DSGVO: Checkliste für Selbstständige und Freiberufler

Wenn Sie die hier benannten Fragen der DSGVO Checkliste für Selbstständige und Freiberufler für sich beantworten und entsprechende Maßnahmen ergreifen, haben Sie für sich schon sehr viel gewonnen. Die Checkliste erhebt keinen Anspruch auf Vollständigkeit und ersetzt auch nicht den Besuch bei einem Datenschutzexperten. Wir hoffen allerdings, dass wir Ihnen ein wenig das Gefühl nehmen können, in Panik zu verfallen. Denn das ist die Hauptsache bei der Umsetzung der neuen Datenschutzvorschriften: Bewahren Sie die Ruhe!

  • Weitere ausführliche Informationen über die DSGVO für Selbstständige und Freiberufler finden sie hier.
  • Das Bayerischen Landesamt für Datenschutzaufsicht hat zudem ein Sofortmaßnahmen-Paket Datenschutz-Grundverordnung herausgebracht, das einen guten Überblick bietet.

Die fünf Datenschutz-Prinzipien von Mozilla, Foto Ann Wuyts, Flickr, CC

 

 

1. Verarbeite ich personenbezogene Daten (z.B. Namen, Adressen, Telefonnummern, IP-Adressen, E-Mail-Adressen etc.)?
2. Wie verarbeite ich diese Daten (Online über Cloud, auf meinem Rechner / Excel, Word, Karteikasten etc.)
3. Habe ich ein Verfahrensverzeichnis? (Hier geht es zu einer Vorlage des Rehm-Verlags)
4. Aufgrund welcher rechtlichen Grundlage kann ich die personenbezogenen Daten nutzen (aufgelistet in Art. 6 Absatz 1 DSGVO)?

  • Einwilligung
  • Erfüllung eines Vertrages (z.B. Rechnungstellung)
  • rechtliche Verpflichtung
  • Schutz lebenswichtiger interessen
  • überwiegendes öffentliche Interessen
  • berechtigtes Interessen des Verantwortlichen, sofern nicht die Interessen der betroffenen Person überwiegen

5. Gibt es für die Erhebung und Verarbeitung alle Daten eine rechtliche Grundlage?
6. Sind die Voraussetzungen für eine Einwilligung nach Art. 4 Nr. 11 DSGVO erfüllt? (mehr Informationen finden Sie in meinen Artikel zur Einwilligung nach der DSGVO)

  • Freiwillig
  • ggfs. schriftlich (wg. der Nachweispflicht), kann aber auch elektronisch oder mündlich erfolgen
  • Hinweis auf die Rechte des Betroffenen nach Art. 12ff DSGVO
  • Aufklärung über die Möglichkeit, die Einwilligung jederzeit widerrufen zu können
  • Bei Daten von Unter-16-Jährigen: Genehmigung des gesetzlichen Vertreters

7. Habe ich meine Informationspflichten durch eine Datenschutzerklärung (Print oder Online) erfüllt?
8. Beachte ich die Voraussetzungen einer Datenschutzerklärung? (Art.12 ff DSGVO – eine Vorlage finden Sie bei Datenschutz.org als Word-Dok über diesen Link)

  • Verständliche Sprache
  • Information über Art der Daten und ihre Verarbeitung
  • Nennung des Verantwortlichen
  • Hinweis auf die Rechte des Betroffenen (vor allem: Widerruf, Auskunft, Löschung, Berichtigung)

9. Habe ich eine Risikoanalyse erstellt? (Einen kurzen Überblick gibt es bei privcom.de)

  • Art der Daten
  • Risikoquellen
  • Geeignete technische und organisatorische Maßnahmen

10. Brauche ich einen Datenschutzbeauftragten?

  • Wenn ich mind. 10 Personen beschäftige, die ständig mit der automatischen Verarbeitung von Daten zu tun haben
  • Unter Umständen schon ab einer Person: Wenn ich mit besonderen Kategorien von Daten zu tun habe (z.B. Gesundheitsdaten) – das ist derzeit allerdings umstritten

11. Nutze ich externe Dienstleister zur Verarbeitung der Daten (z.B. Cloud-Services, externes Rechnungswesen, Provider, etc.)?
12. Habe ich mit diesen Auftragsverarbeitern einen Auftragsverarbeitungsvertrag (AV-Vertrag)? (Hier geht es zu einer Vorlage der GDD)
13. Welche Daten sammele ich über meine Homepage?

  • Wie werden diese Daten gespeichert?
  • Handelt es sich dabei um personenbezogene Daten?

14. Biete ich einen Newsletter an?
15. Kann man sich zu diesem Newsletter per Double-opt-in-Verfahren anmelden (erst über die Homepage, dann zusätzliche Bestätigung per Mail)?
16. Habe ich alle Social-Media-Plug-Ins (z.B. Facebook-Share-Button) von meiner Webseite entfernt, die das Verhalten der Besucher der Webseite überwachen könnten? (Gründe hierfür werden schön bei Medienkompass.de erklärt)
17. Ist meine Datenschutzerklärung auf jeder Seite meiner Homepage als Link sichtbar?

Diese Punkte sind auf nahezu jedes Unternehmen übertragbar. Für Arztpraxen und Apotheken habe ich hier noch ein paar weitere Informationen zusammengestellt. Zudem kann ich auch als externer Datenschutzbeauftragter (TÜV) benannt werden.

Wir informieren Sie gern zu Themen rund um die neue DSGVO

Henning Zander

Über den Autor Henning Zander

Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger

5 Kommentare

  • An wen müssen wir uns denn wenden, wenn wir die vielen Fragen nicht beantworten können? Ein befreundeter Schreiner meinte, dass er seine Website nutzt, um mit anderen in Kontakt zu bleiben. Er kümmert sich nicht groß darum. Benötigt er jetzt einen Rechtsanwalt, nur weil er sich um das Tagesgeschäft kümmert, statt um die Daten? Was ist mit den Einwilligungen, sollen die immer in Papierform vorliegen?

  • Henning Zander Henning Zander

    Lieber Herr Köhler, in meinem Text zur Einwilligung gehe ich näher auf diese Fragen ein. Grundsätzlich kann die Einwilligung schriftlichen, elektronisch oder mündlich erfolgen (Erwägungsgrund 32 DSGVO zur Einwilligung). Wegen der Nachweispflicht ist es allerdings von Vorteil, eine schriftliche oder elektronische Einwilligung zu haben. Eine Beratung durch einen Rechtsanwalt kann natürlich sinnvoll sein, ist aber natürlich nicht vorgeschrieben.

  • T.Köhler

    Gelten Angaben (Stammdaten) von Mitarbeitenden in Institutionen auch als ‚personenbezogene Daten‘ und müssen entsprechend DSGVO behandelt werden? Wenn ich eine Liste von Institutionen (mit Ansprechpersonen und Kontaktdaten) anlege, ist das DSGVO relevant?

    Ich bin Freiberufler und schreibe von Zeit zu Zeit Institutionen an, die mir als relevant erscheinen. Die von mir gesendete Email wird in meinem Emailprogramm gespeichert. Fällt sie somit unter die DSGVO? Wenn ja, wie kann ich das Einverständnis der Person einholen?

    Wenn mir Personen (i.d.R. Mitarbeitende von Einrichtungen) Emails schreiben oder auf meine Emails antworten – kann ich hier ein Einverständnis zur Speicherung dieser Emails voraussetzen? Wenn nicht, wie lange ist eine rechtlich akzeptable Speicherfrist -1 Stunde, 1 Woche, 1 Jahr oder länger?

    Schonmal herzlichen Dank für die Beschäftigung mit diesen Fragen.

  • Henning Zander Henning Zander

    Lieber Herr Köhler, vielen Dank für Ihre Frage. Personenbezogene Daten sind alle Daten, die auf eine konkrete Person zurückgeführt werden können, insbesondere z.B. Adresse, Telefonnummer, E-Mail aber auch IP-Adressen. Das gilt auch für die Daten von Ansprechpersonen in Institutionen, soweit sie die dahinterstehende Einzelpersonen identifizierbar machen. Insofern ist also die DSGVO relevant und sind die datenschutzrechtlichen Vorgaben zu beachten. Nach DSGVO Erwägungsgrund 47 können Daten für das Direktmarketing gesammelt werden. Wichtig ist es hier, dass auch ein Grund bestehen sollte, anzunehmen, dass auch der Kontaktierte ein Interesse an der Kontaktaufnahme hat. Eine Einwilligung ist dann nicht erforderlich. Grundsätzlich gilt das Prinzip der Datensparsamkeit. Daten, die nicht mehr gebraucht werden, sollten damit auch gelöscht werden. Allerdings gibt es auch gesetzliche Aufbewahrungspflichten (bei Rechnungen z.B. 10 Jahre). Wichtig für Selbstständige und Freiberufler ist es, überhaupt ein Konzept zu haben, nach dem die Löschung erfolgt.

  • Timm Köhler

    Herzlichen Dank für die genaue und ausführliche Beantwortung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.