Datenschutz und Selbstständigkeit: Strenge Regeln für sensible Daten

Disclaimer: Der folgende Text enthält keine Rechtsberatung, sondern ist rein informativ. Bei rechtlichen Fragen konsultiere bitte einen Anwalt.

Die Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, dient dazu, Datenschutzbestimmungen innerhalb der Europäischen Union zu harmonisieren. Sie betrifft jedes Unternehmen, das mit Daten natürlicher Personen und mit personenbezogenen Daten arbeitet. Und damit betrifft es auch dich als Selbstständigen, insofern du Kundendaten (zeitweise) erhebst oder Angestellte hast. Darunter fallen eben auch für Geschäftsprozesse notwendige Daten – etwa Adressdaten, eine Bankverbindung oder etwa die E-Mail-Adresse eines PayPal-Kontos. 

Alle Daten, die in deinen Besitz gelangen und von dir erhoben oder benutzt werden, fallen unter die DSGVO. Entsprechend streng können Prüfungen ausfallen. Denn aus der Datenschutzgrundverordnung lassen sich eine ganze Menge Handlungsaufforderungen an Unternehmen (und eben auch an Einzelunternehmer und kleinste Unternehmen) ableiten, deren Einhaltung nicht immer einfach, aber im Zweifel doch notwendig ist. Denn Zuwiderhandlungen können mit recht unangenehm hohen Geldbußen belegt werden. 

Was du im Einzelnen in verschiedenen Anwendungsfällen zu beachten hast und wie du deinen Pflichten bezüglich des Datenschutzes und der -verarbeitung nachkommst, erfährst du hier.

Wichtige Grundsätze der DSGVO

Es gibt ein paar Dinge, die immer gelten und keine Sache der Abwägung sein dürfen. Da ist zum einen deine Pflicht als Selbstständiger, Daten so zu sichern, dass sie vor dem Zugriff Unbefugter geschützt sind. Das heißt: Offene Notizen mit möglicherweise persönlichen Daten müssen bei deiner Abwesenheit vor den Blicken anderer geschützt werden. Das gilt etwa in Co-Working-Spaces.

Das gleiche gilt für Daten auf Bildschirmen: Streng genommen musst du deinen Bildschirm abschalten (oder das Dokument mit den Daten schließen), wenn du nicht am Computer bist. Dass das in der Praxis natürlich wenig Beachtung findet, ist klar. Allerdings ergibt sich diese Pflicht, den Zugriff auf Daten durch Unbefugte zu unterbinden, direkt aus den Regularien zum Datenschutz. Auf der sicheren Seite bist du natürlich, wenn du allein im Home-Office arbeitest.

Dann gibt es natürlich das Recht auf Auskunft und Korrektur. Jede natürliche Person, deren Daten du erhoben hast, hat einen Anspruch darauf, über Art und Umfang (und Weiterverarbeitung und Weitergabe) der Daten binnen kurzer Zeit Auskunft zu erlangen. Zudem darf jede Person Berichtigungen verlangen. Dies betrifft etwa falsch geschriebene Namen, Adressänderungen, das Beharren auf Nennung eines Titels im Namen und so weiter.

Du bist zudem dazu verpflichtet, alle deine Kunden darüber zu informieren, welche Daten du erhebst und warum. Zusätzlich musst du transparent machen, was mit den Daten passiert. Werden sie etwa regelmäßig zur Erfüllung von Aufträgen weitergegeben (typischerweise an Versanddienstleister), muss der Kunde darüber informiert sein. In der Regel findet sich der entsprechende Passus in der Datenschutzerklärung. Auch die AGB informieren oftmals umfassend darüber, dass Daten erhoben werden und dies auch notwendig ist. 

Erhobene Daten müssen zudem im kleinstmöglichen Umfang (Gebot der Nichterhebung nicht notwendiger Daten) erhoben werden. Du solltest zudem benennen können, in welchem Zeitraum nicht mehr benötigte Daten gelöscht oder vernichtet werden.

Zwar wird in diesem Zusammenhang immer von personenbezogenen Daten gesprochen, was als „Privatperson“ missverstanden werden kann. Dies schließt allerdings laut mehrerer Gerichtsurteile auch Daten von Personen in Unternehmen ein – also etwa Namen von Ansprechpartnern, IP-Adressen und so weiter.

Da solche Daten notwendig sein können, um ein B2B-Geschäft zu betreiben (was bei Freelancern häufig vorkommt), gelten die gleichen Grundsätze wie im B2C-Bereich. Die DSGVO unterscheidet diese Bereiche zudem nicht.

Deine Dokumentationspflichten

Im Grunde bist du dazu verpflichtet, die Weiterverarbeitung von Daten zu dokumentieren. Das heißt konkret beispielsweise: Du erhältst von einem Kunden eine Lieferadresse (oder auch eine E-Mail-Adresse) und musst wissen, wo diese Daten gespeichert sind und dass sie sicher sind. Nutzt du die Daten, bist du zur Dokumentation verpflichtet. Dies bedeutet, dass du Schritte der Verarbeitung dokumentieren musst. Dass dies faktisch bei beispielsweise einem Online-Shop eher lästig ist und nie passiert, liegt auf der Hand. Die Dokumentation ergibt sich zudem aus der technischen Notwendigkeit: Wenn ein Kunde etwa Adressdaten übermittelt hat und du eine Bestellung verschickt hast, ergibt es sich von selbst, dass du offensichtlich die Daten dafür genutzt hast. 

Die Dokumentationspflicht sollte bei personenbezogenen Daten enthalten, wann und wie die Erlaubnis zur Datenerhebung erteilt wurde (meist durch Bestätigung der AGB), wozu sie genutzt wurden und ob noch weitere Ergänzungen stattfanden. Dies ist etwa der Fall, wenn ein Kunde einwilligt, dass du seine E-Mail-Adresse an einen Versanddienstleister weitergibst, damit dieser ihn über den Lieferstatus informieren kann.

Und ja: Dafür ist eine Einwilligung notwendig, die entweder per Datenschutzerklärung geklärt gehört oder eben nachträglich. Das gleiche gilt für Newsletter, die auch nur an Leute gesendet werden dürfen, die eingewilligt haben. Darüber hinaus enthält Artikel 30 der DSGVO noch eine Reihe von Anforderungen an die Dokumentation. 

Deine Datenschutzstrategie

Im Zweifel musst du einer zuständigen Aufsichtsbehörde nachweisen können, wie du oder dein Unternehmen Daten allgemein behandeln und der DSGVO auch nachkommen. Hierfür sollte es ein Strategiepapier geben, das Auskunft darüber gibt, wie und wann Daten auf welcher Rechtsgrundlage erhoben werden, warum sie nötig sind und wie sie verarbeitet werden. Darüber hinaus muss daraus hervorgehen, wann Daten gelöscht werden.

Am einfachsten ist es aus den oben genannten Gründen, Daten nur in dem Maße zu erheben, in dem sie konkret wichtig sind – also etwa Kundendaten einfach nur mit Name, Adresse und Kontaktmöglichkeit anzulegen.

Artikel 30 Absatz 5 der DSGVO: Erleichterung für viele

Art. 30 Abs. 5 DSGVO ist ein Segen für die meisten Freelancer und kleinen Selbstständigen: Hieraus ergibt sich eine Aufhebung der Pflicht zur Verzeichnisführung, insofern keine sensiblen Daten (allgemein in Art. 9 Abs. 1 DSGVO formuliert) betroffen sind. Dies umfasst etwa Gesundheitsdaten oder Daten zur ethnischen Zugehörigkeit. 

Heißt das, dass du aufatmen kannst? Vermutlich nicht. Die Grundsätze der DSGVO musst du schließlich immer einhalten und das läuft vor allem darauf hinaus, dass deine Kunden wissen müssen, welche Daten du und warum du sie verarbeitest. Ferner brauchst du dafür eine Einwilligung, die sich aus der Zustimmung (bei AGB), der Unterschrift (bei Verträgen) oder auch durch konkludentes Handeln (Mitteilung einer Lieferadresse per E-Mail etc.) ergeben kann.

Brauchst du einen Datenschutzbeauftragten?

Die Antwort hierauf lautet vermutlich Nein. Unternehmen mit weniger als zehn Mitarbeitern benötigen keinen expliziten Datenschutzbeauftragten, sondern die Belange des Datenschutzes müssen von einem Mitarbeiter (oder dir als Einzelkämpfer) beachtet werden. Damit bist du zwar verantwortlich für die Einhaltung des Datenschutzes, aber eben noch nicht Datenschutzbeauftragter. 

Zuwiderhandlungen bei der DSGVO

Jedes Bundesland hat einen Landesbeauftragten für Datenschutz, der für die Privatwirtschaft zuständig ist. Die Aufsichtsbehörden sind Ansprechpartner bei Fragen rund ums Thema und auch für Sanktionen zuständig. Die Sanktionen sind ein guter Grund, sich mit der Einhaltung der DSGVO vertraut zu machen, denn sie haben es in sich: 4 % des Umsatzes oder bis zu 20 Millionen Euro Strafe können als Bußgeld bei Verstößen gegen die DSGVO verhängt werden.

Klassiker an Verstößen sind:

- fehlende Informationen dazu, dass Kundendaten weitergegeben werden

- fehlende Nachweise zur Dokumentation

- fehlendes Löschkonzept

- fehlerhafte Datenschutzerklärungen

Es ergibt sich, dass man selbst nicht zu denen gehören möchte, die zum Teil horrende Summen zahlen. 

Deshalb sollten gerade deine AGB (bei Online-Shops und allen Websites, auf denen Daten erhoben werden können) wasserdicht sein. Ferner solltest du einen Überblick über Daten haben und nicht Benötigtes löschen. Keinesfalls dürfen personenbezogene Daten in die Hände anderer Personen fallen. Im Zweifel sind analoge Kundendateien deshalb sicherer als Datenbanken, wenn es dein Business von den geschäftlichen Abläufen her zulässt.

Hilfe auf dem Weg zur Datenschutzkonformität

IT-Fachanwälte können dir bei Fragen ebenso helfen wie auch verschiedene Anbieter von AGB und Datenschutzerklärungsgeneratoren. Gerade dann, wenn du einen Online-Shop oder ähnliches betreibst, ist es wichtig, dass hier alles stimmt. Eine fehlerhafte AGB oder Datenschutzerklärung ist eines der beliebtesten Ziele für Abmahnungen. 

Ob du hierfür auf kostenlose Anbieter zurückgreifst oder dir gegen Gebühr eine AGB und Datenschutzerklärung anfertigen lässt, die genau zu deinem Angebot passt, sei dir überlassen. 

Bei Detailfragen rund um das Thema DSGVO ist es sicherlich ratsam, entweder einen Fachanwalt zu konsultieren, bei deiner zuständigen Handelskammer nachzufragen oder auch dich direkt an deinen Landesdatenschutzbeauftragten zu wenden.

Das ganze Thema sollte dir allerdings keine Angst bereiten. In der Praxis ist datenschutzkonformes Verhalten durch minimale Datenerhebung recht gut möglich. Wichtig ist vor allem, dass Daten nicht unsicher gelagert werden und nicht ohne Zustimmung erhoben werden. Der Rest ist, zumindest in der Praxis, bei den meisten Freelancern kaum von Bedeutung.