DSGVO für Selbstständige

© unsplash | Goran Ivos

Der europäische Datenschutz hat durch die Datenschutzgrundverordnung (oder kurz: DSGVO) eine Vereinheitlichung erfahren. Sie hat dafür gesorgt, dass in allen Mitgliedstaaten der EU einheitliche Standards gelten und damit die nationalen Regelungen abgelöst.

Für Selbstständige war die Umsetzung der DSGVO durch zahlreiche Änderungen in den eigenen Abläufen geprägt. Nicht immer funktionierte das ohne Probleme: Was die DSGVO für Selbstständige bedeutet, zeigen wir Ihnen in unserem Ratgeber.

Selbstständige sind beim Datenschutz gefordert

Das Inkrafttreten der Datenschutzgrundverordnung (kurz: DSGVO) im Mai 2018 hat beim Thema Datenschutz europaweit für große Veränderungen gesorgt: Nicht nur große Unternehmen, sondern auch kleine Betriebe waren gefragt, dem Datenschutz in den eigenen Prozessen und Abläufen einen prominenten Platz einzuräumen. Dabei war die DSGVO für Selbstständige oft ein „Buch mit sieben Siegeln“: Zu kompliziert, zu umständlich und vor allem zu teuer. Besonders kleine Unternehmen waren vom europäischen Datenschutz zunächst wenig angetan.

Mittlerweile hat sich die Aufregung um die DSGVO gelegt und in den meisten Unternehmen gehört die Umsetzung der datenschutzrechtlichen Vorgaben aus der europäischen Verordnung ganz selbstverständlich zum Tagesgeschäft.

Was es dabei zu beachten gilt, zeigen wir Selbstständigen in einem kleinen Leitfaden.

DSGVO für Selbstständige: Das gilt es zu beachten!

Auch, wenn Sie als Selbstständige dem Thema Datenschutz schon vor der Datenschutzgrundverordnung besondere Aufmerksamkeit zukommen ließen: Durch das Inkrafttreten der DSGVO zum 25. Mai 2018 rückten datenschutzrechtliche Fragestellungen verstärkt in den Vordergrund.

Dabei schützt die DSGVO vor allem die Rechte der Verbraucher in den Mitgliedsstaaten der EU. Wo vorher zum Teil große Abweichungen durch nationale Gesetzgebungen vorherrschend waren, ist durch die DSGVO ein einheitliches und verbindliches Regelwerk geschaffen worden. Dieses greift Inhalte aus dem vorher geltenden Bundesdatenschutzgesetz auf, enthält aber daneben auch zahlreiche neue Regelungen.

Informationspflicht

Verbraucher haben durch die Datenschutzgrundverordnung das Recht auf umfassende Information darüber, welche personenbezogenen Daten gespeichert, verarbeitet und archiviert werden. Personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO sind demnach alle Informationen, die den direkten oder indirekten Rückschluss auf eine Person erlauben.

Wichtiger Hinweis: Die DSGVO unterscheidet zwei Arten von personenbezogenen Daten: Sogenannte sensible personenbezogene Daten (zum Beispiel ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung, medizinische sowie biometrische Daten) und sogenannte nicht sensible personenbezogene Daten. Ihre Handhabung unterscheidet sich in einigen Punkten und kann daher rechtlich von großer Relevanz sein.

 

Zu den personenbezogenen Daten gehören zum Beispiel:

  • Name
  • Adresse
  • Handynummer
  • Kundennummer
  • Kontoverbindung
  • IP-Adresse.

Rechenschaftspflicht

Unternehmen müssen nachweisen können, dass sie über die technischen und organisatorischen Voraussetzungen verfügen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten. Die Rechenschaftspflicht wird durch Art. 5 II DSGVO geregelt: Danach ist der Verantwortliche für die in Art. 5 I DSGVO genannten Pflichten verantwortlich und muss den Nachweis für deren Einhaltung erbringen.

Dabei geht es in erster Linie um die bekannten datenschutzrechtlichen Pflichten wie zum Beispiel

  • Transparenzgebot
  • Zweckbindung
  • Datensparsamkeit.

In der Praxis ist nach wie vor fraglich, wie Sie die Rechenschaftspflicht als Unternehmer umsetzen können – nach richtigem Verständnis sind hier aber alle Dokumentationen zu verstehen, die einen Rückschluss auf die eigenen DSGVO-Compliance erlauben. Auf Nachfrage muss es Ihnen daher möglich sein, die Einhaltung der datenschutzrechtlichen Vorschriften lückenlos nachweisen zu können.

Praxistipp: Dokumentieren Sie alle Maßnahmen, die Sie in Ihrem Unternehmen in Bezug auf den Datenschutz veranlassen. Dazu gehören auch Schulungsmaßnahmen, Rundschreiben, Seminare oder externe Weiterbildungen ebenso wie Checklisten und Handlungsanweisungen.

Datenspeicherung

Unternehmen sind auf Daten angewiesen: Dementsprechend kam es in der Vergangenheit häufig vor, dass große Mengen an Daten gesammelt und gespeichert wurden, um diese bei Bedarf abrufen zu können. Der Gesetzgeber hat das Risiko der Datenspeicherung erkannt und durch die DSGVO geregelt: Als Unternehmer dürfen Sie jetzt nur noch so lange Daten speichern, wie Sie sie nachweisbar für den konkreten Verwendungszweck brauchen (DSGVO Art 5.1).

Für die Verwendung der personenbezogenen Daten brauchen Sie eine entsprechende Einwilligung: Diese kann von den Betroffenen aber auch jederzeit widerrufen werden – dokumentieren Sie daher auch alle Vorgänge, bei denen die von Ihnen erhobenen Daten eine Veränderung bzw. Berichtigung oder eine Löschung erfahren.

Betrifft die DSGVO auch Einzelunternehmer und Freiberufler?

Die Datenschutzgrundverordnung ist ein für alle Unternehmen unmittelbar geltendes Gesetz: Dementsprechend spielt es keine Rolle, ob es sich um eine große Firma handelt oder um einen Einzelunternehmer im sogenannten Ein-Mann-Betrieb.

Einschlägig ist die DSGVO für Selbstständige in dem Moment, in dem Sie als Unternehmer Rechnungen ausstellen, eine Kundendatei anlegen oder vielleicht auch einen Newsletter über Ihre Webseite anbieten. Alle diese Vorgänge sind nur möglich, indem Sie personenbezogene Informationen erheben, die in den Geltungsbereich der Datenschutzgrundverordnung fallen.

Wichtiger Hinweis: Auch, wenn die DSGVO primär zusammen mit digitalen Vorgängen in Verbindung gebracht wird: Auch analog verarbeitete Daten fallen in den Schutzbereich der Datenschutzgrundverordnung. Damit ist die DSGVO für Selbstständige auch dann einschlägige Rechtsvorschrift, wenn diese ausschließlich „per Hand“ Daten sammeln, auswerten und archivieren.

 

Vereinfacht lässt sich festhalten: Die DSGVO gilt für alle – ob als Verbraucher, Großunternehmer oder Freiberufler im Home-Office.

Gelten für große Unternehmen strengere Anforderungen?

Die genannten Pflichten aus der DSGVO treffen große und kleine Unternehmen gleichermaßen. Ein Unterschied besteht lediglich, wenn es um die Bestellung eines Datenschutzbeauftragten geht. Gemäß Art. 37 I DSGVO müssen bestimmte Unternehmen einen Datenschutzbeauftragten bestellen.

Das ist der Fall, wenn eine der folgenden Konstellationen gegeben ist:

  1. Im Unternehmen sind mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt.
  2. Die Kerntätigkeit des Unternehmens ist durch Verarbeitungsvorgänge gekennzeichnet, die aufgrund ihrer Art, ihres Umfangs und / oder ihrer Intention eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Personen erforderlich macht.
  3. Die Kerntätigkeit Ihres Unternehmens ist durch die umfangreiche Verarbeitung besonderer Datenkategorien gekennzeichnet (sogenannte sensible personenbezogene Daten, s. o.).

Abseits der Regelungen für die Bestellung eines Datenschutzbeauftragten gelten für kleine und große Unternehmen dieselben Vorschriften und Grundsätze – sowohl aus der Datenschutzgrundverordnung als auch aus dem daneben nach wie vor geltenden Bundesdatenschutzgesetz.

Was müssen Unternehmer zur Umsetzung der DSGVO für Selbstständige als Erstes in Angriff nehmen?

Wenn Sie sich bisher um das Thema Datenschutz in Ihrem Unternehmen noch nicht oder nur unzureichend gekümmert haben, dann ist dafür spätestens seit dem Inkrafttreten der DSGVO höchste Zeit! Sie genügen damit nämlich nicht nur den gesetzlichen Vorschriften – Sie zeigen damit auch nach Außen hin, dass Ihr Unternehmen verantwortungsvoll und seriös mit dem Vertrauen umgeht, das Kunden und Geschäftspartner Ihnen entgegenbringen.

Wichtiger Hinweis: Ihr Unternehmen kann jederzeit auf die Einhaltung datenschutzrechtlicher Vorgaben überprüft werden – insbesondere dann, wenn es Anlass dazu gibt oder eine Meldung an die Datenschutzbehörde erfolgt. Diese Meldung kann auch aus Ihren eigenen Reihen stammen (zum Beispiel Mitarbeiter, die den Datenschutz im Unternehmen gefährdet sehen), aber auch durch Konkurrenten, Kunden oder andere Geschäftspartner.

 

Um Ihr Unternehmen in Richtung DSGVO-Compliance zu steuern, sollten Sie die folgenden Maßnahmen zeitnah in Angriff nehmen:

  1. Erhebung des Ist-Zustandes: Welche personenbezogenen Daten werden im Unternehmen verarbeitet? Liegt eine Einwilligung der Betroffenen dazu vor? Werden sensible personenbezogene Daten im Unternehmen verarbeitet? Ist die Rechtsgrundlage dafür gegeben?
  2. Überprüfung von Webseiten und Online-Auftritten: AGB, Datenschutzerklärungen, Impressum, Einstellungen auf der Webseite und den entsprechenden Social Media-Kanälen müssen den Anforderungen der DSGVO entsprechen.
  3. Überprüfung von externen Auftragsverarbeitern: Werden Dienstleister herangezogen, die Zugriff auf die von Ihnen erhobenen personenbezogenen Daten haben? Ist die Rechtsgrundlage dafür gegeben? Besteht ein Vertrag zur Auftragsdatenverarbeitung? Alte Verträge müssen eventuell überarbeitet und an die neuen gesetzlichen Vorschriften angepasst werden. Hier hilft eine saubere Aufstellung über alle externen Dienstleister inklusive Überprüfung der Zuverlässigkeit dieser Dienstleister gem. Datenschutzgrundverordnung.
  4. Auflistung aller Maßnahmen zur Datensicherheit
  5. Überprüfung der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten (und gegebenenfalls Bestellung)

 

Autor_in: Susanne Khammar

Sie haben Fragen? Rufen Sie uns an.
+49 228 9550-120

* Selbstverständlich können Sie den Gratis-Ratgeber auch unabhängig von einer Newsletter-Anmeldung anfordern. Schreiben Sie uns dazu bitte eine kurze E-Mail mit Link zu dieser Seite.