Datenschutz, Recht

DSGVO für Einzelunternehmer und Freiberufler

Seit dem 25. Mai gilt die neue europäische Datenschutzgrundverordnung (DSGVO) in Deutschland und ersetzt das bisher geltende Datenschutzrecht. Alle Unternehmen müssen sich nun auf das neue Recht einstellen. Alle Unternehmen? Ja, auch Einzelunternehmer und Freiberufler sind betroffen. Hier antworte ich auf die wichtigsten Fragen.

  • Eine Checkliste zur DSGVO und zum neuen Datenschutzrecht für Selbstständige und Freiberufler finden Sie hier. Was sie beim Datenschutz auf Ihrer Webseite beachten müssen, lesen Sie hier.
  • Das Bayerischen Landesamt für Datenschutzaufsicht hat zudem ein Sofortmaßnahmen-Paket Datenschutz-Grundverordnung herausgebracht, das einen guten Überblick bietet.
  • Die niedersächsische Landesdatenschutzbeauftragte hat einen Katalog veröffentlicht, nach dem Unternehmen überprüft werden. Sehr aufschlussreicht!
  • Bei weiteren Fragen können Sie mich gerne in meiner Funktion als externen Datenschutzbeauftragten (TÜV) kontaktieren.
Quelle: Blue Coat Photos Flickr CC

Unsere ganze Serie zum Datenschutz finden Sie hier:

Warum sollte mich das neue Datenschutzrecht interessieren?

Ganz einfach: Wer sich nicht daran hält, muss nun erstmals mit saftigen Strafen rechnen. Während das alte Datenschutzrecht als weitgehend zahnlos belächelt wurde, hat das neue Recht richtig Biss. Bei Verstößen sind Strafen bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes möglich. Die Datenschutzbehörden der Länder werden in der Anfangsphase wahrscheinlich nicht die volle Härte des Gesetzes anwenden. Aber über kurz oder lang werden die Daumenschrauben angezogen. Und manche Unternehmen haben keine andere Chance, als sich anzupassen. Sonst werden sie vom Markt verschwinden. Denn es ist klar: Wer das neue Datenschutzrecht verinnerlicht hat, hat einen klaren Wettbewerbsvorteil.

Ideal für Einsteiger und Fortgeschrittene: Der Freiberufler Atlas: Schnell und Erfolgreich Selbständig werden von Martin Massow

AUF AMAZON ANSEHEN


Um welche Daten geht es?

Kern der DSGVO ist der Schutz von personenbezogenen Daten. Das sind alle Daten, die einen konkreten Person zugeordnet werden können – Namen, Adressen, Telefonnummern oder auch IP-Adressen. Technische Daten sind nicht gemeint. Wer also nur Daten über Maschinen verarbeitet kann sich zurücklehnen? Vorsicht: Auch Maschinendaten können mit personenbezogenen Daten verknüpft werden. Zum Beispiel, wenn sich Arbeiter erst anmelden müssen, bevor sie eine bestimmte Maschine nutzen. Und Schwupps – da sind sie wieder, die personenbezogenen Daten. Daneben gibt es auch noch besondere Kategorien von personenbezogenen Daten. Die sind in Art. 9 DSGVO festgelegt. Dazu gehören zum Beispiel Gesundheitsdaten. Wer diese verarbeitet, etwa als Arzt oder Apotheke, muss besonders sorgfältig mit ihnen umgehen. Wen es interessiert: Ein paar speziellere Infos habe ich auf meiner Seite Datenschutz und Gesundheit zusammengestellt.

Ohne Einwilligung geht (fast) nichts

Das ist eigentlich nichts Neues. Schon nach dem alten Datenschutzrecht konnte man nicht einfach Kunden in Listen zusammenfassen und ihnen zum Beispiel einen Newsletter schicken. Für Vorgänge, die schlicht zum Geschäft gehören, etwa die Rechnungsstellung, ist die Einwilligung des Betroffenen nicht nötig. Aber sobald ich auf die Idee komme, irgendetwas anderes mit den Adressen, Telefonnummern oder E-Mail-Adressen zu machen, brauche ich die Einwilligung meines Kunden – am besten schriftlich, weil ich im Zweifel die Einwilligung nachweisen muss, Art. 7 Abs. 1 DSGVO. Ausführlichere Informationen zur Einwilligung finden Sie in meinem Text zur Einwilligung und ihren Voraussetzungen im Sinne der DSGVO.

Der erste Schritt: Ein Verarbeitungsverzeichnis

Es ist schon so, dass die Dokumentationspflichten, die die DSGVO vorschreibt, ziemlich nerven. Aber sie sind eben auch extrem nützlich. Das kann man vor allem über das Verarbeitungsverzeichnis sagen. Hier müssen Unternehmen auflisten, welche personenbezogenen Daten sie genau verarbeiten, welche Personengruppen betroffen sind und was sie tun, um die Daten technisch und organisatorisch zu schützen. Das gabs auch schon früher, hieß Verfahrensverzeichnis, galt aber auch nur für automatisierte Vorgänge. Jetzt sind alle Formen der Verarbeitung gemeint, also auch der beliebte Zettelkasten mit Kundenvisitenkarten oder sonstige Papierakten. Beim Rehm-Verlag gibt es eine sehr schöne Vorlage, die man hier herunterladen kann (mit ein paar Erklärungen zum Ausfüllen). Noch ausführlicher ist das Formularhandbuch Datenschutzrecht vom C.H. Beck Verlag (in dem Buch stehen noch zig weitere Vorlagen, etwa Muster zur Auftragsverarbeitung, Formulare zu Betroffenenrechten und Kundendatenschutz, etc.). Was hilft das? Eine ganze Menge, denn endlich hat man einen Überblick. Und das kann manchmal ziemlich erhellend sein.

Wer trotzdem denkt: Da muss es doch Ausnahmen geben – das stimmt. In Art. 30 Abs. 5 DSGVO wird davon gesprochen, dass es bei Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme von der Pflicht zum Führen eines Verabeitungsverzeichnisses geben soll. Aber: Es gibt so viele Einschränkungen dieser Ausnahme, dass sie nahezu bedeutungslos ist. Denn wer kann zum Beispiel schon sicher sagen, dass die vorgenommene Verarbeitung von personenbezogenen Daten kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, wie es dort verlangt wird.

Der zweite Schritt: Risikoanalyse

Unternehmen müssen nach Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, um Daten zu schützen und Risiken für Betroffene Personen zu verhindern. Dafür muss man sich zuerst einmal klarmachen, mit welchen Risiken man es zu tun hat. Und am besten ist es, diese Gedanken zu dokumentieren (die Dokumentationspflichten kommen aus Art. 5 Abs. 2 DSGVO). Wie mache ich das am besten? Erst einmal muss man sich klar werden, welche Risiken überhaupt eintreten können. Eine Möglichkeit ist die Einteilung in z.B. menschliche und nicht menschliche Risikoquellen:

Sind die Risiken erst einmal identifiziert, müssen sie eingeordnet werden. Das kann zum Beispiel so aussehen:

Risikomatrix im Papier des Bayerischen Landesamts für Datenschutzaufsicht

Das reicht aber natürlich nicht aus. Es muss Konsequenzen geben. Mindestens müssen die folgenden Maßnahmen geprüft und gegebenenfalls umgesetzt werden, die Art. 32 Abs. 1 DSGVO benennt:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
    und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen
    bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit
    der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der
    Verarbeitung.

Und dann gilt es, das Ganze wieder zu dokumentieren.

Der dritte Schritt: Die Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist so etwas wie eine Risikoanalyse-Deluxe. Sie ist nach Art. 35 Abs. 1 DSGVO vorgeschrieben, wenn besondere Risiken bestehen oder besondere Daten verarbeitet werden (z.B. Gesundheitsdaten). Es wäre eigentlich nett, wenn es hierzu eine Vorlage gebe, aber so richtig brauchbares habe ich nicht gefunden. Die deutschen Datenschutzbehörden sind da, soweit ich das weiß, noch ein bisschen in der Findungsphase. Die spanische Datenschutz-Aufsichtsbehörde AEPD hat sich allerdings ein paar Gedanken gemacht. Die Ergebnisse hat der Arbeitskreis der GDD Datenschutz International hier zusammengefasst. Wichtig ist, dass die Datenschutz-Folgenabschätzung ein Prozess ist. Wie so etwas ablaufen kann, seht ihr hier:

Quelle: GDD

Ganz schön aufwendig, aber leider nicht zu ändern. Wer eine schöne Risikoanalyse gemacht hat, hat allerdings schon einen ganz wichtigen Teil der Arbeit erledigt. Es erscheint mir sinnvoll, diesen Prozess mit einem externen Dienstleister bzw. Datenschützer umzusetzen. Allein, um sich die Arbeit mit dem Abschlussbericht (der wieder für die Dokumentation notwendig ist) zu sparen.

Der vierte Schritt: Verträge zur Auftragsverarbeitung überprüfen (oder überhaupt abschließen)

Die allerwenigsten Unternehmen schaffen es, ihre Arbeit ohne die Hilfe von externen Dienstleistern zu erledigen. In bestimmten Fällen verarbeiten diese Dienstleister personenbezogene Daten: Kundendaten, Patientendaten, Mitarbeiterdaten. Dann liegt eine Auftragsverarbeitung (AV) vor, die von der DSGVO besonders behandelt wird. Denn im Falle der Auftragsverarbeitung müssen die betroffenen Personen keine Einwilligung in die Nutzung ihrer Daten geben. Der Dienstleister wird so behandelt, als wäre er der verlängerte Arm des Auftraggebers. Damit auch ein bestimmtes Datenschutzniveau gewährleistet wird, verlangt die DSGVO nun den Abschluss eines Vertrags über eine Auftragsverarbeitung. Ein gutes Muster findet Ihr wieder bei der GDD, also hier, und sogar als Word-Dok, das Ihr selbst anpassen könnt.

Das Prinzip: Datensparsamkeit

Wie schon ihre Vorgänger hat auch die DSGVO das Prinzip der Datensparsamkeit festgeschrieben. Unternehmen brauchen ein Löschkonzept für die Daten, die sie nicht mehr benötigen. Ein guter Anlass, mal über einen Aktenvernichter nachzudenken. Informationen darüber, was bei der Aktenvernichtung zu beachten ist, und von welchen Aktenvernichtern wir glauben, dass sie für Einzelunternehmer und Freiberufler sinnvoll sind, haben wir hier zusammengefasst. Betroffene haben nach Art. 17 DSGVO im Übrigen ein Recht auf Löschung. Sie können vom Verantwortlichen verlangen, dass ihre personenbezogene Daten unverzüglich gelöscht werden, zum Beispiel, wenn sie ihre Einwilligung widerrufen haben. Daten jedoch, die aufgrund einer gesetzlichen Grundlage erhoben wurden, sind vom Recht auf Löschung nicht betroffen. Auch gesetzliche Aufbewahrungspflichten stehen dem Recht auf Löschung entgegen. Rechnungen etwa sind zum Beispiel zehn Jahre aufzubewahren.

Brauche ich einen Datenschutzbeauftragten?

Einzelkämpfer brauchen in der Regel keinen Datenschutzbeauftragten. Nach §38 Bundesdatenschutzgesetz-neu (BDSG-neu) muss ein Datenschutzbeauftragter benannt werden, wenn sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Aber: wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO verlangt wird, dann ist schon ab einer Personen (!) ein Datenschutzbeauftragter erforderlich. Diese Datenschutz-Folgenabschätzung ist immer dann vorgeschrieben, wenn besondere Kategorien von Daten verarbeitet weden, etwa Gesundheitsdaten (siehe oben). Das würde dann zum Beispiel für kleine Arztpraxen oder Apotheken gelten.

Da aber in Art. 37 Abs. 1 c DSGVO darauf hingewiesen wird, dass ein Datenschutzbeauftragter benannt werden muss, wenn die „Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten“ liegt, sind die meisten  Gesundheitsbetriebe (Ein-Mann-Arztpraxen oder Apotheken) davon ausgeschlossen. Im Erwägungsgrund 91 DS-GVO heißt es in Satz 4:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Dass Einzelunternehmer und Freiberufler nicht dazu gezwungen sind, sich einen Datenschutzbeauftragten zu holen, heißt aber nicht, dass Rat nicht sinnvoll wäre. Viele Dinge lassen sich selbst lösen – das Gespräch mit einem Experten ersetzt das allerdings nicht.

Was Sie tun können, wenn trotzdem eine Abmahnung bei Ihnen eingeht, lesen Sie hier.

Schauen Sie sich auch unser Video an:

Über den Autor Henning Zander

Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger