Datenschutzrechtliche Einordnung von Freelancern bzw. freien Mitarbeitern 

Geschrieben von Alexander Hönsch, veröffentlicht am 06.11.2020

Die Anzahl an freien Mitarbeitern – sog. Freelancern – ist in den letzten Jahren erheblich gestiegen. Gerade in Branchen wie beispielweise dem stark wachsende IT-Sektor, lässt sich ein besonders starker Anstieg verzeichnen. Wie so oft zeigen sich aber auch hier, dass die rechtliche Ausgestaltung den gesellschaftlichen Bedürfnissen nicht unmittelbar entspricht. Vollkommen ungeklärt ist etwa die Frage nach der datenschutzrechtlichen Stellung von freien Mitarbeitern. 

Wer ist „freier Mitarbeiter“? 

Das Tarifvertragsgesetz etwa kennt gem. § 12a TVG neben dem klassischen Arbeitnehmer (Angestellte und Arbeiter) noch die sog. „arbeitnehmerähnlichen Personen“, die zwar grundsätzlich selbstständig tätig sind, aber aufgrund ihrer wirtschaftlichen Abhängigkeit in bestimmten Bereichen als ebenso schutzwürdig wie der Arbeitnehmer erscheinen und folglich diesem gleichgestellt sind. Die wirtschaftliche Abhängigkeit begründet sich oft darin, dass der an sich Selbstständige vor allem für einen Auftraggeber tätig wird und der aus dieser Beauftragung erzielte Lohn seine Existenzgrundlage bildet.  

Daneben kennt zumindest die Rechtsprechung noch den Begriff der sog. Scheinselbstständigkeit. Hierbei handelt es sich um Personen, die zwar materiell dem Arbeitnehmerbegriff entsprechen, aber „zum Schein“ als Selbstständige beschäftigt werden, um die umfangreichen Pflichten des Arbeitsrechts zu umgehen.  

Der Freelancer nun ist ebenfalls selbständig, aber nicht von einem Auftraggeber allein abhängig. Typischerweise trifft das auf den medialen, journalistischen und informationstechnischen Bereich zu. Kennzeichnend ist, dass die Personen oft projektbezogen ihr Wissen und ihre Fähigkeiten in einem Unternehmen einbringen, wobei die rechtliche Beziehung über einen typischen Dienstvertrag iSd. § 611 BGB organsiert wird. Zudem handelt es sich nicht um sog. Freiberufler wie Anwälte, Ärzte oder Architekten, die direkt für den Mandanten/Patienten/Bauunternehmer, nicht aber für ein größeres Unternehmen arbeiten.  

Art. 29 DSGVO als Freelancer-Paragraf 

Noch ungeklärt ist die Stellung der arbeitnehmerähnlichen Person (z.B. Journalist) und die des eigentlichen Freelancers (z.B. Software-Entwicklern) im datenschutzrechtlichen Sinne.  

Lange Zeit umstritten war etwa insbesondere die Frage, ob Freelancer als Auftragsverarbeiter gelten und infolgedessen einen Vertrag über die Auftragsverarbeitung abschließen müssen. Hierzu nahm das Bayerischen Landesamt für Datenschutzaufsicht im Jahr 2016 wie folgt Stellung: “Wenn die von extern kommenden Personen „wie Mitarbeiter“ miteingegliedert sind und unter Aufsicht und nach Anweisung des Unternehmens tätig werden, halten wir die Annahme eines ADV-Verhältnisses zu den extern Beschäftigten oder freien Mitarbeitern nicht für sachgerecht. Diese Personen sind als „sonstige Beschäftigte“ (vergleichbar den arbeitnehmerähnlichen Personen nach § 3 Abs. 11 Nr. 6 BDSG-alt, jetzt: § 26 Abs. 8 Nr. 6 BDSG-neu) auf das Datengeheimnis nach § 5 BDSG-alt zu verpflichten und wie die eigenen Mitarbeiter von der Unternehmensleitung im Hinblick auf deren datenschutzrechtlichen Verantwortlichkeit zu beaufsichtigen.”. 

Die noch im alten Datenschutzrecht (nach BDSG-alt) völlig ungeklärte Frage hat inzwischen Einzug in das positive Recht gefunden. So heißt es nunmehr in Art. 29 DSGVO: Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.“. Unstreitig hierunter fallen die direkt beim Verantwortlichen oder Auftragsverarbeiter angestellten Mitarbeiter eines Unternehmens. Vom Wortlaut ebenfalls erfasst sind Unterauftragsnehmer, deren Weisungsgebundenheit hinsichtlich der Verarbeitung personenbezogener Daten aber bereits ohnehin unter die spezielleren Normen des Art. 28 DSGVO fällt; entsprechendes gilt übrigens auch für den direkten Auftragsverarbeiter.  

In der Literatur wird im Rahmen von Art. 29 DSGVO unter anderem wie folgt auf Freelancer bzw. freie Mitarbeiter als taugliche Adressaten der Norm verwiesen: 

  1. Darüber hinaus können auch freie Mitarbeiter, externe Berater oder Beschäftigte von fremden Dienstleistungsunternehmen unterstellte Personen sein. Soweit sie keine arbeitnehmerähnlichen Personen sind, arbeiten sie auf Grundlage eines Dienst- oder Werkvertrags. Sie sind dann nicht als Beschäftigte des Verantwortlichen oder Auftragsverarbeiters anzusehen, sind aber dennoch iSv Art. 29 unterstellt. 

(Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 29 Rn. 10, beck-online) 

  1. „Auf das Rechtsverhältnis zwischen der natürlichen Person und den Verantwortlichen oder dem Auftragsverarbeiter kommt es dabei nicht an, ob die Person fest angestellt, als Aushilfe, Praktikant oder freier Mitarbeiter tätig ist.“ 

(Ehmann/Selmayr/Bertermann, 2. Aufl. 2018 Rn. 3, DS-GVO Art. 29 Rn. 3) 

  1. „Darüber hinaus spricht vieles dafür, auch freie Mitarbeiter und Berater, die auf der Grundlage eines Werk- oder Dienstvertrags tätig werden, unter den Begriff zu fassen. 

(Taeger/Gabel/Lutz/Gabel, 3. Aufl. 2019, DS-GVO Art. 29 Rn. 9) 

  1. „Größere Bedeutung gewinnt Art. 29 in Verbindung mit den Definitionen jedoch für freie Mitarbeiter und Freelancer bzw. Berater, welche für eine juristische Person aufgrund eines Dienst- oder Werkvertrages agieren und nicht einem Arbeitsverhältnis oder Leiharbeitsverhältnis unterfallen 

(Kühling/Buchner/Hartung, 3. Aufl. 2020 Rn. 13, DS-GVO Art. 29 Rn. 13) 

Insbesondere Hartung befasst sich ausgiebig mit der Frage, ob es sich bei Freelancern um eigene Verantwortliche, um einen Teil des Verantwortlichen oder um eigenständige Auftragsverarbeiter handelt. Er kommt zu dem Schluss, dass die Rolle des Auftragsverarbeiter wegen der Notwendigkeit eines Auftragsverarbeitungsvertrages unangemessen ist, da ein solcher bei Einzelpersonen oder sehr kleinen Unternehmen häufig nur schwierig möglich ist. Hinzu kommt, dass der freie Mitarbeiter für die Zeit des Projekts oft fest in die Struktur des Unternehmens eingebunden ist und datenschutzrechtlich größtenteils durch den Verantwortlichen bestimmt wird. Zwar spricht Art. 29 DSGVO von dem Verantwortlichen „unterstellte Person“, was in Bezug auf die Haupttätigkeit des Freelancers gerade nicht zutrifft. Insofern er aber im Rahmen seiner Tätigkeit mit personenbezogenen Daten des Verantwortlichen in Berührung kommt oder dieser verarbeitet, ist es durchaus gerechtfertigt, den Freelancer in diesem Bereich der Weisung des Verantwortlichen zu unterstellen. Dies, weil der Freelancer organisatorisch im Unternehmen eingegliedert ist und sich sinnvollerweise dem dortigen Datenschutzstandard anzupassen hat.  

Eine Ausnahme muss jedoch dort gemacht werden, wo die Dienste des Freelancers sich hauptsächlich auf die Verarbeitung personenbezogener Daten beziehen.  Würde er – wie ein Auftragsverarbeiter – die Infrastruktur für die Datenverarbeitung stellen, würde es sich in der Regel schon nicht mehr um einen Freelancer, handeln, da es an der inhaltlichen Selbstständigkeit der Tätigkeit fehlen würde. Möglich bleibt aber die Stellung des Verantwortlichen, z.B. wenn ein Software-Entwickler eigenständig personenbezogene Daten mittels einer von ihm entwickelten Software verarbeiten soll.  

Was für freie Mitarbeiter gilt, muss aber erst recht für arbeitnehmerähnliche Personen gelten, die noch enger in das Unternehmen des Verantwortlichen eingebunden sind. Dabei ist zu beachten, dass für das Paradebeispiel einer arbeitnehmerähnlichen Person, dem Journalisten, ohnehin unzählige datenschutzrechtliche Sondervorschriften gelten, sodass immer auch der letzte Halbsatz von Art. 29 DSGVO zu beachten ist: „…es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind“ 

Fazit 

Wirtschaftlich und schuldrechtlich zeichnet sich der Freelancer durch seine Selbstständigkeit aus. Dennoch zeigt sich im konkreten Einzelfall, dass der freie Mitarbeiter für den Moment seiner Tätigkeit meist fest in die Organisation des Unternehmens eingebunden ist und damit datenschutzrechtlich in eine ähnliche Lage versetzt wird, wie der gewöhnliche Mitarbeiter. In der Regel gilt damit, dass sich der Freelancer datenschutzrechtlich wie ein Mitarbeiter behandeln lassen muss. 

Konkret heißt das, der Freelancer darf nach Art. 29 DSGVO nur auf Weisung des Verantwortlichen Daten verarbeiten. Auch ist in der Regel ein AV-Vertrag nicht erforderlich. Stattdessen muss der Verantwortliche den Freelancer – wie seine festen Mitarbeiter – auf Vertraulichkeit verpflichten. Nur in den seltenen Fällen, in denen die Dienste des Freelancers gerade deshalb bestellt werden, weil sie der selbständigen Verarbeitung personenbezogener Daten dient, muss er sich wie ein selbstständig Verantwortlicher behandeln lassen oder ist gegebenenfalls mit demjenigen gemeinsam verantwortlich, der seine Dienste bestellt hat.  

Gerne unterstützen wir Sie auch als Freelancer im Hinblick auf den Datenschutz und die Rolle, die Sie dabei einnehmen.