Was bedeutet die DSGVO für Freelancer und Einzelunternehmer?

Was bedeutet die DSGVO für Einzelunternehmer und Freelancer?

Die Netzwelt hat ein neues großes Thema, das schon lange angekündigt war, aber bei vielen erst in den letzten Wochen so richtig durchgesickert ist und dabei mal mehr, mal weniger Panik ausgelöst hat: die DSGVO (Datenschutzgrundverordnung).

Erstmal die beruhigende Nachricht vorweg:

Ein Grund zur Panik ist die DSGVO nicht.

Wohl aber ein Thema, das jede Unternehmerin und auch jeder Freiberufler ernstnehmen sollte. Und dem man, auch wenn diese Meinung derzeit eher unbeliebt ist, durchaus auch positive Aspekte abgewinnen kann: Beispielsweise den, dass es einen zwingt, einmal konkreter über die Daten nachzudenken, die man von seinen Kunden und Interessenten eigentlich so erfasst – und was man damit macht.

Manches ist trotz umfangreicher Literatur zum Thema noch gar nicht so klar und einiges wird wohl erst durch die 2019 noch folgende ePrivacy-Verordnung konkretisiert werden. Trotzdem gibt es schon einige Punkte, zu denen wohl alle Unternehmer, Unternehmerinnen (und im Übrigen auch Vereine) aktiv werden sollten.

Ein Grund zur Panik ist die DSGVO nicht. Sie zu ignorieren ist aber auch keine gute Idee. #DSGVO #Freelancer #Einzelunternehmer Klick um zu Tweeten

ACHTUNG: Die folgenden Ausführungen sind das Ergebnis meiner eigenen Recherche und eine Zusammenfassung meines Verständnisses der Situation. Sie verstehen sich lediglich als Hinweise, nicht als Rechtsberatung und haben keinen Anspruch auf Richtigkeit und/oder Vollständigkeit!

DSGVO: Was ist das?

Die DSGVO ist die neue EU-Datenschutzgrundverordnung, die genau genommen schon am 24. Mai 2016 in Kraft getreten ist und ab dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten gilt. Ihr Ziel ist es, die Regeln zur Verarbeitung personenbezogener Daten EU-weit zu vereinheitlichen.

Das Interessante: Da Deutschland im Vergleich zu anderen EU-Ländern schon vor der DSGVO eine vergleichsweise strenge Datenschutzgesetzgebung hatte und sich viele der DSGVO-Regelungen am deutschen Datenschutzrecht orientieren, sind die meisten Regelungen der neuen Verordnung für deutsche Unternehmen gar nicht so neu. Bislang wurden viele Aspekte des Datenschutzes aber von den meisten Unternehme(r)n schlichtweg ignoriert. Die Hauptauswirkung der DSGVO: Das Ignorieren wird in Zukunft deutlich teurer. Und die Wahrscheinlichkeit, dass es auffällt, steigt.

Betrifft das wirklich auch Einzelunternehmer?

Die kurze, klare Antwort (die ihr vermutlich nicht hören möchtet): Ja.

Ja, die #DSGVO betrifft auch Freelancer und Einzelunternehmer. Klick um zu Tweeten

Viele Freelancer und Einzelunternehmer haben das Thema lange immer wieder vom Tisch gefegt, im Glauben, dass es nur größere Unternehmen angeht. Das ist allerdings nicht richtig. Was richtig ist: Nur Unternehmen mit mindestens 10 datenverarbeitenden Mitarbeitern (um in diese Kategorie zu fallen, genügt es schon, eine E-Mail-Adresse zu nutzen) müssen einen Datenschutzbeauftragten bestellen. Das bedeutet jedoch nicht, dass kleinere Unternehmen oder Einzelkämpfer nicht trotzdem die zahlreichen Anforderungen an den Datenschutz erfüllen müssen.

Was bedeutet die DSGVO für Freelancer und Einzelunternehmer?

Was bedeutet die DSGVO für Freelancer und Einzelunternehmer? | Foto: Mike Flinzner

Und was für Anforderungen sind das?

In den diversen von IHKs oder Rechtsanwaltbüros veröffentlichten Ratgebern liest man viel von Transparenz, Marktortprinzip, Datenminimierung, Zweckbindung, Speicherbegrenzung, Vertraulichkeit, Privacy by Design, Recht auf Vergessenwerden usw. usf. Diese hinter der DSGVO stehenden Grundsätze zu verstehen, ist auch sicherlich hilfreich und schadet nie. Wenn Ihr dazu mehr wissen möchtet, werft mal einen Blick in die untenstehenden Links und Literaturtipps.

Was einen gut beschäftigten Freelancer am meisten interessiert, ist aber doch die Frage:

Was muss ich tun?

Versuchen wir die also mal zu beantworten.

Um die folgenden 4 Punkte sollte sich wohl JEDER Freiberufler und JEDE Unternehmerin kümmern:

4 Punkte, um die sich jede Einzelunternehmerin und jeder Freelancer vor dem 25. Mai 2018 kümmern sollte. #DSGVO Klick um zu Tweeten

1. Herausfinden, welche personenbezogenen Daten ihr wann, wo und wie erfasst, speichert und verarbeitet

Jeder, der „nicht nur gelegentlich“ personenbezogene Daten verarbeitet, ist laut DSGVO zum Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Das heißt: Selbst wenn ihr noch nicht einmal eine Website haben solltet, betrifft euch die DSGVO trotzdem.

Selbst wenn ihr als Unternehmer keine Website habt, betrifft euch die #DSGVO: Zum Beispiel, wenn es um das Verzeichnis der Verarbeitungstätigkeiten geht. Klick um zu Tweeten

Diese investigative Arbeit sollte am Anfang eurer DSGVO-Vorbereitungen stehen, denn sie verrät euch auch, an welchen Stellen ihr nochmal genauer hinschauen solltet. Besonders wichtig dabei ist auch die Frage, welche Drittunternehmen außerdem potenziell Zugriff auf eure Kundendaten haben. Das sind vermutlich mehr als ihr bislang dachtet. Wärt ihr beispielsweise auf die Idee gekommen, euren Webhoster in eine solche Liste mit aufzunehmen?

Für solche Verzeichnisse gibt es zahlreiche Vordrucke und Muster, die häufig für Zwecke von Einzelunternehmern natürlich viel zu umfangreich angelegt, zum Entlanghangeln aber trotzdem hilfreich sind.

Mehr Informationen und Vorlagen

2. Mit Drittunternehmen Auftragsverarbeitungsverträge (AV) abschließen.

Mit jedem Unternehmen, das Zugriff auf eure Kundendaten hat, solltet ihr einen Auftragsdatenverarbeitungsvertrag abschließen. Beispielsweise mit dem Webhoster, bei dem eure Website liegt und über dessen Server entsprechend auch IP-Adressen oder Kontaktnachrichten eurer Websitebesucher laufen. Mit dem Dienstleister, über den ihr eure Newsletter versendet. Oder auch mit eurer Webagentur, die euren Google-Analytics-Account oder euren Newsletter technisch betreut.

Habt ihr mit eurem Webhoster schon einen Auftragsverarbeitungsvertrag abgeschlossen? Aus der Reihe «Sätze, von denen ich nie dachte, dass ich sie mal schreiben würde». #DSGVO Klick um zu Tweeten

Auch für solche Verträge gibt es Muster, beispielsweise hier:

Viele große Anbieter stellen aber auch schon von sich aus entsprechende Funktionen zum Abschließen von AVs bzw. „Data Processing Agreements“ zur Verfügung.

Edit: Eine super-hilfreiche Liste mit für Blogger relevanten Anbietern und deren aktuellem Status in Sachen AV hat Finn Hildebrandt auf BlogMojo angelegt.

Übrigens: Wenn ihr mit Unternehmen bereits ältere Auftragsverarbeitungsverträge habt, solltet ihr die in der Regel neu abschließen, da sie im Rahmen der DSGVO andere Inhalte verpasst bekommen haben.

3. Eure Datenschutzerklärung anpassen

Solltet ihr noch keine haben, ist jetzt der Zeitpunkt, an dem ihr um eine Datenschutzerklärung auf eurer Website nicht mehr herumkommt. Selbst dann, wenn ihr glaubt, dass ihr gar keine Benutzerdaten erfasst – euer Webhoster tut es auf jeden Fall. Und auch wenn ihr bereits eine Datenschutzerklärung habt, sollte sie an die neuen Anforderungen angepasst werden.

Eine der Hauptbaustellen der #DSGVO: Die Datenschutzerklärung. Klick um zu Tweeten

Theoretisch könnt ihr die Datenschutzerklärung selber schreiben. Dabei alles richtig zu machen und alle rechtlichen Vorgaben zu berücksichtigen, ist aber eine Herausforderung für sich. Alternativ könnt ihr auch einen Anwalt damit beauftragen, und wenn ihr eine sehr komplexe, außergewöhnliche Website habt, auf der besonders kritische Daten verarbeitet werden, könnte eine so maßgeschneiderte Datenschutzerklärung auch die beste Variante sein. Für die meisten Standard-Websites sind aber auch Standard-Lösungen völlig ausreichend.

Seriöse Quellen für Datenschutzerklärungen sind zum Beispiel:

  • Der Datenschutz-Generator von Rechtsanwalt Thomas Schwenke. Kosten: 99 EUR pro Website (inkl. 1 Jahr Updates). Kostenlos für Privatpersonen oder Kleinunternehmen mit weniger als 5.000 EUR Umsatz/Jahr.
  • Der Datenschutz-Generator von eRecht24.de. Für weniger komplexe Websites ist eine kostenlose Variante verfügbar, für die man lediglich eine E-Mail-Adresse angeben muss. Ihr könnt vor dem Abschicken prüfen, ob alle von euch benötigten Textteile verfügbar sind oder doch hinter der Premium-Bezahlsperre stecken. Das Premium-Abo kostet aktuell ab 14,90 €/Monat (bei jährlicher Zahlung).
  • Die Musterdatenschutzerklärung der Uni Münster, die ohne Urhebernennung verwendet und nach Bedarf angepasst werden darf.

Ein Tipp: Wenn ihr eine Agentur mit der Erstellung und/oder Betreuung eurer Website beauftragt habt, fragt die doch mal, ob sie bereits entsprechende Quellen hat. eRecht24 beispielsweise bietet einen speziellen Agentur-Tarif an, mit dem Webdesigner alle dort verfügbaren Texte und Informationen auch für die Websites ihrer Kunden nutzen können.

4. Eure Website auf HTTPS umstellen

Daten verschlüsselt zu übertragen, ist eigentlich schon länger eine Grundanforderung – Online-Shops beispielsweise kommen schon lange nicht mehr ohne SSL-Verschlüsselung aus. Dasselbe gilt allerspätestens jetzt auch für euch und eure Website. Spätestens seit die Initiative Let’s Encrypt sogar kostenlose SSL-Zertifikate ausgibt, gibt es auch endgültig keine Entschuldigung mehr, diesen Schritt nicht zu gehen. Und besonders schwierig ist es auch noch nicht einmal.

 

Blogartikel wie diesen nie wieder verpassen?

Mit dem contentIQ-Newsletter bleibt ihr immer auf dem Laufenden!

Bitte beachtet vor dem Abonnieren die weiteren Informationen zum Newsletter sowie die Datenschutzhinweise.

 

 

Fertig?

Das kommt drauf an. Und zwar darauf, was eure Website sonst noch so nutzt – an Funktionen, Plugins, Tools und Integrationen.

Wenn ihr eine ganz schlichte Website ohne Kontaktformular, Kommentarfunktion, Benutzertracking und eingebettete Inhalte wie YouTube-Videos oder Google Maps habt, seid ihr jetzt eigentlich schon fertig.

Und wenn nicht?

Kontaktformular

Wenn ihr ein Kontaktformular nutzt, über das eure Besucher euch Nachrichten hinterlassen können, ist das nicht nur ein Grund mehr für die SSL-Verschlüsselung eurer Website, sondern auch eine Stelle, an der ihr eine explizite Einwilligung in die Übertragung, das Speichern und das Verarbeiten der angegebenen Daten einholen solltet (etwa über das Plugin WP GDPR Compliance).

Edit (03.05.2018): Je mehr man zu diesem Thema liest, desto mehr unterschiedliche Interpretationen findet man dazu (zum Beispiel diese oder diese oder diese). Meine persönliche Schlussfolgerung: Da Einwilligungen nicht die einzige und vor allem auch nicht unbedingt die beste Rechtsgrundlage für das Speichern und Verarbeiten von Daten sind, ist eine Einwilligungs-Checkbox wohl nicht zwangsläufig die beste Alternative. Worin sich aber alle einig sind: Jedes Kontaktformular braucht zwangsläufig eine SSL-Verschlüsselung – und Informationen zum Datenschutz. Eine kurze Info sowie ein Link auf die Datenschutzerklärung machen an dieser Stelle also durchaus Sinn. Vielleicht besser ohne Checkbox – oder alternativ mit einer Checkbox, in der ihr keine Einwilligung einholt, sondern euch bestätigen lasst, dass der Nutzer die Datenschutzhinweise zur Kenntnis genommen hat.

Baut also am besten vor den „Absenden“-Button eine Checkbox (oder einen Informationstext) ein, die einen kurzen Hinweis zur Datenverarbeitung und einen Link auf eure Datenschutzerklärung enthält.

Kommentarfunktion

Einwilligung

Zu den schönen Sachen im Netz gehört ja, dass man so einfach miteinander ins Gespräch kommen kann. Deshalb bieten die meisten Blogs die Möglichkeit, zu den einzelnen Artikeln Kommentare zu hinterlassen. Hierfür gilt dasselbe wie für das Kontaktformular: Auf Nummer Sicher geht ihr, wenn ihr euch für das Speichern der dort hinterlassenen Daten eine explizite Einwilligung holt (Edit: oder zumindest über die Datenverarbeitung informiert, siehe oben).

DSGVO-ToDo: In Kontaktformularen und Kommentarfunktionen über die Art und den Zweck der Speicherung und Verarbeitung von Daten informieren. Klick um zu Tweeten

Bei WordPress-Blogs gibt es außerdem noch zwei weitere Punkte zu berücksichtigen:

Gravatar

WordPress nutzt von Hause aus den Dienst Gravatar, um dort hinterlegte Profilbilder („Avatare“) auszuliefern. Dafür wird beim Eintragen eines Kommentars die eingegebene E-Mail-Adresse (verschlüsselt) an Gravatar weitergegeben, um dort herauszufinden, ob für diese Adresse ein Avatar vorhanden ist.

Wenn ihr das nicht möchtet (wofür es im übrigen einige gute Gründe gibt), könnt ihr die Funktion unter „Einstellungen > Diskussion > Zeige Avatare“ deaktivieren. Dann werden allerdings in euren Kommentaren auch keine Profilbilder mehr angezeigt.

Wenn ihr Gravatar weiterhin benutzt (zum Beispiel, weil außerdem eure Autorenboxen darauf zugreifen), solltet ihr auf jeden Fall einen entsprechenden Passus in die Datenschutzerklärung aufnehmen.

IP-Adressen

Beim Absenden von Kommentaren speichert WordPress neben den vom Benutzer selbst eingetragenen Daten auch die IP-Adresse des Nutzers. Das ist durchaus sinnvoll, um Nutzer im Falle von Missbrauch, strafbaren Inhalten oder ähnlichem identifizieren zu können. Viele Blogs sind aber ohnehin so konfiguriert, dass Beiträge immer manuell freigeschaltet werden müssen. In solchen Fällen ist es schwieriger, die Notwendigkeit des Speicherns von IP-Adressen zu argumentieren. Edit: Ritchie Pettauer von datenschmutz.net findet durchaus Argumente, warum es möglicherweise nicht der richtige Weg ist, die Speicherung von IP-Adressen gänzlich zu unterbinden.

Es kann also im Sinne der von der DSGVO geforderten Datenminimierung durchaus sinnvoll sein, nicht benötigte Informationen wie die IP-Adressen gar nicht erst zu speichern.

Das geht momentan entweder manuell über das Einfügen von ein paar Codezeilen in der functions.php:

function wpb_remove_commentsip( $comment_author_ip ) {
return ' ';
}
add_filter('pre_comment_user_ip', 'wpb_remove_commentsip');

oder über das Plugin  „Remove IP„. Wer kein Child-Theme nutzt und die functions.php nicht nach jedem WP-Update potenziell neu anfassen möchte, wird vermutlich das Plugin vorziehen (das allerdings seit 2 Jahren nicht mehr aktualisiert und mit aktuellen WP-Versionen nicht mehr getestet wurde).

ACHTUNG: Beide Optionen richten sich nur in die Zukunft. Bereits gespeicherte IP-Adressen müsst ihr deshalb manuell aus der Datenbank löschen. Das geht, indem ihr in der Datenbankadministration phpMyAdmin im Reiter „SQL“ die folgende Abfrage eingebt:

UPDATE `wp_comments` SET `comment_author_IP`=''

[Solltet ihr eurer Datenbank in der wp_config.php anstelle von „wp_“ ein individuelles Datenbank-Präfix verpasst haben, ist das hier natürlich anzupassen.]

Aber Vorsicht: Direkte SQL-Befehle in phpMyAdmin können nicht rückgängig gemacht werden. Ihr solltet also genau aufpassen und am besten vor der Änderung noch ein Backup eurer WordPress-Datenbank anlegen.

Eine dritte Option wäre, noch ein paar Wochen abzuwarten, ob WordPress selber sich dieses Themas annimmt und im Zuge der DSGVO zum Beispiel die Möglichkeit einbaut, das Loggen der IP-Adresse ein- oder auszuschalten.

Newsletter

Wenn ihr einen Newsletter versendet, habt ihr euch oben im Zuge der Auftragsverarbeitungsverträge vermutlich schon gedanklich damit auseinandergesetzt. Es sei denn natürlich, ihr versendet den Newsletter über euren eigenen E-Mail-Account und ohne Einsatz eines Newsletter-Providers – was aus Gründen der E-Mail-Reputation wiederum keine so prickelnde Idee ist.

Dass sämtliche Newsletter-Abos über Double-Opt-In laufen (also eine zusätzliche Bestätigungsmail nach der Formulareintragung), sollte ohnehin schon selbstverständlich sein. Darüber hinaus solltet ihr auch hier eine explizite Einwilligung einholen und über die Verarbeitung der Daten transparent informieren. Wie das etwa für den Anbieter MailChimp geht, hat Rechtsanwalt Thomas Schwenke schon lange vor der DSGVO-Welle gut verständlich zusammengefasst.

Ganz wichtig: Wenn ein Leser euren Newsletter wieder abbestellt, müssen seine Daten auch tatsächlich gelöscht werden. Dazu solltet ihr bei eurem Newsletteranbieter nochmal genauer nachschauen, viele beschränken sich nämlich darauf, die entsprechenden Adressen einfach mit dem Vermerk „Unsubscribed“ zu versehen. Allerdings sind die meisten großen Anbieter inzwischen auch für die DSGVO-Thematik sensibilisiert und nehmen entsprechende Anpassungen vor (siehe zum Beispiel MailChimp).

Wenn jemand euren Newsletter abbestellt, müssen seine Daten auch tatsächlich gelöscht werden. Das Label «Unsubscribed» reicht nicht. #DSGVO Klick um zu Tweeten

Tracker identifizieren mit Ghostery

Solltet ihr nicht sicher sein, ob ihr etwas übersehen habt, lohnt es sich, noch einmal etwas genauer hinzuschauen. Wenn ihr bespielsweise ein Content-Management-System wie WordPress verwendet, kann es sein, dass im Hintergrund noch Verknüpfungen stattfinden, die euch gar nicht so bewusst sind oder an die ihr im ersten Moment nicht denkt. Beim Auffinden solcher Verknüpfungen kann das Tool Ghostery hilfreich sein. Damit könnt ihr nicht nur Tracking-Aktivitäten auf von euch besuchten Seiten erkennen und vor allem auch blockieren, sondern ganz nebenbei auch herausfinden, wer oder was auf eurer eigenen Website eigentlich so mittrackt.

Ghostery verrät euch, wer auf eurer Website mittrackt. Zum Beispiel das VG-Wort-Zählpixel, oder der Cookie-Banner. | Screenshot: contentIQ.com

Die kleine lila Box rechts unten ist ziemlich aufschlussreich. „Ghostery“ verrät euch nämlich, wer oder was auf eurer Website mittrackt. | Screenshot: contentIQ.com

Nur das abfragen, was ihr auch braucht

Grundsätzlich gilt für alle Formulare und Kontaktpunkte der Grundsatz der Datenminimierung: Es sollten nur die Daten erhoben werden, die für den jeweiligen Zweck auch tatsächlich gebraucht werden. Wenn ihr einen Newsletter anbietet, braucht ihr für das Verschicken nur eine E-Mail-Adresse – mehr nicht. Wenn ihr weitere Daten (Namen, Anrede etc.) abfragt, sollte das zumindest optional sein.

Die gute Nachricht ist aber: Erstmalig erkennt die DSGVO (im Unterschied zur bisherigen Datenschutzgesetzgebung) auch „berechtigte Interessen“ der Unternehmen. Will heißen: Die explizite Einwilligung des Kunden ist nicht die einzige Grundlage, die zum Speichern von Daten berechtigt. Wenn ihr beispielsweise einen Online-Shop betreibt, braucht ihr natürlich eine Adresse eures Kunden, damit ihr die Ware dorthin liefern (lassen) könnt. Das ist ein „berechtigtes Interesse“, das alleine euch schon das Recht zur Erfassung, Speicherung und Verarbeitung der Daten gibt.

Fragt ihr hingegen das Geburtsdatum ab, damit ihr zum Geburtstag eine Glückwunsch(werbe)mail schicken könnt, oder eine Lieblingsfarbe, um entsprechende Produktvorschläge zu machen, sieht die Berechtigung schon ganz anders aus…

Braucht ihr tatsächlich die Geburtsdaten eurer Kunden? #Datenminimierung #DSGVO Klick um zu Tweeten

Noch Fragen?

Natürlich gibt es noch jede Menge andere Literatur zum Thema – das Netz explodiert ja in den vergangenen Wochen geradezu mit Artikeln zum Thema DSGVO. Ein paar Quellen für die oben genannten Rechercheergebnisse sowie Linktipps findet ihr im Folgenden. Wenn noch Fragen offengeblieben sind, findet ihr dort bestimmt eine Antwort:

Merkblätter & Checklisten

Literaturtipp

Gesetzestexte

Edit: Da in einer Diskussion die Frage danach aufkam, hier noch eine kurze Liste von möglicherweise hilfreichen WP-Plugins, die ich gerne um weitere ergänze:

Hilfreiche WP-Plugins

Remove Comment IPs
Löscht die IPs nach 60 Tagen aus den Kommentaren.

Remove IP (siehe oben)
Verhindert das Speichern von IP-Adressen in der Kommentarfunktion.

WP GDPR Compliance (siehe oben)
Ergänzt Einwilligungs-Checkboxen in der Kommentarfunktion und in Kontaktformularen.

Disable Emojis
Entfernt die Einbindung der externen Quelle s.w.org, über die seit WP 4.2 Emoji-Support für ältere Browser ermöglicht.

FAQs

Edit: Eine sehr nützliche Übersicht für WordPress-Nutzer baut Finn Hillebrandt gerade auf Blogmojo. Dort listet er auf, welche WP-Plugins welche Daten erfassen und wo sie sie speichern. Und außerdem gibt es ähnlich wie oben noch Tipps für Plugins, die bei der Bewältigung der DSGVO helfen können:

Immer noch Bauchschmerzen?

Wenn das Thema euch trotzdem noch den letzten Nerv raubt oder gar schlaflose Nächte verursacht, versucht doch mal die Perspektive zu wechseln. Die DSGVO ist nämlich in erster Linie dazu da, uns als Verbraucher vor zu großer Datensammelwut der Unternehmen zu schützen. Klar, da gäbe es noch ganz andere Baustellen, natürlich werden die ganz Großen auch wieder ihre Schlupflöcher finden und eine EU-Verordnung rettet uns nicht vor staatlicher Massenüberwachung. Aber die Grundintention dahinter ist aus meiner Perspektive durchaus begrüßenswert: Denn Unternehmen und Verbraucher für Datenschutz zu sensibilisieren, kann in Zeiten von NSA, Alexa, Instagram und Co. niemals verkehrt sein.

Die DSGVO will Verbraucher vor der Datensammelwut der Unternehmen schützen. Eigentlich ein unterstützenswertes Ziel, oder? Zumindest in der Theorie. #DSGVO Klick um zu Tweeten

Und wie war das mit den Bildern?

Wenn ihr jetzt denkt: Hier fehlt doch ein Thema – wie war das denn mit Fotos, Bildern und Copyright-Angaben? Stimmt, das fehlt noch. Und zwar schlicht und ergreifend deshalb, weil dazu auch bei mir noch zu viele Fragen offengeblieben sind. Aber es ist ja nicht aller Tage Abend – dazu gibt’s dann bei Gelegenheit noch einen weiteren Blogbeitrag. Sobald sich der Nebel etwas gelichtet hat.

Übrigens: Ich freue mich über eure Fragen und Kommentare. Bitte beachtet dabei aber, dass ich als Nicht-Juristin zu Rechtsfragen keine Einzelfallberatung durchführen kann und darf. Konkrete Fragen solltet ihr deshalb bitte mit einem spezialisierten Rechtsanwalt klären. Gerne nehme ich interessante allgemeine Fragestellungen als Anregungen für zukünftige Artikel oder Artikel-Aktualisierungen auf.

KF/ciq, zuletzt aktualisiert am 30.03.2020

P.S. Ein großes Dankeschön geht an dieser Stelle an die Mitglieder des Netzwerks Texttreff, deren Fragen, Linktipps und Empfehlungen diesen Artikel stark bereichert haben. Ihr seid die Besten!

Dr. Katja Flinzner
63 Kommentare
  1. Sandra
    Sandra sagte:

    Liebe Katja, toller Artikel, der mir sehr hilft, dankeschön. Was mir aber aufgefallen ist, oder vielleicht bin ich auch blind, aber jedenfalls: Fehlt da nicht noch das Datenschutz-Konzept? Soweit ich weiß (habe ich bei einer DSGVO-Veranstaltung von einem Datenschutzprofi gelernt), muss neben dem Verfahrensverzeichnis auch ein grundsätzliches Datenschutzkonzept schriftlich angelegt werden, so mit „Ich schütze Daten am Computer mit sicheren Passwörtern, ich schließe mein Büro ab, wenn ich es nicht nutze“ etc.

    DSGVO-geschädigte haareraufende Grüße
    Sandra, die Dir gestattet, meine Daten hier abzufragen 🙂

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Sandra,

      vielen lieben Dank erstmal – freut mich, dass der Artikel hilft!

      Was das Datenschutzkonzept angeht: Ich gehe aktuell davon aus, dass das Verarbeitungsverzeichnis ausreicht. Von einem Datenschutzkonzept ist zum Beispiel in der oben verlinkten Erste-Hilfe-Broschüre des Bayerischen Landesamts für Datenschutz keine Rede. Aber das muss natürlich nichts heißen.

      Interessanter Aspekt aber natürlich, den Du noch ansprichst, der bei meinem Web-Fokus etwas in den Hintergrund gerückt ist: Natürlich geht Datenschutz auch über die Website hinaus und betrifft tatsächlich auch passwortgeschützte Rechner, abschließbare Schränke/Büros etc.

      Liebe Grüße
      Katja

      Antworten
    • Verena
      Verena sagte:

      vielen Dank für die super Zusammenstellung. Extrem hilfreich finde ich auch die weiterführenden Links und die Hinweise auf sinnvolle PLugins. Danke!!!

      Antworten
  2. Sandra
    Sandra sagte:

    Ach ach, ein Kreuz ist das mit all diesem Zeug. Ich weiß ja, dass es wichtig ist. Wenn man nur einen roten Faden hätte, an dem man sich 1:1 langhangeln kann … Ich habe die Frage mal an den Datenschutz-Experten weitergegeben, dessen Vortrag ich besucht habe. Bin gespannt, ob und was er antwortet und gebe das natürlich dann gern hier an Dich weiter. Je länger ich drüber nachdenke, desto eher denke ich auch, dass mit dem Verzeichnis auch das Konzept abgedeckt ist, aber nun. Wir werden sehen.

    Antworten
  3. Heike
    Heike sagte:

    Hey,
    danke für die toll aufbereitete Info. Ehrlich gesagt, war ich ein wenig überfordert mit dem Gesetzestext und ich war mir auch nicht klar, in wieweit es mich bzw. meine Kunden betrifft. Ich bin Freelancerin und erstelle Webseiten, bzw. mache das Online-Marketing dafür.
    Da muss ich ja nicht nur für mein Datenschutz sorgen, sondern auch die Kunden informieren.
    Dank dieses Textes habe ich wieder mehr Mut gefasst, mich damit auseinander zu setzen. Denn externe Hilfe kann ich mir in dem Fall leider nicht leisten und die meisten meiner Kunden auch nicht.
    LG
    Heike

    Antworten
  4. Christian Behrends
    Christian Behrends sagte:

    Hallo Katja,

    danke für den gut recherchierten und verständlichen Artikel!

    Wir grübeln derzeit in der Düsseldorfer WordPress Community, ob eine einst rechtlich einwandfrei erteilte Einwilligung zum Newsletter nun mit der DSGVO, und angepasster Datenschutzerklärung, von den Empfängern explizit erneut einzuholen ist, oder ob implizit ausreicht.

    Das ist alles so spannend, dass ich mich fast schon drauf freue, auf den Mai 😉

    Liebe Grüsse,
    Christian

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Christian,

      gerne – und danke! 🙂

      Ja, über die Frage habe ich auch schon nachgegrübelt. Ich bin für mich zu dem Schluss gekommen, dass die alte Einwilligung ausreicht, wenn sie entsprechend dokumentiert ist. Aber ob das tatsächlich so stimmt… Bleibt spannend. 🙂

      Liebe Grüße
      Katja

      Antworten
  5. Kerstin Schuster
    Kerstin Schuster sagte:

    Hallo Katja,

    vielen Dank für deinen gut recherchierten und verständlichen Artikel. Genau das habe ich gesucht! Danke, dass du das alles für uns Einzelunternehmer aufgedröselt und zusammengeschrieben hast. Nach dieser Lektüre habe ich endlich einmal das Gefühl, das Thema DSGVO ohne allzu großen Druck im Nacken angehen zu können!

    Liebe Grüße
    Kerstin

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Kerstin,

      vielen Dank, das freut mich sehr! Wenn das der Effekt ist, dann hat es sich gelohnt. 🙂

      Liebe Grüße
      Katja

      Antworten
  6. Stefanie
    Stefanie sagte:

    Hallo Katja,

    ich danke dir! Heute bin ich deine Checkliste Punkt für Punkt durchgegangen, habe einiges gleich erledigt, anderes in meine eigene Checkliste eingetragen. Insgesamt geht es mir jetzt wesentlich besser, die DSGVO-bedingten Bauchschmerzen sind fast verschwunden. Deshalb nochmal, auch wenn ich mich wiederhole: Dankeschön!

    Antworten
  7. Monika Richrath
    Monika Richrath sagte:

    Vielen Dank für diesen superhilfreichen Artikel 🙂 Ich versuche, das ganze positiv zu sehen, Die DSGVO ist schließlich dazu da, hier anderes Verhalten zu etablieren als z. B. in den USA – und das ist doch gut. Natürlich ist das erst einmal lästig für mich als Solopreneurin, aber ich finde es eigentlich auch gut, wenn ich auf eine andere Seite gehe und dort konkret erfahre, was mit meinen Daten gemacht wird …

    Herzliche Grüße,
    Monika

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Gerne – danke für das nette Feedback! Ja, ich sehe das inzwischen genauso. Auch wenn ich natürlich alle Einzelkämpfer verstehe, die sich davon erstmal in Schockstarre versetzen lassen. Das Bewusstsein dafür zu schärfen, dass man mit personenbezogenen Daten sorgfältig umzugehen hat, finde ich aber enorm wichtig. Ich erlebe immer noch Unternehmer (von Privatpersonen ganz zu schweigen), die Mails an 30 Leute im offenen Verteiler schicken. Da ist in Sachen Bewusstsein noch jede Menge Platz nach oben. 🙂

      Antworten
  8. Dirk Mathienz
    Dirk Mathienz sagte:

    Vielen Dank für diesen sehr informativen Artikel. Er viel Licht und ins Dunkel gebracht.
    Was ist eigentlich von diesen WP Plugins zu halten, die am Anfang einer Webseite auf Cookies hinweisen?
    Sind die wirklich nötig?

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Gute Frage, da scheiden sich die Geister. 🙂 Wenn jetzt noch nicht, dann ziemlich sicher 2019 mit der ePrivacy-Verordnung. Ein DSGVO-Thema sind die eher nicht. Aber wie sie dann aussehen müssen, steht noch in den Sternen….

      Antworten
  9. Simone
    Simone sagte:

    Liebe Katja,
    nachdem ich viel davon gehört habe, verstehe ich erst jetzt, dank deines kompetenten und informativen Blogbeitrages so richtig, worum es eigentlich geht und dass auch ich jetzt aktiv werden muss. Ich werde mich an deinen Tipps entlang hangeln und es hoffentlich hinkriegen. Sonst melde ich mich bei dir für Hilfe von professioneller Seite 😉
    Danke und LG, Simone

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Liebe Simone,

      vielen Dank für das nette Feedback! Und natürlich kannst Du Dich jederzeit bei mir melden. 🙂

      Viele Grüße
      Katja

      Antworten
  10. Peter Haurand
    Peter Haurand sagte:

    Hallo Katja,

    vielen Dank für Deine superleicht veständlichen Zeilen – tolle Arbeit!!!

    Mir ist noch unklar, wie es sich mit dem Plugin „WP GDPR Compliance“ verhält.
    Kann dieses Plugin auch dann genutzt werden, wenn man das WP-interne Kontaktformular nutzt? Habe nämlich bereits ein Anmeldeformular mit diesem WP-internen Kontaktformular gebaut. Finde ich als WP-Anfänger einfacher als „Contact Form 7“. Vom Konzept ist ein Kontaktformular und besagtes Anmeldeformular geplant.

    „WP GDPR Compliance“ schreibt: Dieses Plugin unterstützt Websitebetreiber und Webshopbesitzer bei der Einhaltung der europäischen Datenschutzbestimmungen (DSGVO). Bis zum 24. Mai 2018 muss Ihre Website oder Ihr Shop den hohen Bußgeldern entsprechen. WP GDPR Compliance unterstützt derzeit Kontaktformular 7 (> = 4.6), Gravity Forms (> = 1.9), WooCommerce (> = 2.5.0) und WordPress-Kommentare. Zusätzliche Plugin-Unterstützung wird in Kürze folgen.“

    PS. Die angegeben URL ist noch die alte Seite. Die Neue wird gerade gebastelt.

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Peter,

      seit wann gibt es denn in WP ein integriertes Kontaktformular? Vermutlich gehört das zu Deinem Theme, im WP Core gibt es das meines Wissens nicht.

      Insofern ist es wohl eher nicht zu erwarten, dass das Plugin diese Funktion unterstützt.

      Liebe Grüße
      Katja

      Antworten
      • Dr. Katja Flinzner
        Dr. Katja Flinzner sagte:

        In Divi kannst Du aber doch problemlos auch selber eine Checkbox einbauen, die mit dem entsprechenden Text inkl. Link auf die Datenschutzerklärung versehen und als „erforderlich“ kategorisieren.

        Antworten
  11. Elisabeth
    Elisabeth sagte:

    Hallo Katja,

    deine Ausführungen beziehen sich auf Deutschland – ich bin mir aber nicht sicher, ob sie (trotz EU) 1:1 auf Österreich übertragbar sind.

    Weisst du da vielleicht näheres?

    Danke und LG!
    Elisabeth

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Elisabeth,

      nicht wirklich, nein. Ich würde davon ausgehen, dass die im Artikel beschriebenen Schritte auch in Österreich nicht verkehrt sind. Aber es mag durchaus Unterschiede im Detail geben, das kann ich nicht beurteilen. Möglicherweise wird sich die Datenschutzerklärung in beiden Ländern unterscheiden, vermutlich braucht man da andere Mustertexte?

      Liebe Grüße
      Katja

      Antworten
  12. andy
    andy sagte:

    Danke für den Artikel.
    Ich hoffe nur, dass die Kleinen nicht direkt als Opfer angesehen werden um Abmahnungswellen loszutreten.
    Die Kleinen lassen sich nämlich immer am besten Verprügeln, weil die sich kaum bis nicht wehren.
    Plus der psychische Druck. Bei Facebook und Co gibt es sowas nicht. Also die schlafen auch weiter ruhig bei Nacht.

    Antworten
  13. Horst Schulte
    Horst Schulte sagte:

    Vielen Dank für diesen informativen Beitrag. Vielleicht können Sie mir eine Frage beantworten, auf die ich bisher nirgends keine Antwort finden konnte. Ich bin seit vielen Jahren Blogger und derzeit für 3 sehr kleine Blogs verantwortlich. Alle 3 betreibe ich aus reinem Privatvergnügen. Ich verfolge damit keinerlei kommerzielle Interessen. Es gibt keine Anzeigen und auch keine fremden Artikel. Meine Frage ist: Gelten alle Bestimmungen der DSGVO auch für reine Privatblogs oder war die Aufregung, in die vermutlich ja Zehntausende von kleinen Bloggern allein in Deutschland versetzt wurden, unnötig? Diese Frage wird, soweit ich bisher sehen konnte, nirgends verbindlich beantwortet. Ich möchte zur Klärung nicht extra einen Anwalt um Hilfe bitten. Vielleicht können Sie die Frage beantworten? Herzlichen Dank.

    Antworten
  14. Antje Bartens
    Antje Bartens sagte:

    Vielen Dank, der Artikel hat mich in die Aktion gebracht, weil sehr analytisch und logisch strukturiert.
    Frage: Die angegebene „Zeige Avatar“funktion bei WordPress finde ich nicht mehr. Ist dies richtig?

    VG und danke
    Antje Bartens

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Antje, vielen Dank für das nette Feedback! Doch, die Option „Zeige Avatar“ kann man unter Einstellungen > Diskussion nach wie vor ein/ausschalten. Liebe Grüße Katja

      Antworten
  15. Alex
    Alex sagte:

    Vielen Dank, der Artikel hat wieder mal in die richtige Spur gebracht.

    Es ist halt leider so, dass die ganze DSGVO Geschichte speziell Einzelunternehmer und Freelancer . trifft. So nach quasi noch mehr Bürokratie, was nichts mit meinem wirklichen Job zu tun hat. …

    Antworten
  16. Z
    Z sagte:

    Hallo Katja,

    danke für den tollen und sehr sehr guten Artikel und die vielen Impressionen!! Man..das ist ein ganz schöner Wust an Informationen und Dingen auf die man achten muss.

    Als Freelancer mit einer rein darstellereischen Seite (portfolio) frage ich mich ob ich da wirklich so viel machen muss. Wenn meine Seite auf HTTPS umgestellt ist muss ich mich dann noch um Videoeinbettungen von Youtube kümmern?
    Kann man bei den Hostern eigentlich das Sammeln von Daten unterbinden bzw. deaktivieren? Weiß das jemand im Falle von 1und1?

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Z,

      vielen Dank! 🙂 Jep, das ist ganz schön viel. Soweit ich weiß, sollte man Videoeinbettungen von YouTube zumindest in der Datenschutzerklärung erwähnen.

      Und nein: Ich bin ziemlich sicher, dass Du Deinem Hoster nicht verbieten kannst, Daten zu sammeln. Er ist ja sogar gesetzlich dazu verpflichtet, IP-Adressen für einen gewissen Zeitraum zu speichern…

      Antworten
  17. Tommi
    Tommi sagte:

    Das ist nun der erste Artikel, der für echte Menschen geschrieben wurde, zumindest fühle ich mich hier als Person wahrgenommen. Sehr gut! Eine Frage habe ich jedoch: Bei dem ganzen Thema scheint es immer nur um Webseiten und Internet zu gehen? Was mache ich denn als Grafiker, der weder Newsletter oder Werbemails verschickt? Ich mache keine Webseiten, habe nur eine begrenzte Kundenzahl und Dienstleister gespeichert. Müssen alle ein Einwilligungsformular bekommen oder reicht das per Mail? Dazu habe ich noch nirgends eine Antwort gefunden.

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Tommi,

      vielen Dank, das freut mich zu hören! 🙂

      Ja, bei mir dreht sich (fast) alles um Web und Internet. 😉 Dazu kommt aber natürlich, dass das aufgrund der angekündigten Abmahnwelle in der Regel erstmal die dringlichsten Baustellen sind.

      Zu Deiner Frage: Ehrlich gesagt weiß ich nicht genau, was Du meinst? Sprichst Du von den Auftragsvearbeitungsverträgen? Ob Du die abschließen musst, hängt vermutlich davon ab, ob Du in Deiner Arbeit regelmäßig personenbezogene Daten verarbeitest. Vielleicht hilft Dir dieser Artikel dazu weiter? https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/ Oder meinst Du etwas ganz anderes?

      Antworten
      • Tommi
        Tommi sagte:

        Hallo Katja, vielen Dank für,deine Antwort. das Thema verwirrt mich sehr. Die einzigen Daten, die ich verarbeite, sind die Kontakte meiner Kunden und Druckereien. Hie und da mal ein Verlag. Ist da schon genug um tätig zu werden, also um alle anzuschreiben, dass ich ihre Daten speichere, die Adressen u.U. An Druckereien weiter gebe und ihre Adressen auf dem Handy gespeichert haben (was WhatsApp illegalerweise dann verwendet). kann man hier von Datenverarbeitung überhaupt reden?

        Antworten
        • Dr. Katja Flinzner
          Dr. Katja Flinzner sagte:

          Hallo Tommi,

          ehrlich gesagt: Keine Ahnung.

          Ich gehe allerdings nicht davon aus, dass ich alle meine Kunden anschreiben muss, um ihnen mitzuteilen, dass ich ihre Daten verarbeite… Eine Einwilligung brauche ich dafür schonmal gar nicht, denn ich habe ja ein berechtigtes Interesse, die Daten zu speichern und zu verarbeiten.

          In irgendeinem Webinar fiel mal der Hinweis, man solle in seinen Mailfooter einen Link zu einem (speziellen) Datenschutzhinweis aufnehmen. Also nicht auf die Datenschutzerklärung der Website, sondern eine Info, wie Kontaktdaten und Kundendaten verarbeitet werden. Ob das wirklich nötig ist, kann ich nicht beurteilen.
          Und zu den Druckereien: Ob die zu den Auftragsverarbeitern gehören, mit denen man einen entsprechenden Vertrag schließen muss, habe ich mich auch schon gefragt und es noch nicht herausgefunden…

          Antworten
          • Tommi
            Tommi sagte:

            Vielen Dank. Ich schreibe die Kunden dann zumindest mal an. Zurzeit bekommt man ja Bonn allen großen Firmen solche Mails, es ist also nicht völlig ungewöhnliches. Ich bleibe einfach auf deinem Blog, vielleicht kommen noch neue Infos. Alles Liebe, Tommi

          • Roland Mainka
            Roland Mainka sagte:

            Das ist B2B = uninterressant. Ebenso ist C2C nicht relevant! Die DSGVO betrachtet das Verhältnis B2C!!
            Der Unternehmer muss sicherstellen, dass keine personenbezogenen Daten missbraucht werden. Firmenadressen sind nicht personenbezogen!

  18. Karo
    Karo sagte:

    Liebe Katja, danke für diesen verständlich erklärten Beitrag 🙂 weißt du eigentlich wie das dann mit der Kaltakquise aussieht? Darf ich denn als Freelancerin Agenturen oder potentielle Kunden anschreiben und auf mein Portfolio verweisen? Ist es dann eine Bewerbung oder brauch ich da ein vorheriges Einverständnis? Liebe Grüße, Karo

    Antworten
    • Roland Mainka
      Roland Mainka sagte:

      Das ist B2B, hier sind IMHO keine personenbezogene Daten im Spiel und also ist die Datenhoheit einer Person nicht in Gefahr. Selbst wenn du einen Freelancer anschreibst, dann meinst du die „Firma“ die er betreibt, nicht ihn persönlich.

      Antworten
  19. Marie
    Marie sagte:

    Ich arbeite als Freelancer für eine Onlinezeitung und muss mich daher beruflich wie auch privat gerade mit dem Thema auseinandersetzen. Danke für diesen umfangreichen Artikel, er hat mir noch einmal einiges verdeutlicht und etwas Licht ins Dunkel gebracht!

    Antworten
  20. Marie
    Marie sagte:

    Super Artikel, ich habe auch erst etwas Panik geschoben, doch nach dem ich mich im rahmen unserer Onlinezeitung mit dem ganzen Thema befasst habe, ist es am Ende kein Hexenwerk.

    Antworten
  21. Chris
    Chris sagte:

    Vielen Dank für den informativen Artikel! Welche Fragen aber für mich noch offen sind:

    1. Woher bekomme ich eine rechtlich korrekte Vorlage für den Datenschutz meiner Website?
    2. Hat WordPress nachgebessert und die IP-Adressen anonymisiert?

    Mit der Hoffnung auf Antworten LG

    Christian

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Chris,

      danke für Dein Feedback!

      1. Tja. Gar nicht so einfach, wie man hoffen würde. Es gibt diverse Generatoren, auch von Anwälten/Anwaltspraxen, ideal sind die aus meiner Sicht aber alle nicht. Die renommiertesten und wohl verlässlichsten sind vermutlich die von eRecht24 (erecht24.de) und von RA Thomas Schwenke (datenschutz-generator.de).

      2. Nope. Ob es so sinnvoll ist, die IPs zu anonymsieren, ist ja angesichts von Missbrauch, Persönlichkeitsklau etc. ohnehin fraglich. Ich finde derzeit das Plugin Remove Comment IPs (https://wordpress.org/plugins/remove-comment-ips/) am sinnvollsten, das die IPs nach 60 Tagen automatisch löscht, so dass man keinen unnötigen Daten-Ballast mit sich herumschleppt, aber vorher noch die Möglichkeit hat, eventueller missbräuchlicher Verwendung nachzugehen.

      Viele Grüße
      Katja

      Antworten
  22. Roland Mainka
    Roland Mainka sagte:

    Vielen Dank für den aufschlussreichen Artikel – aaaber: was mache ich, wenn ich als freelancer im Rahmen eines Werkvertrages (als Trainer) Teilnehmerdaten erhalte oder erhebe(n muss)? Kann mich der Auftraggeber unter seine Fittiche nehmen (DS-Verpflichtung auf sein DS-Konzept) oder brauche ich immer ein eigenes Konzept & ADV-Vertrag?

    Antworten
  23. Bjoern Schmidt
    Bjoern Schmidt sagte:

    Hey Katja!

    Informativer Artikel, danke dafür. Eine Frage erschliesst sich mir aber nicht: Darf ich als Freelancer nach der DSGVO potentielle Auftraggeber (z.B. Agenturen) über die auf deren Website veröffentlichte Adresse einmalig anschreiben? Natürlich ohne die Adresse irgendwo anders als im Mailprogramm zur weiteren Verwendung zu speichern?

    Antworten
  24. Michael Wörner
    Michael Wörner sagte:

    Hallo und schönen guten Abend,

    ich hätte mehrere Fragen:

    a) Als Freelancer ist es heute sowieso schwierig an Kundenaufträge direkt zu kommen. Vielfach wird man über zwischengeschaltete Recruiter etc. beauftragt.
    Ändert das was an den genannten Todos für die DSGVO. Oder muss sich da nicht eigentlich der Hauptauftragnehmer drum kümmern?
    b) Das Verzeichnis für Verarbeitungstätigkeiten ist in seiner möglichen Form ja vielfach hier beschrieben worden. Ich konnte jedoch nicht ersehen, für wen ich das führe? Muss ich das irgendwo einreichen, abstempeln lassen? Wer könnte mich danach fragen? Reicht es nicht, es im Falle einer Frage dann projekt-/kundenbezogen zu verfassen?
    c) Ich unterhalte eine Webseite. Einen sogenannten Onepager. Kein (potentieller) Kunde hat die Möglichkeit dort personenbezogene Daten zu an mich zu übermitteln. Es stehen lediglich meine persönlichen Geschäftsdaten zur Kontaktaufnahme dort zur Verfügung. Es gibt auch keinen Shop, da ich nichts vertreibe außer meine „Dienstleistung“. Ist somit etwas für mich zu tun?

    Herzlichen Dank für entsprechenden Input

    Grüße

    Michael Wörner

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Michael,

      zu a)
      kommt bei mir nicht so häufig vor, aber ich habe in solchen Fällen einen AV-Vertrag mit der Agentur/dem Recruiter.

      zu b)
      Meines Wissens muss man das nirgends einreichen. Fragen könnten Behörden, die die Einhaltung der DSGVO überprüfen und dann ist es im Zweifel zu spät, denn das Verzeichnis soll ja nachweisen, dass Du Dich VORHER aktiv um den Schutz der von Dir gespeicherten Daten gekümmert hast. Außerdem hilft ein solches Verarbeitungsverzeichnis natürlich auch in dem Fall, in dem ein Kunde nach den von ihm gespeicherten Daten fragt.

      c) Die Antwort auf diese Frage findest Du im Artikel: Alles das, was JEDER Freiberufler angesichts der DSGVO tun sollte. Mindestens. Alles andere hängt von der tatsächlich auf Deiner Website verwendeten Technik ab, die Möglichkeit zur aktiven Übertragung personenbezogener Daten ist ja nur ein Einzelaspekt des Themas.

      Antworten
  25. Christian
    Christian sagte:

    Hallo Katja,
    danke für die tollen Infos. Ich war bisher ein wenig überfordert mit dem Gesetzestext und war mir auch nicht ganz klar, in wieweit es mich bzw. meine Kunden betrifft. Dein Artikel hat Klarheit verschafft! Danke.
    LG, Chris

    Antworten

Trackbacks & Pingbacks

  1. […] Katja Flinzner hat schon mal 2018 in ihrem Beitrag Was bedeutet die DSGVO für Einzelunternehmer und Freelancer die wesentlichen Punkten der Verordnung […]

  2. […] Ich muss zugeben, das erste mal bin ich auf das Thema mit der DSGVO tatsächlich in Kevins Blog FBAinGermany.com aufmerksam gemacht worden. Weitere Informationen dazu findest du an dieser Stelle bei ContentIQ […]

  3. […] den folgenden Hinweisen (Dr. Katja Flinzner erklärt das hier auch anschaulich und mit zusätzlichen Links für mehr Informationen und beispielsweise Vordrucken) […]

  4. […] finden eine Recherche & einen Artikel von Dr. Katja Flinzner, publiziert auf ContentIQ ab der Überschrift „Was muss ich […]

  5. […] irrt. Auch Selbständige und Freelancer sind betroffen. Worauf es ankommt beschreibt der Beitrag  Was bedeutet die DSGVO für Einzelunternehmer und Freelancer? von contentIQ sehr […]

  6. […] genau recherchierten, ausführlichen Beitrag zur DSGVO für Freiberufliche und Einzelunternehmen verfasste Dr. Katja Flitzner. Toll und umfassend, dem ist nichts […]

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert