.st0{fill:#FFFFFF;}

Datenschutz als Einzelunternehmer 

 Oktober 22, 2020

By  Stephan Ilg

Datenschutz als Einzelunternehmer 

Seit dem Inkrafttreten der europäischen Datenschutzgrundverordnung („DSGVO“) im Mai 2018 hat das Thema Datenschutz an Bedeutung gewonnen. Dabei schützt die DSGVO vor allem die Rechte der Verbraucher innerhalb der EU. 

Nicht nur Großkonzerne mussten interne Prozesse anpassen, sondern auch kleine und mittelständische Betriebe sowie Ein-Mann-Betriebe. Dabei stellt das Thema Datenschutz oftmals insbesondere für Ein-Mann-Unternehmen eine große Hürde dar.  

Das Wichtigste auf einen Blick

  • Die Datenschutzgrundverordnung stellt im Wesentlichen an alle Marktteilenehmer dieselben Anforderungen, unabhängig davon, ob es sich um einen großen Betrieb handelt oder einen Ein-Mann-Betrieb; 

  • Einzelunternehmer sind Selbstständige, die keine Kapitalgesellschaft gegründet haben; 
  • Auch Einzelunternehmer dürften personenbezogene Daten nur auf einer rechtlichen Grundlage oder einer Einwilligung verarbeiten; 
  • Betreibt ein Einzelunternehmer, Freiberufler oder Freelancer eine Webseite, auf der personenbezogene Daten verarbeitet werden, ist er verpflichtet eine Datenschutzerklärung bereitzustellen. 

    1. Einzelunternehmer und Freiberufler

    Die Datenschutzgrundverordnung stellt, mit wenigen Ausnahmen, an alle Marktteilenehmer dieselben Anforderungen und enthält für alle Unternehmen unmittelbar geltendes Recht, unabhängig davon, ob es sich um einen großen Betrieb handelt oder einen Ein-Mann-Betrieb.  

    Sobald ein Unternehmer Rechnungen ausstellt oder eine Kundenkartei anlegt gelten für Selbstständige die Bestimmungen der Datenschutzgrundverordnung. Bei diesen Vorgängen werden personenbezogene Informationen verarbeitet, die in den Anwendungsbereich der DSGVO fallen.

    Die DSGVO findet nicht nur bei digitalen Vorgängen Anwendungsondern auch wenn eine analoge Datenverarbeitung erfolgt. Demnach haben Selbstständige die DSGVO auch dann zu beachten, wenn sie Daten per Hand, ohne digitale Hilfsmittel sammeln, verarbeiten und archivieren. 

    Insgesamt lässt sich festhalten, dass die DSGVO nicht nur für Großunternehmen, Verbände, Organisationen oder sonstige Stellen gilt, sondern auch für Einzelunternehmer, Freiberufler und Freelancer. 

    Unter Einzelunternehmer sind Selbstständige zu verstehen, die keine Kapitalgesellschaft gegründet haben. Dazu gehören kleingewerbliche und kaufmännisch geführte Unternehmen, die den Zusatz e.K., e.Kfr. oder e.Kfm führen. 

    Abgesehen von Einzelunternehmern müssen sich insbesondere Freiberufler und Freelancer an die Bestimmungen der DSGVO halten. Unter der freiberuflichen Tätigkeit ist eine selbständig ausgeübte wissenschaftliche, künstlerische, unterrichtende, schriftstellerische oder erzieherische Tätigkeit zu verstehen, sowie Berufstätigkeiten anderer Gruppen, wie beispielsweise Rechtsanwälte, Steuerberater, Architekten oder Ärzte (vgl. § 18 Abs. 1 EStG). 

    Demgegenüber sind Freelancerauch freie Mitarbeiter genannt, selbstständig Tätige, die Aufträge und Projekte für Unternehmen im Rahmen von Auftrags- oder Werkvertragsverhältnissen persönlich ausführen.  

    Für die genannten Berufsgruppen enthält sowohl die Datenschutzgrundverordnung als auch das Bundesdatenschutzgesetz umfangreiche Vorgaben, die bei der Verarbeitung personenbezogener Daten zu beachten sind.

    Ausnahmen oder Erleichterungen sind für Einzelunternehmer in den Gesetzen nicht vorgesehen. Lediglich in Erwägungsgrund 13 zur DSGVO werden Organe und Einrichtungen der EU sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung der DSGVO-Vorschriften die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittelständischen Unternehmen zu berücksichtigen. 

     

    2. Was Selbstständige nach der DSGVO zu beachten haben

    Heutzutage sollte sich jeder Unternehmer mit dem Thema Datenschutz umfassend auseinandersetzen.

    Abgesehen von der gesetzeskonformen Arbeit kann dadurch nach außen hin vermittelt werden, dass das eigene Unternehmen verantwortungsbewusst und seriös mit den anvertrauten Daten der eigenen Kunden und Geschäftspartnern umgeht, was sich positiv auf die Geschäfte auswirken kann. Zudem kann das eigene Unternehmen jederzeit auf Einhaltung des Datenschutzrechts hin überprüft werden.

    Dies kann aus einem Anlass heraus erfolgen, z.B. aufgrund eines Datenschutzverstoßes, oder wenn die Behörde eine entsprechende Meldung erhält.  Eine solche Meldung kann sowohl von eigenen Mitarbeitern stammen, als auch durch Konkurrenten, Kunden oder Geschäftspartner. 

    2.1 Verarbeitung personenbezogener Daten

    Auch Einzelunternehmer haben sich bei der Verarbeitung personenbezogener Daten an die Vorgaben der DSGVO zu halten. Insbesondere sind die Bestimmungen der Art. 6 und Art. 9 DSGVO einzuhalten,  wonach die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn es liegt eine Rechtsgrundlage oder eine informierte und freiwillige Einwilligung des Betroffenen vor.  

     

    2.2 Technisch-organisatorische Maßnahmen 

    Einzelunternehmer, Freiberufler und Freelancer müssen die Vorgaben im Hinblick auf technisch-organisatorische Maßnahmen aus der DSGVO einhalten.

    Bei diesen handelt es sich um Maßnahmen technischer und organisatorischer Natur, die datenschutzrechtlich die Sicherheit einer Datenverarbeitung gewährleisten sollen. Technische Maßnahmen sind dabei alle tatsächlich umsetzbaren Vorkehrungen zum Schutz der Daten, wie zum Beispiel die Sicherung der Räumlichkeiten oder die Installation geeigneter Firewalls und IT-Programme.

    Unter organisatorischen Maßnahmen sind hingegen Verfahrensanweisungen zu verstehen, wie die Festlegung von regelmäßigen Sicherheitskontrollen. 

    2.3Auftragsverarbeitung 

    Beauftragt der Einzelunternehmer einen Dritten mit der Verarbeitung personenbezogener Daten liegt ein Auftragsverarbeitungsverhältnis vor, sodass ein Auftragsverarbeitungsvertrag mit den Vorgaben des Art. 28 DSGVO geschlossen werden muss. 


    2.4. Rechenschaftspflicht 

    Unternehmer müssen stets nachweisen können, dass sie technisch-organisatorische Maßnahmen ergreifen um die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen. Diese Pflicht ergibt sich aus Art. 5 Abs. 2 DSGVO.

    Danach ist das datenverarbeitende Unternehmen dafür verantwortlich die datenschutzrechtlichen Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO einzuhalten und muss den Nachweis über deren Einhaltung führen.

    Dafür sollten alle Vorgänge dokumentiert werden, die einen Rückschluss auf die eigene DSGVO-Compliance zulassen.

    Kommt es zu einer Anfrage durch den Betroffenen oder die Aufsichtsbehörde muss das Unternehmen in der Lage sein, die Einhaltung der datenschutzrechtlichen Bestimmungen lückenlos zu belegen.

    Insoweit empfiehlt es sich, alle Maßnahmen die im eigenen Unternehmen im Hinblick auf den Datenschutz veranlasst werden zu dokumentieren. Sämtliche Schulungsmaßnahmen, Seminare, Weiterbildungen oder Handlungsanweisungen sollten festgehalten werden. Dafür empfiehlt es sich ein Verarbeitungsverzeichnis zu führen.  

    2.5Verarbeitungsverzeichnis

    Das Verarbeitungsverzeichnis stellt eine umfassende Dokumentierung aller Verarbeitungen im Unternehmen dar, in der alle Prozesse, bei welchen personenbezogene Daten erhobengespeichertgelöscht oder in sonstiger Weise verarbeitet werden, aufgelistet sind. 

    Grundsätzlich muss gem. Art. 30 DSGVO jeder für eine Datenverarbeitung Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen 

    Für Einzelunternehmer, Freiberufler oder Freelancer könnte sich eine Ausnahme dieser Pflicht möglicherweise aus Art. 30 Abs. 5 DSGVO ergeben.

    Danach besteht die Pflicht zur Führung eines solchen Verarbeitungsverzeichnisses ausnahmsweise dann nicht, wenn ein Unternehmen weniger als 250 Mitarbeiter beschäftigt, es sei denn, die vorgenommene Datenverarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich, es erfolgt eine Verarbeitung besonders sensibler Daten, wie beispielsweise Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO.

    Allerdings greifen diese Ausnahmen nur selten, insbesondere, da eine gelegentliche Verarbeitung von personenbezogenen Daten in einem Betrieb kaum möglich ist, sodass in den meisten Fällen ein Verarbeitungsverzeichnis unumgänglich ist. 

    2.6Datenspeicherung  

    Da Unternehmen regelmäßig mit einer Menge von Daten hantieren kam es vor allem in der Vergangenheit häufig vor, dass große Datenmengen erhoben und gespeichert wurden um sie bei Bedarf abzurufen.

    Seit dem Inkrafttreten der DSGVO dürfen Unternehmer nur noch solange Daten speichern, wie sie tatsächlich erforderlich sind. Sobald der Verwendungszweck, für den sie erhoben wurden, entfällt, sind sämtliche Daten zu löschen, sofern keine gesetzlichen Vorschriften dem entgegenstehen (vgl. Art. 5 Abs. 1 DSGVO).

    Kommt es zu einer Veränderung, Berichtigung oder Löschung der Daten, sind die damit zusammenhängenden Vorgänge stets zu dokumentieren.  

    2.7Internetauftritt und soziale Medien  

    Im Zeitalter fortschreitender Digitalisierung nutzen Unternehmer soziale Medien um ihr Unternehmen zu präsentieren. Der Auftritt eines Unternehmens in den sozialen Medien ist heutzutage zu einem elementaren Bestandteil der Marketingmaßnamen eines jeden Unternehmens. Jedoch sind soziale Netzwerke wie Facebook, Instagram und Co. kein rechtsfreier Raum, sodass die DSGVO auch beim Internetauftritt zu beachten ist. 

    Dahingehend ist vor allem die Impressumspflicht nach § 5 Telemediengesetz zu beachten, wonach nicht nur auf der eigenen Homepage, sondern auch auf den sozialen Netzwerken, unabhängig davon welche Plattform genutzt wird,  ein Impressum vorhanden sein muss.  

    Ferner ist bei der Einbindung von Plug-ins Vorsicht geboten. Plug-ins für Facebook und Co. sind oftmals nicht datenschutzkonform, da eine automatische Datenübermittlung an das damit verbundene soziale Netzwerk erfolgt. Dies kann daher leicht zu einem Datenschutzverstoß führenBevor solche Plug-ins zum Einsatz kommen, sollten diese daher stets auf ihre Datenschutzkonformität untersucht werden. 

    Betreibt ein Einzelunternehmer, Freiberufler oder Freelancer eine Webseite, auf der personenbezogene Daten verarbeitet werden, ist er verpflichtet eine Datenschutzerklärung bereitzustellen um seiner Informationspflicht aus den Art. 12 ff. DSGVO nachzukommen. Diese muss bei jedem ersten Kontakt mit dem Kunden zur Kenntnis genommen werden können. 

    Vor dem Hintergrund der DSGVO ist auch die Nutzung des Messenger-Dienstes WhatsApp nicht ganz unproblematisch. Grundsätzlich ist von der geschäftlichen Nutzung von WhatsApp abzuraten um Datenschutzverstöße zu vermeiden (mehr dazu s. Artikel WhatsApp DSGVO). 

    Um den Unternehmensauftritt in den sozialen Medien datenschutzkonform zu gestalten, sollte dieser regelmäßig auf den aktuellsten Stand gebracht werden und nach den Vorgaben der DSGVO und dem BDSG-neu ausgerichtet sein. Dadurch wird zum einen der Schutz der User gewährleistet und zum anderen nach außen hin vermittelt, dass das Unternehmen einen verantwortlichen Umgang mit Daten pflegt. 

    2.8. Datenschutzbeauftragter 

    Grundsätzlich gelten die Vorgaben der DSGVO für alle Marktteilnehmer gleichermaßen, unabhängig davon wie groß das Unternehmen ist oder in welcher Form dieses geführt wird. Ein maßgeblicher Unterschied kann allerdings bestehen, wenn es um die Bestellung eines Datenschutzbeauftragten geht. Nach Art. 37 Abs. 1 DSGVO müssen unter bestimmten Voraussetzungen auch Einzelunternehmer einen Datenschutzbeauftragten bestellen.   

    Wann die Bestellung eines Datenschutzbeauftragten erforderlich ist, lesen Sie hier DS-Beauftragter 

    Unabhängig von einer gesetzlichen Pflicht zur Bestellung eines Datenschutzbeauftragten sollten insbesondere Einzelunternehmer in Betracht ziehen, einen Datenschutzbeauftragten zurate zu ziehen, um sämtliche anderen datenschutzrechtlichen Vorgaben, wie beispielsweise die Führung eines Verarbeitungsverzeichnisses, der Abschluss von Auftragsverarbeitungsverträgen, die Implementierung technisch-organisatorischer Maßnahmen oder die Durchführung von Mitarbeiterschulungen ordnungsgemäß und gesetzeskonform nachzukommen. 

    3Abmahnungen und Sanktionen 

    Hält man sich als Unternehmer nicht an die Bestimmungen der DSGVO oder investiert in die Umsetzung der datenschutzrechtlichen Vorgaben nicht genügend Zeit, kann dies zu Abmahnungen und empfindlichen Bußgeldern führen. 

    Aus diesem Grund sollten Einzelunternehmer schnellstmöglich ein Datenschutzkonzept erstellen, in dem sämtliche Verarbeitungsvorgänge und -abläufe festgelegt und dokumentiert werdenum Abmahnungen und Sanktionen durch Aufsichtsbehörden, aber auch Schadenersatzansprüche Betroffener zu vermeiden. Bußgelder können in Höhe von bis zu 10 bzw. 20 Millionen Euro oder 2 bzw. 4 Prozent des weltweiten Jahresumsatzes ausfallen.

    Diese drohen nicht nur bei schwerwiegenden Verstößen, sondern grundsätzlich auch, wenn beispielsweise nur datenschutzfreundliche Voreinstellungen auf der Webseite fehlen.

    Zudem können nach Art. 84 DSGVO in Verbindung mit § 42 BDSG-neu für Missachtung von Datenschutz-Grundsätzen bis zu drei Jahre Haft verhängt werden. Kommt der Einzelunternehmer seinen Pflichten nicht nach können ihm im schwersten Fall empfindliche Bußgelder drohen. 

    Zwar sind realistisch gesehen regelmäßig keine Strafen in Millionenhöhe zu erwarten, dennoch können Einzelunternehmer bereits durch geringe Geldsummen oder aufsichtsbehördliche Maßnahmen, die oftmals mit einem großen medialen Echo einhergehen können, wettbewerbsrechtliche Nachteile erleiden 

    4. Fazit 

    Auch wenn das Thema Datenschutz insbesondere für Einzelunternehmer eine große Herausforderung darstellt, sollte die Auseinandersetzung damit als eine Gelegenheit gesehen werden, Sicherheitsmaßnahmen im eigenen Unternehmen zu implementieren um neben der Datenschutzkonformität des eigenen Unternehmens das Vertrauen der bereits vorhandenen Kunden und Geschäftspartner aber auch potenzieller Kunden für sich zu gewinnen und Sanktionen sowie Schadenersatzansprüche Betroffener zu vermeiden.  

    Subscribe to our newsletter now!