Die neue Datenschutzgrundverordnung (DSGVO) muss ab dem 25. Mai 2018 europaweit befolgt werden. Kernthema ist der Schutz personenbezogener Daten – mit weitreichenden Folgen für zahlreiche Geschäftsmodelle. Im zweiten Teil unserer großen Datenschutz-Serie haben wir bereits die Herausforderungen der DSGVO für Unternehmen diskutiert. Doch wie sieht es speziell für Freelancer aus? In diesem dritten Teil unserer DSGVO-Serie erfahren Sie, was Sie als Freelancer jetzt unbedingt wissen müssen:
Grundsätzliches
Entgegen vieler Auffassungen, betrifft die DSGVO uns alle – egal ob Weltkonzern, mittelständisches Unternehmen oder Selbstständige und Freelancer. Zwar müssen erst Unternehmen ab einer Größe von zehn Mitarbeitern einen Beauftragten für Datenschutz stellen, dennoch werden auch kleinere und Einzelunternehmen nicht aus der DSGVO-Pflicht entlassen. Es gelten für alle die Grundsätze Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung und Speicherbegrenzung, Richtigkeit, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Wir haben das hier näher erläutern.
Konkrete Herausforderungen
Mit den folgenden Hinweisen (Dr. Katja Flinzner erklärt das hier auch anschaulich und mit zusätzlichen Links für mehr Informationen und beispielsweise Vordrucken) verschaffen Sie sich einen Überblick und bringen etwas Struktur und Handhabbarkeit in das Thema Datenschutz:
Datenschutzerklärung
Mit dem 25. Mai 2018 benötigt jede/r eine Datenschutzerklärung auf der Website. Denn auch wenn Sie selbst aktiv keine personenbezogenen Daten erheben, tut dies zumindest Ihr Webhoster. Bereits bestehende Erklärungen zum Datenschutz sollten gemäß der neuen Gesetzeslage angepasst und überarbeitet werden. Insgesamt gibt es durch die neue DSGVO eine Vielzahl an Dokumenten zu organisieren.
Überblick verschaffen und behalten
Gehen wir noch einen Schritt zurück, denn das Erfassen von personenbezogenen Daten beginnt nicht erst, wenn Sie eine Website betreiben. Wichtig ist, dass Sie ein detailliertes Verzeichnis aller Verarbeitungen personenbezogener Daten zusammenstellen – das kann zum Teil ganz schön umfangreich werden, denn oft ist nicht auf den ersten Blick ersichtlich, an welchen Stellen diese Daten überall erfasst werden. Falls nicht sowieso schon Standard, ist die Umstellung Ihrer Website auf HTTPS wichtig, sodass die Kommunikation (von Daten) geschützt wird. Außerdem geht der Schutz personenbezogener Daten noch ein Stück weiter in das (analoge) Berufsleben: So müssen Sie auch für die Sicherheit Ihrer Akten/ Daten durch abschließbare Schränke und/ oder Büros sorgen und Ihre Rechner sichern.
Funktionen anpassen
Einwilligung ist auch hier weiterhin unser Stichwort. So benötigen Sie die Einwilligung des Nutzers zum Übertragen, Speichern und Weiterverarbeiten seiner oder ihrer Daten, wenn dieser ein Kontaktformular auf Ihrer Seite ausfüllt. Das Gleiche gilt für etwaige Kommentarfunktionen im Blog oder an ähnlicher Stelle. Am sichersten ist eine Check-Box, die der User bei jeder dieser Funktionen anklicken sollte, um die Einwilligung zu bestätigen. Dabei muss es den Usern allerdings immer freistehen, eine solche Einwilligung, aus welchem Grund auch immer, nicht zu erteilen. Außerdem sollten Sie in solchen Fällen nur die Angaben als obligatorisch kennzeichnen, die Sie zwingend für die Ausführung und Umsetzung der jeweils gewünschten Anfrage oder Funktion benötigen. Doch die neue DSGVO macht die Prozesse eines Selbstständigen nicht ausschließlich komplizierter: Denn ab Mai gilt auch, dass „berechtigte Interessen“ aufgrund der Ausübung Ihres Geschäftsmodells Sie zur Erhebung und Speicherung personenbezogener Daten berechtigen. Dr. Flinzner bemüht hier das Beispiel des Online-Shops: Wenn Sie so einen betreiben, benötigen Sie nun einmal die Adresse der Kunden und dürfen diese auch ohne explizite Einwilligung des Kunden erfassen und verarbeiten. Entsprechend funktioniert das Prinzip.
Zusammenarbeit mit Dritten
Diese Stellen, an denen personenbezogene Daten eine Rolle spielen, betreffen unter anderem auch Ihre Zusammenarbeit mit anderen, z.B. Drittunternehmen. Haben diese Zugriff auf die Daten und IT-Systeme, sollten Sie einen Auftragsdatenverarbeitungsvertrag abschließen. Das gilt z.B. auch für den Webhoster oder Ihren Newsletterdienstleister. Bestehen diese Verträge bereits, müssen sie entsprechend an die neue Verordnung angepasst werden.
Newsletterversand
Vertiefen wir das Thema Newsletter aufgrund seiner Relevanz noch einmal: Möchten Sie entsprechend einen Newsletter an Ihre Kunden schicken, müssen Sie die gleichen Punkte beachten, wie ein größeres Unternehmen auch. Das ist im Wesentlichen – analog zu den bisherigen Erkenntnissen –, dass Sie sich die explizite Einwilligung der Empfänger einholen müssen, und zwar vor Beginn des Versands. Dabei muss der genaue Zweck der Datenverarbeitung transparent sein. Haben Sie diese Punkte nicht schon in Ihrem System genauso umgesetzt, sind ab Ende Mai alle bisherig erhobenen und gespeicherten Daten nicht weiter verwendbar. Näher erläutert haben wir das im zweiten Teil unserer DSGVO-Serie unter dem Punkt Newsletter und Werbung.
Veranstaltung zum Thema Datenschutz
Zum Thema Datenschutz und DSGVO gab und gibt es nicht nur zahlreiche Informationen, sondern auch die passenden Veranstaltungen. So zum Beispiel auch der PrivacyDay der am 26. April in Köln stattgefunden hat. In solchen Veranstaltungen sprechen zumeist (Fach-)Anwälte und Datenschutzbeauftragte, Unternehmen und Verbände über ihre persönlichen Erfahrungen und über die üblichen Themen der DSGVO.
Alles rund um unsere Datenschutz-Serie finden Sie in Teil 1 und Teil 2.
Sie schreiben: “So benötigen Sie die explizite Einwilligung des Nutzers zum Übertragen, Speichern und Weiterverarbeiten seiner oder ihrer Daten, wenn dieser ein Kontaktformular auf Ihrer Seite ausfüllt.” Das ist falsch. Auf einem Kontaktformular oder in der Datenschutzerklärung muss ich aufklären, dass ich die dort erhaltene Daten verarbeite, was ich damit mache und wie lange ich sie aufbewahre. Wenn ich aber nur das mache, was das Kontaktformular offensichtlich machen soll, benötige ich KEINE spezielle Einwilligung dazu. Die Berechtigung dafür ergibt sich aus Art 6 Abs. 1 lit. b. DSGVO. Wenn ich mehr machen will, muss die Einwilligung OPTIONAL sein. Eine Einwilligung wäre nicht freiwillig und damit unwirksam, wenn ich ohne diese Einwilligung keine Kontaktmöglichkeit anbiete.
Hallo Herr Erbguth,
vielen Dank für Ihren Hinweis! Tatsächlich waren wir hier in der Formulierung etwas zu scharf – wir haben das angepasst. Sie haben natürlich völlig Recht, dass man den User nicht zur Einwilligung zwingen darf, er muss immer auch die Möglichkeit haben, eben nicht zuzustimmen, wenn er (aus welchem Grund auch immer) nicht möchte. Danke nochmal dafür!
Mit den besten Grüßen
Ihr freelance.de-Team
echt sinnvoller Hinweis!
Vielen Dank für diesen informationsreichen Beitrag. Datenschutz in der EU ist sehr wichtig, da er der Bestandteil der Urheberrechtsreform sei.