Das Wichtigste in Kürze
Die Datenschutz-Grundverordnung (DSGVO) regelt seit dem 25. Mai 2018 europaweit den Umgang mit personenbezogenen Daten und betrifft alle Unternehmen, die solche Daten nutzen.
Zu den Neuerungen gehören das Recht auf Vergessenwerden und das Recht auf Einschränkung der Verarbeitung.
Unternehmen müssen in der Lage sein, personenbezogene Daten unverzüglich zu löschen, insbesondere wenn die betroffene Person ihre Einwilligung widerruft oder wenn keine Rechtsgrundlage für die Verarbeitung besteht.
Bei Nichteinhaltung der DSGVO drohen hohe Bußgelder. Unternehmen sollten daher vorbeugende Maßnahmen ergreifen, ihre Mitarbeiter schulen und nur DSGVO-konforme Software-Lösungen nutzen.
Seit 25. Mai 2018 gilt die bereits 2016 in Kraft getretene EU-Datenschutz-Grundverordnung – kurz: DSGVO. Sie regelt europaweit den Umgang mit personenbezogenen Daten und betrifft jedes Unternehmen, das im Internet tätig ist oder personenbezogene Daten in irgendeiner Weise nutzt.
Seit Inkrafttreten der DSGVO gelten für europäische Unternehmen außerdem folgende gesetzliche Neuerungen im Hinblick auf die Auftragsdatenverarbeitung:
Konkret bedeutet das: Man kann von Ihnen verlangen, personenbezogene Daten unverzüglich zu löschen – zum Beispiel indem betroffene Personen ihre Einwilligung wiederrufen oder wenn sie Widerspruch gegen eine Publikation eingelegt haben bzw. wenn sonst keine Rechtsgrundlage für die Verarbeitung besteht oder wenn sensible Daten betroffen sind. Darüber hinaus schreibt die DSGVO vor, dass Sie weitere Verantwortliche informieren müssen, die zum Beispiel Links oder Kopien der betreffenden Daten bearbeiten.
Die DSGVO betrifft also alle Betriebe, die innerhalb der Europäischen Union personenbezogene Daten verarbeiten. Wer seit dem Stichtag die Vorgaben nicht einhält, riskiert hohe Bußgelder. Sofern Sie sich als Kleinunternehmer aber richtig auf die DSGVO vorbereiten, müssen Sie keine Angst vor datenschutzrechtlichen Konsequenzen haben. Zu diesem Zweck haben wir umfassendes DSGVO-Wissen auf unserer Seite für Sie zusammengestellt:
Wir informieren Sie genau, worauf Sie in Sachen DSGVO achten müssen und welche Schritte Sie als Kleinunternehmer auf jeden Fall angehen sollten, wenn Sie es bis jetzt noch nicht getan haben. Es gibt zwar die eine oder andere Erleichterung für Kleinstunternehmen und Einzelunternehmer, aber trotzdem noch mehr als genug im Hinblick auf die DSGVO zu tun.
Wir haben außerdem noch einmal alle wichtigen Punkte zur neuen Datenschutzverordnung in einem DSGVO eBook ausführlich für Sie zusammengetragen. Dieses können Sie sich bei uns kostenlos herunterladen. Damit ist sichergestellt, dass Sie die aktuellen DSGVO-Vorschriften konform umsetzen.
Informieren Sie sich optimal mit umfassendem Fachwissen zur DSGVO. lexoffice hat für Sie ein ausführliches Premium eBook DSGVO zusammengestellt – jetzt gratis zum Download.
Als Unternehmer bekommen Sie es jeden Tag mit den unterschiedlichsten Daten zu tun:
Dementsprechend besteht immer ein gewisses Risiko, dass es in Ihrem Betrieb zu Datenschutzverstößen gemäß dem Bundesdatenschutzgesetz (BDSG) kommen kann. Sie haben dafür Sorge zu tragen, die DSGVO in Ihrem Unternehmen gesetzeskonform umzusetzen. Wir verraten Ihnen, welche Pflichten Sie erfüllen müssen, um die neuen Regelungen der Datenschutz-Grundverordnung sicher anzuwenden.
Sie möchten typischen Stolperfallen bei der Umsetzung der DSGVO möglichst aus dem Weg gehen? Dann sollten Sie sich idealerweise zunächst einen Überblick darüber verschaffen, von welchen DSGVO-Regelungen Sie in Ihrem Unternehmen betroffen sind:
Merken Sie sich: Die DSGVO enthält das sogenannte Nachweis-Prinzip. Das heißt, Sie als Auftragsverarbeiter müssen zukünftig in der Lage dazu sein, der Aufsichtsbehörde auf Anfrage zu belegen, dass Sie rechtskonform im Sinne der DSGVO-Vorgaben handeln. Andernfalls drohen Ihnen hohe Bußgelder.
Es ist wichtig, dass Sie sich zunächst ein fundiertes Grundlagenwissen im Bereich des Datenschutzes aneignen, um die Richtlinien der DSGVO effizient angehen und umsetzen zu können. Im folgenden DSGVO-Wiki geben wir Ihnen Auskunft über die wichtigsten Begrifflichkeiten und Grundsätze, die Sie kennen sollten. Außerdem erhalten Sie in unserer DSGVO-FAQ Antworten auf die wichtigsten Fragen zur neuen Datenschutz-Grundverordnung:
Was genau sind eigentlich personenbezogene Daten?
Unter personenbezogenen Daten versteht man gemäß der DSGVO alle Angaben über persönliche oder sachliche Verhältnisse, die eine natürliche Person betreffen. Hierzu gehören unter anderem:
Die DSGVO sieht das Prinzip der Datenminimierung vor, das heißt sensible Daten sollen stets in möglichst geringem Umfang erhoben und verarbeitet werden.
Welche Rechte haben Personen im Hinblick auf ihre Daten?
Jede natürliche Person hat im Sinne der DSGVO bestimmte Rechte an ihren personenbezogenen Daten, welche Sie als Unternehmer unbedingt kennen sollten:
Welche Maßnahmen dienen dem Schutz personenbezogener Daten?
Sie müssen gemäß der DSGVO verschiedene Maßnahmen ergreifen, um den Schutz personenbezogener Daten sicherzustellen:
Wer ist für den Datenschutz in Unternehmen verantwortlich?
Wer ist für den Datenschutz in Unternehmen verantwortlich?
Wer genau die Verantwortung für den Datenschutz trägt, hängt mitunter von Struktur und Größe Ihres Unternehmens ab:
Geschäftsführer | Datenschutzbeauftragter | Mitarbeiter |
|
|
|
Wie schütze ich die Daten von Mitarbeitern und Bewerbern angemessen?
Sofern Sie Mitarbeiter in Ihrem Unternehmen beschäftigen, denen Sie regelmäßig eine Lohn- und Gehaltsabrechnung ausstellen, verfügen Sie mit Sicherheit auch über einen Pool mit deren persönlichen Daten. Personenbezogene Daten Ihrer Angestellten dürfen Sie gemäß der DSGVO zukünftig verarbeiten, weil dies für die Aufnahme, Durchführung und Beendigung eines Arbeitsverhältnisses notwendig ist. Wichtig ist jedoch, dass Sie die personenbezogenen Daten Ihrer Mitarbeiter angemessen schützen, zum Beispiel vor dem Zugriff unbefugter Dritter. Was Sie hierfür tun sollten, können Sie in unserem DSGVO eBook nachlesen.
Auch Bewerberdaten unterliegen in Unternehmen dem Datenschutz – unabhängig davon, ob es sich dabei um eine Bewerbung auf eine von Ihnen ausgeschriebene Stelle oder um eine Initiativbewerbung handelt. Wichtig ist daher, dass Sie alle Daten abgelehnter Bewerber binnen sechs Monaten löschen. Bei einem Verstoß haben abgelehnte Personen nämlich die Möglichkeit, Klage gegen Sie einzureichen und Schadenersatz zu fordern. Eine Ausnahme bilden lediglich Name, Anschrift und Geburtsdatum. Diese Daten dürfen Sie speichern, sofern Sie diese für zukünftige Bewerbungsverfahren weiterhin nutzen wollen. Möchten Sie weitere Daten eines Bewerbers länger aufbewahren – zum Beispiel, um ihn in einen Bewerberpool aufzunehmen – müssen Sie seine schriftliche Einwilligung einholen.
Wie kann ich Kundendaten schützen?
Insbesondere Kleinunternehmer stehen häufig in engem Kontakt mit ihren Kunden. Umso wichtiger ist es, dass es nicht zu problematischen Zwischenfällen kommt. Sofern Ihre Kunden davon erfahren, kann sich das nämlich schnell geschäftsschädigend auf Ihr Unternehmen auswirken. Aus diesem Grund sollten Sie Datenschutzverletzungen im Hinblick auf die personenbezogenen Daten Ihrer Kunden unbedingt vermeiden.
Wichtig ist, dass Sie Kundendaten, wie zum Beispiel private Telefonnummern oder E-Mail-Adressen, vertraulich behandeln und alle persönlichen Daten sicher aufbewahren. Das bedeutet auch, personenbezogene Daten Ihrer Kunden nicht auf mobilen Endgeräten zu speichern. Nutzen Sie einen Cloud-Speicher, sollten Sie sich zudem um eine Datenverschlüsselung kümmern.
Wie gehe ich richtig mit Daten von Dienstleistern um?
Sofern Sie als Kleinunternehmer enge geschäftliche Beziehungen zu Ihren Dienstleistern und Lieferanten pflegen, speichern Sie vermutlich hin und wieder personenbezogene Daten Ihrer Ansprechpartner. Diese unterliegen selbstverständlich ebenfalls dem Datenschutz. Hinzu kommt, dass Sie gemäß der DSGVO dazu verpflichtet sind, einen Vertrag über Auftragsverarbeitung mit Ihren Lieferanten und Dienstleistern zu schließen, sobald diese personenbezogenen Daten für Sie verarbeiten. Das ist zum Beispiel dann der Fall, wenn Sie mit anderen Agenturen, Web-Hostern, Cloud-Anbietern, Gehaltsabrechnungsbüros und Co. zusammenarbeiten.
Wie reagiere ich richtig auf Datenschutz-Verletzungen?
Im besten Fall sollten Sie von vornherein alles dafür tun, um Datenschutzverletzungen in Ihrem Unternehmen zu vermeiden. Manchmal können allerdings trotzdem Fehler passieren, wozu beispielsweise auch IT-Ausfälle gehören. Für den Fall, dass in Ihrem Betrieb der Schutz personenbezogener Daten verletzt wurde, sieht die DSGVO bestimmte Verhaltensweisen vor:
Sie können definitiv ausschließen, dass Sie die Rechte der betroffenen Personen bei einer Datenpanne verletzt haben? Dann dürfen Sie auf die Meldung verzichten. Wenn Sie vor der Datenpanne entsprechende Maßnahmen getroffen haben, die eine Einsichtnahme der Daten durch Dritte ausschließen, müssen Sie die Betroffenen nicht benachrichtigen.
Mit welchen Strafen muss ich bei DSGVO-Verstößen rechnen?
DSGVO-Verstöße können schnell ganz schön teuer werden! Mögliche Bußgeldzahlungen können Sie bis zu 4 % Ihres Umsatzes bzw. im schlimmsten Fall bis zu 20 Mio. Euro kosten. In Anbetracht dieser hohen Bußgeld-Summen sollten Sie gerade als Kleinunternehmer dringend vorbeugende Maßnahmen ergreifen, um von vornherein einen wirtschaftlichen Schaden Ihres Betriebs durch Verstöße gegen den Datenschutz auszuschließen. Achten Sie nicht nur darauf, Ihre Mitarbeiter gründlich im Sinne der DSGVO zu unterweisen, sondern setzen Sie außerdem nur Software-Lösungen in Ihrem Unternehmen ein, mit denen Sie zu 100 % DSGVO-konform arbeiten können.
Ab wann brauche ich einen Datenschutzbeauftragten?
Wie bereits erwähnt, müssen Sie einen Datenschutzbeauftragen bestellen, sobald Sie in Ihrem Unternehmen mindestens zehn Mitarbeiter beschäftigen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. Sie haben dabei folgende Möglichkeiten:
Anschließend muss der Datenschutzbeauftragte in Ihrem Unternehmen folgenden Aufgaben nachkommen:
Wie kann ich im Sinne der DSGVO Daten für Marketing- und Werbemaßnahmen verwenden?
Sie betreiben eine eigene Website und verschicken regelmäßig einen Newsletter oder besitzen vielleicht sogar einen Kunden-Login? Auch in diesem Fall müssen Sie dafür Sorge tragen, die DSGVO-Richtlinien einzuhalten. Denn sobald sich Kunden online auf Ihrer Seite anmelden, erhalten Sie personenbezogene Daten, die Sie möglicherweise weiterverarbeiten möchten. Die DSGVO schreibt grundsätzlich vor, dass Sie personenbezogene Daten von Kunden nur unter bestimmten Voraussetzungen weiterverarbeiten dürfen. Welche das sind, können Sie im lexoffice DSGVO eBook ausführlich nachlesen. Sofern diese nicht erfüllt sind, müssen Sie bei Ihren Interessenten bzw. Kunden eine schriftliche Einwilligung einholen, um deren Daten weiterverarbeiten zu dürfen.
Die DSGVO trat bereits im Mai 2018 in Kraft. Trotzdem existieren nach wie vor zahlreiche Unternehmen, welche die DSGVO noch nicht so umsetzen, wie sie es eigentlich sollten. Beachten Sie, dass die Bundesregierung bei Nichteinhaltung der Datenschutz-Grundverordnung hart durchgreift. Mittlerweile werden immer mehr Firmen von der Aufsichtsbehörde geprüft. Sie sind selbst noch unsicher, ob Sie alle wichtigen Vorschriften einhalten und gesetzeskonform dokumentieren? Für diesen Fall haben wir eine übersichtliche DSGVO-Checkliste erstellt, welche Ihnen dabei hilft, die neuen Regelungen konform umzusetzen.
Sie werden spätestens jetzt festgestellt haben, dass die DSGVO hohe Ansprüche an den Datenschutz in Unternehmen stellt. Unsere DSGVO-Checkliste hilft Ihnen dabei, alle Vorgaben rechtskonform umzusetzen und zu dokumentieren. Nehmen Sie sich daher unbedingt die Zeit, um abzufragen, bei welchen Punkten in Ihrem Betrieb noch Handlungsbedarf besteht und die entsprechenden DSGVO-Richtlinien mit Hilfe der Checkliste genau zu prüfen.
Nach Maßgabe der DSGVO reicht es mittlerweile nicht mehr aus, Datenschutz im Unternehmen nur umzusetzen. Stattdessen müssen Sie ebenfalls einen tauglichen Nachweis darüber erbringen können, wie Sie der neuen Verordnung nachkommen. Am besten funktioniert das, indem Sie alles genauestens dokumentieren. Daher sollten Sie unbedingt entsprechende Vorkehrungen treffen, damit Ihnen später keine böse Überraschung droht.
Um Ihnen die Dokumentation Ihrer Datenverarbeitung zu erleichtern, haben Sie die Möglichkeit, spezielle DSGVO-Vorlagen und -Muster zu verwenden. Diese können Sie in unserem DSGVO eBook kostenlos herunterladen. Sie haben die Wahl aus folgenden Vordrucken:
Mi unseren kostenlosen DSGVO-Mustertexten und -Vorlagen können Kleinunternehmer ihre Datenschutzdokumentation unkompliziert in Angriff nehmen. Die Vordrucke bieten Ihnen als Auftragsverarbeiter folgende Vorteile:
Auch als Datenschutz-Neuling können Sie die geforderten Dokumentationen mit unseren praktischen DSGVO-Vorlagen und -Mustern problemlos erstellen.
Auch wenn Sie noch überhaupt keine Datenschutz-Maßnahmen eingeleitet haben, ist es keinesfalls zu spät, noch damit zu beginnen. Auch jetzt rentiert es sich noch für Sie, den Datenschutz in Ihrem Betrieb zu dokumentieren. Sofern Sie im Falle einer Prüfung durch die Aufsichtsbehörden nämlich nachweisen können, dass Sie bereits entsprechende Maßnahmen eingeleitet haben, um die DSGVO konform umzusetzen, drücken die Prüfer in vielen Fällen noch einmal ein Auge zu. Finden diese allerdings heraus, dass Sie sich noch überhaupt nicht darum bemüht haben, müssen Sie wahrscheinlich mit einem Bußgeld rechnen.
Seitdem die DSGVO in Kraft getreten ist, besteht in vielen Unternehmen dringender Handlungsbedarf, was die Umsetzung der neuen Regelungen zur Datenschutz-Grundverordnung anbelangt. Sollten Sie sich bislang noch nicht tiefergehend mit dem Thema Datenverarbeitung und Datenschutz befasst haben, empfehlen wir Ihnen, spätestens jetzt damit anzufangen. Bei DSGVO-Verstößen drohen Ihnen nämlich nicht bloß Reputationsverluste, sondern schlimmstenfalls auch hohe Bußgelder. Unser DSGVO eBook hilft Ihnen dabei, den Datenschutz in Ihrem Unternehmen zu prüfen, anzugehen und gesetzeskonform umzusetzen.
Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Zwar sieht die DSGVO eine Ausnahme von dieser Pflicht für kleinere Unternehmen vor. Die Rückausnahmen, die die gleiche Vorschrift enthält, sind jedoch so weitreichend, dass selbst Kleinstunternehmen von der Ausnahme nicht profitieren können. In dem Verzeichnis müssen alle Datenverarbeitungsvorgänge aufgelistet und insbesondere der Zweck der Verarbeitung und die Löschfristen genannt werden. Das Verzeichnis kann auch elektronisch, etwa in einer Excel-Tabelle geführt werden, und muss auf Anfrage der Behörde jederzeit vorgelegt werden können.
Ein wichtiger Teil der DSGVO sind die Rechte der Betroffenen. Dabei ist vieles nicht wirklich neu, der Teufel liegt hier im Detail. Der Kunde kann wie bisher jederzeit Auskunft über die Speicherung seiner Daten verlangen. Diese Auskunft muss unverzüglich erteilt werden. Dies bedeutet, dass in jedem Unternehmen ein Prozess geschaffen werden muss, der den Umgang mit Auskunftsansprüchen betrifft. Niemand sollte sich erstmals mit den Ansprüchen beschäftigen, wenn ein solcher Anspruch geltend gemacht wird. Neu ist ein generelles Widerspruchsrecht gegen die Datenverarbeitung. Natürlich kann dem Unternehmen nicht verwehrt werden, Daten zu speichern, die für die Vertragserfüllung oder Verfolgung von Ansprüchen benötigt werden. Daten, die ausschließlich zu Marketingzwecken verarbeitet werden, müssen dagegen auf Verlangen gelöscht werden.
Jedes Unternehmen mit einer Website kennt das schon jetzt: Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Das neue Recht geht in doppelter Hinsicht darüber hinaus. Zum einen gilt die Informationspflicht für alle Datenverarbeitungsvorgänge. Auch wer offline Daten erhebt, etwa in einem Kundengespräch, muss über die Verarbeitung der Daten informieren. Außerdem ist der Umfang der Pflichtinformationen noch einmal erweitert worden.
Deutlich ausgeweitet werden die Pflichten zur Meldung von Datenpannen. Während eine Meldung bisher nur im Ausnahmefall erforderlich ist, muss nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Behörde – unter Umständen auch den Betroffenen – gemeldet werden. Aus dieser Pflicht folgt letztlich die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift.
Auch das neue Datenschutzrecht sieht eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn sich mehr als 10 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weil das auf fast alle Unternehmen mit mehr als 10 Mitarbeitern zutrifft, werden also auch nach Mai 2018 viele deutsche Unternehmen einen Datenschutzbeauftragten bestellen müssen.
Fachwissen zur DSGVO Schwarz auf Weiß! In diesem Premium eBook von lexoffice erfahren Sie, wie Sie die neuen Regelungen sicher in Ihrem Betrieb anwenden. Bereiten Sie sich optimal vor mit unserem umfassenden Fachwissen zur DSGVO. Nutzen Sie das ausführliche Gratis Premium eBook DSGVO von lexoffice.