Mehr und mehr Unternehmen holen sich Unterstützung von Freelancern. So erhalten sie Zugriff auf Fachwissen, das z.B. für Projekte benötigt wird. Doch häufiger als vermutet, erhalten Freiberufler tiefe Einblicke in das Unternehmen und kommen mit personenbezogenen Daten in Berührung. Damit keine Datenschutzverstöße drohen, ist eine gezielte Absicherung unverzichtbar.
Zusammenarbeit mit Freelancern birgt kostspielige Datenschutzrisiken
Das häufigste Problem besteht darin, dass sich Unternehmen schnelle Hilfe von Freiberuflern holen, ohne sich mit dem Datenschutz ausreichend zu befassen. Findet keine angemessene Absicherung statt, drohen besagte Verstöße gegen geltende Datenschutzbestimmungen. Diese können stattliche Bußgelder und weitere unangenehme Konsequenzen nach sich ziehen.
Im Übrigen sollte die Absicherung in Sachen Datenschutz im beidseitigen Interesse erfolgen. Nicht nur das Unternehmen verringert sein Risiko als Auftraggeber, dasselbe gilt ebenso für Freelancer. Je nach Sachverhalt können auch sie von den zuständigen Aufsichtsbehörden belangt werden.
Datenschutz bei Einsatz von Freiberuflern
Für die Absicherung empfiehlt es sich, datenschutzrechtliche Maßnahmen nicht im Nachgang, sondern im Vorfeld zu treffen. Es gilt die notwendigen vertraglichen Regelungen zu schaffen, damit beide Seiten abgesichert sind.
Wie dies am besten geschieht, hängt von der jeweiligen Situation ab. In Abhängigkeit davon, wie ein Freelancer in die Unternehmensprozesse eingebunden ist und seine Arbeitsleistung erbringt, ist ein jeweils geeigneter Lösungsansatz zu wählen. Nachfolgend unterscheiden wir zwischen vier datenschutzrechtlichen Konstellationen.
Konstellation 1: Freelancer ist selbst Verantwortlicher
Der Freelancer trägt die volle Verantwortung beim Datenschutz und hat selbst darauf zu achten, dass von ihm alle datenschutzrechtlichen Bestimmungen eigenständig eingehalten werden. Diese Konstellation besteht häufig in Situationen, in denen eine Scheinselbständigkeit ausgeschlossen werden kann, weil er seinen Arbeitsort und die Arbeitszeiten selbst bestimmt.
Konstellation 2: Gemeinsame Verantwortlichkeit
Es gibt Konstellationen, in denen Unternehmen und Freelancer gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Dann kann es sich empfehlen, dass beide Seiten einen Vertrag über die gemeinsame Verantwortung schließen.
Konstellation 3: Auftragsverarbeitung
Zahlreiche Freelancer sind als Auftragsverarbeiter tätig, weil sie Arbeitsort und Arbeitszeit selbst bestimmen können, die Aufgaben bei der Verarbeitung personenbezogener Daten jedoch genau vorgegeben sind. Für die Absicherung beider Seiten ist es wichtig, einen Vertrag über die Auftragsverarbeitung zu schließen.
Konstellation 4: Behandlung wie ein Mitarbeiter
Der Freelancer arbeitet nach strikten Vorgaben. Sein Auftraggeber schreibt vor, wann und wo zu arbeiten ist, ggf. wird sogar die zur Verarbeitung der Daten mit Personenbezug notwendige IT bereitgestellt (Achtung, womöglich besteht eine Scheinselbständigkeit). Aus datenschutzrechtlicher Sicht kann es sich empfehlen, den Freiberufler wie einen Mitarbeiter zu betrachten. Dann sollte er eine Verpflichtungserklärung unterzeichnen, in deren Rahmen er sich zur Vertraulichkeit verpflichtet.
Rollen von Freiberuflern können sich ändern
Für die datenschutzrechtliche Absicherung ist es notwendig, die Aufgaben und Funktionen einer Arbeitskraft zu kennen. Doch ob fester Mitarbeiter oder Freelancer, Aufgaben und Rolle (und damit auch die Berührungspunkte zu personenbezogenen Daten) einer Person können sich ändern.
Diese Tatsache gilt es im Hinterkopf zu behalten, um bei Änderungen rechtzeitig reagieren zu können. Solch eine Rollenveränderung kann durchaus im Projektverlauf auftreten. Am häufigsten ist dies jedoch der Fall, wenn Freelancer erneut verpflichtet werden. Bei neuen Projekten können sie andere Rollen einnehmen, was gegebenenfalls Anpassungen im Datenschutz erforderlich macht.
Sie sind selbst Freelancer?
Wie angedeutet, sollten Freelancer auch im eigenen Interesse an den betrieblichen Datenschutz denken. Selbst wenn eine Person als „Einzelkämpfer“ tätig ist, sollte sie sich darüber im Klaren sein, dass sie verantwortlich gemacht werden kann.
Sollte beispielsweise ein Auftraggeber das Thema Datenschutz ignorieren, wird es am besten aus Eigeninitiative angesprochen. Nur so kann auf eine angemessene Absicherung hingearbeitet werden.
Entscheidend für die Absicherung ist eine ganzheitliche Herangehensweise. Insbesondere in der Konstellation als eigener Verantwortlicher genügt es nicht, mit dem Auftraggeber lediglich einen Vertrag über die Auftragsverarbeitung zu schließen. An einem vollwertigen Datenschutzkonzept, das alle Aspekte der Tätigkeit berücksichtigt, führt meist kein Weg vorbei. Nur so ist es möglich, sich für Datenschutzkontrollen durch die Aufsichtsbehörde zu wappnen.