Einzelunternehmer, Freiberufler & DSGVO

Datenschutz verstehen –  Einzelunternehmer, Freiberufler & DSGVO

Datenschutz für Einzelunternehmen
Zusammenfassung
  1. Die Regelungen der DSGVO sowie des BDSG-neu gelten auch für Einzelunternehmer, Freiberufler und Freelancer.
  2. Die Verarbeitung personenbezogener Daten ist Einzelunternehmern ebenso nur bei Vorlage einer ausdrücklichen Rechtsgrundlage oder einer Einwilligungserklärung erlaubt.
  3. Technisch-organisatorische Maßnahmen sollten bei Einzelunternehmern neben den allgemeinen Aspekten vor allem unter Berücksichtigung des Umfangs der Datenverarbeitung eingehalten werden.
  4. Ein Verzeichnis von Verarbeitungstätigkeiten ist nicht verpflichtend für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Es existieren jedoch einige Ausnahmen.
  5. Jeder Einzelunternehmer, dessen Website personenbezogene Daten verarbeitet, ist verpflichtet, eine DSGVO-konforme Datenschutzerklärung auf der besagten Website bereitzustellen.
  6. Das Verhältnis zwischen einem Verantwortlichen und einem Auftragsverarbeiter verpflichtet auch Einzelunternehmer und Co. zur Regelung durch einen Auftragsverarbeitungsvertrag.
  7. Erfüllt ein Einzelunternehmer, Freelancer oder Freiberufler eine der Voraussetzungen zur Bestellung eines Datenschutzbeauftragten, muss diese Pflicht erfüllt werden.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

PlayPlay

Nicht nur Großkonzerne oder kleine und mittlere Unternehmen (KMU) müssen die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) einhalten. Die datenschutzrechtlichen Vorgaben gelten vielmehr für alle verantwortlichen Stellen i.S.d. DSGVO.

Wichtige datenschutzrechtliche Aspekte, wie z.B. die Benennung eines Datenschutzbeauftragten, Auftragsverarbeitungen, Verzeichnis von Verarbeitungstätigkeiten (VVT) und ggfs. erforderliche Einwilligungserklärungen, betreffen nämlich auch Einzelunternehmer, Freiberufler oder Freelancer. In unserem Blogbeitrag erfahren Sie, wie Sie als Einzelunternehmer datenschutzkonform agieren. 

Inhalt:

 

Datenschutz als Einzelunternehmer

Viele Einzelunternehmer fragen sich seit Anwendbarkeit der DSGVO (25.05.2018), was denn bezüglich des Datenschutz zu tun ist. Wichtig ist in diesem Zusammenhang, dass die Vorgaben der DSGVO nicht nur für Unternehmen, Verbände, Organisationen und sonstigen verantwortlichen Stellen verpflichtend sind, sondern auch für Einzelunternehmern, Freiberuflern und Freelancern gelten. Neben den Regelungen der DSGVO gelten für die genannten Gruppen parallel auch die Regelungen des neuen Bundesdatenschutzgesetzes (BDSG-neu). Selbstständige, die keine Kapital-Gesellschaft wie z.B. eine GmbH oder AG gegründet haben, sind Einzelunternehmer. Hierzu gehören kleingewerbliche Unternehmen und kaufmännisch geführte Unternehmen, die einen Zusatz wie e.K., e.Kfr. oder e.Kfm. führen.

Zu den Einzelunternehmern gehören verschiedene Berufsfelder. Neben Einzelunternehmern müssen insbesondere auch Freiberufler und Freelancer die DSGVO einhalten. Die freiberufliche Tätigkeit ist eine selbstständige ausgeübte wissenschaftliche, künstlerische, unterrichtende, schriftstellerische oder erzieherische Tätigkeit und Berufstätigkeiten weiterer Gruppen, wie z.B selbstständige Rechtsanwälte, Ärzte, gehören z.B. Rechtsanwälte, Ärzte, Steuerberater oder Architekten, vgl. § 18 Abs. 1 EStG. Freelancer sind im Gegensatz zur freiberuflicher Tätigkeit gewerblich tätig, wie z.B. Honorar- oder Lehrkräfte im Bildungssektor. Hierzu gehören auch andere als die in § 18 Abs. 1 EStG aufgezählten Berufsgruppen. Für die genannten Berufsgruppen Einzelunternehmer, Freiberufler und Freelancer gilt die DSGVO und das BDSG-neu. Beide Datenschutzgesetze werden seit dem 25.05.2018 angewendet.

Die DSGVO und das BDSG-neu beinhalten umfangreiche Vorgaben für die Verarbeitung von personenbezogenen Daten. Gesetzliche Erleichterungen für Einzelunternehmer sind nicht explizit in den Gesetzeswerken geregelt. Lediglich in Erwägungsgrund 13 zur DSGVO, in dem es um die Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen geht, finden sich in S.4 eine Anmerkung:

“Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen“

Wie dieser Hinweis in der Praxis tatsächlich von den Aufsichtsbehörden umgesetzt bzw. berücksichtigt wird, ist derzeit nicht bekannt.

 

Verarbeitung personenbezogener Daten bei Einzelunternehmern

Bei der Verarbeitung von personenbezogenen Daten sind viele Vorgaben nach der DSGVO zu berücksichtigen und einzuhalten. Eine wesentliche Vorgabe in diesem Zusammenhang sind Art. 6 und Art. 9 DSGVO: Hiernach ist die Verarbeitung personenbezogener Daten verboten, es sei denn, es liegt eine ausdrückliche Rechtsgrundlage oder eine informierte
Einwilligung vor (Verbot mit Erlaubnisvorbehalt).

Zusammengefasst nennt Art. 6 DSGVO folgende Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten:

  • Eine informierte Einwilligung der betroffenen Person bezüglich der Verarbeitung liegt vor.
  • Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Für die Verarbeitung von besonderen Kategorien personenbezogener Daten ist zudem eine besondere Rechtsgrundlage gem. Art. 9 DSGVO erforderlich: Besondere Kategorien von personenbezogenen Daten sind z.B. personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse, weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Auch genetische, biometrische Daten und insbesondere Gesundheitsdaten gehören hierzu, vgl. Art. 9 Abs. 1 DSGVO. Als Rechtsgrundlagen kommen gem. Art. 9 Abs. 2 DSGVO für die Verarbeitung von diesen besonderen Kategorien von personenbezogenen Daten folgende in Betracht:

  • Einwilligung der betroffenen Person
  • Durchführung der Beschäftigung (Arbeitsrecht)
  • Schutz lebenswichtiger Interessen
  • Grundlage geeigneter Garantien
  • Offensichtliche Veröffentlichung
  • Verteidigung von Rechtsansprüchen
  • Erhebliches öffentliches Interesse
  • Zwecke der Gesundheitsvorsorge
  • Öffentliches Interesse im Bereich der öffentlichen Gesundheit
    Wissenschaftliche oder historische Forschungszwecke

Außerdem sind die Regelungen aus Art. 9 Abs. 3 und Abs. 4 DSGVO sowie weitere spezialgesetzliche Regelungen zu berücksichtigen. Darüber hinaus sind viele weitere gesetzliche Vorgaben der DSGVO zu berücksichtigen, wie z.B. die Benennungspflicht für einen Datenschutzbeauftragten, Erfüllung der Informationspflichten gegenüber betroffenen Personen, Anfertigung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT), Einwilligungserklärungen, Abschluss von Auftragsverarbeitungsverträgen, technisch-organisatorische Maßnahmen und vielen weiteren Vorgaben.

 

Wann brauche ich eine Einwilligungserklärung?

Eine Einwilligungserklärung für die Verarbeitung von personenbezogenen Daten ist nicht für jede Verarbeitung erforderlich. Wenn keine andere Rechtsgrundlage, z.B. aus Art. 6 oder ARt. 9 DSGVO greift, weil sie für den konkreten Fall der Verarbeitung nicht einschlägig ist, kommt die Einwilligungserklärung in Betracht. Typisches Einsatzgebiet einer Einwilligungserklärung nach der DSGVO ist z.B. die Anmeldung für einen E-Mail-Newsletter. Die Einwilligung muss von der jeweiligen betroffenen Person abgegeben werden, d.h. dem Inhaber der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Eine Einwilligungserklärung muss den Voraussetzungen der Art. 7, 8 DSGVO entsprechen:

  • Hiernach muss die Einwilligungserklärung informiert eingeholt werden, d.h. die Vorgaben der Art. 12 ff. DSGVO sind zu berücksichtigen. 
  • Außerdem muss die Freiwilligkeit bezüglich der Abgabe der Einwilligungserklärung durch die betroffene Person gewahrt werden. 
  • Wenn die Einwilligungserklärung mehrere Sachverhalte betrifft, müssen die Vorgaben aus Art. 7 Abs. 2 DSGVO eingehalten werden. 
  • Gem. Art. 7 Abs. 1 DSGVO muss die Einwilligung durch den Verantwortlichen auch nachgewiesen werden können. 
  • Das Recht, die Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen zu können, ist in Art. 7 Abs. 3 DSGVO beschrieben. Hierüber muss die betroffene Person vor der Abgabe der Einwilligungserklärung transparent aufgeklärt werden.
  • Einschränkungen bei der Einholung der Einwilligungserklärung können sich aus Art. 7 Abs. 4 DSGVO ergeben. 
  • Auch die Voraussetzungen des Art. 8 DSGVO sind bei der Einholung einer Einwilligung von Kindern einzuhalten. 

Weitere Einzelheiten und rechtliche Vorgaben zu einer Einwilligungserklärung nach der DSGVO, inkl. Muster, erfahren Sie in diesem Blogbeitrag. Die genannten rechtlichen Vorgaben für eine Einwilligungserklärung nach der DSGVO müssen von Kleinunternehmen eingehalten werden.

 

Technische und organisatorische Maßnahmen (TOM) für Einzelunternehmer

Die Vorgaben für technisch-organisatorische Maßnahmen (TOM) sind im Wesentlichen in Art. 32, 25 DSGVO geregelt. Bei den TOM bzw. TOMs i.S.d. DSGVO handelt es sich um Maßnahmen, technischer und organisatorischer Natur, die im Datenschutz die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten sollen.

Technisch-organisatorische Maßnahmen waren bereits im alten Bundesdatenschutzgesetz (BDSG-alt) in einer Anlage § 9 S.1 geregelt. Wichtig ist in diesem Zusammenhang, dass die TOM im Datenschutz nach den Vorgaben der DSGVO auch schriftlich dokumentiert werden müssen, vgl. die Rechenschaftspflicht von verantwortlichen Stellen gem. Art. 5 Abs. 2 DSGVO. Spätestens seit Inkrafttreten der EU-Datenschutz-Grundverordnung haben die TOM an mehr Relevanz für verantwortliche Unternehmen gewonnen. Die TOM nach der DSGVO müssen von Einzelunternehmer, Freiberuflern und Freelancern eingehalten werden. In welchem Umfang genau die technisch-organisatorische Maßnahmen eingehalten werden müssen, regelt Art. 32 Abs.1 S.1 1. Hs. DSGVO lediglich mittelbar: 

“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.”

Weitere und detaillierte Informationen zum Thema technisch-organisatorische Maßnahmen, inkl. Beispielen,  finden Sie hier

 

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) bei Einzelunternehmern

Das Verzeichnis von Verarbeitungstätigkeiten, oft auch als Verarbeitungsverzeichnis oder kurz VVT bezeichnet, ist in Art. 30 DSGVO explizit geregelt. Bereits im BDSG-alt existierten Regelungen zu diesem Bereich. Damals wurde das Verzeichnis von Vorbereitungstätigkeiten noch als Verfahrensverzeichnis bezeichnet. Unterschieden wurde zudem zwischen einem internen und öffentlichen Verfahrensverzeichnis.

Gem. Art. 30 Abs. 1 S.1 DSGVO muss jeder Verantwortliche und ggfs. sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Folgende Punkte müssen je Verarbeitung von personenbezogenen Daten im VVT enthalten sein:

  • Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisatione
  • Ggfs. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs.  1 Unterabs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Abs. 1 DSGVO

Das VVT ist schriftlich oder elektronisch zu führen, vgl. Art. 30 Abs. 3 DSGVO. Besonderheiten gem. Art. 30 Abs. 2 DSGVO gelten für Auftragsverarbeiter.

Eine Ausnahme bezüglich der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, kann sich für Kleinunternehmer, Freiberufler und Freelancer ggfs. aus Art. 30 Abs. 5 DSGVO ergeben: Die Pflicht, ein VVT zu führen, gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.

Zu berücksichtigen ist allerdings, dass die in Art. 30 Abs. 5 DSGVO genannten Konstellationen restriktiv auszulegen sind: Laut einer Stellungnahme (S.4) der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI NRW) “(…) ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.”

 

Anpassung der Datenschutzerklärung für Einzelunternehmer

Eine Datenschutzerklärung i.S.d. Art. 12 ff. DSGVO muss auf jeder Website zur Verfügung gestellt werden, auf der personenbezogene Daten verarbeitet werden. Die Datenschutzerklärung wird im Prinzip aus den Informationspflichten nach der DSGVO abgeleitet. Die Pflicht, eine Datenschutzerklärung auf der Website bereitzustellen, gilt ausnahmslos für Websites bzw. Webseiten von Einzelunternehmern, Freiberuflern und Freelancern, auf denen personenbezogene Daten verarbeitet werden. Alle Vorgaben aus Art. 13 DSGVO, und ggfs. Art. 14 DSGVO, müssen in der Datenschutzerklärung enthalten sein. Zu berücksichtigen sind auch die Regelungen des Art. 12 DSGVO. Datenschutzgeneratoren werden für die Erstellung von Datenschutzerklärungen grundsätzlich nicht empfohlen, da diese nicht immer alle Verarbeitungen von personenbezogenen Daten einer Website in vollem Umfang erfassen. Tipps, Hinweise und ein Muster für eine Datenschutzerklärungen finden Sie in diesem Blogbeitrag

 

Vereinbarung von Auftragsverarbeitungsverträgen mit Dritten

Das Thema Auftragsverarbeitung, früher im alten Bundesdatenschutz noch als Auftragsdatenverarbeitung (ADV)  bezeichnet, wird in der DSGVO u.a. in Art. 28 DSGVO geregelt. Hiernach muss ein Auftragsverarbeitungsvertrag mit den Vorgaben des Art. 28 DSGVO zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden, wenn ein Auftragsverarbeitungsverhältnis i.S.d. Art. 28 DSGVO vorliegt. Die Pflicht, dieses Verhältnis mit einem Auftragsverarbeitungsvertrag zu regeln, gilt insbesondere auch für Kleinunternehmer, Freiberufler und Freelancer. Wichtig ist in diesem Zusammenhang, zunächst alle Auftragsverarbeiter zu ermitteln und im Anschluss mit einem Auftragsverarbeitungsvertrag, der die Voraussetzugnen aus Art. 28 DSGVO erfüllt, zu regeln. Weitere Informationen, inkl. eines Muster-Auftragsverarbeitungsvertrages, finden Sie hier

 

Wer benötigt einen Datenschutzbeauftragten?

Die DSGVO regelt für gewisse Konstellationen die Pflicht, einen Datenschutzbeauftragten zu bestellen, vgl. Art. 37 Abs. 1 DSGVO. Neben der DSGVO regelt auch das nationale neue Bundesdatenschutzgesetz in § 38 Abs. 1 BDSG-neu gewisse Fälle, in denen die Bestellung eines Datenschutzbeauftragten verpflichtend ist. Diese Regelungen aus der DSGVO und des BDSG-neu bezüglich der Bestellpflicht eines Datenschutzbeauftragten gelten auch für Kleinunternehmer, Freiberufler oder Freelancer. 

Anzahl der Mitarbeiter

Soweit mehr als mindestens 10 Mitarbeiter (künftig wohl mehr als mindestens 20 Mitarbeiter wegen der Annahme des zweiten Datenschutz-Anpassngsgesetzes durch den Bundestag) regelmäßig mit der automatisierten Datenverarbeitung beschäftigt sind, besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, vgl. § 38 Abs. 1 S.1 BDSG-neu. Die automatisierte Datenverarbeitung ist zum Beispiel schon dann einschlägig, wenn Mitarbeiter über E-Mail kommunizieren und in diesem Zusammenhang beispielsweise Outlook verwenden.

Art der Verarbeitung

Wenn eine Verarbeitung von personenbezogenen Daten stattfindet, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt, besteht ebenfalls gem. § 38 Abs. 1 S.2 1. Alt. BDSG-neu die Pflicht, einen Datenschutzbeauftragten zu bestellen. Diese Pflicht besteht unabhängig von der Anzahl der jeweiligen Mitarbeiter.

Falls personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, besteht ebenfalls die Pflicht, einen Datenschutzbeauftragten zu bestellen, unabhängig von der Anzahl der Mitarbeiter, vgl. § 38 Abs. 1 S. 2 2. Alt. BDSG-neu.

Art der Daten und der verantwortlichen Stelle

Sollten besondere Kategorien von personenbezogene Daten i.S.v. Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten, Angaben über die ethnische Herkunft, Religion oder biometrische Daten, umfangreich i.S.v. Art. 37 Abs. 1 lit. c) DSGVO im Rahmen einer Kerntätigkeit verarbeitet werden, besteht ebenfalls eine Verpflichtung für die Bestellung eines  Datenschutzbeauftragten, unabhängig von der Anzahl der Mitarbeiter. Das gleiche gilt für die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO.

Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, ist ebenfalls die Bestellung eines Datenschutzbeauftragten, ohne Berücksichtigung der Anzahl der Mitarbeiter, verpflichtend, vgl. Art. 37 Abs. 1 lit. b) DSGVO. 

Falls die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, ist auch für diese verantwortliche Stellen die Bestellung eines Datenschutzbeauftragten verpflichtend. Selbstverständlich wird in dieser Variante die Anzahl der Mitarbeiter ebenfalls nicht berücksichtigt.

Hinweis für Einzelunternehmer:

Selbst wenn sich aus den gesetzlichen Regelungen der DSGVO und des BDSG-neu keine Bestellpflicht für einen Datenschutzbeauftragten ergibt, sollten Einzelunternehmer dennoch die Bestellung eines Datenschutzbeauftragten in Betracht ziehen, da alle anderen Vorgaben der DSGVO, wie z.B. das Führen eines VVT, Auftragsverarbeitungsverträge, technisch-organisatorische Maßnahmen, Mitarbeiterschulungen usw. auch ohne eine Bestellfpflicht für einen Datenschutzbeauftragten von den verantwortlichen Stellen eingehalten werden müssen. Nähere Informationen bezüglich der Bestellpflicht für einen Datenschutzbeauftragten erfahren Sie hier

Menü