Verstöße gegen den Datenschutz können teuer werden. In den USA droht Facebook derzeit ein Bußgeld von mehreren Milliarden US-Dollar. Das soziale Netzwerk ging so verantwortungslos mit den Daten seiner Nutzer um, dass sich die britische Firma Cambridge Analytica 2014 und 2015 persönliche Informationen von 87 Millionen Facebook-Usern aneignen konnte. Sie soll damit den US-Wahlkampf 2016 manipuliert haben. In Großbritannien verhängte die Datenschutzbehörde, ICO, im Herbst 2018 für den gleichen Verstoß ein Bußgeld von umgerechnet 565.000 Euro. Nach der Europäischen Datenschutzgrundverordnung (DSGVO) hätte Facebook bis zu 440 Millionen Euro Strafe zahlen müssen. Doch die Verordnung galt 2014 noch nicht. Außerdem umgeht Facebook sie geschickt. So überträgt der Internetkonzern das Datenschutzrisiko in den Allgemeinen Geschäftsbedingungen seiner Tochter Whats App kurzerhand deren Nutzer.

Bußgelder bis zu 20 Millionen Euro

Mittelständler können das nicht. Wenn sie personenbezogene Daten künftig nicht so verarbeiten wie es die DSGVO verlangt (siehe Kasten), müssen sie mit Bußgeldern von bis zu vier Prozent ihres Umsatzes oder bis zu 20 Millionen Euro rechnen – je nachdem, welcher Betrag höher ist. Unternehmer verstoßen dabei schneller gegen den Datenschutz, als sie annehmen. Viele Vorschriften der DSGVO sind bewusst abstrakt formuliert. So kann juristisch gesehen schon scheinbar harmloses Verhalten zum teuren Problem werden.

Diese Stolperfallen sollten Sie daher kennen, wenn Sie Freelancer beauftragen

Der Zweck heiligt im Datenschutz nicht die Mittel - Personenbezogene Informationen, die ihnen ein freier Mitarbeiter mitteilt, dürfen sie nur zu dem Zweck verwenden, zu dem der Freelancer seine Einwilligung gegeben hat. Es sei denn, Sie brauchen die Daten, um ihren Verpflichtungen aus dem mit dem Dienstleister geschlossenen Vertrag erfüllen zu können.

Natürlich dürfen Sie ohne Zustimmung das Honorar auf ein von dem Freelancer angegebenes Konto überweisen.

In der Regel, werden Sie aber auch Kontaktdaten wie Handynummer oder Mailadresse des Experten haben. Diese brauchen Sie für die Kommunikation im Rahmen des Projekts, für den sie den Freelancer engagiert haben. Genau das dürfen sie damit dann auch tun – mehr nicht! Wenn sie den externen Profi am Sonntag oder nach Feierabend anrufen, müssen Sie juristisch gesehen gut begründen können, weshalb diese Störung in der Freizeit für das Projekt unverzichtbar ist.

Sparsamkeitsgebot macht Personalakten zur Tabuzone

Die DSGVO verpflichtet Sie zum sparsamen Umgang mit Daten. Sie dürfen nicht mehr personenbezogene Angaben erheben, verarbeiten und speichern, wie Sie unbedingt brauchen. Da sich die Beauftragung eines Freelancers juristisch nicht von der Zusammenarbeit mit einem anderen Unternehmen unterscheidet, dürfen Sie mit den persönlichen Informationen des freien Mitarbeiters daher beispielsweise keine „Personalakte“ anlegen. Eine solche existiert auch nicht über andere Unternehmen, mit denen sie zusammenarbeiten.

Nach Abschluss des Projekts und Abrechnung mit dem freien Mitarbeiter dürfen sie dessen Daten zudem maximal so lange speichern, wie dies die gesetzlichen und steuerrechtlichen Aufbewahrungsfristen vorschreiben. Danach müssen sie die Angaben löschen – übrigens auch, wenn sie diese im Aktenordner aufbewahrt haben.

Passen Sie Ihr Verfahrensverzeichnis an

Selbstverständlich haben Sie wie von der DSGVO vorgeschrieben ein Verarbeitungsverzeichnis aufgestellt, in dem sie auflisten, welche personenbezogenen Angaben welcher Personengruppen sie speichern und verarbeiten und was Sie zum Schutz dieser Informationen unternehmen. Wenn sie zum ersten Mal freie Mitarbeiter beauftragen, sollten Sie Ihr Verzeichnis daraufhin überprüfen, ob dieses auch den Umgang mit Daten von Freelancern abbildet. Ergänzen Sie die Dokumentation gegebenenfalls entsprechend.

Neuer Mitarbeiter, neues Risiko

Nach Artikel 32 Absatz I der DSGVO müssen Sie ermitteln, welche Folgen eine Datenpanne für die Personen haben kann, deren persönliche Informationen Sie speichern und verarbeiten. Bei der Erstellung Ihrer Risikoanalyse haben Sie sich Gedanken darüber gemacht, welche Gefahren für die von ihnen verarbeiteten personenbezogenen Daten theoretisch überhaupt bestehen. Egal, wie kompetent, verantwortungsbewusst und erfahren Freelancer sind, wenn sie das erste Mal mit ihnen zusammenarbeiten, können auch sie solch ein Risiko sein. Überprüfen Sie deshalb, ob ihre Risikoanalyse die Kooperation mit freien IT-Profis ausreichend berücksichtigt – vor allem, wenn diese in Ihren Betriebsräumen tätig werden und eventuell Zugriff auf personenbezogene Daten haben.

Kontrollierter Zugriff

Ihre Sekretärin bittet den Freelancer am ersten Arbeitstag einen Blick auf ihren Monitor zu werfen, um zu bestätigen, dass die gerade eingegebenen Kontaktdaten korrekt sind. Offen vor ihr liegt das Schreiben, mit dem Sie einen anderen Mitarbeiter kündigen. Die Kollegin gegenüber telefoniert derweil mit der Neubesetzung für die Stelle und bittet ihn oder sie um Konto- und Handynummer. Ein derart fahrlässiger Umgang mit sensiblen persönlichen Informationen ist nicht erst seit Inkrafttreten der DSGVO inakzeptabel. Seitdem kann er aber richtig teuer werden.

Die Verordnung verpflichtet Sie dazu „technisch-organisatorische Maßnahmen“ (TOMs) zu ergreifen, um zu verhindern, dass Unbefugte Zutritt zu den Räumen haben, in denen Sie personenbezogene Daten speichern oder verarbeiten. Sie müssen zudem verhindern, dass Unbefugte Medien, Rechner und andere Datenverarbeitungssysteme nutzen, auf denen Sie persönliche Informationen speichern. Außerdem müssen Sie sicherstellen, dass nur berechtigte Nutzer Daten auf Datenverarbeitungssystemen lesen, speichern, verändern, oder entfernen können.

Kann der Freelancer in Ihrem Sekretariat zufällig das an einen anderen Mitarbeiter adressierte Kündigungsschreiben lesen oder ein Telefonat mithören, in dem personenbezogene Daten ausgetauscht werden, haben Sie keine ausreichenden TOMs getroffen. Diese müssen sowohl digital wie analog gespeicherte und verarbeitete Daten schützen.

Silence is golden

Die Aufträge, die Sie mit Kooperationspartnern oder Lieferanten schließen, enthalten selbstverständlich ebenso wie die Arbeitsverträge Ihrer Mitarbeiter schon immer eine Verschwiegenheitsklausel. Diese verbietet, „betriebliche Interna“ an Dritte weiterzugeben. Ihre Belegschaft haben Sie nach Inkrafttreten der DSGVO außerdem eine Datenschutzvereinbarung unterschreiben lassen. Verlangen Sie dies auch von den freien IT-Profis, die Sie beauftragen.

Wer hat hier eigentlich das Sagen?

Juristen brauchen Streit. Vielleicht formulieren Sie in der DSGVO deshalb so unklar, ob bei einem Projekt der Auftraggeber oder -nehmer für den Datenschutz verantwortlich ist. Nach Art. 4 Nr. 7 DSGVO ist dies der Projektbeteiligte, der über „die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“ Da festangestellte Mitglieder des Projektteams an Ihre Weisungen als Arbeitgeber gebunden sind, ist hier unstrittig, wer für den Datenschutz verantwortlich ist: Sie. Bei Freelancern lässt sich die Verantwortung nicht so einfach zuordnen. Grundsätzlich gilt: Je mehr eigene „Mittel“, also Rechnerkapazitäten, freie Mitarbeiter bei einem Projekt nutzen, desto eher sind sie nach der zitierten Vorschrift dafür verantwortlich, die DSGVO einzuhalten. Im Streitfall käme es jedoch noch auf weitere Abgrenzungskriterien an – etwa darauf, wie eng ein freier Mitarbeiter in Ihre Geschäftsabläufe eingebunden ist. Darüber lässt sich trefflich streiten.

Sichern Sie sich die Kontrolle über den Datenschutz

Wenn Sie bei einem Projekt die Kontrolle über den Datenschutz behalten wollen, sollten Sie Freelancer schriftlich dazu verpflichten, sich bei der Arbeit mit personenbezogenen Daten an Ihre datenschutzrechtlichen Weisungen zu halten. In einer entsprechenden Vereinbarung können Sie auch regeln, welche Arbeiten der freie Experte auf eigenen Geräten erledigen darf, und welche nicht. Lassen Sie sich auch zusichern, dass der Freelancer seine Rechner, Smartphones und Tablets mit den jeweils aktuellsten verfügbaren technischen Maßnahmen vor Cyberangriffen schützt.

Datenschutz verpflichtet

Wenn Sie Freelancer verpflichten, bei einem Projekt auf der IT-Infrastruktur Ihres Unternehmens zu arbeiten, müssen Sie auch eine wirklich sichere IT-Umgebung zur Verfügung stellen. Entwickeln Sie außerdem Berechtigungskonzepte, die garantieren, dass nur die Projektbeteiligten Zugriff auf persönliche Informationen haben, die dies für ihre Arbeit wirklich brauchen. Stellen Sie auch eindeutige Richtlinien dazu auf, wie im Rahmen eines Projektes mit personenbezogenen Daten umzugehen ist.

Die Inhalte dieses Artikels wurden gründlich recherchiert und nach eigenem Verständnis zusammengefasst. Dieser Text erhebt jedoch weder den Anspruch, die DSGVO vollständig darzustellen, noch ersetzt er eine Rechtsberatung oder will eine solche sein.