DSGVO für Einzelunternehmer und Freiberufler

Ab dem 25. Mai gilt die neue europäische Datenschutzgrundverordnung (DSGVO) in Deutschland und ersetzt das bisher geltende Datenschutzrecht. Alle Unternehmen müssen sich nun auf das neue Recht einstellen. Alle Unternehmen? Ja, auch Einzelunternehmer und Freiberufler sind betroffen. Hier antworte ich auf die wichtigsten Fragen.

  • Eine Checkliste zur DSGVO und zum neuen Datenschutzrecht für Selbstständige und Freiberufler finden Sie hier.
  • Das Bayerischen Landesamt für Datenschutzaufsicht hat zudem ein Sofortmaßnahmen-Paket Datenschutz-Grundverordnung herausgebracht, das einen guten Überblick bietet.

Quelle: Blue Coat Photos Flickr CC

Warum sollte mich das neue Datenschutzrecht interessieren?

Ganz einfach: Wer sich nicht daran hält, muss nun erstmals mit saftigen Strafen rechnen. Während das alte Datenschutzrecht als weitgehend zahnlos belächelt wurde, hat das neue Recht richtig Biss. Bei Verstößen sind Strafen bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes möglich. Die Datenschutzbehörden der Länder werden in der Anfangsphase wahrscheinlich nicht die volle Härte des Gesetzes anwenden. Aber über kurz oder lang werden die Daumenschrauben angezogen. Und manche Unternehmen haben keine andere Chance, als sich anzupassen. Sonst werden sie vom Markt verschwinden. Denn es ist klar: Wer das neue Datenschutzrecht verinnerlicht hat, hat einen klaren Wettbewerbsvorteil.

Um welche Daten geht es?

Kern der DSGVO ist der Schutz von personenbezogenen Daten. Das sind alle Daten, die einen konkreten Person zugeordnet werden können – Namen, Adressen, Telefonnummern oder auch IP-Adressen. Technische Daten sind nicht gemeint. Wer also nur Daten über Maschinen verarbeitet kann sich zurücklehnen? Vorsicht: Auch Maschinendaten können mit personenbezogenen Daten verknüpft werden. Zum Beispiel, wenn sich Arbeiter erst anmelden müssen, bevor sie eine bestimmte Maschine nutzen. Und Schwupps – da sind sie wieder, die personenbezogenen Daten.

Ohne Einwilligung geht (fast) nichts

Das ist eigentlich nichts Neues. Schon nach dem alten Datenschutzrecht konnte man nicht einfach Kunden in Listen zusammenfassen und ihnen zum Beispiel einen Newsletter schicken. Für Vorgänge, die schlicht zum Geschäft gehören, etwa die Rechnungsstellung, ist die Einwilligung des Betroffenen nicht nötig. Aber sobald ich auf die Idee komme, irgendetwas anderes mit den Adressen, Telefonnummern oder E-Mail-Adressen zu machen, brauche ich die Einwilligung meines Kunden – am besten schriftlich, weil ich im Zweifel die Einwilligung nachweisen muss, Art. 7 Abs. 1 DSGVO. Ausführlichere Informationen zur Einwilligung finden Sie in meinem Text zur Einwilligung und ihren Voraussetzungen im Sinne der DSGVO.

Der erste Schritt: Ein Verarbeitungsverzeichnis

Es ist schon so, dass die Dokumentationspflichten, die die DSGVO vorschreibt, ziemlich nerven. Aber sie sind eben auch extrem nützlich. Das kann man vor allem über das Verarbeitungsverzeichnis sagen. Hier müssen Unternehmen auflisten, welche personenbezogenen Daten sie genau verarbeiten, welche Personengruppen betroffen sind und was sie tun, um die Daten technisch und organisatorisch zu schützen. Das gabs auch schon früher, hieß Verfahrensverzeichnis, galt aber auch nur für automatisierte Vorgänge. Jetzt sind alle Formen der Verarbeitung gemeint, also auch der beliebte Zettelkasten mit Kundenvisitenkarten oder sonstige Papierakten. Beim Rehm-Verlag gibt es eine sehr schöne Vorlage, die man hier herunterladen kann (mit ein paar Erklärungen zum Ausfüllen). Was hilft das? Eine ganze Menge, denn endlich hat man einen Überblick. Und das kann manchmal ziemlich erhellend sein.

Wer trotzdem denkt: Da muss es doch Ausnahmen geben – das stimmt. In Art. 30 Abs. 5 DSGVO wird davon gesprochen, dass es bei Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme von der Pflicht zum Führen eines Verabeitungsverzeichnisses geben soll. Aber: Es gibt so viele Einschränkungen dieser Ausnahme, dass sie nahezu bedeutungslos ist. Denn wer kann zum Beispiel schon sicher sagen, dass die vorgenommene Verarbeitung von personenbezogenen Daten kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, wie es dort verlangt wird.

Der zweite Schritt: Risikoanalyse

Unternehmen müssen nach Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, um Daten zu schützen und Risiken für Betroffene Personen zu verhindern. Dafür muss man sich zuerst einmal klarmachen, mit welchen Risiken man es zu tun hat. Und am besten ist es, diese Gedanken zu dokumentieren (die Dokumentationspflichten kommen aus Art. 5 Abs. 2 DSGVO). Wie mache ich das am besten? Erst einmal muss man sich klar werden, welche Risiken überhaupt eintreten können. Eine Möglichkeit ist die Einteilung in z.B. menschliche und nicht menschliche Risikoquellen:

Sind die Risiken erst einmal identifiziert, müssen sie eingeordnet werden. Das kann zum Beispiel so aussehen:

Risikomatrix im Papier des Bayerischen Landesamts für Datenschutzaufsicht

Das reicht aber natürlich nicht aus. Es muss Konsequenzen geben. Mindestens müssen die folgenden Maßnahmen geprüft und gegebenenfalls umgesetzt werden, die Art. 32 Abs. 1 DSGVO benennt:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
    und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen
    bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit
    der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der
    Verarbeitung.

Und dann gilt es, das Ganze wieder zu dokumentieren.

Der dritte Schritt: Die Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist so etwas wie eine Risikoanalyse-Deluxe. Sie ist nach Art. 35 Abs. 1 DSGVO vorgeschrieben, wenn besondere Risiken bestehen oder besondere Daten verarbeitet werden (z.B. Gesundheitsdaten). Es wäre eigentlich nett, wenn es hierzu eine Vorlage gebe, aber so richtig brauchbares habe ich nicht gefunden. Die deutschen Datenschutzbehörden sind da, soweit ich das weiß, noch ein bisschen in der Findungsphase. Die spanische Datenschutz-Aufsichtsbehörde AEPD hat sich allerdings ein paar Gedanken gemacht. Die Ergebnisse hat der Arbeitskreis der GDD Datenschutz International hier zusammengefasst. Wichtig ist, dass die Datenschutz-Folgenabschätzung ein Prozess ist. Wie so etwas ablaufen kann, seht ihr hier:

Quelle: GDD

Ganz schön aufwendig, aber leider nicht zu ändern. Wer eine schöne Risikoanalyse gemacht hat, hat allerdings schon einen ganz wichtigen Teil der Arbeit erledigt. Es erscheint mir sinnvoll, diesen Prozess mit einem externen Dienstleister bzw. Datenschützer umzusetzen. Allein, um sich die Arbeit mit dem Abschlussbericht (der wieder für die Dokumentation notwendig ist) zu sparen.

Der vierte Schritt: Verträge zur Auftragsverarbeitung überprüfen (oder überhaupt abschließen)

Die allerwenigsten Unternehmen schaffen es, ihre Arbeit ohne die Hilfe von externen Dienstleistern zu erledigen. In bestimmten Fällen verarbeiten diese Dienstleister personenbezogene Daten: Kundendaten, Patientendaten, Mitarbeiterdaten. Dann liegt eine Auftragsverarbeitung (AV) vor, die von der DSGVO besonders behandelt wird. Denn im Falle der Auftragsverarbeitung müssen die betroffenen Personen keine Einwilligung in die Nutzung ihrer Daten geben. Der Dienstleister wird so behandelt, als wäre er der verlängerte Arm des Auftraggebers. Damit auch ein bestimmtes Datenschutzniveau gewährleistet wird, verlangt die DSGVO nun den Abschluss eines Vertrags über eine Auftragsverarbeitung. Ein gutes Muster findet Ihr wieder bei der GDD, also hier, und sogar als Word-Dok, das Ihr selbst anpassen könnt.

Brauche ich einen Datenschutzbeauftragten?

Einzelkämpfer brauchen in der Regel keinen Datenschutzbeauftragten. Nach §38 Bundesdatenschutzgesetz-neu (BDSG-neu) muss ein Datenschutzbeauftragter benannt werden, wenn sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Aber: wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO verlangt wird, dann ist schon ab einer Personen (!) ein Datenschutzbeauftragter erforderlich. Diese Datenschutz-Folgenabschätzung ist immer dann vorgeschrieben, wenn besondere Kategorien von Daten verarbeitet weden, etwa Gesundheitsdaten (siehe oben). Das würde dann zum Beispiel für kleine Arztpraxen oder Apotheken gelten.

Da aber in Art. 37 Abs. 1 c DSGVO darauf hingewiesen wird, dass ein Datenschutzbeauftragter benannt werden muss, wenn die „Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten“ liegt, sind möglicherweise kleine Gesundheitsbetriebe (Ein-Mann-Arztpraxen oder Apotheken) davon ausgeschlossen. Abschließend geklärt ist das allerdings meines Wissens nicht.

Dass die anderen Einzelunternehmer und Freiberufler nicht dazu gezwungen sind, sich einen Datenschutzbeauftragten zu holen, heißt nicht, dass Rat nicht sinnvoll wäre. Viele Dinge lassen sich selbst lösen – das Gespräch mit einem Experten ersetzt das allerdings nicht.

Wir informieren Sie gern zu Themen rund um die neue DSGVO

Henning Zander

Über den Autor Henning Zander

Henning Zander ist Wirtschaftsjournalist und arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger

6 Kommentare

  • Ich fühle mich völlig überfordert. Ich betreibe http://www.krisenloesen.de als wordpress-Seite und hab sie auch nicht selbst eingerichtet. Ich bin ein einzelnder Freiberufler und erhebe von mir aus keine Personendaten und betreibe auch keine ative Aquise. Ich verarbeite auch keine Daten, wozu auch. Allerdings läuft ein google adwords, sost findet mich ja niemand. Ein Häcken in der Kontaktbox krieg ich vielleicht noch hin, wenn das theme das ermöglicht ….

  • Mir geht es genauso. Ich bin freiberufliche Grafikdesignerin und habe nur Daten, die für die Auftragsabwicklung nötig sind. Diese werden nicht weitergegeben. Ich selbst speichere alles Wichtige auf einem eigenen Server, nicht in der Cloud.
    Ich habe kein Kontaktformular. Was ist mit IP Adressen, die mein Provider erhebt? Was genau muss ich nun TUN? Brauche ich eine Info auf meiner Homepage, wenn ja, was? Ich habe versucht, die Infos vom Datenschutzbeauftragten meines Bundeslandes zu bekommen, steige aber durch die 100erte von Seiten Amtsdeutsch nicht durch. Auf meine E-Mail-Anfrage hat bisher niemand reagiert. Gibt es irgendwo Hilfestellung dazu?

  • Michael

    Diese Verordung ist nichts weiter als ein goldenes Kalb für Juristen und Anwälte. Kleine Unternehmen und Einzelkämpfer werden platt gemacht.

  • Ich nutze für meinen Online Shop http://www.burgstallers-art.de „Protected Shops“. Klar, dies kostet was, aber es ist ist bezahlbar. Ich gebe meine Daten ein, fülle die Fragen aus und bekomme rechtssichere Datenschutzerklärungen (DSGVO konform / AGB´s und Widerrufserklärungen. Auch die DSGVO Verzeichnisaufstellung sowie eine To-Do Liste ist enthalten. Ohne Rechtsberatung würde ich mich online nichts mehr trauen – und ich hoffe, dass ich mich mit diesen Erklärungen auch rechtlich auf 100% sicherem Terrain bewege. Habe keinen Vergleich und Versprechen gibt es ja von Online Rechtsberatungen viele – leider.

  • Ich bin Verkaufstrainer und Einzelunternehmer. Auch sehr unsicher was aktuell alles zu tun ist.
    Habe alles allein erstellt mit vielen zeitaufwendigen Recherchen.

    http://www.lemke-training.de

    Für Tipps dankbar..

    Frage : muss ich auch als Trainer ein Verfahrensverzeichnis anlegen- bzw. reicht hier wenn ja ein ausgefülltes Formular aus?

    Riesen Danke.

    Mit besten Wünschen an alle Betroffenen..

  • Henning Zander Henning Zander

    Lieber Herr Lemke, vielen Dank für Ihre Frage. Ich höre in letzter Zeit immer wieder, dass Unternehmen mit weniger als 250 Mitarbeitern kein Verarbeitungsverzeichnis erstellen müssen. Das steht tatsächlich auch so in Art. 30 Abs. 5 DSGVO. Dort wird aber auch die Ausnahme von der Ausnahme genannt:

    – es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
    – die Verarbeitung erfolgt nicht nur gelegentlich
    – oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

    Tatsächlich sind diese Ausnahmen von der Befreiung so umfangreich, dass nur noch wenige Personen von der Pflicht befreit sein dürften. Schließlich birgt nahezu jede Verarbeitung ein irgendwie geartetes Risiko für die betroffnen Personen, und in den seltensten Fällen erfolgt diese Verarbeitung nur gelegentlich. Für besondere Daten wie zum Beispiel Gesundheitsdaten ist ohnehin immer ein Verfahrensverzeichnis vorgeschrieben. Es gibt allerdings auch Stimmen, die annehmen, dass Art. 30 Abs. 5 DSGVO nicht so umfassend gemeint sein konnte – denn was macht eine Ausnahme für einen Sinn, wenn sie eigentlich nie gilt? Wissen werden wir das erst, wenn die Rechtssprechung die Norm entsprechend konkretisiert. Solange das nicht geklärt ist, empfiehlt es sich, sicherheitshalber ein Verarbeitungsverzeichnis anzulegen. Und das ist auch aus anderen Gründen sinnvoll: Durch das Verarbeitungsverzeichnis können sich Selbstständige und Freiberufler einen Überblick darüber verschaffen, welche Daten sie tatsächlich verarbeiten und wie sie das tun.

    Für das Verarbeitungsverzeichnis gelten dann keine Formvorschriften. Das kann ein Papierformular sein, eine Excel-Tabelle, oder eine der zahlreichen Vorlagen im Internet. Lediglich inhaltlich gelten die Vorraussetzungen aus Art. 30 Abs. 5 DSGVO.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.