Flexibel, kompetent und verantwortungsbewusst – Der Einsatz freier Mitarbeiter erfreut sich zunehmender Beliebtheit. Dabei sind beim Engagement freier Mitarbeiter jedoch nicht nur arbeitsrechtliche Fragen zu klären, denn im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) ergeben sich zusätzliche datenschutzrechtliche Anforderungen. Wir gehen nachfolgend auf die datenschutzrechtlich relevanten Fälle und ihre Bedeutung für die Praxis ein und zeigen Parallelen zur Arbeitnehmerüberlassung auf.
1. Einleitung
Freie Mitarbeiter, Freischaffende oder auch Freelancer genannt, sind in der Regel unabhängige Personen, die aufgrund eines Dienst- oder Werkvertrages eine Arbeitsleistung erbringen und dabei nicht in einem Arbeits- oder Leiharbeitsverhältnisses beschäftigt sind. Sie sind selbstständig und unternehmerisch tätig und unterliegen nicht der Direktionsbefugnis eines Arbeitgebers.
Verarbeitet ein Freelancer personenbezogene Daten, so stellt sich die Frage, ob dieser wie ein eigener Mitarbeiter des Unternehmens, ein Auftragsverarbeiter i.S.v. von Art. 4 Nr. 8 DSGVO oder wie ein Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO zu behandeln ist. Diese Differenzierung kann in den individuellen Konstellationen schwierig sein. Eine pauschale Zuordnung in die aufgezeigten Bereiche ist nicht möglich, da die Übergänge zu den unterschiedlichen Eingruppierungen fließend sein können.
2. Freelancer als „eigene“ Mitarbeiter
Liegen hinreichende Indizien dafür vor, dass der eigentlich freie Mitarbeiter wie ein Angestellter des auftraggebenden Unternehmens zu behandeln ist, so greift die Bestimmung des Art. 29 DSGVO, der den Umgang mit „dem Verantwortlichen unterstellte Personen“ regelt. Eine solche Unterstellung wird regelmäßig dann angenommen, wenn der Freelancer vollständig in das Unternehmen eingebunden ist und den Weisungen des Auftraggebers Folge zu leisten hat. Dies ist beispielsweise der Fall, wenn neben den vom Auftraggeber gemachten Vorgaben hinsichtlich Zweck und Mittel der Datenverarbeitung, auch Weisungen, betreffend Inhalt, Ort und Zeit der durch den freien Mitarbeiter zu erbringenden Leistungen erteilt werden.
Der Freelancer ist dann datenschutzrechtlich vom Verantwortlichen wie jeder andere Mitarbeiter des Unternehmens zu behandeln. Dies schließt die Verpflichtung zur Vertraulichkeit und die Sensibilisierung im Hinblick auf die im Unternehmen geltenden Richtlinien zum Datenschutz ein.
Nicht unbeachtet bleiben dürfen natürlich, dass die Weisungsgebundenheit des Freelancers sowie die Minimierung seiner Eigenverantwortlichkeit zur arbeitsrechtlich relevanten Bewertung seiner Tätigkeit als abhängige Beschäftigung führen kann. In der Praxis empfiehlt sich daher mittels einer entsprechenden Vereinbarung festzuhalten, dass eine derartige Weisungsgebundenheit ausschließlich für die Verarbeitung von personenbezogenen Daten gilt und ansonsten der Freelancer im Rahmen seiner eigenen Entscheidungshoheit handelt. Letztlich entscheidend für die Einordnung als abhängige oder freie Beschäftigung ist jedoch das Gesamtbild der Tätigkeit, sodass es hier stets auf den Einzelfall ankommt.
Handelt sich bei dem Beschäftigten tatsächlich um einen Leiharbeitnehmer, so ist dieser unzweifelhaft Beschäftigter im Sinne des § 26 Abs. 8 Nr. 1 BDSG.
3. Freelancer als Auftragsverarbeiter
Ein Freelancer kann in bestimmten Konstellationen aber auch als Auftragsverarbeiter nach Art. 28 DSGVO einzustufen sein. Insbesondere im IT-Bereich werden häufig freie Mitarbeiter eingesetzt, die zwar fachlichen Weisungen unterliegen, aber z.B. hinsichtlich des Leistungsort und -zeit unabhängig agieren. Bestimmt bei dieser Tätigkeit das Unternehmen allein die Zwecke und Mittel der Verarbeitung personenbezogener Daten und ist der Freelancer in diesem Zusammenhang strikt an die Weisungen des Auftraggebers gebunden, liegt eine Auftragsverarbeitung vor. In dieser Konstellation ist mit dem Freelancer unbedingt ein Auftragsverarbeitungsvertrag mit dem Mindestinhalt des Art. 28 Abs. 3 DSGVO zu schließen.
In der Praxis häufig unbeachtet liegt dieser Fall auch vor, wenn der Freelancer in der obigen Konstellation durch eine Agentur vermittelt wird, ohne dass hier eine Arbeitnehmerüberlassung vorliegt. Wird hier der Vertrag hinsichtlich des freien Mitarbeiters mit der Agentur geschlossen, so muss auch hier ein Auftragsverarbeitungsvertrag mit der Agentur abgeschlossen werden.
4. Freelancer als Verantwortliche und gemeinsame Verantwortlichkeit
Der Freelancer ist „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO, wenn dieser im Rahmen der zu erbringenden Tätigkeit eigenverantwortlich Mittel und Zweck der Datenverarbeitung bestimmt. Daher muss der externe Dienstleister sämtlichen Anforderungen der DSGVO selbst erfüllen.
Bei der Übermittlung von personenbezogenen Daten vom Verantwortlichen an den freien Mitarbeiter muss darauf geachtet werden, dass diese auch rechtmäßig ist. Nach Art. 6 Abs. 1 DSGVO bedarf es dafür einer Rechtsgrundlage, die häufig in Art. 6 Abs. 1 f) DSGVO zu finden sein wird.
Zu bedenken ist auch, dass es in gewissen Konstellationen, in der der Verantwortliche und der freie Mitarbeiter gemeinsam über Zweck und Mittel der Datenverarbeitung entscheiden, eine gemeinsame Verantwortlichkeit (eng.: „Joint Control“) i.S.d. Art. 4 Nr. 7 DSGVO i.V.m. Art. 26 Abs. 1 S. 1 DSGVO vorliegen kann. In diesem Fall sind die Parteien verpflichtet eine entsprechende Vereinbarung zur Regelung der datenschutzrechtlichen Verpflichtungen abzuschließen.
5. Fazit
Die zutreffende datenschutzrechtliche Eingruppierung eines freien Mitarbeiters ist nicht trivial. Stets im Mittelpunkt steht dabei die Weisungsgebundenheit des freien Mitarbeiters an die Vorgaben des Auftraggebers. Je nach Intensität und Umfang der Weisungen, richtet sich die Beurteilung, ob der Freelancer tatsächlich „frei“ ist. Je ähnlicher die Konstellation der eines „regulären“ Arbeitsverhältnisses ist, desto weniger ist der Freelancer selbst Verantwortlicher i.S.v. Art. 4 Abs. 7 DSGVO. Hierbei ist stets auch das Zusammenspiel von Datenschutz und Arbeitsrecht zu beachten, um nicht in die Situation zu kommen datenschutzrechtlich „sauber“ zu sein, auf der anderen Seite allerdings eine mögliche Scheinselbstständigkeit zu manifestieren.
Beim Engagement von Leiharbeitern oder Freelancern über einen Dritten ist die Beziehung zwischen Auftraggeber und vermittelnden Dritten von Bedeutung. Beim „klassischen“ Leiharbeiter wird Art. 29 DSGVO zur Anwendung kommen. Wird hingegen ein Freelancer, der bei einer Agentur gelistet ist für das auftraggebende Unternehmen tätig, so ist die zuvor aufgezeigte Differenzierung notwendig.
Aufgrund der rechtlichen Bandbreite und Bedeutung des Engagements von Freelancern, ist es den auftraggebenden Unternehmen zu empfehlen, sich bei Unsicherheiten von fachkundigen Experten beraten zu lassen.
- BGH-Urteil zum Facebook-Datenleck: Schadensersatz bei Kontrollverlust - 19. November 2024
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024