DSGVO jenseits der Website: 5 Datenschutz-Basics für Freiberufler

 „Ich schalte meine Website ab.“ Diesen Satz habe ich in den vergangenen Wochen so oft gehört wie noch nie. Grund dafür: Die DSGVO, die wohl unter Freiberuflern für mehr Panikattacken gesorgt hat als jede Stephen-King-Verfilmung es je hätte schaffen können. Dabei ist die neue EU-Datenschutzgrundverordnung wirklich kein Grund, in Panik zu geraten. Und was dazu kommt: Sie betrifft euch sogar, wenn ihr gar keine Website habt.

Zugegeben, die in Deutschland so rührigen Abmahnanwälte werden sich natürlich in erster Linie im Netz nach Verstößen umschauen. Ist schlicht am einfachsten. (Übrigens: Wer den leidigen Abmahnmissbrauch verhindern möchte, hat heute noch die letzte Chance, dieser unterstützenswerten Petition doch noch über die leider noch viel zu weit entfernte Quorums-Hürde zu helfen!) Aber wer die hinter der DSGVO stehenden Datenschutzanforderungen ernst nehmen will, muss lange vor der Website anfangen – das zeigt schon das Verzeichnis der Verarbeitungstätigkeiten, das die Behörden nun von jedem verlangen, der nicht nur gelegentlich personenbezogene Daten verarbeitet.

Spätestens wenn eure Website verschlüsselt ist und eure Datenschutzerklärung aktuell, wenn ihr Verträge mit allen externen Auftragsdatenverarbeitern abgeschlossen habt und ihr eure Kunden überall dort, wo ihr Daten abfragt, transparent informiert und sie im Zweifel in die Datenverarbeitung einwilligen lasst – spätestens dann macht es also Sinn, sich auch einmal Gedanken über ein umfassenderes Datenschutzkonzept jenseits der Website zu machen.

Braucht ihr ein Datenschutzkonzept?

Ob ein Freelancer oder eine Einzelunternehmerin den Behörden auf Anfrage auch über das verpflichtende Verarbeitungsverzeichnis hinaus ein schriftliches Datenschutzkonzept vorlegen muss, darüber scheiden sich die Geister. Im Text der DSGVO selbst kommt der Begriff des „Datenschutzkonzepts“ nicht ein einziges Mal vor. Dennoch gibt es die dahinterstehenden Anforderungen im deutschen Datenschutzrecht ohnehin schon länger, die DSGVO lässt sie einfach noch mehr in den Mittelpunkt der Aufmerksamkeit rücken. Natürlich müssen auch Selbstständige und Freiberufler solche allgemeinen Datenschutzrichtlinien einhalten.

Neben dem konkreten Verarbeitungsverzeichnis fordert die DSGVO auch sogenannte „Technische und Organisatorische Maßnahmen“ (TOMs), die den Schutz personenbezogener Daten sicherstellen sollen.

Je komplexer ein Unternehmen, desto komplexer sind natürlich auch solche Datenschutzmaßnahmen. Und sicherlich gibt es auch unter Freiberuflern und Einzelunternehmern ganz unterschiedliche Komplexitätsgrade und Datenschutzanforderungen. Fotografen müssen beispielsweise klären, wie sie mit Fotos ihrer Kunden umgehen. IT-Dienstleister werden wohl jede Menge Auftragsverarbeitungsverträge abschließen müssen. Und für Journalisten gelten aufgrund des Medienprivilegs wiederum Ausnahmeregelungen, deren konkrete Ausprägung im Einklang mit der DSGVO noch alles andere als geklärt ist.

Ein paar grundlegende ganz praktische Aspekte jenseits der öffentlich sichtbaren Website gibt es aber, die jede Freiberuflerin und jeder Einzelunternehmer spätestens jetzt berücksichtigen sollte – ob ihr sie in einem Datenschutzkonzept nun schriftlich niederlegt oder nicht.

1. Rechner mit Passwort schützen – theoretisch UND praktisch

Ist doch selbstverständlich? Denkste. Ich bin sicher, ihr kennt auch jemanden, dem es viel zu anstrengend ist, jeden Morgen beim Hochfahren des Rechners ein Passwort einzugeben, und der deshalb einfach keines eingerichtet hat. Und selbst wenn der Rechner theoretisch passwortgeschützt ist, muss dieser Schutz ja auch in der Praxis zum Einsatz kommen. Eine Kollegin erzählte noch kürzlich von einer Veranstaltung zum Thema Datenschutz (!), bei der in der Kaffeepause jede Menge Laptops offen herumstanden – ohne dass die Benutzer sich vorher abgemeldet hätten und nun zumindest der Anmeldebildschirm zu sehen gewesen wäre.

Ob ihr dann noch einen Schritt weiter geht und euren Laptop mit einem Blickschutzfilter ausstattet, hängt sicherlich davon ab, wo und wie ihr ihn benutzt. Wenn das Café um die Ecke zu euren Lieblingsarbeitsplätzen gehört, solltet ihr zumindest mal darüber nachdenken.

2. Büro und/oder Schränke abschließen

Egal ob ihr zu Hause, in einem Coworking-Space oder in einem externen Büro arbeitet: Der Ort, wo ihr eure digitalen und/oder analogen Daten aufbewahrt, sollte abschließbar sein. Ob das ein abschließbarer Schrank, eine abschließbare Schublade oder ein abschließbares Büro ist, hängt von den individuellen Umständen und dem benötigten Platz ab. Hauptsache ist, dass Unbefugte nicht auf die von euch verarbeiteten personenbezogenen Daten zugreifen können.

Eure Arbeitsordner interessieren doch niemanden? Spielt keine Rolle. Und in jeder Konstellation gibt es jemanden, der potenziell einen Blick in eure Ordner werfen könnte. Schließlich war noch nicht einmal Robinson Crusoe ganz alleine auf seiner Insel.

Datenschutz fängt schon lange vor der Website an. | Foto: Debby Hudson via Unsplash

3. Nicht mehr benötigte Daten löschen/vernichten

Wenn ihr Daten nicht mehr braucht: Weg damit! Das gilt für Papierunterlagen genauso wie für digitale Daten. Die Frage ist nur: Wann braucht man Daten nicht mehr? Datenschutz hin oder her – die gesetzlichen Aufbewahrungsfristen müsst ihr natürlich trotzdem einhalten. Die behalten in der Regel, je nach Art der Unterlagen, entweder 6 oder 10 Jahre. Sind die Aufbewahrungsfristen abgelaufen, sollten die Daten aber tatsächlich gelöscht werden. Und zwar auch Kopien und Backups. Die bisher gültige Faustformel, dass man sicherheitshalber besser alle Unterlagen 10 Jahre aufbewahrt, gilt also nicht mehr.

Auch hierbei gilt aber: Ruhe bewahren! Das Erstellen von Löschkonzepten kann je nach Komplexität eine echte Wissenschaft sein, und an den Implikationen für Archivierung, IT-Sicherheit, Meinungsfreiheit und vieles mehr beißen sich Anwälte und Interessensvertreter spätestens seit 2016 die Zähne aus. Wenn ihr euch über eure zentralen Unterlagen im Rahmen des Verarbeitungsverzeichnisses ernsthaft Gedanken gemacht und diese entsprechend dokumentiert habt, glaube ich nicht daran, dass eine Aufsichtsbehörde Interesse daran hat, euch Probleme zu bereiten, weil sich in einem eurer Aktenordner noch die Adresse eines lange verschollenen Kunden findet.

Und nicht vergessen: Die DSGVO betrifft nur die Speicherung von personenbezogenen Daten. Ein Rundum-Kahlschlag all eurer Daten ist also weder nötig noch sinnvoll.

Übrigens: Eine der Neuerungen der DSGVO ist ja auch das Recht auf Vergessenwerden, in der Form, dass jeder jederzeit von euch verlangen kann, die über ihn von euch gespeicherten personenbezogenen Daten zu löschen. Das gilt aber nur, wenn dem keine anderen Pflichten, wie etwa gesetzliche Aufbewahrungspflichten, entgegenstehen. Ein Kunde, dem ihr noch vor einem halben Jahr eine Rechnung gestellt habt, kann also nicht verlangen, dass ihr all seine Daten ausnahmslos löscht – Rechnung und Angebotsunterlagen etwa dürft ihr nicht nur, sondern müsst ihr bis zum Ende der Aufbewahrungsfrist behalten.

4. E-Mails in BCC verschicken

Bei diesem Thema rede ich mir seit Jahren schon im Bekannten-, Freundes- und auch Kollegenkreis den Mund fusselig und stoße doch immer wieder auf taube Ohren. Und finde mich und meine E-Mail-Adresse wieder und wieder in offenen E-Mail-Verteilern, Seite an Seite mit 10, 20, 30 oder auch 100 Namen und Adressen mir mehr oder weniger oder auch gar nicht bekannter Personen. Dabei könnte es so einfach sein.

Wenn ihr E-Mails an einen größeren Verteiler schickt – oder auch an einen kleineren, bei dem es nicht nötig ist, dass die anderen wissen, wer diese E-Mail außerdem noch bekommen hat -, solltet ihr für das Versenden UNBEDINGT die Funktion „BCC“ nutzen. Die Abkürzung steht für „Blind Carbon Copy“ und sorgt dafür, dass die damit referenzierten Adressen nicht offen einsehbar im Empfängerfeld der E-Mail stehen.

In Thunderbird – und in den meisten anderen Mailprogrammen oder Webmailern – findet ihr im „An“-Feld die Möglichkeit, die entsprechende Empfänger-Adresse per BCC („Blind Carbon Copy“) einzutragen, so dass sie bei den Adressaten nicht offen als Empfängeradresse angezeigt wird. | Screenshot: Thunderbird.

Wer E-Mails im sogenannten „offenen Verteiler“ verschickt – also ohne die verschiedenen Empfänger per BCC unsichtbar zu machen, gibt nicht nur ohne Not personenbezogene Daten (nämlich E-Mail-Adressen und ggf. auch Namen) weiter, sondern öffnet auch Tür und Tor für das Verbreiten von Viren, Würmern und anderer Malware.

Auch dieses Thema ist nichts Neues und hat genau genommen gar nichts mit der DSGVO zu tun. Das Bayerische Landesamt für Datenschutz hat zum Beispiel schon 2013 ein Bußgeld wegen des Versendens von Mails im offenen Verteiler verhängt. Es ist aber eines der Themen, in denen Datenschutz so einfach umzusetzen wäre, wenn es nur jedem bewusst wäre.

5. Daten sichern

Die DSGVO verlangt übrigens nicht nur, dass ihr Daten vor unbefugten Zugriffen schützt, sondern auch dass sie „vor […] unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ geschützt werden (Art. 5 DSGVO 1 (f)).

Wenn das nicht der richtige Ansporn ist, sich endlich mal Gedanken über das schon lange überfällige Backup-Konzept zu machen? Solltet ihr das bislang noch nicht haben, werdet ihr der DSGVO vermutlich spätestens beim nächsten Festplattencrash endlos dankbar sein.

Wer schon ein Backup-Konzept hat, darf jetzt nochmal etwas genauer hinschauen und überprüfen, ob die Daten auch sicher verwahrt sind. Wo liegen die Backup-Festplatten, wenn nicht gerade darauf gespeichert wird?

Wenn ihr eure Daten in Cloud-Speichern sichert, müsst ihr sicherstellen, dass der Cloud-Anbieter auch alle Anforderungen der DSGVO erfüllt. Aber wie macht man das?

Am besten drei Dinge berücksichtigen:

• Alle Daten müssen sicher verschlüsselt in die Cloud übertragen werden (Transportverschlüsselung).
• Die Daten sollten auch auf dem Cloud-Server verschlüsselt abgelegt werden.
• Der Cloud-Server steht in der EU.

Technisch betrachtet sollte es bei vernünftiger Verschlüsselung eigentlich egal sein, wo der Server steht, dennoch wünschen sich die deutsche und die europäische Datenschutzgesetzgebung Serverstandorte in der EU. Wenn ihr auf Nummer sicher gehen möchtet, schaut euch also ruhig mal nach europäischen Anbietern um.

Ach so, mit dem Tool Cryptomator habt ihr das Verschlüsseln eurer Daten vor dem Übertragen in die Cloud übrigens selber in der Hand.

Da habt ihr euer Datenschutzkonzept

Wie wäre es denn, wenn ihr alles das, was ihr euch zu den obigen Punkten für euer Business überlegt habt, einfach mal aufschreibt? Ergänzt es  mit dem Verzeichnis der Verarbeitungstätigkeiten und ihr habt euer Datenschutzkonzept genau genommen schon fertig. Entscheidend ist ja, dass ihr im Falle einer Kontrolle durch die Aufsichtsbehörden nachweisen könnt, dass ihr aktiven Datenschutz betreibt. Dass ihr eure Geschäftsabläufe so geplant und konzipiert habt, dass die personenbezogenen Daten eurer Kontakte, Kunden und Partner so gut wie möglich geschützt sind. Das tut ihr? Na, dann gibt es doch auch keinen Grund für schlaflose Nächte…

KF/ci

• Über
• Letzte Artikel

Dr. Katja Flinzner

Textnerd, Teilzeit-Techie und Teejunkie. Sitzt an der Schnittstelle von Content und SEO und bringt komplexe digitale Themen in Fachartikeln, Workshops und Online-Kursen auf den Punkt. Bloggt seit über 20 Jahren und schreibt heute hauptsächlich über SEO, Content Marketing, Web und andere digitale Themen.

Letzte Artikel von Dr. Katja Flinzner (Alle anzeigen)

• Warum ist es wichtig, für mehr Klimaschutz zu demonstrieren? - 6. September 2023
• Personas und SEO: Für wen optimierst du eigentlich? - 19. Oktober 2022
• Wählen für’s Klima. - 24. September 2021