Disclaimer: Der folgende Text enthält keine Rechtsberatung, sondern ist rein informativ. Bei rechtlichen Fragen konsultiere bitte einen Anwalt.
Die Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, dient dazu, Datenschutzbestimmungen innerhalb der Europäischen Union zu harmonisieren. Sie betrifft jedes Unternehmen, das mit Daten natürlicher Personen und mit personenbezogenen Daten arbeitet. Und damit betrifft es auch dich als Selbstständigen, insofern du Kundendaten (zeitweise) erhebst oder Angestellte hast. Darunter fallen eben auch für Geschäftsprozesse notwendige Daten – etwa Adressdaten, eine Bankverbindung oder etwa die E-Mail-Adresse eines PayPal-Kontos.
Alle Daten, die in deinen Besitz gelangen und von dir erhoben oder benutzt werden, fallen unter die DSGVO. Entsprechend streng können Prüfungen ausfallen. Denn aus der Datenschutzgrundverordnung lassen sich eine ganze Menge Handlungsaufforderungen an Unternehmen (und eben auch an Einzelunternehmer und kleinste Unternehmen) ableiten, deren Einhaltung nicht immer einfach, aber im Zweifel doch notwendig ist. Denn Zuwiderhandlungen können mit recht unangenehm hohen Geldbußen belegt werden.
Was du im Einzelnen in verschiedenen Anwendungsfällen zu beachten hast und wie du deinen Pflichten bezüglich des Datenschutzes und der -verarbeitung nachkommst, erfährst du hier.
Wichtige Grundsätze der DSGVO
Es gibt ein paar Dinge, die immer gelten und keine Sache der Abwägung sein dürfen. Da ist zum einen deine Pflicht als Selbstständiger, Daten so zu sichern, dass sie vor dem Zugriff Unbefugter geschützt sind. Das heißt: Offene Notizen mit möglicherweise persönlichen Daten müssen bei deiner Abwesenheit vor den Blicken anderer geschützt werden. Das gilt etwa in Co-Working-Spaces.
Das gleiche gilt für Daten auf Bildschirmen: Streng genommen musst du deinen Bildschirm abschalten (oder das Dokument mit den Daten schließen), wenn du nicht am Computer bist. Dass das in der Praxis natürlich wenig Beachtung findet, ist klar. Allerdings ergibt sich diese Pflicht, den Zugriff auf Daten durch Unbefugte zu unterbinden, direkt aus den Regularien zum Datenschutz. Auf der sicheren Seite bist du natürlich, wenn du allein im Home-Office arbeitest.
Dann gibt es natürlich das Recht auf Auskunft und Korrektur. Jede natürliche Person, deren Daten du erhoben hast, hat einen Anspruch darauf, über Art und Umfang (und Weiterverarbeitung und Weitergabe) der Daten binnen kurzer Zeit Auskunft zu erlangen. Zudem darf jede Person Berichtigungen verlangen. Dies betrifft etwa falsch geschriebene Namen, Adressänderungen, das Beharren auf Nennung eines Titels im Namen und so weiter.
Du bist zudem dazu verpflichtet, alle deine Kunden darüber zu informieren, welche Daten du erhebst und warum. Zusätzlich musst du transparent machen, was mit den Daten passiert. Werden sie etwa regelmäßig zur Erfüllung von Aufträgen weitergegeben (typischerweise an Versanddienstleister), muss der Kunde darüber informiert sein. In der Regel findet sich der entsprechende Passus in der Datenschutzerklärung. Auch die AGB informieren oftmals umfassend darüber, dass Daten erhoben werden und dies auch notwendig ist.
Erhobene Daten müssen zudem im kleinstmöglichen Umfang (Gebot der Nichterhebung nicht notwendiger Daten) erhoben werden. Du solltest zudem benennen können, in welchem Zeitraum nicht mehr benötigte Daten gelöscht oder vernichtet werden.
Zwar wird in diesem Zusammenhang immer von personenbezogenen Daten gesprochen, was als „Privatperson“ missverstanden werden kann. Dies schließt allerdings laut mehrerer Gerichtsurteile auch Daten von Personen in Unternehmen ein – also etwa Namen von Ansprechpartnern, IP-Adressen und so weiter.
Da solche Daten notwendig sein können, um ein B2B-Geschäft zu betreiben (was bei Freelancern häufig vorkommt), gelten die gleichen Grundsätze wie im B2C-Bereich. Die DSGVO unterscheidet diese Bereiche zudem nicht.