Die neue Datenschutzgrundverordnung ist momentan ein großes, verängstigendes und nerviges Thema unter Selbstständigen.

 

Denn ja: Als Selbstständige sind wir jede Abteilung unseres Unternehmens. Und das bedeutet, dass wir an manchen Tagen nur sehr wenig oder sogar gar keine Zeit mit unserem eigentlichen Job wie dem Schreiben, Fotografieren oder Coachen verbringen. Stattdessen erledigen wir administrative Aufgaben, jede Menge administrative Aufgaben. Und dazu gehört momentan vor allem die DSGVO, die am 25.05. in Kraft tritt.

 

Natürlich rauben uns diese Aufgaben wertvolle Arbeits- und Lebenszeit. Das Ding ist aber: Wir müssen sie machen. Also wenn wir sie schon machen, warum dann nicht gleich mit einer positiven Einstellung? Denn dass wir diese Aufgaben auf dem Tisch haben, bedeutet gleichzeitig auch, dass wir unsere Selbstständigkeit leben.

 

Umso mehr habe ich mich gefreut, dass mich Janina Albrecht, eine befreundete Juristin, eingeladen hat, die DSGVO zusammen anzugehen.

 

Janina arbeitet derzeit für eine Anwaltskanzlei aus Leipzig und hat sich auf Kreative, Blogger, Selbstständige und Start-ups spezialisiert. Ihrer Erfahrung nach haben viele die DSGVO noch nicht richtig auf dem Schirm oder sehen die Verordnungen vor lauter Paragraphen nicht. Für Kreatives Leipzig und TUGLE hat sie bereits mehrere Vorträge über dieses Thema gehalten.

 

Zusammen möchten Janina und ich dir gerne mehr Klarheit und Leichtigkeit in das DSGVO-Wirrwarr bringen. Wir erklären dir Schritt für Schritt die ersten wichtigen Maßnahmen.

 

 

Dieser Blogartikel ist keine Rechtsberatung! Ich übernehme für die nachfolgenden Tipps keine Haftung. Solltest du zu diesem Artikel Fragen haben, kannst du dich gerne an Janina wenden.

 

 

 

5 Gründe, warum du die DSGVO positiv sehen solltest

 

Zuallererst habe ich Janina gefragt: Warum? Warum bringt mir persönlich die DSGVO etwas?

 

Ich finde diese Frage immer sehr spannend, denn sie zeigt mir neue Perspektiven auf und motiviert mich, ins Handeln zu kommen – besonders wie bei diesem trockenen Thema.

 

1. Bewusstsein und Sensibilität stärken

Zugegeben, habe ich noch nie wirklich über Daten nachgedacht. Die neue Verordnung gibt mir aber nun den Anlass, mich zu fragen:

 

  • Wo verwende ich Daten eigentlich?
  • Warum habe ich sie?
  • Brauche bzw. nutze ich sie wirklich?

 

In diesem Zusammenhang ist auch die Frage interessant, wann wir überhaupt Daten erheben dürfen. (Okay, so wirklich „interessant“ ist es nicht, aber es dient deinem Verständnis für das Folgende.) Die Grundregel hierfür ist: Man darf nie Daten erheben, es sei denn, man hat einen dieser Gründe:

 

  • Die betroffene Person hat eingewilligt.
  • Die Daten sind für die Erfüllung des Vertrages erforderlich.
  • Es dient der Wahrung berechtigter Interessen.

 

Allgemein können wir also sagen, dass wir so wenig Daten wie möglich erheben sollten.

 

Die Flut der Informationen macht gleichgültig gegen Informationen überhaupt. – Friedrich Löchner

 

 

2. Tools hinterfragen

Mit diesem neuen Bewusstsein und besonders dank der ADV-Verträge (siehe Schritt 3) kannst du die Tools hinterfragen, die du im Alltag verwendest.

 

Welche nutzt du? Welche hast du schon lange nicht mehr verwendet? Und welche erleichtern dir wirklich deine Arbeit? Sieh die DSGVO also auch als Möglichkeit an, digital mal wieder aufzuräumen.

 

Hier ist Google Analytics ein typisches Beispiel. Ich hatte mir Google Analystics installiert, weil… na ja, weil man das halt so macht. Allerdings habe ich nicht wirklich oft mit diesen Daten gearbeitet. Ebenso ging es mir mit vielen anderen Plugins. Das, was ich nicht wirklich brauche, habe ich gelöscht.

 

 

3. Workflow strukturieren und verbessern

Die DSGVO und das damit verbundene Verfahrensverzeichnis (siehe Schritt 3) kannst du außerdem als prima Hilfe sehen, um deine eigenen Abläufe genauer zu betrachten und ggf. neu – besser – zu strukturieren.

 

Weniger Daten bedeuten gleichzeitig auch weniger Speicherplatz, Zeitverschwendung und Ballast.

 

Welche Vorteile ein Workflow noch hat, habe ich dir mit dem Beispiel meiner Schreib-Mentorings in diesem Blogartikel zusammengefasst: Hast du einen Workflow für deine Kundenaufträge?

 

Je mehr Information, je grösser die Verwirrung. – Hans Ulrich Bänziger

 

 

4. Bindung zu deinen Kunden stärken

Bei all den Infos, mit denen wir tagtäglich jonglieren, vergessen wir manchmal auch eins: Hinter diesen Daten stehen immer auch Menschen.

 

Wenn du dich mit deiner Verwaltung von Kundendaten auseinandersetzt, wissen sie, dass du sorgsam mit ihren Infos umgehst. Das stärkt deine Qualität, das Vertrauen und somit euer Verhältnis.

 

 

5. Das große Ganze sehen

Die Intention hinter der DSGVO ist nicht, uns Selbstständige und kleine Firmen zu schikanieren. Vielmehr geht es doch darum, dass diese Verpflichtungen vor allem Unternehmen treffen, die von den Daten anderer profitieren.

 

Mir fiel das letztens beispielsweise auf, als ich bei einer fremden Krankenkasse anrief. Nachdem ich meinen Vor- und Zunamen und mein Geburtsdatum nannte – also nur drei Angaben – erzählte mir die Frau von der allgemeinen Hotline plötzlich Sachen über mich selbst. Das fand ich schon ziemlich erschreckend.

 

Und noch ein Beispiel, das echt frech ist: Manche Onlinehändler werten verschiedene Daten aus und passen entsprechend ihre Preise an. Shopbesuchern, die mit einem Apple-Gerät auf die Website zugreifen, werden teurere Preise angezeigt, denn sie gelten allgemein als zahlungskräftiger. (Weitere Infos dazu kannst du hier nachlesen.)

 

 

Nachdem Janina und ich das Warum also geklärt hatten, ging es mir darum, wie ich die DSGVO so einfach wie möglich für mich umsetzen kann. Janinas juristisches Fachwissen und meine Bedürfnisse als Selbstständige haben dabei perfekt harmoniert, um eine kleine Anleitung zu erstellen.

 

 

Die wichtigsten Schritte für die Umsetzung der DSGVO

0. Durchatmen

Über die DSGVO wird im Internet, in den sozialen Netzwerken und oft auch in persönlichen Gesprächen viel Panik verbreitet. So schlimm ist es aber gar nicht.

 

Sieh den 25.05. einfach als Motivation für die 5 oben genannten Gründe an.

 

Atme also tief durch, mach dir mithilfe der nächsten Schritte einen Plan und arbeite ihn ab. Wie gesagt: Wir müssen es so wie so machen – also können wir auch gleich positiv dabei sein.

 

 

1. Deine Website

Im ersten Schritt empfiehlt Janina, die Sachen rechtssicher zu machen, die nach außen sichtbar sind. Das Hauptaugenmerk sollte dabei auf der Datenschutzerklärung, der SSL-Verschlüsselung, deinem Kontaktformular, der Kommentarfunktion und Social Media-Plugins liegen.

 

Datenschutzerklärung

Die Datenschutzerklärung kannst du bei einem Anwalt oder über einen Generator online erstellen lassen.

Solltest du dich für Letzteres entscheiden, dann lies auf jeden Fall noch einmal drüber, ob der Inhalt wirklich individuell auf dich zutrifft und ob der Text für deine Website-Besucher verständlich ist.

 

Zwei Faktoren sind dabei besonders wichtig:

Auf jeder Seite deiner Website muss eine Verlinkung zur Datenschutzerklärung zu finden sein (beispielsweise im Footer). Achte darauf, dass der Link leicht zu finden ist und nicht von Popups oder dem Cookie-Hinweis verdeckt wird.

Diese Verlinkung muss den Begriff „Datenschutz“ enthalten. Wenn du die Datenschutzerklärung und das Impressum also auf einer Seite hast, kann die Verlinkung lauten „Impressum/ Datenschutz“.

 

Verkaufst du digitale Produkte, wie ich beispielsweise mein eBook? Dann schreibe in deine Datenschutzerklärung, über welche externe Plattform die Daten laufen und verlinke auch deren Datenschutzerklärung.

 

Wenn du deine Datenschutzerklärung erneuerst, kannst du auch gleich schauen, ob dein Impressum einwandfrei ist. Auch hierfür gibt es Generatoren.

 

SSL-Verschlüsselung

Deine Website benötigt ein SSL-Zertifikat. Das erkennst du ganz leicht daran, ob in der URL deiner Website ein https steht. https (Hypertext Transfer Protocol Secure) bedeutet, dass der Datenaustausch verschlüsselt über eine SSL-Verbindung stattfindet und somit die Sicherheit erhöht ist.

 

Das SSL-Zertifikat kannst du bei deinem Webhoster erwerben.

 

Ganz wichtig: Nachdem das SSL-Zertifikat aktiviert ist, rate ich dir, alle Seiten deiner Website zu kontrollieren. Bei mir funktionierte das Plugin Easy Columns nicht mehr und ich musste alle Spalten auf meiner Website mit einem neuen Plugin neu formatieren. (Uff…)

 

 

Kontaktformular und Kommentarfunktion

Für das Kontaktformular deiner Website und die Kommentarfunktion deines Blogs gilt ab Ende Mai: Du brauchst die Einwilligung des Senders.

 

Technisch kannst du das bei WordPress mit dem Plugin WP GDPR Compliance umsetzen.

 

Diese Einwilligung musst du nachweisen können. Unser Tipp: Protokolliere die Installation des Plugins bzw. Änderungen an deiner Website.

 

 

Social Media

Deine Social Media-Buttons müssen künftig über ein Zwei-Klick-Konzept (oder Shariff-Button) laufen. Der Grund: Bindest du direkt etwas von Social Media-Plattformen ein, werden bereits beim Aufrufen der Webseite Daten des Besuchers an das Netzwerk übertragen. Er hat keine Möglichkeit, das zu verhindern. Bei der Zwei-Klick-Lösung gibt er jedoch mit dem Klick auf den Button seine Zustimmung.

 

Hierfür kann ich dir den Blogartikel „120+ WordPress-Plugins im DSGVO-Check“ von Blog Mojo empfehlen.

 

Außerdem musst Du aufgrund der Informationspflichten aus der DSGVO über die Datenverarbeitung aufklären. Allerdings wissen wir selbst meistens gar nicht, welche Daten die sozialen Netzwerke erheben und was sie mit ihnen machen. Die sicherste Lösung ist, in der Datenschutzerklärung so gut es geht über die Einbindung von Social Media-Plugins aufzuklären und zusätzlich auf die Datenschutzerklärung des jeweiligen sozialen Netzwerkes zu verlinken.

 

 

 

2. Das Verfahrensverzeichnis

Alle Abläufe, bei denen du Daten von anderen bekommst, sammelst du im Verfahrensverzeichnis.

 

Für das Verfahrensverzeichnis kannst du dir eine Vorlage aus dem Internet runterladen (wie hier bei der Kanzlei KTR) oder eine eigene Excel-Tabelle erstellen. Weitere Kriterien für das Verzeichnis: Es muss auf Deutsch und schriftlich bzw. digital sein.

 

Folgende Angaben gehören in das Verfahrensverzeichnis:

  • eigene Kontaktdaten (Unternehmensname, dein voller Name, Adresse, E-Mail, Telefon, Website)
  • die Kontaktdaten eines weiteren Verantwortlichen oder eines Datenschutzbeauftragten
  • Bezeichnung der Verarbeitungstätigkeit
  • Zweck der Verarbeitung
  • Kategorien der betroffenen Personen
  • Kategorien der betroffenen Daten
  • andere Empfänger und Datenverarbeiter
  • Fristen für die Löschung der jeweiligen Datenkategorien
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

 

 

Bezeichnung der Verarbeitungstätigkeit

Für diese Spalte kannst du die Daten, die du bekommst, in Kategorien einteilen.

 

Zum Beispiel:

  • Kundendaten (Zweck: Vertragserfüllung; Aufträge und eBook-Verkäufe)
  • Daten, die mir per E-Mail oder Nachrichten (z.B. über Instagram) geschickt werden
  • Daten von Website-Besuchern
  • Nachrichten über das Kontaktformular
  • Kommentare auf dem Blog
  • Daten über Onlineshop
  • Newsletter

 

 

Zweck der Verarbeitung

In diese Spalte schreibst du, wofür du diese Daten verwendest.

 

Beispiel Kundendaten: Die Kundendaten brauchst du zur Vertragserfüllung.

 

Beispiel Newsletter: Die E-Mail-Adressen deiner Newsletter-Abonnenten benötigst du, um ihnen den Newsletter schicken zu können.

 

 

Kategorien der betroffenen Personen

Auch hier kannst du wieder Gruppen erstellen.

 

Beispiel Kundendaten: Kunden

 

Beispiel Newsletter: Interessenten und Kunden

 

 

Kategorien der betroffenen Daten

Beispiel Kundendaten: Kontaktdaten, Rechnungsanschrift, Informationen, die der Vertragserfüllung dienen

 

Beispiel Newsletter: Name und E-Mail-Adresse

 

 

Andere Empfänger und Datenverarbeiter

In diese Spalte schreibst du alle Personen, Anbieter, Plattformen o.ä., die die entsprechenden Daten ebenfalls einsehen können oder verarbeiten.

 

Dazu zählen beispielsweise

  • der Hoster deiner Website (z.B. 1und1),
  • der Anbieter deines Newsletter (z.B. Newsletter2Go),
  • die Anbieter sämtlicher Plugins,
  • die Plattform(en), über die du deine digitalen Produkte verkaufst (z.B. elopage) oder
  • sonstige Tools, Dienste und Software, die dir deine Arbeit erleichtern (z.B. Calendly).

 

Ganz wichtig: Mit all diesen Empfängern und Datenverarbeitern musst du einen ADV-Vetrag machen. Dazu mehr in Schritt 3.

 

Unser Tipp: Hinterfrage die Tools und Dienste, die du verwendest. Das spart dir Zeit bei den ADV-Verträgen (siehe Schritt 3) und schenkt dir außerdem die Möglichkeit, digital mal wieder aufzuräumen!

 

 

Fristen für die Löschung der jeweiligen Datenkategorien

Die Löschungsfrist geht mit der Aufbewahrungsfrist einher. Eine tolle Übersicht dieser Aufbewahrungsfristen findest du bei Reisswolf.

 

Beispiel Kundendaten:

  • Bestell- und Auftragsunterlagen 6 Jahre
  • Geschenknachweise 10 Jahre
  • Mahnvorgänge 6 Jahre
  • Rechnungen und Rechnungsunterlagen 10 Jahre

 

Sollte es keine gesetzliche Aufbewahrungs- bzw. Löschungsfrist geben, gibst du eine Beschreibung der Löschungsfrist an. Als allgemeine Regel für die Lösung der Daten gilt: Lösche sie, wenn du sie nicht mehr brauchst. So könntest du beispielsweise für die Löschung von Angeboten, die nicht angenommen wurden, 3 Monate angeben.

 

 

Beschreibung der technischen und organisatorischen Maßnahmen

In diesem Feld geht es darum, wie du die Daten sicherst. Das kannst du stichpunktartig aufschreiben.

 

Beispiel:

  • Aufbewahrung der personenbezogenen Daten in einem abgeschlossenen Büro, zu dem nur ich den Schlüssel habe
  • Laptop ist passwortgeschützt, ich lasse ihn in öffentlichen Räumen (z.B. Coworking Space) nicht unbeaufsichtigt offen stehen

 

Als Muse dient dir §64 BDSG: Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Zuverlässigkeit, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle, Trennbarkeit.

 

 

Wichtig: Änderungen und Erweiterungen des Verfahrensverzeichnisses

Änderungen und Erweiterungen des Verfahrensverzeichnisses musst du dokumentieren. Am besten machst du das, indem du die Datei immer mit Datum abspeicherst und kopierst, wenn du etwas Neues einträgst.

 

Der Grund: Solltest du geprüft werden, kann es sein, dass die Behörde nicht die aktuellste Version, sondern die von einem bestimmten Zeitraum, zum Beispiel von vor einem halben Jahr, sehen möchte.

 

 

3. ADV-Verträge

Mit allen Personen und Anbietern, die du in deinem Verfahrensverzeichnis unter „Andere Empfänger und Datenverarbeiter“ eingetragen hast, musst du einen ADV-Vertrag abschließen.

 

Die meisten Unternehmen haben dafür bereits Vorlagen und die Abwicklung läuft digital ab.

 

Eine prima Übersicht und weitere Infos dazu findest du bei Blog Mojo: ADV-Verträge für Blogger & Online-Unternehmer: Liste mit Hostern, Newsletter-Tools etc.

 

Japp, das ist eine Heidenarbeit, aber denke daran: Es hilft dir, deine Workflows und Tools zu hinterfragen und somit deine Abläufe zu optimieren.

 

 

4. Angebote bzw. Verträge für Kunden

In deinen Angeboten bzw. Verträgen solltest du deine Kunden über deinen Datenschutz aufklären.

 

Infos, die du dabei ansprechen musst:

  • Verantwortlicher mit Kontaktdaten (du)
  • weitere Empfänger der Daten (z.B. eine virtuelle Assistentin oder externe Dienstleister)
  • Zweck der Verarbeitung und optimal noch die Rechtsgrundlage (Auftragserfüllung nach Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO)
  • Angaben, falls du Daten ins Ausland übermittelst (z.B. Dropbox oder GoogleDrive)
  • weitere Angaben, die rechtlich als Kann geregelt sind:
    • Dauer der Speicherung
    • Rechte des Betroffenen
    • Recht die Einwilligung jederzeit zu widerrufen
    • Beschwerderecht bei der Aufsichtsbehörde

 

Natürlich werden diese Zeilen nicht die hübschesten in deinem Angebot bzw. Vertrag sein. Doch wenn du deinen Kunden mitteilst, dass du sorgsam mit ihren Daten umgehst, stärkt das deine Qualität und das Vertrauen deines Kunden.

 

 

Bitte beachte: Ich habe nur die Maßnahmen aufgezählt, die mich persönlich betreffen. Das bedeutet, dass für dich evtl. weitere Punkte, wie das richtige Einstellen von Google Analytics, relevant sind. Als Hilfestellung für die DSGVO kann ich dir den umfangreichen Blogartikel von Janneke von Blog Your Thing empfehlen: DSGVO für Blogger.

 

 

Weitere Infos zur DSGVO

Leicht und einfach

Alle Hinweise zum Datenschutz müssen immer leicht zu finden und auch einfach zu erfassen sein.

 

Janina nennt das den „Oma-Test“: Könnte meine Oma das auch verstehen?

 

 

Meldung bei Datenpannen

Mit der DSGVO tritt auch die Vorschrift in Kraft, dass du Vorfälle melden musst, bei denen jemand Fremdes auf deine Daten zugreifen kann.

 

Beispiel: Du verschickst Infos wie eine Rechnung per E-Mail. Dabei vertippst du dich beim Empfänger und die falsche Person erhält die Nachricht.

 

Diese Datenpanne musst du innerhalb von 72 Stunden an deine zuständige Datenschutzbehörde melden. Ebenso muss die betroffene Person darüber informiert werden (in dem Beispiel der Kunde, dessen Daten in der Rechnung stehen und der die E-Mail eigentlich erhalten sollte).

 

Wenn du dir nicht sicher bist, weil es sich bei den Infos um Belangloses handelt, empfiehlt Janina zwei Möglichkeiten.

Empfehlung 1: Du informierst die betroffene Person und meldest es zur Sicherheit der Datenschutzbehörde.

Empfehlung 2: Du informierst die betroffene Person und dokumentierst den Vorfall.

 

 

Kaffee und Kuchen

Getreu dem Motto „Denken müssen wir doch sowieso. Warum dann nicht gleich positiv!?“ lade ich dich dazu ein, dir einen schönen Tag mit der DSGVO zu machen.

 

Nimm den 25.05. als Motivation, um den Workflow der Daten, die du in deinem Arbeitsalltag als Selbstständige verwendest, zu strukturieren und zu verbessern.

 

So schaffst du dir eine gute Grundlage. Notiere dir dann im Alltag weiterhin, wo und mit welchen Daten du zutun hast und nehme sie mit auf.

 

 

 

 

Wenn du Fragen hast, melde dich direkt bei Janina oder schreib sie mir und ich leite sie an Janina weiter.

 

 


 

Über Janina Albrecht

 

Janina, ursprünglich auf dem halben Weg zur Schriftstellerin, beschäftigt sich seit ihrem Jura-Studium am liebsten mit dem rechtlichen Schutz von Ideen und Gedanken, Kreativität und unternehmerischem Handeln. Daneben fasziniert sie der Umgang mit Privatsphäre und Daten, insbesondere im Internet. Ihr Fokus auf Urheber- und Markenrecht sowie Wettbewerbs- und Datenschutzrecht führte sie in die kreative Kanzlei KTR in Leipzig. Die Kanzlei KTR ist spezialisiert auf die Beratung von Kreativen, Startups, Freelancern und Unternehmen.

Klicke hier, wenn du Kontakt mit Janina aufnehmen möchtest.

 

 

 

 


 

DSGVO für Selbstständige – die ersten wichtigen Schritte

Ein Gedanke zu „DSGVO für Selbstständige – die ersten wichtigen Schritte

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.