DSGVO für Einzelunternehmer und Freiberufler
Seit dem 25. Mai gilt die neue europäische Datenschutzgrundverordnung (DSGVO) in Deutschland und ersetzt das bisher geltende Datenschutzrecht. Alle Unternehmen müssen sich nun auf das neue Recht einstellen. Alle Unternehmen? Ja, auch Einzelunternehmer und Freiberufler sind betroffen. Hier antworte ich auf die wichtigsten Fragen.
- Eine Checkliste zur DSGVO und zum neuen Datenschutzrecht für Selbstständige und Freiberufler finden Sie hier. Was sie beim Datenschutz auf Ihrer Webseite beachten müssen, lesen Sie hier.
- Das Bayerischen Landesamt für Datenschutzaufsicht hat zudem ein Sofortmaßnahmen-Paket Datenschutz-Grundverordnung herausgebracht, das einen guten Überblick bietet.
- Die niedersächsische Landesdatenschutzbeauftragte hat einen Katalog veröffentlicht, nach dem Unternehmen überprüft werden. Sehr aufschlussreicht!
- Bei weiteren Fragen können Sie mich gerne in meiner Funktion als externer Datenschutzbeauftragter kontaktieren.
Unsere ganze Serie zum Datenschutz finden Sie hier:
Warum sollte mich das neue Datenschutzrecht interessieren?
Ganz einfach: Wer sich nicht daran hält, muss nun erstmals mit saftigen Strafen rechnen. Während das alte Datenschutzrecht als weitgehend zahnlos belächelt wurde, hat das neue Recht richtig Biss. Bei Verstößen sind Strafen bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes möglich. Die Datenschutzbehörden der Länder werden in der Anfangsphase wahrscheinlich nicht die volle Härte des Gesetzes anwenden. Aber über kurz oder lang werden die Daumenschrauben angezogen. Und manche Unternehmen haben keine andere Chance, als sich anzupassen. Sonst werden sie vom Markt verschwinden. Denn es ist klar: Wer das neue Datenschutzrecht verinnerlicht hat, hat einen klaren Wettbewerbsvorteil.
Um welche Daten geht es?
Kern der DSGVO ist der Schutz von personenbezogenen Daten. Das sind alle Daten, die einen konkreten Person zugeordnet werden können – Namen, Adressen, Telefonnummern oder auch IP-Adressen. Technische Daten sind nicht gemeint. Wer also nur Daten über Maschinen verarbeitet kann sich zurücklehnen? Vorsicht: Auch Maschinendaten können mit personenbezogenen Daten verknüpft werden. Zum Beispiel, wenn sich Arbeiter erst anmelden müssen, bevor sie eine bestimmte Maschine nutzen. Und Schwupps – da sind sie wieder, die personenbezogenen Daten. Daneben gibt es auch noch besondere Kategorien von personenbezogenen Daten. Die sind in Art. 9 DSGVO festgelegt. Dazu gehören zum Beispiel Gesundheitsdaten. Wer diese verarbeitet, etwa als Arzt oder Apotheke, muss besonders sorgfältig mit ihnen umgehen. Wen es interessiert: Ein paar speziellere Infos habe ich auf meiner Seite Datenschutz und Gesundheit zusammengestellt.
Ohne Einwilligung geht (fast) nichts
Das ist eigentlich nichts Neues. Schon nach dem alten Datenschutzrecht konnte man nicht einfach Kunden in Listen zusammenfassen und ihnen zum Beispiel einen Newsletter schicken. Für Vorgänge, die schlicht zum Geschäft gehören, etwa die Rechnungsstellung, ist die Einwilligung des Betroffenen nicht nötig. Aber sobald ich auf die Idee komme, irgendetwas anderes mit den Adressen, Telefonnummern oder E-Mail-Adressen zu machen, brauche ich die Einwilligung meines Kunden – am besten schriftlich, weil ich im Zweifel die Einwilligung nachweisen muss, Art. 7 Abs. 1 DSGVO. Ausführlichere Informationen zur Einwilligung finden Sie in meinem Text zur Einwilligung und ihren Voraussetzungen im Sinne der DSGVO.
Der erste Schritt: Ein Verarbeitungsverzeichnis
Es ist schon so, dass die Dokumentationspflichten, die die DSGVO vorschreibt, ziemlich nerven. Aber sie sind eben auch extrem nützlich. Das kann man vor allem über das Verarbeitungsverzeichnis sagen. Hier müssen Unternehmen auflisten, welche personenbezogenen Daten sie genau verarbeiten, welche Personengruppen betroffen sind und was sie tun, um die Daten technisch und organisatorisch zu schützen. Das gabs auch schon früher, hieß Verfahrensverzeichnis, galt aber auch nur für automatisierte Vorgänge. Jetzt sind alle Formen der Verarbeitung gemeint, also auch der beliebte Zettelkasten mit Kundenvisitenkarten oder sonstige Papierakten. Beim Rehm-Verlag gibt es eine sehr schöne Vorlage, die man hier herunterladen kann (mit ein paar Erklärungen zum Ausfüllen). Noch ausführlicher ist das Formularhandbuch Datenschutzrecht vom C.H. Beck Verlag (in dem Buch stehen noch zig weitere Vorlagen, etwa Muster zur Auftragsverarbeitung, Formulare zu Betroffenenrechten und Kundendatenschutz, etc.). Was hilft das? Eine ganze Menge, denn endlich hat man einen Überblick. Und das kann manchmal ziemlich erhellend sein.
Wer trotzdem denkt: Da muss es doch Ausnahmen geben – das stimmt. In Art. 30 Abs. 5 DSGVO wird davon gesprochen, dass es bei Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme von der Pflicht zum Führen eines Verabeitungsverzeichnisses geben soll. Aber: Es gibt so viele Einschränkungen dieser Ausnahme, dass sie nahezu bedeutungslos ist. Denn wer kann zum Beispiel schon sicher sagen, dass die vorgenommene Verarbeitung von personenbezogenen Daten kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, wie es dort verlangt wird.
Der zweite Schritt: Risikoanalyse
Unternehmen müssen nach Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, um Daten zu schützen und Risiken für Betroffene Personen zu verhindern. Dafür muss man sich zuerst einmal klarmachen, mit welchen Risiken man es zu tun hat. Und am besten ist es, diese Gedanken zu dokumentieren (die Dokumentationspflichten kommen aus Art. 5 Abs. 2 DSGVO). Wie mache ich das am besten? Erst einmal muss man sich klar werden, welche Risiken überhaupt eintreten können. Eine Möglichkeit ist die Einteilung in z.B. menschliche und nicht menschliche Risikoquellen:
Sind die Risiken erst einmal identifiziert, müssen sie eingeordnet werden. Das kann zum Beispiel so aussehen:
Das reicht aber natürlich nicht aus. Es muss Konsequenzen geben. Mindestens müssen die folgenden Maßnahmen geprüft und gegebenenfalls umgesetzt werden, die Art. 32 Abs. 1 DSGVO benennt:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; - Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen
bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; - Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit
der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der
Verarbeitung.
Und dann gilt es, das Ganze wieder zu dokumentieren.
Der dritte Schritt: Die Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung ist so etwas wie eine Risikoanalyse-Deluxe. Sie ist nach Art. 35 Abs. 1 DSGVO vorgeschrieben, wenn besondere Risiken bestehen oder besondere Daten verarbeitet werden (z.B. Gesundheitsdaten). Es wäre eigentlich nett, wenn es hierzu eine Vorlage gebe, aber so richtig brauchbares habe ich nicht gefunden. Die deutschen Datenschutzbehörden sind da, soweit ich das weiß, noch ein bisschen in der Findungsphase. Die spanische Datenschutz-Aufsichtsbehörde AEPD hat sich allerdings ein paar Gedanken gemacht. Die Ergebnisse hat der Arbeitskreis der GDD Datenschutz International hier zusammengefasst. Wichtig ist, dass die Datenschutz-Folgenabschätzung ein Prozess ist. Wie so etwas ablaufen kann, seht ihr hier:
Ganz schön aufwendig, aber leider nicht zu ändern. Wer eine schöne Risikoanalyse gemacht hat, hat allerdings schon einen ganz wichtigen Teil der Arbeit erledigt. Es erscheint mir sinnvoll, diesen Prozess mit einem externen Dienstleister bzw. Datenschützer umzusetzen. Allein, um sich die Arbeit mit dem Abschlussbericht (der wieder für die Dokumentation notwendig ist) zu sparen.
Der vierte Schritt: Verträge zur Auftragsverarbeitung überprüfen (oder überhaupt abschließen)
Die allerwenigsten Unternehmen schaffen es, ihre Arbeit ohne die Hilfe von externen Dienstleistern zu erledigen. In bestimmten Fällen verarbeiten diese Dienstleister personenbezogene Daten: Kundendaten, Patientendaten, Mitarbeiterdaten. Dann liegt eine Auftragsverarbeitung (AV) vor, die von der DSGVO besonders behandelt wird. Denn im Falle der Auftragsverarbeitung müssen die betroffenen Personen keine Einwilligung in die Nutzung ihrer Daten geben. Der Dienstleister wird so behandelt, als wäre er der verlängerte Arm des Auftraggebers. Damit auch ein bestimmtes Datenschutzniveau gewährleistet wird, verlangt die DSGVO nun den Abschluss eines Vertrags über eine Auftragsverarbeitung. Ein gutes Muster findet Ihr wieder bei der GDD, also hier, und sogar als Word-Dok, das Ihr selbst anpassen könnt.
Das Prinzip: Datensparsamkeit
Wie schon ihre Vorgänger hat auch die DSGVO das Prinzip der Datensparsamkeit festgeschrieben. Unternehmen brauchen ein Löschkonzept für die Daten, die sie nicht mehr benötigen. Ein guter Anlass, mal über einen Aktenvernichter nachzudenken. Informationen darüber, was bei der Aktenvernichtung zu beachten ist, und von welchen Aktenvernichtern wir glauben, dass sie für Einzelunternehmer und Freiberufler sinnvoll sind, haben wir hier zusammengefasst. Betroffene haben nach Art. 17 DSGVO im Übrigen ein Recht auf Löschung. Sie können vom Verantwortlichen verlangen, dass ihre personenbezogene Daten unverzüglich gelöscht werden, zum Beispiel, wenn sie ihre Einwilligung widerrufen haben. Daten jedoch, die aufgrund einer gesetzlichen Grundlage erhoben wurden, sind vom Recht auf Löschung nicht betroffen. Auch gesetzliche Aufbewahrungspflichten stehen dem Recht auf Löschung entgegen. Rechnungen etwa sind zum Beispiel zehn Jahre aufzubewahren.
Brauche ich einen Datenschutzbeauftragten?
Einzelkämpfer brauchen in der Regel keinen Datenschutzbeauftragten. Nach §38 Bundesdatenschutzgesetz-neu (BDSG-neu) muss ein Datenschutzbeauftragter benannt werden, wenn sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Aber: wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO verlangt wird, dann ist schon ab einer Personen (!) ein Datenschutzbeauftragter erforderlich. Diese Datenschutz-Folgenabschätzung ist immer dann vorgeschrieben, wenn besondere Kategorien von Daten verarbeitet weden, etwa Gesundheitsdaten (siehe oben). Das würde dann zum Beispiel für kleine Arztpraxen oder Apotheken gelten.
Da aber in Art. 37 Abs. 1 c DSGVO darauf hingewiesen wird, dass ein Datenschutzbeauftragter benannt werden muss, wenn die „Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten“ liegt, sind die meisten Gesundheitsbetriebe (Ein-Mann-Arztpraxen oder Apotheken) davon ausgeschlossen. Im Erwägungsgrund 91 DS-GVO heißt es in Satz 4:
„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.„
Dass Einzelunternehmer und Freiberufler nicht dazu gezwungen sind, sich einen Datenschutzbeauftragten zu holen, heißt aber nicht, dass Rat nicht sinnvoll wäre. Viele Dinge lassen sich selbst lösen – das Gespräch mit einem Experten ersetzt das allerdings nicht.
Was Sie tun können, wenn trotzdem eine Abmahnung bei Ihnen eingeht, lesen Sie hier.
Schauen Sie sich auch unser Video an:
Über den Autor Henning Zander
Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger
Ich fühle mich völlig überfordert. Ich betreibe http://www.krisenloesen.de als wordpress-Seite und hab sie auch nicht selbst eingerichtet. Ich bin ein einzelnder Freiberufler und erhebe von mir aus keine Personendaten und betreibe auch keine ative Aquise. Ich verarbeite auch keine Daten, wozu auch. Allerdings läuft ein google adwords, sost findet mich ja niemand. Ein Häcken in der Kontaktbox krieg ich vielleicht noch hin, wenn das theme das ermöglicht ….
Mir geht es genauso. Ich bin freiberufliche Grafikdesignerin und habe nur Daten, die für die Auftragsabwicklung nötig sind. Diese werden nicht weitergegeben. Ich selbst speichere alles Wichtige auf einem eigenen Server, nicht in der Cloud.
Ich habe kein Kontaktformular. Was ist mit IP Adressen, die mein Provider erhebt? Was genau muss ich nun TUN? Brauche ich eine Info auf meiner Homepage, wenn ja, was? Ich habe versucht, die Infos vom Datenschutzbeauftragten meines Bundeslandes zu bekommen, steige aber durch die 100erte von Seiten Amtsdeutsch nicht durch. Auf meine E-Mail-Anfrage hat bisher niemand reagiert. Gibt es irgendwo Hilfestellung dazu?
Diese Verordung ist nichts weiter als ein goldenes Kalb für Juristen und Anwälte. Kleine Unternehmen und Einzelkämpfer werden platt gemacht.
Ich nutze für meinen Online Shop http://www.burgstallers-art.de „Protected Shops“. Klar, dies kostet was, aber es ist ist bezahlbar. Ich gebe meine Daten ein, fülle die Fragen aus und bekomme rechtssichere Datenschutzerklärungen (DSGVO konform / AGB´s und Widerrufserklärungen. Auch die DSGVO Verzeichnisaufstellung sowie eine To-Do Liste ist enthalten. Ohne Rechtsberatung würde ich mich online nichts mehr trauen – und ich hoffe, dass ich mich mit diesen Erklärungen auch rechtlich auf 100% sicherem Terrain bewege. Habe keinen Vergleich und Versprechen gibt es ja von Online Rechtsberatungen viele – leider.
Ich bin Verkaufstrainer und Einzelunternehmer. Auch sehr unsicher was aktuell alles zu tun ist.
Habe alles allein erstellt mit vielen zeitaufwendigen Recherchen.
http://www.lemke-training.de
Für Tipps dankbar..
Frage : muss ich auch als Trainer ein Verfahrensverzeichnis anlegen- bzw. reicht hier wenn ja ein ausgefülltes Formular aus?
Riesen Danke.
Mit besten Wünschen an alle Betroffenen..
Lieber Herr Lemke, vielen Dank für Ihre Frage. Ich höre in letzter Zeit immer wieder, dass Unternehmen mit weniger als 250 Mitarbeitern kein Verarbeitungsverzeichnis erstellen müssen. Das steht tatsächlich auch so in Art. 30 Abs. 5 DSGVO. Dort wird aber auch die Ausnahme von der Ausnahme genannt:
– es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
– die Verarbeitung erfolgt nicht nur gelegentlich
– oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Tatsächlich sind diese Ausnahmen von der Befreiung so umfangreich, dass nur noch wenige Personen von der Pflicht befreit sein dürften. Schließlich birgt nahezu jede Verarbeitung ein irgendwie geartetes Risiko für die betroffnen Personen, und in den seltensten Fällen erfolgt diese Verarbeitung nur gelegentlich. Für besondere Daten wie zum Beispiel Gesundheitsdaten ist ohnehin immer ein Verfahrensverzeichnis vorgeschrieben. Es gibt allerdings auch Stimmen, die annehmen, dass Art. 30 Abs. 5 DSGVO nicht so umfassend gemeint sein konnte – denn was macht eine Ausnahme für einen Sinn, wenn sie eigentlich nie gilt? Wissen werden wir das erst, wenn die Rechtssprechung die Norm entsprechend konkretisiert. Solange das nicht geklärt ist, empfiehlt es sich, sicherheitshalber ein Verarbeitungsverzeichnis anzulegen. Und das ist auch aus anderen Gründen sinnvoll: Durch das Verarbeitungsverzeichnis können sich Selbstständige und Freiberufler einen Überblick darüber verschaffen, welche Daten sie tatsächlich verarbeiten und wie sie das tun.
Für das Verarbeitungsverzeichnis gelten dann keine Formvorschriften. Das kann ein Papierformular sein, eine Excel-Tabelle, oder eine der zahlreichen Vorlagen im Internet. Lediglich inhaltlich gelten die Vorraussetzungen aus Art. 30 Abs. 5 DSGVO.
Hallo
ich bin freiberufliche Fitnesstrainerin. Jetzt verlangt ein Studio ich soll einen 9 Seitigen Vertrag unterschreiben, wo ich als Unternehmerin tetoliert werde und unterschreiben muss, dass ich keine persönlichen Daten meiner Teilnehmer haben wie z. B. Tel. Nr. – was in der heutigen Whats-Gruppen-Zeit ja schon verstößt. Hierüber informiere ich meine TN über Krankheit, Special etc. Wie soll man sich da verhalten. Habe ich bis jetzt in keinem anderen Studio erlebt. Habe jetzt erstmal ein Info PDF raus geschrieben an meine Whatsappgruppen, dass ich ihre Tel. speichere zum Infoaustausch. Ist noch mehr notwenig. Muss ich so einen Vertrag unterschreiben oder mich eher vom Studio trennen.
Ich kann mich den Vorrednern nur anschließen, sehr verunsichernd alles
Hallo,
ich bin eine kleine Schneiderin und betreibe seid ganz kurzer Zeit ein Einzelunternehmen als Änderungsschneiderei. Mit den ganzen verschiedenen Erklärungen und Informationen aus dem Internet bin ich heillos überfordert! Nun meine Frage(n);
Wenn ich Rechnungen mit Name und Adresse schreibe, muss ich da eine Einwilligung vom Kunden einholten? Und reicht dazu ein ganz kleines Schreiben, was ich mir vom Kunden unterzeichnen lasse? Zur Adresse nehmen ich nur die Telefonnummer für rückfragen, aber sonst nehme ich keine Daten von Personen auf. Also alles nur für die Rechnungen!
Ich würde mich sehr freuen ein paar sehr einfache Erklärungen zu bekommen und bedanke mich schonmal im vorraus.
Mit freundlichen Grüßen
Christina Krüger
Liebe Frau Krüger, vielen Dank für Ihre Frage. Grundsätzlich gilt, dass die Nutzung von personenbezogenen Daten im Rahmen eines Geschäftsverhältnisses (zur Erfüllung des Vertrages) erlaubt ist.
Wenn ein Selbstständiger also im Rahmen des geschlossenen Vertrags für einen Kunden tätig sein will, braucht er hierfür z.B. Namen, Rechnungsanschrift, evtl. Telefon und E-Mail-Adresse.
Für die Verarbeitung dieser Daten ist prinzipiell keine Einwilligungserklärung erforderlich. Sollte die Verarbeitung oder Nutzung der Daten darüber hinaus gehen, muss geklärt werden, ob es ggf. eine gesetzliche Grundlage hierfür gibt oder tatsächlich eine Einwilligungserklärung erforderlich ist. Vielleicht hilft Ihnen auch mein Text über die Einwilligung weiter, in dem ich weitere Fragen erörtere.
Liebe Susanne, vielen Dank für Ihre Frage. Wer personenbezogene Daten von Betroffenen von einer anderen Stelle bekommt, muss sich zuerst fragen, ob eine Auftragsverarbeitung vorliegt.
Dann muss derjenige, der die Daten weitergibt, einen Vertrag mit dem Verarbeiter schließen (Auftragsverarbeitungsvertrag). Typische Fälle sind zum Beispiel externe Lohnbuchhaltung oder IT-Dienstleistungen. Unabhängig davon gelten für die Übermittlung der Daten an Dritte die Voraussetzungen aus Art. 6 Absatz 1 DSGVO. Die Übermittlung ist also erlaubt
– bei einer Einwilligung,
– zur Erfüllung eines Vertrages
– bei einer rechtliche Verpflichtung,
– zum Schutz lebenswichtiger interessen,
– bei einem überwiegenden öffentliche Interessen,
– bei berechtigten Interessen des Verantwortlichen, sofern nicht die Interessen der betroffenen Person überwiegen
Aber natürlich ist derjenige, der die Daten zuerst hatte, nicht verpflichtet, die Daten an Dritte weiterzugeben. Der Weitergabe an Dritte sind sogar (s.o.) sehr enge Grenzen gesetzt.
Ob Ihr Studio Ihnen aber sogar vertraglich untersagen kann, dass bereits an Sie weitergereichte Daten weiter verwendet werden, bedürfte einer intensiveren Prüfung, die wir leider hier nicht leisten können. Da ist es tatsächlich empfehlenswert, sich an einen Rechtsanwalt zu wenden.
Hallo!
Ich bitte um Hilfe.
• Ich bin freiberufliche Designerin und verwende Daten nur für Rechnungen. Diese inkludieren: Anschrift, Name des Unternehmens, UID Nummer. Weiters habe ich sehr viele e-mail Adressen gespeichert in meinem E-Mail Programm.
•Ich kreiere oft Präsentationen für Kunden, welche auf der Rückseite deren Kontaktdaten beinhalten.
Muss ich zu den oben genannten Daten um Erlaubnis bitten bzw. irgend so ein Dokument an den Kunden aussenden, das ich das gespeichert habe?
• Was, wenn ich beispielsweise eine Arbeitsprobe an einen anderen Kunden weitersende, um einen Auftrag zu akquirieren? Da muss ich wohl eine Einwilligung vom Kunden bekommen?
• Zu den Verträgen: Muss ich jetzt immer einen bestimmten Vertrag zusenden zu meinem Kunden? Ich mache sehr oft kurze Projekte für 3-4 Tage, da machen wir das immer alles E-Mail technisch also kein extra Dokument mit Betrag. Nur manchmal Kostenvoranschlag.
Ich bitte um Hilfe und wäre sehr dankbar!
Hallo,
bin ratlos….
Ich bin selbst. Bauabrechner mit einem kleinen Kundenstamm und einer mitarbeitenden Ehefrau. Die Kundenadressen verwalte ich selber.
Der Computer ist gut geschützt und diese Daten werden in keiner Cloud gespeichert. Außerhalb meiner Homepage mache ich keine Werbung und arbeite auch nur im Inland. Der Zusatz im Impressum der Homepage ist in Arbeit, da dort ein Kontaktformular angefügt ist.
Mir ist völlig unklar, was ich meinen Auftraggebern jetzt für ein Formular und mit welchem Inhalt unterschreiben lassen soll – bzw. ob ich es überhaupt muss. (Wahrscheinlich ja)
Onkel Google und die Datenschutzbeauftragte unseres Steuerberaters helfen mir auch nicht weiter….
Vielleicht können Sie etwas Hilfestellung geben – es würde mich sehr freuen.
Lieber Herr Haas, vielen Dank für Ihre Frage. Zuerst einmal ist es wichtig zu wissen, dass jeder Webseitenbetreiber dazu verpflichtet ist, auf seiner Webseite eine Datenschutzerklärung zu veröffentlichen. Diese ist ganz unabhängig vom Impressum und muss auf jeder Seite der Homepage auffindbar sein. Hierfür bietet sich die Platzierung eines Links mit dem Titel „Datenschutzerklärung“ im Footer, also am Fuß der Seite, an. Darüber hinaus gilt, dass für die Nutzung von personenbezogenen Daten zur Erfüllung eines Vertrags (z.B. Rechnungsstellung) ohne Einwilligung möglich ist. Wenn die Nutzung der Daten darüber hinausgeht, muss geprüft werden, ob eine Einwilligung erforderlich ist oder einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO vorliegt. Wer die Daten von einem Dritten zur Verfügung gestellt bekommt, muss sich fragen, ob ggf. eine Auftragsdatenverarbeitung vorliegt. Hierfür ist ein gesonderter Vertrag notwendig.
Liebe Natascha, vielen Dank für Ihre Frage. Für die Nutzung von personenbezogenen Daten zur Erfüllung eines Vertrags (z.B. Rechnungsstellung) ist keine Einwilligung des Betroffenen nötig. Wenn die Nutzung der Daten darüber hinausgeht, muss geprüft werden, ob eine Einwilligung erforderlich ist oder ein anderer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO vorliegt.
Ich sage DANKE – hat
jede Menge Klarheit verschaffen!
Ich hätte eine Frage unzwar will ich nebenbei Produkte in eBay verkaufen muss ich dafür auch die ds-gvo verwalten und das was ich erhalte ist nähme Adresse Email Adresse wen ich Glück habe Handy Nummer oder Haustelefon ich bin in dieser Branche noch sehr neu betreibe noch keine Website und wen ich die ds-gvo nachgehen muss gibt es da Software zu kaufen jährlich und wie verwalte ich alles ohne hohen Kosten natürlich will ich keine Strafe zahlen deshalb würde ich mich sehr gerne über eine Antwort freuen wen es möglich ist
Ich hätte nicht gedacht, das durch das neue Datenschutzrecht Strafen von bis zu zwanzig Millionen Euro fällig werden können. Ich betreibe eine Website. Vielleicht sollte ich mich lieber mal mit einem Anwalt zusammensetzen und die Schritte durchsprechen, die notwendig sind, damit mein Shop datenschutzkonform ist.
Ich nutze für meinen Online Shop https://www.mariamoretti.com „Protected Shops“. Das Preis Leistungsverhältnis passt prima. Empfehle ich gerne weiter !