• +49 228 9550-120

DSGVO für Selbstständige und Unternehmen

© fotolia | MG Fotostock
DSGVO

Der europäische Datenschutz hat durch die Datenschutzgrundverordnung (oder kurz: DSGVO) eine Vereinheitlichung erfahren. Sie hat dafür gesorgt, dass in allen Mitgliedstaaten der EU einheitliche Standards gelten und damit die nationalen Regelungen abgelöst.

Für Selbstständige und Unternehmen war die Umsetzung der DSGVO durch zahlreiche Änderungen in den eigenen Abläufen geprägt. Nicht immer funktionierte das ohne Probleme. Dennoch zeigen neueste Erhebungen, dass noch lange nicht alle Unternehmen auf dem neuesten Stand sind. Dies bedeutet aus rechtlicher Perspektive für Sie als Unternehmer oder Selbstständiger ein großes Risiko, denn: Verstöße gegen die DSGVO sind mit empfindlichen Sanktionen belegt. Hier drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes – eine hohe Geldstrafe, die im Unterschied zum vorher geltenden Bundesdatenschutzgesetz deutlich an Schärfe gewonnen hat.

Was die DSGVO für Selbstständige bedeutet, zeigen wir Ihnen in unserem Ratgeber.

Selbstständige sind beim Datenschutz gefordert

Das Inkrafttreten der Datenschutzgrundverordnung (kurz: DSGVO) im Mai 2018 hat beim Thema Datenschutz europaweit für große Veränderungen gesorgt: Nicht nur große Unternehmen, sondern auch kleine Betriebe waren gefragt, dem Datenschutz in den eigenen Prozessen und Abläufen einen prominenten Platz einzuräumen. Dabei war die DSGVO für Selbstständige oft ein „Buch mit sieben Siegeln“: Zu kompliziert, zu umständlich und vor allem zu teuer. Besonders kleine Unternehmen waren vom europäischen Datenschutz zunächst wenig angetan.

Mittlerweile hat sich die Aufregung um die DSGVO gelegt und in den meisten Unternehmen gehört die Umsetzung der datenschutzrechtlichen Vorgaben aus der europäischen Verordnung ganz selbstverständlich zum Tagesgeschäft.

Was haben Unternehmen und Selbstständige nach der DSGVO zu beachten?

Auch, wenn Sie als Selbstständige dem Thema Datenschutz schon vor der Datenschutzgrundverordnung besondere Aufmerksamkeit zukommen ließen: Durch das Inkrafttreten der DSGVO zum 25. Mai 2018 rückten datenschutzrechtliche Fragestellungen verstärkt in den Vordergrund.

Dabei schützt die DSGVO vor allem die Rechte der Verbraucher in den Mitgliedsstaaten der EU. Wo vorher zum Teil große Abweichungen durch nationale Gesetzgebungen vorherrschend waren, ist durch die DSGVO ein einheitliches und verbindliches Regelwerk geschaffen worden. Dieses greift Inhalte aus dem vorher geltenden Bundesdatenschutzgesetz auf, enthält aber daneben auch zahlreiche neue Regelungen.

Informationspflicht

Verbraucher haben durch die Datenschutzgrundverordnung das Recht auf umfassende Information darüber, welche personenbezogenen Daten gespeichert, verarbeitet und archiviert werden. Personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO sind demnach alle Informationen, die den direkten oder indirekten Rückschluss auf eine Person erlauben.

Wichtiger Hinweis: Die DSGVO unterscheidet zwei Arten von personenbezogenen Daten: Sogenannte sensible personenbezogene Daten (zum Beispiel ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung, medizinische sowie biometrische Daten) und sogenannte nicht sensible personenbezogene Daten. Ihre Handhabung unterscheidet sich in einigen Punkten und kann daher rechtlich von großer Relevanz sein.

Zu den personenbezogenen Daten gehören zum Beispiel:

  • Name
  • Adresse
  • Handynummer
  • Geburtsdatum
  • Telefonnummer
  • Kundennummer
  • Kontoverbindung
  • IP-Adresse
  • Kfz-Kennzeichen
  • Standortdaten
  • E-Mail-Adresse

Rechenschaftspflicht

Unternehmen müssen nachweisen können, dass sie über die technischen und organisatorischen Voraussetzungen verfügen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten. Die Rechenschaftspflicht wird durch Art. 5 II DSGVO geregelt: Danach ist der Verantwortliche für die in Art. 5 I DSGVO genannten Pflichten verantwortlich und muss den Nachweis für deren Einhaltung erbringen.

Dabei geht es in erster Linie um die bekannten datenschutzrechtlichen Pflichten wie zum Beispiel:

  • Transparenzgebot
  • Zweckbindung
  • Datensparsamkeit.

In der Praxis ist nach wie vor fraglich, wie Sie die Rechenschaftspflicht als Unternehmer umsetzen können – nach richtigem Verständnis sind hier aber alle Dokumentationen zu verstehen, die einen Rückschluss auf die eigenen DSGVO-Compliance erlauben. Auf Nachfrage muss es Ihnen daher möglich sein, die Einhaltung der datenschutzrechtlichen Vorschriften lückenlos nachweisen zu können.

Praxistipp: Dokumentieren Sie alle Maßnahmen, die Sie in Ihrem Unternehmen in Bezug auf den Datenschutz veranlassen. Dazu gehören auch Schulungsmaßnahmen, Rundschreiben, Seminare oder externe Weiterbildungen ebenso wie Checklisten und Handlungsanweisungen.

Datenspeicherung

Unternehmen sind auf Daten angewiesen: Dementsprechend kam es in der Vergangenheit häufig vor, dass große Mengen an Daten gesammelt und gespeichert wurden, um diese bei Bedarf abrufen zu können. Der Gesetzgeber hat das Risiko der Datenspeicherung erkannt und durch die DSGVO geregelt: Als Unternehmer dürfen Sie jetzt nur noch so lange Daten speichern, wie Sie sie nachweisbar für den konkreten Verwendungszweck brauchen (DSGVO Art 5.1).

Für die Verwendung der personenbezogenen Daten brauchen Sie eine entsprechende Einwilligung: Diese kann von den Betroffenen aber auch jederzeit widerrufen werden – dokumentieren Sie daher auch alle Vorgänge, bei denen die von Ihnen erhobenen Daten eine Veränderung bzw. Berichtigung oder eine Löschung erfahren.

Betrifft die DSGVO auch Einzelunternehmer und Freiberufler?

Die Datenschutzgrundverordnung ist ein für alle Unternehmen unmittelbar geltendes Gesetz: Dementsprechend spielt es keine Rolle, ob es sich um eine große Firma handelt oder um einen Einzelunternehmer im sogenannten Ein-Mann-Betrieb.

Einschlägig ist die DSGVO für Selbstständige in dem Moment, in dem Sie als Unternehmer Rechnungen ausstellen, eine Kundendatei anlegen oder vielleicht auch einen Newsletter über Ihre Webseite anbieten. Alle diese Vorgänge sind nur möglich, indem Sie personenbezogene Informationen erheben, die in den Geltungsbereich der Datenschutzgrundverordnung fallen.

Wichtiger Hinweis: Auch, wenn die DSGVO primär zusammen mit digitalen Vorgängen in Verbindung gebracht wird: Auch analog verarbeitete Daten fallen in den Schutzbereich der Datenschutzgrundverordnung. Damit ist die DSGVO für Selbstständige auch dann einschlägige Rechtsvorschrift, wenn diese ausschließlich „per Hand“ Daten sammeln, auswerten und archivieren.

Vereinfacht lässt sich festhalten: Die DSGVO gilt für alle – ob als Verbraucher, Großunternehmer oder Freiberufler im Home-Office.

Gelten für große Unternehmen strengere Anforderungen?

Die genannten Pflichten aus der DSGVO treffen große und kleine Unternehmen gleichermaßen. Ein Unterschied besteht lediglich, wenn es um die Bestellung eines Datenschutzbeauftragten geht. Gemäß Art. 37 I DSGVO müssen bestimmte Unternehmen einen Datenschutzbeauftragten bestellen.

Das ist der Fall, wenn eine der folgenden Konstellationen gegeben ist:

  1. Im Unternehmen sind mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt.
  2. Die Kerntätigkeit des Unternehmens ist durch Verarbeitungsvorgänge gekennzeichnet, die aufgrund ihrer Art, ihres Umfangs und / oder ihrer Intention eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Personen erforderlich macht.
  3. Die Kerntätigkeit Ihres Unternehmens ist durch die umfangreiche Verarbeitung besonderer Datenkategorien gekennzeichnet (sogenannte sensible personenbezogene Daten, s. o.).

Abseits der Regelungen für die Bestellung eines Datenschutzbeauftragten gelten für kleine und große Unternehmen dieselben Vorschriften und Grundsätze – sowohl aus der Datenschutzgrundverordnung als auch aus dem daneben nach wie vor geltenden Bundesdatenschutzgesetz.

Was müssen Unternehmer zur Umsetzung der DSGVO für Selbstständige als Erstes in Angriff nehmen?

Wenn Sie sich bisher um das Thema Datenschutz in Ihrem Unternehmen noch nicht oder nur unzureichend gekümmert haben, dann ist dafür spätestens seit dem Inkrafttreten der DSGVO höchste Zeit! Sie genügen damit nämlich nicht nur den gesetzlichen Vorschriften – Sie zeigen damit auch nach Außen hin, dass Ihr Unternehmen verantwortungsvoll und seriös mit dem Vertrauen umgeht, das Kunden und Geschäftspartner Ihnen entgegenbringen.

Wichtiger Hinweis: Ihr Unternehmen kann jederzeit auf die Einhaltung datenschutzrechtlicher Vorgaben überprüft werden – insbesondere dann, wenn es Anlass dazu gibt oder eine Meldung an die Datenschutzbehörde erfolgt. Diese Meldung kann auch aus Ihren eigenen Reihen stammen (zum Beispiel Mitarbeiter, die den Datenschutz im Unternehmen gefährdet sehen), aber auch durch Konkurrenten, Kunden oder andere Geschäftspartner.

Wann kann ein Unternehmen oder ein Selbstständiger abgemahnt oder mit Bußgeldern belegt werden?

Halten Sie sich nicht an die nachfolgenden Punkte oder investieren keine Zeit diese umzusetzen beziehungsweise anzupassen, kann man Sie abstrafen und mit empfindlichen Bußgeldern belegen.

Deshalb ist es wichtig, Ihr Unternehmen in Richtung DSGVO-Compliance steuern und die folgenden Maßnahmen zeitnah in Angriff nehmen:

  1. Erhebung des Ist-Zustandes: Welche personenbezogenen Daten werden im Unternehmen verarbeitet? Liegt eine Einwilligung der Betroffenen dazu vor? Werden sensible personenbezogene Daten im Unternehmen verarbeitet? Ist die Rechtsgrundlage dafür gegeben?
  2. Überprüfung von Webseiten und Online-Auftritten: AGB, Datenschutzerklärungen, Impressum, Einstellungen auf der Webseite und den entsprechenden Social-Media-Kanälen müssen den Anforderungen der DSGVO entsprechen.
  3. Überprüfung von externen Auftragsverarbeitern: Werden Dienstleister herangezogen, die Zugriff auf die von Ihnen erhobenen personenbezogenen Daten haben? Ist die Rechtsgrundlage dafür gegeben? Besteht ein Vertrag zur Auftragsdatenverarbeitung? Alte Verträge müssen eventuell überarbeitet und an die neuen gesetzlichen Vorschriften angepasst werden. Hier hilft eine saubere Aufstellung über alle externen Dienstleister inklusive Überprüfung der Zuverlässigkeit dieser Dienstleister gem. Datenschutzgrundverordnung.
  4. Auflistung aller Maßnahmen zur Datensicherheit
  5. Überprüfung der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten und gegebenenfalls Bestellung.

Welchen Einfluss hat die DSGVO auf Social-Media-Aktivitäten?

Im Zeitalter der Digitalisierung sind Unternehmen mehr als je zuvor darauf angewiesen, auch in den sozialen Netzwerken präsent zu sein. Social-Media hat sich in wirtschaftlicher Sicht zum elementaren Bestandteil eines jeden wirtschaftlichen Erfolges entwickelt. Dementsprechend häufig sind Unternehmen auch in den sozialen Medien vertreten.

Ob über eine Fanpage bei Facebook, per Vlog auf Youtube oder mit einem Account auf Instagram: Auch die sozialen Netzwerke sind aus datenschutzrechtlicher Sicht kein rechtsfreier Raum. Die DSGVO entfaltet daher auch im scheinbar lockeren Miteinander von Usern ihre volle Wirkung.

Was muss ich als Unternehmen bei Social-Media-Aktivitäten beachten?

Relevant wird die DSGVO in den sozialen Netzwerken insbesondere dann, wenn Sie hier als Unternehmer Marketing betreiben. Das kann zwar ganz unterschiedlich aussehen, bindet Sie aber grundsätzlich an die Regelungen der DSGVO zum Datenschutz.

Beachten Sie bezüglich Social-Media auf die nachfolgenden Punkte:

  • Impressumspflicht: Nicht nur auf Ihrer Homepage besteht eine Impressumspflicht. Auch in den sozialen Netzwerken sind Sie verpflichtet, bei einem Unternehmensauftritt Ihr Impressum mit aufzuführen. Das ist übrigens ganz unabhängig von der gewählten Plattform: Wer über Social-Media-Marketing betreiben möchte, muss das eigene Impressum angeben. Die Impressumspflicht ergibt sich aus § 5 Telemediengesetz (kurz: TMG).
  • Plugins: Die Einbindung von Plugins hat sich im Rahmen der DSGVO als besonderes problematisch herausgestellt. Nicht selten sind Plugins für Facebook & Co. nicht datenschutzkonform und sorgen damit fast schon automatisch für einen Verstoß gegen die gesetzlichen Vorschriften. Das liegt an der automatischen Übermittlung von Daten an das damit verbundene soziale Netzwerk. Bei Nutzung von Plugins ist daher Vorsicht geboten: Überprüfen Sie diese vor Ihrem Einsatz auf ihre DSGVO-Konformität.
  • WhatsApp: Auch die Nutzung des Messengerdienstes WhatsApp ist vor dem Hintergrund der DSGVO nicht unproblematisch. Zwar gibt es hier unterschiedliche Meinungen, ob der Einsatz von WhatsApp in Unternehmen rechtlich zulässig ist. Da es hierzu aber noch keine einheitliche Rechtsprechung gibt, ist vorerst von dem Einsatz des Messengers im Business abzuraten.

Wichtig zu wissen: Wenn Sie als Unternehmen bisher Ihre Kanäle in den sozialen Netzwerken erfolgreich bespielt haben, sollten Sie auch angesichts der DSGVO nicht damit aufhören. In der Mehrzahl der Fälle bedarf es nur einiger kleiner Modifizierungen, um Ihren Unternehmensauftritt auch datenschutzrechtlich auf den aktuellsten Stand zu bringen. Das schützt zum einen Ihre Zielgruppe, zeigt zum anderen aber auch, dass Sie als Unternehmer Verantwortung übernehmen – für Ihre Kunden, Geschäftspartner und Lieferanten.

Autor: Redaktion Selbstständig

Sie haben Fragen? Rufen Sie uns an.
+49 228 9550-120

* Selbstverständlich können Sie den Gratis-Ratgeber auch unabhängig von einer Newsletter-Anmeldung anfordern. Schreiben Sie uns dazu bitte eine kurze E-Mail mit Link zu dieser Seite.