Muss ich als Unternehmen mit Freelancern einen AVV abschließen?
Das kommt darauf an. Der wichtigste Faktor, auf den es ankommt, ist die Weisungsgebundenheit. Je weisungsgebundener ein Freelancer ist, desto höher ist auch die Wahrscheinlichkeit, dass Sie weiter für die Daten verantwortlich sind und einen AVV abschließen müssen. Dies lässt sich z.B. durch folgende Fragen herausfinden:
- Kann der Freelancer eigene Vorteile aus den personenbezogenen Daten ziehen?
- Führt er seine Aufträge selbstständig oder nach Anweisung aus?
- Welche Macht hat der freie Mitarbeiter über die Daten des jeweiligen Unternehmens?
- Sage ich dem Dienstleister was zu tun ist, oder sagt / rät der Dienstleister mir was zu tun ist?
- Kann ich dem Dienstleister befehlen sofort alle Daten herauszugeben oder zu vernichten?
Bei Freelancern kommen fünf Fälle der Datenverarbeitung vor:
Option 1 Freelancer wird wie ein Mitarbeiter behandelt – sehr häufig
Dann muss er wie die Mitarbeiter eine Datenschutzvereinbarung unterzeichnen und an einer Datenschutzschulung teilnehmen.
Option 2 Auftragsverarbeitungsvertrag – häufig
Es ist ein AVV abzuschließen.
Option 3 Gemeinsame Verantwortlichkeit, GVV – selten
Unternehmen und Freelancer vereinbaren, wer für welche Datenschutz bezogenen Themen verantwortlich ist. Bsp: Ein freiberuflicher Marketingmitarbeiter könnte Daten, wie Adressen von Kunden, für eigene Zwecke verwenden. In diesem Fall reicht ein AVV nicht. Hier müssen beide Parteien die gemeinsame Verantwortlichkeit im Hauptvertrag festhalten.
Option 4 selbst verantwortlich für Datenschutz als Freelancer – Häufigkeit nicht bekannt
Je ungebundener ein Freelancer schalten und walten darf, desto höher ist die Wahrscheinlichkeit, dass er selber für die Daten verantwortlich ist, die Sie ihm übermittelt haben.
Option 5 „Zwischenlösung“, d.h. Vereinbarung, die den Freelancer verpflichtet, weisungsgebunden und nach strikten Regeln zu agieren, die jedoch vor allem im Bereich Kontrollrechte und technische und organisatorische Maßnahmen nicht der Strenge eines AVV nach Art. 28 DSGVO entspricht
Quellen: https://dejure.org/gesetze/DSGVO/4.html; https://www.dr-datenschutz.de/wann-brauche-ich-einen-auftragsverarbeitungsvertrag-avv/, https://www.datenschutzkanzlei.de/freelancer-unter-der-dsgvo-auftragsverarbeiter-ja-oder-nein/, https://www.business-wissen.de/artikel/freelancer-und-datenschutz-das-sollten-unternehmen-beachten/