a Randstad company
Login
© Adobe Stock / Patrick Daxenbichler

Datenschutzgrundverordnung – 10 Verstöße gegen die DSGVO, an die kein Freelancer denkt

14.08.2019
Gerd Meyring – Freiberuflicher Autor
Artikel teilen:

Im Oktober 2018 verhängte die britische Datenschutzbehörde, ICO, ein Bußgeld in Höhe von 565.000 Euro gegen Facebook. Das soziale Netzwerk hatte die Daten seiner Nutzer so schlecht geschützt, dass App-Entwickler und die Analysefirma Cambridge Analytica 2014 und 2015 Zugriff auf persönliche Informationen von 87 Millionen Facebook-Mitgliedern erlangten. Cambridge Analytica soll 2016 mit den Daten den Ausgang der Präsidentschaftswahlen in den USA manipuliert haben. Dennoch wird Facebook-Chef Mark Zuckerberg nach dem Urteil erleichtert durchgeatmet haben. Hätte zum Zeitpunkt des Verstoßes bereits die Datenschutzgrundverordnung (DSGVO) der EU gegolten, hätte die ICO 627 Millionen Euro von dem US-Internetgiganten kassieren können. 

DSGVO betrifft auch alltäglichen Gebrauch von Laptop, Smartphone und PC

Die Verordnung sieht seit Mai 2018 Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes vor, wenn Unternehmen personenbezogene Daten ihrer Kunden oder Mitarbeiter nicht wie vorgeschrieben verarbeiten und schützen (siehe Kasten). Facebook könnte dies verkraften. Viele Freiberufler und Solo-Selbstständige würden dadurch in ihrer Existenz bedroht. 

Mittlerweile sollte sich jeder Freelancer zumindest in den Grundzügen mit der Verordnung auseinandergesetzt haben. Aber auch in Ihrem Alltag gibt es einige Punkte, die Sie im Zusammenhang mit der DSGVO beachten sollten. Oft lohnt es sich, den gewohnten Umgang mit Rechnern und Datenspeichern neu hinsichtlich Datenschutz unter die Lupe zu nehmen. Oft sind mögliche Verstöße äußerst kurios. Bei strenger Auslegung der DSGVO verursachen sie deswegen jedoch nicht weniger Ärger. 

1. Sperren Sie Ihren Rechner ab, wenn Sie zur Toilette gehen

Arbeiten Sie gerne im Café um die Ecke, wo andere Personen einen Blick auf den Bildschirm Ihres Laptops werfen können? Lassen Sie Ihren Rechner oder Ihr Smartphone im Co-Working-Office oder Büro eines Kunden stehen, ohne sich abzumelden, bevor sie zur Toilette gehen? Haben Sie auf dem Laptop und ihrem Handy auch E-Mail-Adressen oder Handynummern von Kunden und Kollegen gespeichert? Dann sollten Sie sich mit den Vorgaben der DSGVO auseinander setzen. 

Denn diese schreibt vor, dass sie Maßnahmen treffen müssen, damit Unbefugte nicht unkontrolliert Zutritt zu dem Ort haben, an dem Sie personenbezogene Daten verarbeiten und speichern. Außerdem müssen Sie verhindern, dass Dritte auf diese Informationen zugreifen können. Denken Sie also über die Anschaffung eines Blickschutzfilters nach, nutzen Sie Verschlüsselungstechnologien für Ihre Festplatte und sperren Sie grundsätzlich Ihren Rechner, wenn Sie diesen irgendwo stehen lassen. 

2. Auch analoge Daten brauchen Schutz

Steht bei Ihnen im Büro auch noch das alte, bequeme Sofa aus Ihrer Studentenbude? Schlafen darauf ab und zu mal Gäste, während auf Ihrem Schreibtisch das etwas verstaubte, aber hin und wieder genutzte Rolodex mit den Visitenkarten von Kunden und Kollegen steht? Auch dann verhalten Sie sich nicht so, wie es die DSGVO verlangt. Denn auch wenn sie personenbezogene Daten analog speichern und verarbeiten, müssen Sie diese so schützen, wie es die Verordnung vorsieht. Das bedeutet: Sperren Sie Ihr Büro jeden Abend ab oder bewahren Sie zumindest Visitenkarten, Ausdrucke von Rechnungen oder Aufträgen in einem abgeschlossenen Schrank auf.

3. Nicht zweckmäßige Nutzung von Daten: Gut gemeint ist nicht gut gemacht

Für Sie war es ein Moment voll einzigartiger Magie, als Ihnen die nette Kollegin in der Buchhaltung Ihres Auftraggebers ihre Visitenkarte gab. Selbstverständlich hat die junge Frau damit – wie von der DSGVO verlangt – zugestimmt, dass Sie Rechnungen direkt zu ihren Händen schicken. Rein juristisch dürfen Sie dann genau das tun – nicht mehr! Auf keinen Fall dürfen Sie die Kontaktdaten nutzen, um sich mit der Kollegin auf einen Kaffee oder Spaziergang zu verabreden. Die DSGVO ist hier eindeutig: Daten dürfen ausschließlich zu dem Zweck verarbeitet werden, über den die Eigentümer der Daten bei deren Erhebung informiert wurden und dem sie zugestimmt haben.

Dementsprechend sollten Sie auch bei der Weitergabe von Telefonnummern oder E-Mail-Adressen eines Kunden an Kollegen vorsichtig sein, wenn Sie selbst einen Auftrag nicht übernehmen können. Theoretisch könnte hier der Grundsatz des “berechtigten Interesses” greifen und die Weitergabe der Informationen wäre konform. Da es sich hier aber oft um Auslegungssache handelt, sind Sie auf jeden Fall auf der sicheren Seite, wenn Sie den Kunden vor der Weitergabe der Daten um sein Einverständnis fragen.  

4. „CC“ oder „BCC“? – Ein Buchstabe macht im Mailverkehr den Unterschied

Wenn Sie Mails an einen Verteiler schicken, verarbeiten Sie die E-Mail-Adressen der Empfänger. Nicht immer ist es dabei erforderlich, dass alle Mitglieder des Verteilers wissen, wer außer ihnen die Nachricht noch erhält. In solchen Fällen sollten Sie darauf achten, dass Sie die Adressen in die „BCC“-Zeile eintragen, die einzelnen Empfänger also füreinander unsichtbar bleiben. 
Ähnliche Sorgfalt sollten Sie walten lassen, wenn Ihr Mailprogramm Adressen automatisch vervollständigt, sobald Sie die ersten Buchstaben eingetippt haben. Denn Thomas Schmid muss nicht unbedingt erfahren, was Sie Thomas SchmidT schreiben wollten – schon gar nicht, wenn die Nachricht weitere personenbezogene Informationen enthält.

5. Löschen Sie WhatsApp!

Kommunizieren Sie am liebsten über WhatsApp? Dass die App nicht zu den datenschutzfreundlichsten Anwendungen gehört, ist längst bekannt. Aber im beruflichen Kontext verstoßen Sie damit sogar gegen die DSGVO: Denn „WhatsApp gehört zu den Facebook-Unternehmen. WhatsApp arbeitet mit anderen Facebook-Unternehmen zusammen und teilt Informationen mit ihnen, um von ihnen erbrachte Leistungen und zur Verfügung gestellte Dienste zu nutzen ... die uns dabei helfen, WhatsApp zur Verfügung zu stellen“, schreibt der Messengerdienst in seiner Datenschutzrichtlinie

Zu den Informationen, die WhatsApp mit Facebook teilt, gehören die im Telefonbuch des Users gespeicherten Telefonnummern und E-Mail-Adressen – personenbezogene Daten also. Damit der Messengerdienst nicht gegen die DSGVO verstößt, wenn er diese Informationen verarbeitet oder speichert, wälzt er das Datenschutzrisiko einfach auf seine Nutzer ab. „Wir verlangen von jedem dieser Nutzer“, so WhatsApp, „dass sie die rechtmäßigen Rechte besitzen, um ... Informationen zu erfassen, zu verwenden und zu teilen, bevor sie uns irgendwelche Informationen bereitstellen.“ Eine ausschließlich private Nutzung von WhatsApp mag mit dieser Haftungsbefreiung unproblematisch sein. Denn Privatpersonen müssen die DSGVO nicht einhalten. Wer WhatsApp aber beruflich nutzt, muss aufpassen. 

Sicher können auch Freelancer den Messengerdienst weiterverwenden, ohne gegen die DSGVO zu verstoßen. Allerdings müssen sie dazu die schriftliche Zustimmung jedes ihrer Kontakte zur Weitergabe seiner Daten an WhatsApp sowie sämtliche Unternehmen der Facebook-Gruppe einholen, ihre Dokumentation dieser Einwilligungen immer auf dem neuesten Stand halten, mit allen Unternehmen, die über WhatsApp Daten erhalten, einen Vertrag über die Auftragsverarbeitung dieser Informationen schließen und ihre Geschäftspartner detailliert darüber informieren, welchem Zweck genau die Speicherung und Verarbeitung ihrer Daten bei den entsprechenden Unternehmen dient. Ein Verweis auf die Datenschutzrichtlinie von Whatsapp reicht dazu übrigens nicht. 

6. Datenhalden und das Recht, vergessen zu werden

Archivieren Sie all Ihre Kontaktdaten in Ihrem Mailprogramm? Dann sollten Sie dieses dringend ausmisten und alle Mails löschen, die personenbezogene Daten enthalten, die Sie nicht mehr brauchen und gesetzlich nicht mehr aufbewahren müssen. Denn den Eigentümern der Daten garantiert die DSGVO „das Recht, vergessen zu werden.“ Das heißt, Sie dürfen Daten nur so lange speichern, wie Sie diese unbedingt benötigen oder gesetzliche Aufbewahrungsfristen es von Ihnen verlangen. Danach sind die Daten zu löschen. Bewahren Sie diese in Papierform im Aktenordner auf, besorgen Sie sich einen nach DIN 66399 zugelassenen Schredder.  

7. Machen Sie Ihren Webauftritt DSGVO-compliant

Fast jede Website verwendet entweder Google Analytics, speichert Cookies oder bietet ein Kontaktformular an. Trifft dies auch auf Ihre Homepage zu, sollten Sie diese DSGVO-konform machen. Denn mit einem Kontaktformular verarbeiten Sie Adressdaten und E-Mails, mit Google Analytics und anderen Cookies IP-Adressen – alles personenbezogene Daten. Passen Sie also Ihr Impressum so an, dass es die Anforderungen der Verordnung erfüllt und stellen Sie eine DSGVO-konforme Datenschutzerklärung ein, sorgen Sie dafür, dass Daten über das Kontaktformular nur verschlüsselt übertragen werden und schließen Sie einen Auftragsverarbeitungsvertrag mit Google. IP-Adressen sollten Sie zudem vor der Übertragung an die Suchmaschine mit der Funktion anonymizeIP von Google Analytics anonymisieren. 

8. Plugins? Dislike!

Ähnlich wie Google Analytics verarbeiten auch die Anbieter vieler Plugins personenbezogene Daten – so etwa Social-Plugins wie von Twitter, LinkedIn oder Xing oder der Like-Button von Facebook. Wenn Sie derartige Erweiterungen in Ihre Homepage eingebunden haben, müssen Sie ggf. einen Vertrag über die Gemeinsame Verantwortung nach Art. 26 DSGVO (auch Joint Controller Vertrag) abschließen. Oderes ist ein Auftragsverarbeitungsvertrag abzuschließen. In diesem garantiert Ihnen der Anbieter des Plugins, dass er von Ihrer Seite übertragene personenbezogene Daten so verarbeitet und speichert, wie es die DSGVO vorschreibt. Welche Variante für Sie zutrifft, klären Sie am besten mit einem Datenschutzexperten. Auf alle Fälle gehört zudem noch ein Verweis auf die Nutzung der Tools in Ihre Datenschutzinformationen auf der Webseite.

9. Herr und Knecht im Datenschutz

Treffen Sie mit Ihren Auftraggebern eindeutige Vereinbarungen darüber, wer bei einem Projekt für den Datenschutz verantwortlich ist. Zuständig ist dafür nach Art. 4 Nr. 7 DSGVO der Projektbeteiligte, der über „die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“ Je mehr eigene „Mittel“, also Rechnerkapazitäten Sie als Freelancer bei einem Kundenauftrag nutzen, desto eher sind Sie nach der zitierten Vorschrift dafür verantwortlich die DSGVO einzuhalten. Vereinbaren Sie daher vertraglich, dass Sie personenbezogene Daten nur in der IT-Umgebung Ihres Auftraggebers verarbeiten.

10. Unterschreiben Sie nichts ohne Ihren Anwalt

Die DSGVO erschließt Abmahnvereinen und -anwälten ein neues Geschäftsfeld. Das befürchten zahlreiche Wirtschaftsverbände. Bislang ist die Abmahnwelle zwar ausgeblieben. Ob die Abzocker künftig aber nicht doch noch das Internet auf Webseiten durchforsten, die den Anforderungen der neuen Verordnung nicht entsprechen, bleibt abzuwarten. Werden die Kanzleien fündig, fordern sie die Betreiber der Seiten auf, eine Unterlassungserklärung zu unterzeichnen und sich darin zu verpflichten, mehrere Tausend Euro Strafe zu zahlen, falls sie den gleichen Verstoß noch einmal begehen. Lassen Sie sich darauf auf keinen Fall ein, ohne ihren Anwalt vorher prüfen zu lassen, ob Sie überhaupt etwas falsch gemacht haben. 

Die Inhalte dieses Artikels habe ich gründlich recherchiert und nach meinem Verständnis zusammengefasst. Dieser Text erhebt jedoch weder den Anspruch, die DSGVO vollständig darzustellen, noch ersetzt er eine Rechtsberatung oder will eine solche sein. Als betroffener Selbstständiger hoffe ich, wie vielleicht auch Sie, dass Richter ihre Urteile zur DSGVO so fällen, dass die krassesten Absurditäten der Verordnung dadurch nicht zur gelebten Rechtspraxis werden.

Überblick: Die wichtigsten Vorschriften der DSGVO

Personenbezogene Daten: Die DSGVO regelt die Verarbeitung und Speicherung von personenbezogenen Daten. Das sind Angaben, die einen Menschen entweder direkt betreffen – etwa sein Name, seine Adresse oder Telefonnummer – oder Informationen, die sich einer Person wie die IP-Adresse ihres Rechners eindeutig zuordnen lassen, sobald sie mit anderen Daten kombiniert werden. 

Bußgelder: Die Verordnung sieht Bußgelder bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes vor – je nachdem, was höher ist.

Informationspflicht: Unternehmen müssen den Aufsichtsbehörden Datenlecks binnen 72 Stunden melden. Führt die Panne für Betroffene zu einem „hohen Risiko“, sind auch diese zu informieren.

Datenschutzfolgeabschätzung: Die Datenschutzfolgeabschätzung ist immer dann zu machen, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten ist.  

Verarbeitungsverzeichnis: Bis auf sehr wenige Ausnahmen müssen alle Unternehmen einen Katalog ihrer Datenverarbeitungsprozesse erstellen.

Einwilligungen: Wo nötig, müssen Betroffene der Verarbeitung ihrer Daten freiwillig und bewusst zustimmen. Zuvor müssen sie informiert sein, auf welcher Rechtsgrundlage, zu welchem Zweck und für wie lange ihre Daten verarbeitet werden. 

Widerruf: Bürger müssen ihre Einwilligung jederzeit grundlos widerrufen können. 

Zweckbindung: Daten dürfen nur zu dem Zweck verarbeitet werden, über den der Bürger informiert ist und dem er zugestimmt hat.

„Recht auf Vergessenwerden“: Ist der Zweck erfüllt, zu dem Daten verarbeitet wurden oder widerrufen Betroffene ihre Einwilligung, können sie verlangen, dass ihre Daten gelöscht werden – es sei denn gesetzliche Aufbewahrungspflichten stehen dem entgegen.

Datensparsamkeit: Unternehmen dürfen für ihre Zwecke nur so viele personenbezogene Daten verarbeiten wie unbedingt erforderlich. Sie müssen alle Wege nutzen, um Daten zu anonymisieren. 

Lesermeinungen zum Artikel

2,6 von 5 Sternen

Ihre Meinung zum Artikel

Bitte verwenden Sie keine Links in Ihrem Kommentar.

Ihr Kommentar wird zunächst geprüft. Möchten Sie informiert werden, wenn er veröffentlicht wurde?
Bitte tragen Sie dazu Ihre E-Mail-Adresse ein:
Wir konnten Ihre Bewertung leider nicht speichern. Bitte geben Sie zuerst Ihr Feedback ab.
Lieber Leser, vielen Dank für Ihr Feedback.
Ihre Bewertung für den Artikel wurde gespeichert. Ihre GULP Redaktion.

Ähnliche Artikel