Definition: Was ist Datenschutz?
Eine einheitliche und verbindliche Definition, was unter dem Begriff Datenschutz zu verstehen ist, gibt es nicht. Grundsätzlich kann man aber festhalten, dass es bei diesem Thema darum geht, bestimmte persönliche Informationen einer Person vor Missbrauch zu schützen.
Zu diesen persönlichen Informationen gehören zum Beispiel:
- Name
- Adresse
- Geburtsdatum und -ort
- E-Mail-Adresse
- Telefonnummer
Egal, ob du also Einzelunternehmer:in oder Freelancer:in bist – im digitalen Zeitalter fordert die DSGVO den Schutz personenbezogener Daten wie zum Beispiel:
- IP-Adresse
- Standortdaten
- Zugeordnete Cookies
Das bedeutet, dass die DSGVO beim Thema Datenschutz noch ein wenig weiter geht. Denn sie erachtet auch pseudonyme Informationen, also solche, die zwar nicht direkt, aber mit ein wenig Nachdenken einer Person zugeordnet werden können, ebenfalls als besonders schützenswert.
Fazit: Nicht dazu zählen jedoch anonyme Informationen, die auch mit Nachdenken nicht einer konkreten Person zugeordnet werden können. Sie können von dem jeweiligen Unternehmen ohne Einschränkungen verarbeitet werden.
Was sind personenbezogene Daten im Sinne der DSGVO?
Informierst du dich als Solo-Selbständige:r oder Freelancer:in über das Thema Datenschutz, begegnet dir spätestens bei der Auftragsverarbeitung der Begriff „personenbezogene Daten“. Gemeint sind damit alle Informationen, die sich direkt auf eine Person beziehen oder mit ein wenig Transferleistung Rückschlüsse auf diese Person zulassen.
In Artikel 4 Ziffer 1 der DSGVO werden diese Daten näher definiert – dazu zählen:
- allgemeine Daten zur Person wie Name oder Geburtsdatum
- Kennnummern wie die Steuernummer
- Bankdaten
- Online-Daten
- Körperliche Merkmale wie Geschlecht oder Augenfarbe
- Besitzmerkmale
- Kundendaten
Laut DSGVO gibt es weitere Daten, die besonders geschützt werden müssen. Für Unternehmer:innen, die Kundendaten einer Datenverarbeitung unterziehen, gelten hier ganz besondere Vorschriften.
Zu diesen speziellen personenbezogenen Daten gehören Informationen über
- ethnische oder kulturelle Herkunft
- politische, religiöse oder philosophische Überzeugungen
- Sexualität
- Zugehörigkeit zu einer Gewerkschaft oder politischen Vereinigung
- Gesundheitsdaten
Daraus ergibt sich, dass die Vorschriften der DSGVO nicht für verstorbene oder juristische Personen gelten. Jedoch für alle Mitarbeiter:innen, Kund:innen und Geschäftspartner:innen – um nur einige betroffene Personengruppen zu nennen.
Für wen gilt die DSGVO?
Du willst nicht gegen die Vorschriften bzw. Vorgaben der DSGVO verstoßen, fragst dich aber, was für dich als Solo-Selbstständige:r oder Freelancer:in gilt? Das ist schnell beantwortet, denn Datenschutz spielt für alle Gruppen von Einzelunternehmer:innen eine wichtige Rolle, folglich auch für die folgenden Berufsfelder:
- Ebenso wie Einzelunternehmer:innen müssen auch Freiberufler:innendie DSGVO einhalten. Als freiberufliche Tätigkeit gilt laut § 18 Abs. 1 EStG eine selbstständig ausgeübte erzieherische, unterrichtende, künstlerische, wissenschaftliche, aber auch schriftstellerische Tätigkeit. Dazu zählen auch Berufsgruppen, wie selbstständige Rechtsanwälte, Ärzte sowie Steuerberater:innen und Architekt:innen.
- Freelancer:innen sind an die DSGVO gebunden. Sie sind im Gegensatz zu freiberuflich Tätigen gewerblich aktiv, wie z.B. Honorar- oder Lehrkräfte im Bildungssektor. Hierzu gehören auch andere als die in § 18Abs. 1 EStG aufgezählten Berufsgruppen.
- Für die genannten Berufsgruppen der Einzelunternehmer:innen, Freiberufler:innen und Freelancer:innen gilt die Verordnung zum Datenschutz(DSGVO) und das BDSG-neu seit 2018. Dabei macht der Gesetzgeber keinen Unterschied zwischen B2B und B2C.
Beide gesetzlichen Verordnungen – die DSGVO und das BDSG-neu – legen dabei umfangreiche Vorgaben für die Verarbeitung von personenbezogenen Daten fest. Für dich als Freelancer:in, Kleinunternehmer:in oder Einzelunternehmer:in im Sinne eines Solo-Selbstständigen gibt es dafür keine gesetzlichen Ausnahmen vom Datenschutz. Innerhalb der DSGVO heißt es sinngemäß nur, dass die Organe und Einrichtungen der europäischen Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten sind, bei der Anwendung der Verordnung zum Datenschutz die besonderen Bedürfnisse von Kleinunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.
Beide Vorschriften sehen bestimmte Maßnahmen zum Datenschutz vor, die auch Einzelunternehmer:innen, beispielsweise kleingewerbliche Unternehmen, treffen müssen. Die Datenschutzverordnung betrifft dabei nicht nur digitale Vorgänge bezogen auf einen Onlineshop, sondern gilt auch, wenn du eine analoge Datenverarbeitung durchführst – zum Beispiel, wenn du eine Rechnung odereinen Vertrag schreibst. Arbeitestdu mit digitalen Tools vonbestimmten Anbietern, zum Beispiel für Bezahlmöglichkeiten im Onlineshop, dann prüfe genau, ob hierbei alles DSGVO-konform abläuft und du als Einzelunternehmer:in bei der Nutzung alle Vorgaben zum Datenschutz einhältst.
Welche Strafen drohen dir bei Regelverstößen?
Vernachlässigen Selbstständige genannter Gruppendiese Pflichten zum Datenschutz, droht ihnen ein Verfahren mit empfindlichen Strafen: Bis zu 20 Millionen Euro Bußgeld oder alternativ bis zu 4 Prozent des weltweiten Jahresumsatzes kann dich ein Datenschutzverstoß kosten. Achtung: Gibst du Daten zur Verarbeitung an sogenannte Drittanbieter weiter und diese arbeiten nicht gesetzeskonform, dann fällt das auf dich zurück und dir drohen die gleichen hohen Strafen.
Brauchst du eine Datenschutzerklärung für jede Website?
Bist du selbständig, dann kommst du im Zeitalter digitaler Kommunikation und modernem Online-Marketings nicht ohne eine aussagekräftige Website aus. Als Betreiber einer solchen muss dir als Einzelunternehmer:in klar sein, dass du dann laut Art. 12 ff. DSGVO eine Datenschutzerklärung für Kund:innen auf jeder Webseite zur Verfügung stellen musst, sofern dortpersonenbezogene Daten verarbeitet werden.
Konkret heißt das, dass Einzelunternehmer:innen alle Vorgaben zum Datenschutz aus den Artikeln 13 DSGVO sowie ggfs. 14 DSGVO in der Datenschutzerklärung einhalten müssen. Zu berücksichtigen sind auch die Regelungen des Art. 12 DSGVO.
Was muss in einer Datenschutzerklärung enthalten sein?
Fragst du zum Beispiel für den Versand eines Newsletters via E-Mail Kundendaten ab, dann muss Folgendes aus der Datenschutzerklärung für deinen Onlineshop hervorgehen:
- Wofür du personenbezogene Daten wie Telefonnummer oder E-Mail-Adresse erhebst?
- Welche Rechtsgrundlage hierfür besteht?
- Wie lange die Datengespeichert werden?
- Dass Nutzer:innen ihre Einwilligung zur Datenerhebung bzw. deren Verarbeitung ablehnen können.
Welche Vorgaben musst du als Einzelunternehmer:in beim Datenschutz berücksichtigen?
Nicht nur die DSGVO, sondern auch das BDSG erteilt Unternehmen sowie Freelancer:innen Vorgaben, was im Hinblick auf den Datenschutz umgesetzt werden muss. Das betrifft auch technisch-organisatorische Maßnahmen zum Schutz der Daten, wie beispielsweise die Installation von Firewalls.Grundsätzlich solltest du Folgendes beachten:
- Datenmissbrauch: Die personenbezogenen Daten müssen vor Datenmissbrauch geschützt werden. Das bedeutet vor allem, dass sie unbefugten Dritten nicht zugänglich sein dürfen.
- Zweckbindung: Die betroffene Person muss über den Zweck, zu dem die Daten gespeichert werden, informiert werden und außerdem zustimmen, dass das Unternehmen die Daten nutzen darf.
- Einwilligung: Vorab muss die betroffene Person, von der die Daten erhoben werden, der Verarbeitung und Erhebung der Daten zustimmen. Eine Änderung, die im Zuge der DSGVO in Kraft getreten ist, betrifft die Form der Einwilligung. Die betroffene Person muss explizit zustimmen. Lediglich eine stillschweigende Einwilligung reicht nicht maus, um die Vorgaben des Datenschutzes zu erfüllen.
- Koppelungsverbot: Die Zustimmung zur Verarbeitung, Nutzung oder Erhebung personenbezogener Daten darf keine Voraussetzung für Leistungen sein. Es ist zum Beispiel nicht erlaubt, dass Unternehmer:innen eine Ware nur liefern, wenn die betroffene Person zustimmt, dass ihre Daten verarbeitet werden.
- Datenschutzbeauftragte:r: Sind mehr als 9 Mitarbeiter:innen im Unternehmen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut, muss ein:e spezielle:r Datenschutzbeauftragte:r bestellt werden.
- Form: Daten müssen in einer zulässigen Form übermittelt werden.
- Anonymisierung: Werden bestimmte Daten anonymisiert gespeichert, muss das verarbeitende Unternehmen sicherstellen, dass sie nicht mehr mit anderen Daten kombiniert werden können und so der Bezug zu einer konkreten Person doch wieder hergestellt werden kann.
- Begründete Verwendung: Personenbezogene Daten von Angestellten müssen einem bestimmten Zweck dienen, zum Beispiel, wenn ein neuer Arbeitsvertrag geschlossen werden soll. Falls du also mal Aushilfen einstellen willst, solltest du das im Kopf haben.
- Pflichten: Personen, von denen personenbezogene Daten erhoben werden, haben bestimmte Rechte gegenüber den Unternehmen. So besteht zum Beispiel eine Auskunftspflicht für alle nicht öffentlichen Stellen (zum Beispiel Schufa oder Creditreform) darüber, welche Daten der betroffenen Person sie zu welchem Zweck gesammelt haben und was mit diesen Daten passiert ist.
- Löschung: Stimmen die erhobenen Daten nicht mit der Realität überein, sind nicht öffentliche Unternehmen zu einer Löschung verpflichtet oder dazu, sie zu korrigieren oder so zu speichern, dass sie nicht zugänglich sind.
Tipp: Verwende als Freelancer:inoder Solo-Selbstständige:r am besten eine Buchhaltungssoftware für Einzelunternehmen. Mit ihr arbeitest du stets datenschutzkonform und erfüllst alle Vorschriften, ohne dich selbst mit den Gesetzesvorgaben beschäftigen zu müssen.
Welche Informationspflichten bestehen durch die DSGVO?
Gerade die Informationspflichten im Sinne der DSGVO geben Einzelunternehmer:innen immer wieder Anlass zu Fragen. Denn die DSGVO unterscheidet beim Datenschutz zwischenpersonenbezogenen Daten, die direkt bei der jeweiligen Person erhoben werden und Tätigkeiten, bei denen Daten von Dritten erhoben werden.
Daraus leiten sich verschiedene Informationspflichten ab:
Wo bekomm einest du eine allgemeine Datenschutzerklärung her?
Rechtsanwälte erstellen auf Anfrage rechtssichere Datenschutzerklärungen für deine Branche bzw. dein Geschäftsfeld. Hierfür musst du zwar etwas Geld in die Hand nehmen, doch andererseits kannst du dich, zum Beispiel als Freelancer:in, darauf verlassen, dass die erarbeitete Erklärung zum Datenschutz rechtskonform ist und somit den aktuellen DSGVO-Regelwerken entspricht.
Wenn du einen sogenannten Datenschutz-Konfigurator nutzen möchtest, dann kannst du online mit wenigen Klicks eine Standard-Datenschutzerklärung generieren. Es ist hierfür auf jeden Fall ratsam zu prüfen, wie aktuell diese Webseite ist und zu sehen, wer diese Leistung anbietet – auch wenn sie kostenfrei ist.
So verlockend die angeblich DSGVO-konformen Datenschutzerklärungen für Einzelunternehmer:innen als Muster im Netz sind, kopiere sie besser nicht. Denn je nach Website und Unternehmensausrichtung sind die DSGVO- Anforderungen an die Inhalte verschieden. Selbst für eine einfache Datenschutzerklärung solltest du dich an einen Experten wenden. Denn Fehler in der Datenschutzerklärung verursachen Kosten und führen zu Abmahnungen oder sogar zu Bußgeldern.
Warum überhaupt Datenschutz im Unternehmen?
Wie wir gesehen haben, hast du ohnehin keine Wahlmöglichkeit, ob du als Einzelunternehmer:in oder Freelancer:in die Vorgaben des Datenschutzes einhalten möchtest oder nicht. Doch von der rechtlichen Pflicht abgesehen, gibt es noch ein weiteres Argument, das ganz klar für die Einhaltung des Datenschutzes in Unternehmen spricht: Du kannst damit das Vertrauen deiner Kund:innen steigern.
Denn wenn du viel Wert auf Datenschutz legst, wirkt das nach außen vertrauensfördernd und seriös. Das kann dir einen klaren Wettbewerbsvorteil verschaffen. Bestes Beispiel: Du informierst in deiner Datenschutzerklärung potenzielle Nutzer:innen über die Verwendung von Cookies und holst deren Zustimmung dazu ein. Oder du verweist unter einem Kontaktformular auf die aktuelle Datenschutzerklärung. Damit zeigst du, dass du die persönlichen Informationen deiner Kund:innen als schützenswert erachtest. Das umso mehr, wenn du über die Vorgaben der DSGVO hinausgehst und als Einzelunternehmer:in zusätzlichen Aufwand für den Datenschutz betreibst. Datenschutz in diesem Sinne kann damit sogar ein Alleinstellungsmerkmal sein, das dein Geschäftsmodell bzw. deine Marke hervorhebt.
Muss jedes Unternehmen einen Datenschutzbeauftragten benennen?
Nein, nicht jedes Unternehmen musszwingend einen Datenschutzbeauftragten ernennen. Die DSGVO verlangt jedoch unter bestimmten Voraussetzungen, einen Datenschutzbeauftragten zu bestellen. Geregelt ist das im Art. 37 Abs. 1 DSGVO. Daneben legt auch das nationale Bundesdatenschutzgesetz in § 38 Abs. 1 BDSG-neu fest, in welchen Fällen die Bestellung eines Datenschutzbeauftragten – zum Beispiel für Einzelunternehmer:innen – Pflicht ist. Diese Regelungen aus der DSGVO und des BDSG - neu gelten auch für Kleinunternehmer:innen, Freiberufler:innen oderFreelancer:innen.
Geht es also um die Bestellung eines Datenschutzbeauftragten, kommt es zum einen auf die Tätigkeit an, die du als Selbstständige:r ausübst, zum anderen darauf, wieviele Mitarbeiter:innen mit der Verarbeitung personenbezogener Daten betraut sind.
Doch selbst wenn du mit deinem Geschäftsmodell keiner Bestellpflicht für einen Datenschutzbeauftragten unterliegst, musst du in der Lage sein, die Regelwerke der DSGVO – zum Beispiel mit Blick auf Auftragsverarbeitungsverträge bzw. Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) - einzuhalten.
Datenschutzbeauftragter: Welche Voraussetzungen müssen erfüllt sein?
Gemäß DSGVO und BDSG-neu muss ein Unternehmen einen Datenschutzbeauftragten bestellen, wenn folgende Voraussetzungen gegeben sind:
- Es sind regelmäßig mindestens 9 Mitarbeiter:innen mit der Verarbeitung und Nutzung (automatisierte Datenverarbeitung) personenbezogener Daten betraut.
- Im Unternehmen werden spezielle personenbezogene Daten, wie beispielsweise jene, die die Religion oder den Gesundheitszustand betreffen, verarbeitet.
- Das Kerngeschäft des Unternehmens besteht darin, automatisierte Datenverarbeitung oder die Übermittlung von personenbezogenen Daten anzubieten.
Inhalte für dein Business.