Kein Mut zur Lücke: DSGVO gilt auch für Kleinunternehmen!

Die Datenschutz-Grundverordnung ist seit nunmehr drei Jahren in Kraft. Trotzdem tun sich immer noch viele Betriebe mit der Umsetzung der DSGVO schwer. Das gilt vor allem für Freiberufler und Kleinunternehmen.

• Die schlechte Nachricht vorweg: Ja, die DSGVO betrifft alle Geschäftsleute – also auch Solo-Selbstständige und Kleinbetriebe. Für kleine Unternehmen gelten zwar ein paar Erleichterungen – doch auf Tauchstation sollten Sie lieber nicht gehen. Selbst Vereine und andere Non-Profit-Unternehmen müssen die Datenschutz-Auflagen beachten!
• Die gute Nachricht gleich hinterher: Die meisten Freiberufler und kleinen Unternehmen brauchen keinen eigenen Datenschutzbeauftragten. Ausnahmen gelten nur, wenn das Kerngeschäft in der massenhaften Verarbeitung sensibler Daten besteht. Einen qualifizierten Datenschutzbeauftragten müssen erst Betriebe beauftragen, in denen zehn und mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

DSGVO: Wofür soll das gut sein?

Die europaweit gültige und im Mai 2018 in deutsches Recht überführte EU-Verordnung 2016/679 soll den freien Datenverkehr in der Europäischen Union sichern. Im Mittelpunkt der DSGVO steht jedoch der Schutz personenbezogener Daten von Privatpersonen, soweit sie mit Bezug auf eine berufliche oder geschäftliche Tätigkeit ...

• erfasst,
• verarbeitet,
• verwendet und / oder
• weitergegeben werden.

Als personenbezogene Daten gelten dabei nicht nur naheliegende Identifikations-Merkmale wie Name, Geburtsdatum, Anschrift, Sozialversicherungsnummern, Telefonnummern oder E-Mail-Adressen. Betroffen sind vielmehr grundsätzlich alle Informationen über die ...

• physische,
• physiologische,
• genetische,
• psychische,
• wirtschaftliche,
• kulturelle oder
• soziale

... Identität einer natürlichen Person. Personenbezogene Merkmale beginnen also bereits bei anonymisierten technischen IDs (wie der aktuellen IP-Adresse beim Aufruf einer Internetseite) und reichen bis zu besonders sensiblen Daten (wie dem Geburtsdatum, der Religionszugehörigkeit oder dem Gesundheitszustand).

Wessen Daten sind geschützt?

Die konkreten Ausführungsbestimmungen zur Speicherung und Verarbeitung personenbezogener Daten sind in den nationalen Datenschutzgesetzen enthalten. In Deutschland finden sie sich im Bundesdatenschutzgesetz (BDSG).

Wichtig: Beim Umgang mit personenbezogenen Daten denken Selbstständige und Kleinunternehmer häufig nur an ihre Kunden und Interessenten. Anspruch auf Datenschutz haben im Geschäftsleben jedoch auch ...

• Mitarbeiter,
• Lieferanten,
• Dienstleister,
• Behördenvertreter und
• alle anderen Kontaktpersonen!

Datenerhebung: So wenig wie möglich ...

Die DSGVO verlangt die Beschränkung der Datenerhebung und Verarbeitung auf ein Mindestmaß. Datenspeicherungen müssen gemäß Art. 5 DSGVO ...

• rechtmäßig, transparent und richtig sein,
• zweckgebunden und zeitlich begrenzt erfolgen,
• vertraulich behandelt werden,
• gegen Veränderungen, Verfälschungen und Verlust gesichert und
• vor Weitergabe an Unbefugte geschützt sein.

Entfällt der ursprüngliche Zweck einer Datenerhebung und -speicherung, sind die enthaltenen persönlichen Daten unaufgefordert zu löschen.

... und nur mit Erlaubnis

Das Datenschutz-Prinzip lautet: Was nicht ausdrücklich erlaubt wurde, ist verboten. Gestattet ist die Verwendung persönlicher Daten grundsätzlich nur dann, wenn ...

• die „betroffene Person“ damit nachweislich einverstanden ist oder
• die Datenerhebung und Weiterverarbeitung vom Gesetzgeber verlangt wird.

Die DSGVO legt weitreichende Informations- und Auskunftsrechte betroffener Personen fest. Es gibt eine

1. Informationspflicht beim Erheben personenbezogener Daten direkt bei der betroffenen Person
2. Informationspflicht, falls Daten auf anderem Weg erhoben werden sowie ein
3. Auskunftsrecht der betroffenen Person gegenüber den Verantwortlichen einer Datenverarbeitung.

Umfassendes Auskunftsrecht für Betroffene

Das Auskunftsrecht wiederum umfasst insbesondere Informationen über ...

• den Zweck der Datenverarbeitung,
• die Art (Kategorien) der Daten,
• Empfänger, an die personenbezogene Daten weitergeleitet werden (müssen),
• die geplante Dauer der Datenspeicherung,
• bestehende Rechte (z. B. Anspruch auf Widerspruch gegen Datenverarbeitung sowie die Berichtigung oder Löschung gespeicherter Daten) und
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Wurden die Daten nicht direkt bei der betroffenen Person erhoben, haben diese zudem Anspruch auf alle verfügbaren Informationen über die Datenherkunft.

Sie speichern und verarbeiten in Einzelfällen Daten von Kunden und anderen Geschäftspartnern? Dann müssen Sie zumindest darauf vorbereitet sein ...

• bei der Datenerhebung die erforderlichen Informationen bereitzustellen,
• die Zustimmung der Betroffenen einzuholen und zu dokumentieren und
• auf eventuelle Nachfragen betroffener Personen reagieren zu können.

Konsequenzen von Datenschutz-Verstößen

Sollte es in Ihrem Unternehmen trotz aller Vorsichtsmaßnahmen zu einem Verstoß gegen Datenschutz-Auflagen kommen, müssen Sie als Verantwortliche/r die zuständige Aufsichtsbehörde informieren. In aller Regel ist das der Datenschutzbeauftragte Ihres Bundeslandes. Die Kontaktdaten der Landes-Datenschutzbehörden finden Sie auf den Internetseiten des Bundes-Datenschutzbeauftragten.

In Art. 83 DSGVO gibt es zudem „Allgemeine Bedingungen für die Verhängung von Geldbußen“. Das Strafmaß reicht im Höchstfall bis zu 20 Millionen Euro oder 4 % der weltweiten Unternehmens-Umsätze (je nachdem, welcher Betrag höher ist).

Festgelegt wird die Strafe je nach den Umständen des Einzelfalls durch die zuständige Aufsichtsbehörde. Mögliche Bußgelder richten sich unter anderem nach ...

• der Schwere und Dauer des Verstoßes,
• Vorsatz oder Fahrlässigkeit,
• der Zahl betroffener Personen und
• dem Ausmaß des erlittenen Schadens.

Die bei Einführung der DSGVO befürchtete Abmahn- und Klagewelle ist bislang zum Glück ausgeblieben. Durch das Ende 2020 in Kraft getretene „Gesetz zum Erschweren missbräuchlicher Abmahnungen“ wurde der drohende Abmahn-Missbrauch zusätzlich erschwert. Insofern hält sich die Zahl der Sanktionen gegen Kleinunternehmen aufgrund von DSGVO-Verstößen bislang in engen Grenzen.

Bußgeld-Katalog in Vorbereitung

Einen konkreten amtlichen Bußgeld-Katalog gibt es auch noch nicht. Die Konferenz der Datenschützer von Bund und Ländern hat mittlerweile ein Bußgeld-Konzept entwickelt, das zwischen vier verschiedenen Unternehmens-„Größenklassen“ und „Schweregrad“ des Verstoßes unterscheidet.

Daraus errechnet sich für „Kleinstunternehmen“ (von bis zu 350.000 Euro Jahresumsatz) ein Bußgeldrahmen zwischen rund 1.000 Euro und knapp 12.000 Euro. Der Bußgeld-Katalog ist (noch) nicht rechtskräftig, kann aber als Anhaltspunkt für eine mögliche Strafzumessung im Einzelfall genutzt werden.

Digitaler und analoger Datenschutz

Um Missverständnissen vorzubeugen: Die DSGVO verlangt nicht nur den Schutz elektronischer Daten: Auch in gesprochener, gedruckter oder auf andere Weise sichtbarer Form sind persönliche Daten geschützt.

Daraus können sich im engeren Sinne elektronische, aber auch eine Menge technischer und organisatorischer Maßnahmen ergeben – darunter ...

• Zutrittskontrollen zu geschäftlichen Gebäuden und Räumen,
• Zugangskontrollen zu Aktenschränken, Regalen, Archiven, Ordnern, Ablagen, Servern, Computern, Druckern, Kopierern, Faxgeräten, Telefonanlagen und anderer Hardware,
• regelmäßig aktualisierte Zugriffskontrolle auf Hard- und Software,
• Installation und laufende Aktualisierung von Firewalls und Antiviren-Software,
• Entfernen und Unterbinden sichtbarer oder hörbarer persönlicher Daten in Räumen mit Publikumsverkehr,
• Datenschutz-Belehrung und -Schulung von Mitarbeitern,
• protokollierte datenschutzkonforme Entsorgung gedruckter Unterlagen,
• protokolliertes datenschutzkonformes Löschen elektronischer Datenbestände,
• Abschluss und Dokumentation von Auftragsverarbeitungs-Verträgen mit Dienstleistern (z.B. Berater, Software- oder Cloudanbieter),
• Veröffentlichung einer Datenschutzerklärung auf der Unternehmens-Website.

Zusammen mit dem Verzeichnis der betrieblichen „Verarbeitungstätigkeiten“ und den Angaben zum Datenschutzbeauftragten gehören die betrieblichen Datenschutz-Bestandsaufnahmen und Vorkehrungen in die obligatorische „DSGVO-Dokumentation“.

Praxistipp: Mit Fragen zur konkreten DSGVO-Umsetzung in Ihrem Unternehmen können Sie sich zum Beispiel an Ihren Berufs- oder Branchenverband wenden. Manche Interessenvertretungen bieten ihren Mitgliedern angepasste Vorlagen und Formulierungen. Auch Industrie- und Handelskammern oder auch Handwerkskammern helfen weiter. Im Zweifelsfall wenden Sie sich an Ihren Steuer- oder Unternehmensberater.

Vorlagen, Muster & Formulierungshilfen

Weiterführende Informationen zur DSGVO, Dokumentations-Vorlagen, Leitfäden, Muster, Formulierungshilfen und ähnliche Handreichungen für die betriebliche Praxis von Kleinunternehmen finden Sie unter anderem an folgenden Stellen:

• Vorlagen zur Erfüllung der Informationspflichten, zur Dokumentation der Verarbeitungs-Tätigkeiten sowie weitere Dokumentationsvorlagen gibt es beim Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein.
• Eine Sammlung weiterer Muster & Formulierungshilfen finden Sie beim „Virtuellen Datenschutzbüro“, das von den Datenschutzbeauftragen des Bundes und der Bundesländer betrieben wird.
• Ein Muster für die Auskunft-Erteilung nach Art. 15 DSGVO gibt es im Word-Format beim Bayerischen Landesamt für Datenschutzaufsicht.
• Der NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit stellt kleinen und mittleren Unternehmen eine Umsetzungshilfe zu den Datenschutzhinweisen zur Verfügung.
• Über Aufgaben und Befugnisse betrieblicher Datenschutzbeauftragter informiert die „Info 4“-Broschüre des Bundesbeauftragten für den Datenschutz.
• Falls Sie sich für den O-Ton der Verordnung interessieren: Unter dsgvo-gesetz.de gibt es eine sehr übersichtliche und leicht lesbare Version der DSGVO.