Freelancer und Zeitarbeiter – Wer ist für den Datenschutz verantwortlich?

Fachbeitrag

Der Einsatz von Zeitarbeitskräften und Freelancern stellt Unternehmen vor einige datenschutzrechtliche Herausforderungen. Wie mit den personenbezogenen Daten dieser „Mitarbeiter“ umzugehen ist, wird im Beitrag des Expertenforums Arbeitsrecht detailliert dargestellt. Neben dieser Thematik stellt sich jedoch stets auch die Frage, wie damit umzugehen ist, dass diese Mitarbeiter ganz zwangsläufig auch mit personenbezogenen Daten der Kunden in Kontakt kommen.

Wie ist das mit der Verarbeitung durch Mitarbeiter eigentlich generell?

Nach Definition des Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmt. Auch wenn einzelne Mitarbeiter bei ihren Tätigkeiten in einem gewissen Rahmen bei der Entscheidung über Mittel und Zwecke der Datenverarbeitung frei sind, bleibt es bei der Verantwortlichkeit des Arbeitgebers. Zum einen wird der grundsätzliche Rahmen durch den Arbeitgeber festgelegt und zum anderen ist in Art. 29 DSGVO festgeschrieben, dass dem Verantwortlichen unterstellte Personen, also auch Mitarbeiter, Datenverarbeitungen ausschließlich auf Weisung verarbeiten dürfen. Zudem hat der Verantwortliche adäquate technische und organisatorische Maßnahmen zu treffen.

Zu empfehlen ist daher Folgendes:

Auftragsverarbeiter oder Mitarbeiter?

Im Anschluss stellt sich also direkt die Frage, ob eine Zeitarbeitskraft oder ein Freelancer eher wie Mitarbeiter oder wie ein Auftragsverarbeiter zu betrachten ist. Nach der Definition des Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter

„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Zunächst lässt sich also feststellen, dass auch natürliche Personen Auftragsverarbeiter sein können. Es kommt demnach darauf an, ob man die Zeitarbeitskraft oder den Freelancer dem Verantwortlichen zuordnet oder eben nicht. Während bei Leiharbeitnehmern schon nach dem alten BDSG vertreten wurde, dass diese eher dem Verantwortlichen zuzuordnen seien, herrschte bei Freelancern große Uneinigkeit. Unseres Erachtens dürfte sich dieser Streit nach der DSGVO weitgehend erledigt haben. Aus Art. 29 DSGVO, der dem Verantwortlichen unterstellte Personen explizit neben dem Auftragsverarbeiter nennt lässt sich ableiten, dass ein weiterer Personenkreis bedacht wurde. Für die Entscheidung im Einzelfall dürfte also entscheidend sein, ob der Freelancer eher wie ein eigener Mitarbeiter in den Geschäftsablauf eingebunden wird oder ob er eher wie klassischer Dienstleister eingesetzt wird. Umso mehr die Tätigkeit des Freelancers der eines eigenen Mitarbeiters ähnelt, desto weniger wird man von einem Auftragsverarbeitungsverhältnis ausgehen können.

Was ist dennoch zu beachten?

Auch wenn der Freelancer kein Auftragsverabeiter ist, so soll dieser die personenbezogenen Daten nur nach Weisung des Verantwortlichen verarbeiten dürfen. Um diese Weisungsbefugnis abzusichern, sollte unbedingt auch mit Freelancern eine datenschutzrechtliche Vereinbarung geschlossen werden, die inhaltlich aber nicht so weit gehen muss wie ein Auftragsverarbeitungsvertrag.

Liegt keine Auftragsverarbeitung vor, hat der Verantwortliche eigenständig für adäquate technische und organisatorische Maßnahmen zu sorgen. Bei Zeitarbeitern und Freelancern sollte daher ebenso sichergestellt werden, dass diese ausschließlich auf der IT Umgebung des Verantwortlichen mit personenbezogenen Daten arbeiten und sich in gleichem Maße an die internen Richtlinien zum Datenschutz halten müssen. Arbeitet der Freelancer mit eigenen Clients, sollte zumindest sichergestellt werden, dass der Freelancer stets aktuelle Virenscanner und Firewalls einsetzt und möglichst nur über einen gesicherten VPN Zugang auf dem System des Verantwortlichen arbeitet.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.