DSGVO - Die wichtigsten Fakten für klein- und mittelständische Unternehmen

DSGVO - Die wichtigsten Fakten für klein- und mittelständische Unternehmen

Am 28. Mai 2018 tritt die europaweite Datenschutzverordnung in Kraft. Viele Grundsätze aus dem bisher gültigen Bundesdatenschutzgesetz (BDSG) gelten nicht mehr bzw. werden neu verfasst. Die Datenschutzverordnung vereinigt die vielen unterschiedlichen Datenschutzverordnungen, die in der EU bisher gelten.

Auch Unternehmen, welche ihren Sitz außerhalb der EU haben, jedoch Daten von EU-Bürgern verarbeiten, müssen sich an die DSGVO halten. Bürger sollen mit Hilfe der Datenschutzverordnung mehr Rechte im Bezug ihrer verwendeten Daten erhalten.[1]

Personenbezogene Daten sind dabei laut Artikel 4.1 alle Daten/ Informationen, mit denen ein Individuum identifiziert werden kann. Dazu zählen beispielsweise Namen, Adressen, Cookies, Nutzerbilder, Telefonnummern usw..

Mit Inkrafttreten der DSGVO gelten auch die deutlich verschärften Bußgelder - bis zu 20 Millionen Euro, bzw. 4% des globalen Jahresumsatzes, können als Strafe für das Nichteinhalten geltend gemacht werden.

Gehen regelmäßig mehr als 10 festangestellte oder freie Mitarbeiter mit personenbezogenen Daten von Kunden oder Kollegen um, so braucht das Unternehmen einen Datenschutzbeauftragten. Dabei kann die Rolle des Datenschutzbeauftragen von eigenen Mitarbeitern oder externen Dienstleistern übernommen werden. Die Kontaktdaten des Datenschutzbeauftragten müssen auf der Webseite des Unternehmens veröffentlicht und den zuständigen Aufsichtsbehörden mitgeteilt werden.[2]

Als Orientierung dienen die „5 Gebote im Datenschutz“:

Das Verbot mit Erlaubnisvorbehalt

Für jede Datenverarbeitung wird eine ausdrückliche Einwilligung des Betroffenen benötigt. Die Einwilligung muss freiwillig von dem Betroffenen, für den konkreten Fall und in einer unmissverständlichen Form (Erklärung) abgegeben werden.

Die Datensparsamkeit

Daten und die Datenverarbeitungen müssen dem Zweck angemessen und sachlich relevant sein. So darf beispielsweise keine Telefonnummer erhoben werden, wenn diese nicht für die Bestellung relevant ist.

Die Datensicherheit

Es müssen geeignete technische und organisatorische Maßnahmen gefunden werden, um den Schutz vor Datenmissbrauch zu erreichen.

Die Transparenz

Die Betroffenen sollen wissen, welche personenbezogenen Daten erhoben und verarbeitet werden.

Die Zweckbindung

Daten dürfen nur für den eingewilligten Zeck verarbeitet werden. Wurde der bestimme Zweck erreicht, so sind die Daten zu löschen.

Diese oben genannten Gebote zeigen die Schwerpunktsetzung der DSGVO auf. [3]

Doch wie die praktische Umsetzung erfolgen soll, wirft bei vielen Unternehmen Fragen auf.  Einige dieser Maßnahmen stellen keine Herausforderung dar, während andere sich aufwendiger gestalten.

Im ersten Schritt erfasst das Unternehmen eine Bestandsaufnahme der vorhandenen datenschutzrechtlichen Prozesse. Dadurch erhält der Verantwortliche einen Überblick über den Ist-Zustand und eine Grundlage, mit der er später arbeitet. Anhand des Ist-Zustands, wird eine Checkliste mit den Maßnahmen, welche unbedingt umgesetzt werden müssen, erstellt.

Essentiell für die DSGVO ist das Verzeichnis von Verarbeitungstätigkeiten. In diesem Verzeichnis, werden alle Prozesse und Mitarbeiter protokolliert und dokumentiert, bei denen personenbezogenen Daten verarbeitet werden.  Für Unternehmen mit weniger als 250 Mitarbeitern, welche nicht regelmäßig DSGVO relevante Daten erheben bzw. keine sensiblen oder strafrechtlich relevanten Daten erheben, entfällt die Pflicht Verfahrensverzeichnisse zu führen.[4]

Ein Datenschutz-Management-System einzuführen ist mit der DSGVO Pflicht für Unternehmen. Zentrale Normen stehen im Artikel 5 und Artikel 24 der DSGVO. Ziel ist es, dass Unternehmen nachweisen können, wie sie die Datenschutzrechtlichen Vorgaben einhalten werden. Ein Datenmanagement-System ersetzt nicht das Datenschutz-Management-System, kann sich jedoch bußgeldmindernd bei Datenschutzverstößen auswirken.[5]

Das „Recht auf Vergessen“ beinhaltet, dass das Unternehmen, die personenbezogenen Daten auf Wunsch des Betroffenen unverzüglich löscht. Dabei gibt es einige spezielle Ablehnungsgründe, die das Unternehmen geltend machen kann, jedoch tritt dann die Sperrung der Daten in Kraft. So kann zum Beispiel die steuerrechtliche Aufbewahrungspflicht nach §123 ABS 1 BAO geltend gemacht werden, wenn die Löschung eine Rechnung mit Kundendaten betrifft. Diese Gründe müssen dem Betroffenen mitgeteilt werden.[6]

Das Unternehmen muss alle gegebenen Einwilligungen nachweisen. Dabei gehen alle Zweifel zu Lasten des Unternehmens. Online abgegebene Einwilligungen können mit einem Zeitpunkt, gekürzter IP-Adresse und am besten mit einem Double-Opt-In in einer Datenbank gesichert werden. [7]

Die Informationspflichten bei Datenerhebung- und Verarbeitung muss ebenfalls berücksichtigt werden. Im Artikel 13 der DSGVO finden Sie die Informationen, welche dem Betroffenen in transparenter, präziser, verständlicher und leicht zugänglicher Form bereitgestellt werden müssen. In diesem Zusammenhang sollte die Datenschutzerklärung der Unternehmens-Webseite aktualisiert werden.

Außerdem ist jedes Unternehmen verpflichtet ein Datenschutzkonzept zu führen. Dieses Gesamtkonzept dient zu Einhaltung des Datenschutzes („Rechenschaftspflicht“). Das Datenschutzkonzept muss regelmäßig kontrolliert und ggf. weiterentwickelt werden. [8]

Aber auch andere Aspekte der DSGVO sollten in der Webseite umgesetzt werden. SSL-Verschlüsselung, Cookie Hinweise und die datenschutzkonforme Verwendung von Google Analytics sind nur einige der notwendigen Anpassungen.[9]

Werden Dienstleistungen wie z.B. für die Lohnabrechnung oder Finanzbuchhaltung ausgelagert, so muss der Auftragsverarbeiter Garantien bieten, dass der Schutz der Rechte der betroffenen Personen gewährleistet ist.  Im Artikel 28 der DSGVO sind dazu die Grundlagen der Zusammenarbeit erklärt. Sobald andere Unternehmen Zugriff auf die Daten der Kunden oder Mitarbeiter haben, muss ein Auftragsdatenverarbeitungsvertrag schriftlich oder in einem elektronischen Format abgefasst werden.[10]

Diese kleine Zusammenfassung soll als kleine Orientierung dienen. Die genaue Umsetzung der Maßnahmen muss jedes Unternehmen individuell überprüfen und umsetzen.

-----------------------------------------------------------------------------------------------------------------------------------------

[1] https://www.computerwoche.de/a/eu-dsgvo-unternehmen-muessen-sich-jetzt-vorbereiten,3330971

[2] https://www.impulse.de/recht-steuern/rechtsratgeber/datenschutzbeauftragter-dsgvo/7299050.html

[3] https://www.werning.com/wp-content/uploads/2018/03/die-fuenf-gebote-im-datenschutz-thomas-werning.pdf

[4] https://www.datenschutzbeauftragter-info.de/verzeichnis-von-verarbeitungstaetigkeiten-pflicht-mit-ausnahmen/

[5] https://www.datenschutzbeauftragter-info.de/datenschutzmanagement-nach-der-dsgvo-leitfaden-fuer-die-praxis/

[6]https://www.althammer-kill.de/newsletter-detail/newsletter-fachthemen-kw25/

[7] https://t3n.de/news/dsgvo-einwilligungen-843918/

[8] https://www.datenschutz-praxis.de/fachartikel/pflegen-sie-das-datenschutzkonzept/

[9] https://www.giga.de/webapps/google-analytics/tipps/google-analytics-datenschutz-konform-verwenden-so-geht-s/

[10] https://www.e-recht24.de/artikel/datenschutz/10807-auftragsverarbeitung-dsgvo-fuer-webseitenbetreiber.html