen, also auch Mitarbeiter, Datenverarbeitungen ausschließlich auf Weisung verarbeiten dürfen. Zudem hat der Verantwortliche adäquate technische und organisatorische Maßnahmen zu treffen.
Zu empfehlen ist daher Folgendes:
- Stellen Sie den Mitarbeitern eine ausreichend gesicherte IT-Umgebung zur Verfügung.
- Nutzen Sie detaillierte Berechtigungskonzepte.
- Führen Sie interne Richtlinien oder Arbeitsanweisungen für den Umgang mit personenbezogenen Daten ein.
- Verpflichten Sie Ihre Mitarbeiter auf die Vertraulichkeit.
- Lassen Sie Ihre Mitarbeiter regelmäßig durch den Datenschutzbeauftragten schulen.
Auftragsverarbeiter oder Mitarbeiter?
Im Anschluss stellt sich also direkt die Frage, ob eine Zeitarbeitskraft oder ein Freelancer eher wie Mitarbeiter oder wie ein Auftragsverarbeiter zu betrachten ist. Nach der Definition des Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“
Zunächst lässt sich also feststellen, dass auch natürliche Personen Auftragsverarbeiter sein können. Es kommt demnach darauf an, ob man die Zeitarbeitskraft oder den Freelancer dem Verantwortlichen zuordnet oder eben nicht. Während bei Leiharbeitnehmern schon nach dem alten BDSG vertreten wurde, dass diese eher dem Verantwortlichen zuzuordnen seien, herrschte bei Freelancern große Uneinigkeit. Unseres Erachtens dürfte sich dieser Streit nach der DSGVO weitgehend erledigt haben. Aus Art. 29 DSGVO, der dem Verantwortlichen unterstellte Personen explizit neben dem Auftragsverarbeiter nennt lässt sich ableiten, dass ein weiterer Personenkreis bedacht wurde.
Für die Entscheidung im Einzelfall dürfte also entscheidend sein, ob der Freelancer eher wie ein eigener Mitarbeiter in den Geschäftsablauf eingebunden wird oder ob er eher wie klassischer Dienstleister eingesetzt wird. Umso mehr die Tätigkeit des Freelancers der eines eigenen Mitarbeiters im datenschutzrechtlichen Sinne ähnelt, desto weniger wird man von einem Auftragsverarbeitungsverhältnis ausgehen können. Auch bei möglichen Überschneidungen führt diese Ausgestaltung nicht zwangsläufig zu einer anderen sozialversicherungs-, arbeits- oder steuerrechtlichen Bewertung der Freelancer Tätigkeit. Diese Prüfung sollte getrennt durch einen entsprechend kundigen Rechtsanwalt oder die eigene Rechtsabteilung erfolgen.
Was ist dennoch zu beachten?
Auch wenn der Freelancer kein Auftragsverabeiter ist, so soll dieser die personenbezogenen Daten nur nach Weisung des Verantwortlichen verarbeiten dürfen. Um diese Weisungsbefugnis abzusichern, sollte unbedingt auch mit Freelancern eine datenschutzrechtliche Vereinbarung geschlossen werden, die inhaltlich aber nicht so weit gehen muss wie ein Auftragsverarbeitungsvertrag.
Liegt keine Auftragsverarbeitung vor, hat der Verantwortliche eigenständig für adäquate technische und organisatorische Maßnahmen zu sorgen. Bei Zeitarbeitern und Freelancern sollte daher ebenso sichergestellt werden, dass diese ausschließlich auf der IT Umgebung des Verantwortlichen mit personenbezogenen Daten arbeiten und sich in gleichem Maße an die internen Richtlinien zum Datenschutz halten müssen. Arbeitet der Freelancer mit eigenen Clients, sollte zumindest sichergestellt werden, dass der Freelancer stets aktuelle Virenscanner und Firewalls einsetzt und möglichst nur über einen gesicherten VPN Zugang auf dem System des Verantwortlichen arbeitet.
Sicherheitshalber einen Auftragsverarbeitungsvertrag mit jedem Freelancer abzuschließen wird in der Praxis kaum umsetzbar sind, da ein Großteil der Freelancer bereits daran scheitern wird, ausreichende technische und organisatorische Maßnahmen vorzuhalten.
„Für die Entscheidung im Einzelfall dürfte also entscheidend sein, ob der „Freelancer eher wie ein eigener Mitarbeiter in den Geschäftsablauf eingebunden wird oder ob er eher wie klassischer Dienstleister eingesetzt wird. Umso mehr die Tätigkeit des Freelancers der eines eigenen Mitarbeiters ähnelt, desto weniger wird man von einem Auftragsverarbeitungsverhältnis ausgehen können.“ Mit dieser Argumentation ist es zwingend ratsam, den Freelancer zum Auftragsverarbeiter zu machen. Ein Freelancer der in die Geschäftsabläufe eingebunden ist und einem Mitarbeiter ähnelt ist in Wahrheit ein Mitarbeiter, mithin ein Scheinselbstständiger. Der Auftraggeber bzw. der Geschäftsführer macht sich strafbar nach § 266a StGB.
Der Artikel war an dieser Stelle leider etwas missverständlich. Wir haben kleine, klarstellende Änderungen vorgenommen. Sofern im Artikel davon gesprochen wird, dass die Tätigkeit des Freelancers der eines eigenen Mitarbeiters ähnelt, betrifft dies nur die Verarbeitung personenbezogener Daten. Die übrige Gestaltung der Tätigkeit kann ganz anders ausgestaltet werden, was dann bei einer sozialversicherungs-, arbeits- und steuerrechtlichen Begutachtung berücksichtigen finden wird. Die Weisung und auch die Eingliederung in das Unternehmen des Verantwortlichen sind dabei auch nur zwei von mehreren Voraussetzungen, die zu einer Stellung als Arbeitnehmer führen. Eine detaillierte Stellungnahme zu diesen Rechtsgebieten kann auf diesem datenschutzrechtlichen Blog leider nicht erfolgen. Der Abschluss eines Auftragsverarbeitungsvertrag mit jedem Freelancer wird in der Praxis bereits daran scheitern, dass nur die wenigsten Freelancer ausreichende technische und organisatorische Maßnahmen vorhalten werden können. Daher sei nochmals auf die Empfehlung hinzuweisen, dem Freelancer eine, durch den Verantwortlichen kontrollierte, IT Infrastruktur zur Verfügung zu stellen und deren Nutzung vertraglich vorzugeben.
Als freier Fotograf erhalte ich von Veranstaltern ggfls. eine Akkreditierung. Diese stellt eine Genehmigung zur Fertigung von Fotos etc. dar. Ein direkter Zugang zu Daten existiert durch E-Mails, die weitere Links zu angehefteten Informationen beinhalten. Betreffend den Künstler, werden Infos und ggfls. Promo-Foto für Promotion zur Verfügung gestellt. Der sorgsame Umgang mit diesen Daten ist selbstverständlich. Unbegrenzter Zugang zu IT-Geräten der Veranstalter besteht in keiner Weise. Ob man dies als Auftrag bezeichnen kann, wage ich zu bezweifeln. Eine Entschädigung (finanzieller Art) ist hier nicht enthalten. Anders natürlich wenn der Veranstalter selbst einen Auftrag erteilt! Dann ist er auch für die Weiterverarbeitung des Materials mit Verantwortlich. Der Status der Verbindung ist massgeblich.
An Ihrem Beispiel lässt sich gut erkennen, dass eine Einzelfallentscheidung getroffen werden muss. Werden Sie als freier Fotograf lediglich auf einer Veranstaltung zugelassen, wird man kaum von einem Auftragsverarbeitungsverhältnis ausgehen können. Sie legen die Mittel und Zwecke der Verarbeitung selbst fest und befinden sich wenn überhaupt nur in sehr geringem Maße den Weisungen des Veranstalters unterworfen. Sie wären in diesem Fall für Fotoaufnahmen von Personen selbst Verantwortlicher. Inwiefern dabei eine Rechtsgrundlage für das Anfertigen der Aufnahmen und die Weitergabe an den Veranstalter gegeben ist und/oder wie die Betroffenen informiert werden müssen, würde den Rahmen der Blog Kommentare sprengen. Eine gute Übersicht bietet eine Stellungnahme des LDA Brandenburg:
https://www.lda.brandenburg.de/media_fast/4055/DSGVOFotografienfinal.pdf