Mit dem Mai 2018 traten neue Regelungen zum Datenschutz in Kraft, die besonders Selbstständigen und Freiberuflern das Leben schwermachen können. Den Bestimmungen zum Datenschutz müssen Freiberufler umfassend Folge leisten, andernfalls drohen hohe Strafen. Viele Einzelunternehmer wählen deshalb einen externen Dienstleister. Mit den richtigen Vorkehrungen lässt sich das auch selbst erledigen.
Einführung der DSGVO-Regelungen im Mai 2018
Mit dem 25. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, für alle EU-Länder verpflichtend in Kraft. Diese Regelungen gelten sowohl für große Unternehmen als auch für Kleinunternehmer und Freiberufler, unabhängig von der Größe des eigenen Unternehmens oder dem Umfang der selbstständigen Arbeit. Auch die Strafen haben es in sich. Bei Verstößen gegen die DSGVO-Normen können bis zu 20 Millionen Euro anfallen oder 4 Prozent des Umsatzes.
Um diese Daten geht es
Die DSGVO-Regelungen lassen keine Lücken zu. Wer personenbezogene Daten erhebt und verwendet, der muss die Bestimmungen genauso umsetzen, wie in der Verordnung festgelegt. Dabei geht es um Bestelldaten wie Anschrift und Name, E-Mail-Daten und jegliche persönliche Angaben. Telefonnummern und IP-Adressen gehören ebenfalls dazu. Was nicht automatisch erfasst werden muss, sind technische Daten. Allerdings können diese ebenfalls personenbezogen sein. Mit diesen Daten sind Selbstständige und Unternehmen verpflichtet, sorgsam umzugehen und sie nicht an unbefugte Dritte weiterzuleiten. Die Bestimmungen gelten übrigens auch für Daten, die nicht elektronisch, sondern per Hand erhoben werden.
Einwilligung notwendig
Personenbezogene Daten dürfen nicht erhoben werden, ohne dass die Person etwas davon weiß und dem zustimmt. Bei Prozessen, bei denen die Erhebung von Daten nebenbei geschieht und der Kunde explizit sein Einverständnis gibt, wie einem Online-Kauf, ist eine separate Einwilligung nicht notwendig. Allerdings dürfen Einzelunternehmer nichts mit den Daten machen, dem der Kunde nicht zugestimmt hat. So etwa dürfen sie keine E-Mail-Adresse aufzeichnen, um dem Besucher anschließend ungefragt einen Newsletter zu senden. Was genau bei einer Einwilligung zu beachten ist, wird im Artikel 4 Absatz 11 der DSGVO genauer behandelt.
Verzeichnisse zu Kundendaten
Freiberuflicher und Einzelunternehmer müssen personenbezogene Daten nicht nur aufzeichnen und gleichzeitig sorgsam aufbewahren. Sie müssen ebenfalls ein Verzeichnis der Daten anlegen und es jederzeit aushändigen können, sollten die Behörden danach fragen. Das Verzeichnis muss weiterhin die Speicherdauer bestimmter Daten enthalten. Dazu ist jedes Unternehmen und jeder Freiberufler, der Kundendaten im Laufe des Geschäftsbetriebes verarbeitet, verpflichtet. Artikel 30 DSGVO behandelt das Verarbeitungsverzeichnis.
Zu den Daten, die ins Verzeichnis gehören, zählen unter anderem Unternehmens-Grunddaten, wer im Unternehmen für den Datenschutz zuständig ist und die Verarbeitungstätigkeiten. Weiterhin gehören ins Verzeichnis die Bestätigungen der Kunden und Besucher, dass ihre Daten erhoben werden dürfen, und zu welchem Zeitpunkt das geschehen ist. Die Rechtsgrundlage zur Erhebung der Daten sowie deren Quelle müssen ebenfalls ins Verzeichnis. Wenn eine Behörde Einsicht in das Verzeichnis des Unternehmens haben will, muss es bereits zur Verfügung stehen und alle relevanten Daten enthalten und wie mit ihnen umgegangen wurde.
Technische und organisatorische Maßnahmen
Weiterhin müssen Einzelunternehmer und Selbstständige die Maßnahmen zur Umsetzung der DSGVO aufzeichnen. Dieser Aspekt des Datenschutzes wird im Artikel 5 Absatz 2 der DSGVO detaillierter behandelt. Genauer handelt es sich um technische und organisatorische Maßnahmen, die der Umsetzung des Datenschutzes dienen.
Bei den technischen Maßnahmen handelt es sich um die Vorkehrungen im digitalen Bereich, wie etwa der Einsatz von Sicherheitssoftware, Verschlüsselung oder Firewalls. In der analogen Welt gehört die Sicherung der Räumlichkeiten dazu, welche die personenbezogenen Daten aufbewahren. Die organisatorischen Maßnahmen umfassen etwa regelmäßige Kontrollen, das Verfahren bei der händischen Aufzeichnung und der Aufbewahrung der Daten.
Risikoanalyse
Laut Artikel 32 Absatz 1 der DSGVO sind Unternehmen und Freiberufler zu einer Risikoanalyse verpflichtet. Diese geschieht im Rahmen der technischen und organisatorischen Maßnahmen. Dabei geht es um menschliche und nicht-menschliche Fehlerquellen. Dokumentierte Risiken müssen anschließend eingeordnet und eingeschätzt werden.
Weiterhin erfolgt nach Artikel 35 der Datenschutz-Grundverordnung eine Folgenabschätzung. Diese ist nur dann vorgeschrieben, wenn besondere Daten erhoben werden. Dazu zählen unter anderem Gesundheitsdaten. Die Folgenabschätzung kann eine sehr komplizierte Angelegenheit sein und erfordert genaue Kenntnisse des jeweiligen datenschutzrechtlichen Bereichs. Im Grunde enthält diese Folgenabschätzung einen Ablauf von Maßnahmen und möglichen Folgen zur Vermeidung von Risiken.
Datenspeicherung
Kleinunternehmer sowie größere Unternehmen speichern regelmäßig personenbezogene Daten, die sie für ihren Betrieb benötigen. Je nach Art des Betriebs können dabei große Datenmengen zusammenkommen. Nach der DSGVO dürfen Unternehmer nur solche Daten speichern, welche für den Betrieb des Unternehmens notwendig sind. Sollten die Daten nicht mehr benötigt werden, dann müssen sie umgehend gelöscht werden. Die Löschung der Daten sowie die Vorgänge, die zur Löschung führten, müssen ebenfalls genau aufgezeichnet werden.
Social Media
Auch die Nutzung der sozialen Medien – für viele Unternehmer nicht wegzudenken –, sieht bestimmte Datenschutzrichtlinien vor. So muss etwa auch auf dem eigenen Account ein Impressum vorhanden sein, ähnlich wie das Impressum auf der eigenen Webseite. Weiterhin sollten Unternehmer darauf achten, welche Daten auf den sozialen Medien eingebundene Plugins erheben. Nicht alle Plugins sind DSGVO-konform und erheben ohne Einwilligung der Nutzer oder Wissen des Webseitenbetreibers personenbezogene Daten.
Datenschutzbeauftragte und Dritte
Wird einem die Arbeit zu viel, dann steht dem Freiberufler der Datenschutzbeauftragte zur Seite. Einzelunternehmer haben zumeist mit ihrer eigentlichen Tätigkeit bereits alle Hände voll zu tun. Datenschutzbeauftragte nehmen einem diese Arbeit ab und schaffen somit freie Kapazitäten. Betriebe mit mehr als neun Personen sind ohnehin dazu verpflichtet, einen Mitarbeiter für diese Arbeit zu beauftragen oder einen externen Datenschutzbeauftragten heranzuziehen. Jedoch will dieser auch bezahlt werden. Für Freiberufler gilt es hier, genau abzuwägen. Bei einem vergleichsweise geringen Aufwand lohnt sich ein externer Datenschutzbeauftragter nicht.
Übrigens sind Einzelunternehmer verpflichtet, eine Auftragsverarbeitung mit dem Datenschutzbeauftragten abzuschließen, sollten sie dazu einen externen Dritten heranziehen. Darin ist das Auftragsverarbeitungsverhältnis nach Artikel 28 DSGVO genau festgeschrieben.