Die DSGVO ist am 25.5.2018 in Kraft getreten. Besonders KMU hatten in den letzten Monaten meist besonders große Herausforderungen bei der Umsetzung der neuen Richtlinie zu meistern. Intern fehlen oft die Ressourcen und für Outsourcing meist das Budget, im Arbeitsalltag werden dann oft Prioritäten gesetzt und die Umsetzung der von der DSGVO verlangten Maßnahmen somit meist an die letzte Stelle der To Do-Listen gereiht.

Was ist die DSGVO?

Bereits im Frühjahr 2016 hat das europäische Parlament die neue und seit 25.5.2018 geltende Datenschutzgrundverordnung verabschiedet. Sie betrifft alle Regulierungen im Zusammenhang mit dem Datenschutz in den Ländern der EU bzw. des EWR und gilt für jedes Unternehmen, welches Produkte oder Dienstleistungen an europäische Bürger verkauft und deren personenbezogene Daten speichert. Diese neue Richtlinie soll EU-Bürgern mehr Kontrolle und Sicherheit über ihre Daten bringen und gleichermaßen sicherstellen, dass ihre Informationen geschützt sind und bleiben.

Die neue DSGVO ersetzt die im Jahr 1995 verabschiedete Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Gilt die DSGVO auch für Kleinunternehmen und Selbständige?

Ein meistverbreiteter Irrglaube ist, dass die DSGVO nur Konzerne wie Facebook, Google und Co. trifft und für KMU irrelevant wäre. Dem ist ganz und gar nicht so. Die Frage, ob die DSGVO auch für Kleinunternehmer oder Selbständige Gültigkeit hat, ist demnach mit einem klaren JA zu beantworten.

Für Unternehmen ist die Datenschutzgrundverordnung immer gültig. Ausnahmen vom Anwendungsbereich sind in der Verordnung abschließend gelistet. So zählt zu den Ausnahmen beispielsweise die Datenverarbeitung durch Privatpersonen ausschließlich für „persönliche oder familiäre Tätigkeiten“. Im Umkehrschluss bedeutet dies, dass alle Unternehmen jeder Branche von der DSGVO betroffen sind. Zudem auch ARGE, Vereine, Ärzte, KMU, EPU und Schulen etc.

Fazit: Jedes Unternehmen, egal welcher Größe ist betroffen. Es spielt auch keine Rolle wie viele Daten oder welche personenbezogenen Daten verarbeitet werden.
Weitere Informationen für Unternehmen und Selbständige finden sich auf der Plattform www.teachtoprotect.de

Was sind eigentlich personenbezogene Daten?

Unter den Begriff der personenbezogenen Daten fallen alle Informationen, die Rückschluss auf die Identität einer Person geben bzw. einer konkreten Person zugeordnet werden können. Dazu zählen demnach alle Daten, die zur Identifizierung einer Person beitragen.

Personenbezogene Daten sind somit:

  • Name
  • Wohnort
  • E-Mailadresse
  • Telefonnummer

Weiter fallen auch Daten darunter, welche indirekt eine Identifizierung möglich machen:

  • Kundennummern
  • Mitarbeiternummern

Zur Verarbeitung dieser Daten bedarf es einer Zustimmung der betroffenen Person. Eine Datenerhebung ist gemäß § 28 Abs. 1 Nr. 1 BDSG nur zulässig, wenn dies für die Abwicklung eines Vertrages notwendig bzw. erforderlich ist.

Die Sonderrolle von KMU bei der DSGVO

Auch der Gesetzgeber ist sich bewusst, dass die Datenschutzgrundverordnung und deren Umsetzung besonders Klein- und Mittelständischen-Unternehmen Probleme bereiten kann. Nicht nur aus diesem Grund finden sich bei den Wirtschaftskammern oft spezielle Schulungs- und Beratungsangebote für KMU. In den Erwägungsgründen der DSGVO finden sich besondere Maßnahmen für Kleinstunternehmen.

So heißt es dort beispielsweise:

„Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“

 Unternehmen mit weniger als 250 Mitarbeitern sind somit nicht verpflichtet ein Verarbeitungsverzeichnis zu führen, wenn…

  • … die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten des Betroffenen mit sich bringt,
  • …die Verarbeitung nicht nur entgeltlich erfolgt,
  • …die Verarbeitung nicht durch besondere Datenkategorien oder das Verarbeiten von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen einschließt.

Welche Folgen hat eine nicht konforme Umsetzung der DSGVO für KMU?

Die Sanktionen, die ein Verstoß gegen die Richtlinien der DSGVO nach sich ziehen kann, richten sich nach den Angaben im Bundesdatenschutzgesetzt (BDSG).

Die DSGVO sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro vor. Kann aber auch auf 4% des weltweiten Jahresumsatzes eines Unternehmens ausgeweitet werden. In der Praxis wird es aber wohl (vor allem für KMU) nicht so dramatisch ausfallen. Der Einschätzung vieler Rechtsanwälte nach und auch nach dem, was verschiedene Behörden im Vorfeld kommuniziert haben, wird es anfangs bzw. bei einmaligen leichten Vergehen wohl nicht sofort zu drastischen Strafen kommen. Wichtig ist allerdings, dass man sich als Unternehmer mit der DSGVO auseinandergesetzt hat und zeigt, dass man Datenschutz im eigenen Unternehmen ernst nimmt.

DSGVO – Checkliste & Tipps für KMU

Da durch die DSGVO die gesamte Verantwortung der Umsetzung auf die betroffenen Betriebe ausgelagert wurde, muss jedes Unternehmen- egal, ob KMU, EPU oder Konzern – sämtliche Datenschutz-Maßnahmen zur Umsetzung selbst treffen. Um alle geforderten Maßnahmen auch durchführen zu können, ist eine Erhebung des Status Quo sowie der aktuellen Datenverarbeitung erforderlich. Die nachfolgende Checkliste soll dabei Hilfestellung geben.

Datenerhebung

  • Welche Daten werden gesammelt?
  • Welche Daten werden verarbeitet?
  • Wie lange werden Daten gespeichert
  • Wo werden Daten gespeichert und weitergegeben?

Besonderes Augenmerk sollte man dabei neben personenbezogenen Daten von Kunden auch auf die Daten von Mitarbeitern und Geschäftspartnern legen.

Kundendaten:
– Welche Daten werden zu welchem Zeitpunkt erfasst?
Cookies, Datenschutzerklärungen, Treuepunkte, Logindaten usw.
– Werden auch sensible Daten (z.B. Gesundheitsdaten) erfasst?
– Wo werden die Daten gespeichert und wie lange?
– Bonitätsprüfungen, Bankverbindungen, Kreditkartendaten
– Rechnungsdaten der Kunden und Lieferanten

Mitarbeiterdaten:
– Daten aus den Personalakten von Angestellten wie beispielsweise Gesundheitsdaten, Bewerbungsunterlagen, Zeugnisse, Krankmeldungen usw.

– Persönliche Daten zu Familie, Herkunft, Religion, Finanzen usw.

Sobald ein Überblick über den aktuellen DSGVO Status Quo erstellt wurde, können die weiteren Schritte wie beispielsweise die Erstellung eines Datenverarbeitungsverzeichnisses, Überprüfung der Datenschutzerklärung sowie den bisher verwendeten Formularen eingeleitet werden.

Die wichtigsten TO DOS im Zuge der Vorbereitung auf die DSGVO:

1.) Für E-Mail-Marketing und Lead Management eine ausdrückliche Einwilligung des Betroffenen einholen.

2.) Für Newsletter oder andere E-Mail-Marketing Kampagnen ist ein Hinweis auf das Widerrufsrecht notwendig, zudem muss jede Mail eine Abmeldemöglichkeit enthalten.

3.) Verarbeitungsverzeichnis erstellen, welches folgende Informationen enthält:

– Name des Datenverarbeiters
– Zwecke der Datenverarbeitung
– Kategorien betroffener Personen und verarbeiteter Daten
– allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen
– Name und Kontaktdaten des Datenschutzbeauftragten

4.) Überarbeitung der Datenschutzbestimmungen

5.) Schriftliche Vereinbarungen mit externen Auftragsdatenverarbeitern

6.) Prüfung, ob Datenschutzbeauftragter zu bestellen ist

7.) Bestehende Einwilligungen überprüfen und aktualisieren

Jetzt das Gratis-Ebook "Dein digitales Business" anfordern:
Ich erkläre mich damit einverstanden, dass meine Daten zu Versandzwecken verarbeitet werden und ich weitere Informationen per e-Mail erhalten werde. Lies dazu hier bitte unsere Datenschutzerklärung.