Datenschutz für Selbstständige: Wissenswertes zur DSGVO

Verfasst von Roul Radeke. Zuletzt aktualisiert am 13 März, 2024
Lesezeit Minuten.
Die Anforderungen zum Datenschutz für Selbstständige haben sich zum 25. Mai 2018 grundlegend geändert. Sie sind deutlich verschärft worden, die damit verbundenen Aufzeichnungspflichten ebenfalls. Selbstständige müssen sich die Frage stellen, ob sie langfristig selbst dafür sorgen, das Gesetz einzuhalten oder ob sie einen externen Beauftragten einschalten, der ihnen die Verantwortung abnimmt.  

DSGVO lässt keine Lücken

Die Datenschutz-Grundverordnung, kurz DSGVO, regelt umfassend und praktisch ohne Lücken die Verpflichtung zum Datenschutz. Viele Selbstständige haben nicht nur die Arbeitsprozesse im Betrieb umgestellt, sondern auch den Umgang mit Kundendaten generell neu geregelt. Jeder Selbstständige war und ist gefordert, die datenschutzrechtlichen Vorschriften einzuhalten. Dazu sind zwei Optionen denkbar: Selbst machen oder einen Profi hinzuziehen.

Die Relevanz der DSGVO

Jeder Selbstständige, der personenbezogene Daten sammelt und in irgendeiner Form für sich nutzt, ist von der DSGVO betroffen. Ob E-Mails verschickt oder Bestelldaten für den Versand von Paketen aufgenommen werden, die DSGVO schreibt vor, wie Firmen damit umgehen müssen. Weitere Vorschriften bezüglich der Angaben im Impressum sowie zum Umgang mit den gesammelten Daten sowie den Aufzeichnungsfristen im Betrieb müssen kommuniziert werden. Selbstständige wie Unternehmen haften für die korrekte Umsetzung und werden bei Verstößen zur Kasse gebeten.

Mehr als die Datenschutzerklärung auf der Website

Selbstständige müssen nicht nur eine stimmige Datenschutzerklärung online stellen oder ihren Kunden aushändigen, sondern auch ein Verzeichnis anlegen. Das Verzeichnis gibt über die Speicherdauer bestimmter Daten Auskunft. Wenn jemand nach diesem Verzeichnis fragt, müssen Betriebe es bereitstellen. Jeder Betrieb, der Kundendaten verarbeitet, muss ein solches Verzeichnis erstellen. Es sind gemäß DSGVO unter anderem diese Informationen zu verzeichnen:

  • Unternehmens-Grunddaten
  • zuständige Person für den Datenschutz bzw. Datenschutzbeauftragter
  • Verarbeitungstätigkeiten

In dem Verzeichnis muss zum Beispiel stehen,

  • wann und in welchem Zusammenhang ein Kunde die Zustimmung für die Speicherung von personenbezogenen Daten gegeben hat, 
  • auf welcher Rechtsgrundlage die Datenverarbeitung basiert,
  • welche Erklärungen die Kunden zur Datenverarbeitung erhalten haben,
  • aus welcher Quelle die Daten stammen. 

Beispiel: Bei einem seriösen Newsletter-Anbieter sollte diese Art der Verzeichniserstellung inkludiert sein, wie bei Rapidmail beispielsweise. Dies geschieht in der Regel über das Double-Opt-In-Verfahren. Dabei bestellt ein User den Newsletter und muss im zweiten Schritt die E-Mail-Adresse bestätigen.

Nicht nur für den Newsletter werden Kundendaten aufgenommen, sondern auch in anderen Zusammenhängen. Wenn Unklarheit oder Unsicherheit über die Einzelheiten besteht, sollten Selbstständige darüber nachdenken, einen externen Datenschutzbeauftragten einzuschalten.

Datenschutz für Selbstständige - Wissenswertes zur DSGVO_TB

Selbstständige sollten bei der Wahl des Newsletter-Anbieters die Angaben zum Datenschutz prüfen. Bildquelle: Depositphotos.com

Entlastung durch einen Profi: Datenschutzbeauftragten hinzuziehen

Die mit dem Datenschutz in Zusammenhang stehenden Aufgaben lassen sich in der Regel nicht nebenbei erledigen. Die Praxis zeigt, dass im Geschäftsalltag keine Kapazitäten dafür bereitgestellt werden können, insbesondere, bei kleinen und mittleren Betrieben. In diesem Fall ist die Zusammenarbeit mit einem Datenschutzbeauftragten empfehlenswert.

Professionelle Datenschutzbeauftragte nehmen KMU mit mehreren Mitarbeitern nicht nur die Arbeit ab, sie erledigen diese auch zuverlässig und gesetzeskonform. Da Betriebe mit mehr als neun Personen ohnehin einen Datenschutzbeauftragten benennen müssen, was in der Praxis wie erwähnt selten umsetzbar ist, empfiehlt sich eine Vereinbarung mit einem externen Datenschutzbeauftragten. Auch, wenn der Betrieb weniger als neun Personen hat, aber dennoch Zugriff auf sensible persönliche Daten genommen wird, ist ein Datenschutzbeauftragter Pflicht. Als sensible Daten werden dabei zum Beispiel diese eingestuft:

  • ethnische Abstammung
  • Religion
  • Zugehörigkeit zu einer Gewerkschaft
  • biometrische Daten

Im Prinzip bedeutet das, dass Steuerberater, Ärzte oder Rechtsanwälte, die alleine arbeiten bzw. nur einen kleinen Mitarbeiterstamm unter 9 Personen haben, verpflichtet sind, einen Datenschutzbeauftragten einzuschalten.

Bei Bornemann erhalten Firmen nicht nur einen professionellen Service, sie können darüber hinaus von Zuschüssen profitieren, die bis zu 100 % der entstehenden Kosten abdecken. Ein nicht zu unterschätzender Vorteil einer guten Datenschutzorganisation ist der Wettbewerbsvorteil, den Betriebe im Vergleich zu denjenigen haben, die ihren Datenschutz nicht oder nur schlecht organisieren: Bei schlecht organisierten Betrieben drohen Abmahnungen, die mit Geldbußen verbunden sein können.

Wenn das Budget begrenzt ist

Betriebe mit einem kleinen Budget oder Startups, die gerade erst die Existenzgründung vollzogen haben und noch nicht auf regelmäßige Umsätze bauen können, überlegen sich oft, die Einhaltung der Datenschutz Grundverordnung selbst zu gewährleisten. Das ist auch in Ordnung, solange eine sorgfältige und umsichtige Arbeitsweise vorliegt. Unterm Strich haften Selbstständige dafür, dass ihre Prozesse der DSGVO entsprechen und die Daten transparent und überprüfbar abgelegt werden. Sie sollten allerdings wissen, dass es regelrechte Abmahn-Firmen gibt, die Webseiten nach fehlerhaften Angaben durchstöbern.

Tipp: Wer sich nicht dauerhaft einen externen Datenschutzbeauftragten leisten kann oder will, sollte mindestens ein professionelles Sicherheitscheck beauftragen. Auch sollten die Datenschutzangaben zumindest mit einem rechtssicheren Generator für Datenschutzerklärungen hergestellt werden. In unserem Beitrag „Alles Wichtige zur Datenschutzerklärung“ finden Sie ebenfalls viele Hinweise sowie die besten Muster, Generatoren und Vorlagen.

Datenschutz im Unternehmen: ein Beispiel

Website und Newsletter sind Beispiele für digitale Bereiche, die vom Datenschutz tangiert werden. Die Arbeitsabläufe im Unternehmen werden oft unterschätzt, sie bergen aus Datenschutzsicht aber zahlreiche Stolpersteine. Betriebe, die täglich mit Kunden zu tun haben und Daten aufnehmen und weiterverarbeiten, müssen den Datenschutz im Unternehmen gezielt und kontrolliert umsetzen, um der DSGVO zu entsprechen. Ein Beispiel soll zeigen, wie das in der Praxis aussehen kann:In einem Autohaus besteht die Verkaufsfläche aus einem offenen Bereich, in den Gesprächsnischen integriert sind. Diese sind zwar durch zwei halbhohe Stellwände von der Umgebung abgetrennt, doch es sind keine abgeschlossenen Räume. Um der DSGVO zu genügen, muss der Betrieb an den Rechnern Bildschirmschoner aktivieren, die nach kürzester Zeit den Zugriff auf die Daten blockieren – niemand ohne Befugnis darf einen Blick auf die erfassten Daten werfen. Vertragsunterlagen, die üblicherweise nach der Unterzeichnung auf den Schreibtisch in die Ablage gelegt werden, sind nun sofort abzuheften, um fremden Dritten den Zugriff unmöglich zu machen. Es kommt häufig vor, dass in einem Verkaufsgespräch Einzelheiten zu klären sind, für die der Verkäufer mit anderen Mitarbeitern des Autohauses persönlich Rücksprache halten muss. Verlässt der Verkäufer den Arbeitsplatz, muss er praktisch dafür sorgen, dass sämtliche personenbezogenen Daten vor fremden Zugriff geschützt werden – auch, wenn der Kunde selbst direkt vor dem Schreibtisch sitzt und auf die Rückkehr wartet. Das bedeutet entweder, stets alle Papiere einzusammeln und mitzunehmen oder vorübergehend in einen Schrank zu schließen.

Anhand des obigen Beispiels ist zu erkennen, wie umständlich und zeitraubend sich Arbeitsabläufe gestalten können, wenn kein durchdachtes Datenschutzkonzept dahintersteht. Jede Firma, die Kundenkontakt hat und personenbezogene sensible Daten verarbeitet, muss entsprechende Vorkehrungen treffen, die einerseits datenschutzkonform und andererseits effizient sind. Der Rat eines Spezialisten ist in diesem Zusammenhang wertvoll, weil er erprobte praktikable Lösungen vorschlagen kann.

Weitere hilfreiche Beiträge

Whistleblower decken Fehlverhalten, Missstände und Straftaten in Unternehmen, Institutionen und Behörden auf. Damit diese Whistleblower bzw. Hinweisgeber durch ihre Informationen... Mehr lesen.
Hinweisgeberschutzgesetz: Schutz von Whistlebowlern
Die Datenschutzgrundverordnung hat die datenschutzrechtlichen Vorgaben für Unternehmen im Umgang mit personenbezogenen Daten teils deutlich verschärft. Bei Nichtbeachtung der Vorschriften... Mehr lesen.
Aufgaben einer Datenschutzbeauftragten
Mit den Änderungen des Infektionsschutzgesetzes greifen bis zum 19. März 2022 neue Bestimmungen am Arbeitsplatz. So gilt das 3G-Modell nun... Mehr lesen.
3G am Arbeitsplatz – Die Bedeutung der Testpflicht
Jetzt mit Roul Radeke, dem Autor dieses Beitrags vernetzen:

Roul Radeke ist Gründer und Geschäftsführer von Selbststaendigkeit.de. Das Onlineportal bietet Existenzgründern und Unternehmern News aus der Gründer- und Unternehmerszene, hilfreiches Wissen für die Gründung und Führung von Unternehmen, geförderte Existenzgründungsberatung (AVGS-Coaching) sowie digitale Produkte für die Selbstständigkeit.

Kritische Infos und Tools für Ihren Gründungserfolg direkt ins Postfach.
  • Praxisbezogene Schritt-für-Schritt-Anleitungen.
  • Wichtige Tools und exklusive Sonderrabatte für unsere Leser.
  • Umfassende Übersichten und Entscheidungshilfen für Ihren nächsten Schritt.
* Ja, ich möchte den Newsletter. Die Einwilligung kann jederzeit im Newsletter widerrufen werden. Datenschutzerklärung.
Success message!
Warning message!
Error message!