DSGVO richtig umsetzen: Das müssen Kleinunternehmer wissen*

Am 25. Mai 2018 entfaltet die EU-Datenschutzgrundverordnung (DSGVO) ihre volle Wirkung. Bis dahin sollten auch Kleinunternehmer ihre Hausaufgaben in Sachen Datenschutz erledigt haben. Anderenfalls drohen Strafen in Höhe von bis zu vier Prozent des Jahresumsatzes. Wir erklären Ihnen an dieser Stelle, was hinter der Verordnung steckt und wie Sie Ihre Webseite und Ihre Abläufe im Betrieb datenschutzkonform gestalten können.

 
*Bitte beachten: Dieser Artikel stellt keine Rechtsberatung für Ihr Unternehmen im Hinblick auf die Einhaltung der EU-Verordnungen zum Datenschutz dar. Der Artikel soll lediglich Hintergrundinformationen zum besseren Verständnis der DSGVO vermitteln. Sollten Sie Fragen oder Beratungsbedarf über die Auslegung der Informationen aus diesem Artikel haben, möchten wir Sie bitten, sich an einen Rechtsanwalt zu wenden. 

 

Was ändert sich durch die neue Datenschutzverordnung?

Mit der EU-Datenschutzgrundverordnung erhöhen sich zwar die Anforderungen an den Datenschutz insgesamt, allerdings ist ein Großteil davon in Deutschland bereits geltende Rechtsgrundlage nach dem Bundesdatenschutzgesetz (BDSG). Hat Ihr Unternehmen diese Regelungen schon umgesetzt, verfügt über ein Qualitätsmanagement oder ist sogar ISO-zertifiziert, dann haben Sie ein gutes Fundament, das Sie lediglich um die speziellen Vorgaben der neuen Verordnung erweitern müssen.

Die Anpassungen an die aktuellen Richtlinien sind überwiegend redaktioneller und sprachlicher Natur. Grundsätzlich gilt weiterhin, dass Sie personenbezogene Daten, die Ihr Unternehmen zur Umsetzung von Kundenaufträgen oder zur Erfüllung seiner Pflichten als Arbeitgeber benötigt, ohne Weiteres verwenden dürfen. Allerdings müssen Sie ab Mai jeden Schritt schriftlich in einem Verarbeitungsverzeichnis dokumentieren - angefangen von der Datenerfassung über die Datenablage und Speicherung bis hin zum Löschen. Dabei betrifft die Verordnung nicht nur digital verarbeitete personenbezogene Daten, sondern auch händisch sortierte Anlagen wie alphabetisch geordnete Visitenkarten.

Ursprünglich waren von der Europäischen Kommission "Ausnahmen von der Dokumentationspflicht für kleine Betriebe" vorgesehen. Dies hat das EU-Parlament jedoch nicht im geforderten Maß umgesetzt. Von der Pflicht zum Führen des Verarbeitungsverzeichnisses sind gegenwärtig nur Kleinunternehmer ausgenommen, bei denen weder einen Computer noch eine Kunden- oder Lieferantenkartei in Papierform zur Anwendung kommen.

Was ist bei der Aufbewahrung personenbezogener Daten zu beachten?

Nach der EU-Datenschutzgrundverordnung dürfen Sie nur Daten speichern, für die Ihnen eine Einwilligung vorliegt oder die zur Erfüllung von Vertragszwecken oder zur Umsetzung rechtlicher Pflichten erforderlich sind. Sie müssen für die Richtigkeit der Daten sorgen, diese also regelmäßig aktualisieren. Außerdem sind Sie dafür verantwortlich, dass die Daten nicht verloren gehen oder durch Unbefugte eingesehen oder entwendet werden. Hierzu sind geeignete Vorkehrungen zu treffen und verantwortliche Mitarbeiter entsprechend zu schulen.

Das Speichern und Verarbeiten sensibler personenbezogener Daten ist ausschließlich dann erlaubt, wenn ihnen die ausdrückliche Einwilligung der betroffenen Personen vorliegt oder es um den Schutz lebenswichtiger Interessen geht. Hierzu zählen beispielsweise die Sozialversicherungsnummer, medizinische und biometrische Daten sowie Einträge, aus denen politische Meinungen, die sexuelle Orientierung oder weltanschauliche oder religiöse Überzeugungen hervorgehen. Für diese Daten sind außerdem besonders strenge Sicherheitsbestimmungen zu beachten.

Jeder Person, die anfragt, müssen Sie innerhalb eines Monats Auskunft darüber geben, welche Daten über sie gespeichert wurden. Des Weiteren sind Sie verpflichtet, die Daten auf Verlangen zu löschen, sofern keine gesetzliche Aufbewahrungspflicht greift.

Welche Regelungen gelten bezüglich der Datenverarbeitung?

Für die Verarbeitung personenbezogener Daten benötigen Sie die mündliche oder schriftliche Einwilligung der betroffenen Person. Alle an der Datenverarbeitung beteiligten Mitarbeiter sind nachweisbar auf ihre Sorgfaltspflichten hinzuweisen. Das gilt insbesondere für sensible Daten. Lagern Sie die Verarbeitung bestimmter Daten aus (z. B. Lohnbuchhaltung, Newsletter-Versand, Cloud-Dienste, Anwaltskanzlei, Inkassobüro oder Steuerberatung), müssen Sie den jeweiligen Auftragnehmer vertraglich dazu verpflichten, die Datenschutz-Bestimmungen einzuhalten.

Transferieren Sie die Daten in ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (EWR), ist besondere Vorsicht geboten. So darf eine Datenübermittlung nur in Länder erfolgen, für welche von der EU-Kommission ein sogenannter Angemessenheitsbeschluss getroffen wurde. Dieser besagt, dass das jeweilige Land ein angemessenes datenschutzrechtliches Schutzniveau bietet.

Datentransfers in die USA dürfen wie bisher über das Privacy-Shield-Abkommen durchgeführt werden. Hierzu müssen sich Unternehmen mit Sitz in den Vereinigten Staaten in eine entsprechende Liste eintragen und sich dazu verpflichten, alle durch diese Vereinbarung definierten Beschränkungen und Garantien einzuhalten.

Wie lässt sich die Datenschutzverordnung auf Webseiten umsetzen?

Grundsätzlich sollten Sie Ihre Webseite so gestalten, dass personenbezogene Daten standardmäßig geschützt sind. Nutzen Sie Dienste wie Google Analytics, Piwik oder etracker, sollten Sie sich von der Datenschutz-Konformität dieser Angebote überzeugen. Trifft das zu, können Sie damit weiterarbeiten wie bisher.

Bei der Zusammenarbeit mit Webagenturen und ähnlichen Dienstleistern, ist es ratsam, sich durch eine Datenschutzvereinbarung abzusichern. Diese empfiehlt sich auch, wenn Sie es sich bei Ihrem eigenen Unternehmen um eine Webagentur handelt oder Sie Daten-Dienstleistungen anbieten. Wenn Kunden Ihnen personenbezogene Daten übermitteln, sollten Sie immer darauf hinweisen, was mit den Daten geschieht und wer dabei involviert ist.

Um sich besser zu schützen, sollten Sie auch die zweifache Bestätigung (Double-Opt-in) bei E-Mail-Abonnements auf Ihrer Seite einführen. So können Sie die Einwilligung der betroffenen Person auch sicher nachweisen.

Gleiches gilt für die auf dem Bildschirm erscheinende Einverständniserklärung für den Einsatz von Cookies. Hier bilden lediglich Webshops eine Ausnahme, da der Warenkorb ohne diese Daten nicht funktionieren würde.

Was gilt künftig für das Online-Marketing?

Für das Online-Marketing ist in Zukunft neben der Einwilligung zur Datenspeicherung und -verarbeitung auch das berechtigte Interesse von Bedeutung. Allerdings ist fraglich, ob das Interesse eines Unternehmens tatsächlich gegenüber dem Interesse des Adressaten überwiegen kann, vor belästigenden E-Mails sicher zu sein.

Unabhängig davon ist es laut § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) grundsätzlich nicht erlaubt, Werbe-E-Mails ohne ausdrückliche vorherige Einverständniserklärung des Empfängers zu versenden. Somit hilft Ihnen das berechtigte Interesse nicht weiter. Sie müssen die Einwilligungen schon deshalb einholen, um nicht wegen eines Wettbewerbsverstoßes abgemahnt zu werden. An dieser Vorgehensweise wird auch die Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation (E-Privacy-VO) nichts ändern, welche die EU-Datenschutzgrundverordnung spezialgesetzlich ergänzen soll. 

Die datenschutzrechtlichen Regelungen zum Online-Marketing gelten sowohl für die Daten von Verbrauchern als auch für die von Firmenkunden. In beiden Fällen handelt es sich um Daten natürlicher Personen und das Verarbeiten personenbezogener Daten. Auch im Umgang mit anderen Firmen haben Sie es mit Personen als Ansprechpartnern zu tun. Somit dürfen Sie deren Daten wie Namen oder E-Mail-Adressen nicht ohne explizite Einwilligung zum Zwecke des E-Mail-Marketings oder der Lead-Generierung nutzen. Ausgenommen sind reine Firmendaten wie der Firmenname oder die Firmenadresse. Der Name des Geschäftsführers oder seine E-Mail-Adresse zählen hingegen schon wieder zu den personenbezogenen Daten.

Was ist bezüglich der Datenlöschung zu berücksichtigen?

Die EU-Datenschutzgrundverordnung sieht für Bürger der Europäischen Union das Recht auf das Vergessenwerden vor. Benötigen Sie personenbezogene Daten nicht mehr oder fordert eine Person Sie auf, ihre in Ihrem Unternehmen gespeicherten Daten zu löschen, müssen Sie das innerhalb einer bestimmten Frist erledigen und dokumentieren. Außerdem haben Sie nachzuweisen, dass sämtliche Spuren rückstandslos aus ihren Systemen entfernt wurden.

Das gilt sowohl für Datenträger wie Papier, Magnetbänder und -platten, Disketten, Flash-Speicher, optische Speicher und Filmmaterial als auch für Datenarchive und Backups mit langer Aufbewahrungsfrist. Sicherungskopien in Form von Archiven oder Backups dürfen nur bestehen bleiben, wenn sie nach einer gewissen Zeit ablaufen und Sie der betreffenden Person eine verbindliche Auskunft bezüglich der Aufbewahrungszeit geben.

DSGVO – Kein Grund zur Panik

Die Umsetzung der EU-Datenschutzgrundverordnung bedeutet zwar etwas Arbeit. Allerdings sind die neuen Vorschriften kein Grund, sich verunsichern zu lassen oder gar in Panik zu geraten. Von vielen Änderungen sind Sie als Kleinunternehmer überhaupt nicht betroffen. Einen Datenschutzbeauftragten benötigen beispielsweise nur Firmen, in denen mindestens zehn Mitarbeiter ständig Umgang personenbezogenen Daten haben. Um allen Problemen aus dem Weg zu gehen, ist es aber dennoch ratsam, Ihr Unternehmen bezüglich des Datenschutzgesetzes noch einmal genauer unter die Lupe zu nehmen. Unterstützung bieten Ihnen hierbei zum Beispiel dieser Fragebogen zur Umsetzung der DSGVO und die Webseite zur Datenschutzgrundverordnung.



Unsere Website verwendet Cookies, um Ihnen das bestmögliche Erlebnis zu bieten. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden.
Weitere Informationen zu Cookies