DSGVO: Das müssen Sie zur EU-Datenschutz-Grundverordnung wissen

Unter personenbezogenen Daten versteht man gemäß der DSGVO alle Angaben über persönliche oder sachliche Verhältnisse, die eine natürliche Person betreffen. Hierzu gehören unter anderem:

• Name
• Anschrift
• Geburtsdatum
• Beruf
• Staatsangehörigkeit
• Religionszugehörigkeit
• Vermögensstand
• Gesundheitszustand
• Sexuelle Orientierung

Die DSGVO sieht das Prinzip der Datenminimierung vor, das heißt sensible Daten sollen stets in möglichst geringem Umfang erhoben und verarbeitet werden.

Jede natürliche Person hat im Sinne der DSGVO bestimmte Rechte an ihren personenbezogenen Daten, welche Sie als Unternehmer unbedingt kennen sollten:

• Alle Personen müssen aktiv zustimmen, dass ihre Daten von Ihnen gespeichert und verarbeitet werden dürfen. Ein „stillschweigendes Einverständnis“ allein (z. B. durch Akzeptieren einer Datenschutzerklärung) genügt nicht.
• Jede Person hat das Recht, auf Anfrage bestimmte Auskünfte über ihre gespeicherten Daten zu erhalten (z. B. welche Daten haben Sie?, wie kamen Sie an die Daten?, wozu speichern Sie die Daten?, an wen geben Sie die Daten?).
• Alle Personen können von Ihnen verlangen, Fehler in den erhobenen personenbezogenen Daten bereinigen zu lassen.
• Jede Person kann ihre Einwilligung zur Datenspeicherung jederzeit widerrufen und personenbezogene Daten löschen lassen. Dasselbe gilt für unzulässig gespeicherte Daten oder wenn diese nicht mehr für den eigentlichen Zweck gebraucht werden, für den sie eigentlich erhoben wurden.

Sie müssen gemäß der DSGVO verschiedene Maßnahmen ergreifen, um den Schutz personenbezogener Daten sicherzustellen:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Sicherstellen von Vertraulichkeit, Integrität, Verfügbarkeit sowie Belastbarkeit der für die Datenverarbeitung eingesetzten Systeme und Dienste
• Wiederherstellbarkeit personenbezogener Daten im Falle eines physischen oder technischen Zwischenfalls
• Regelmäßige Überprüfung und Auswertung der Schutzmaßnahmen personenbezogener Daten

Wer ist für den Datenschutz in Unternehmen verantwortlich?

Wer genau die Verantwortung für den Datenschutz trägt, hängt mitunter von Struktur und Größe Ihres Unternehmens ab:

Sofern Sie Mitarbeiter in Ihrem Unternehmen beschäftigen, denen Sie regelmäßig eine Lohn- und Gehaltsabrechnung ausstellen, verfügen Sie mit Sicherheit auch über einen Pool mit deren persönlichen Daten. Personenbezogene Daten Ihrer Angestellten dürfen Sie gemäß der DSGVO zukünftig verarbeiten, weil dies für die Aufnahme, Durchführung und Beendigung eines Arbeitsverhältnisses notwendig ist. Wichtig ist jedoch, dass Sie die personenbezogenen Daten Ihrer Mitarbeiter angemessen schützen, zum Beispiel vor dem Zugriff unbefugter Dritter. Was Sie hierfür tun sollten, können Sie in unserem DSGVO eBook nachlesen.

Auch Bewerberdaten unterliegen in Unternehmen dem Datenschutz – unabhängig davon, ob es sich dabei um eine Bewerbung auf eine von Ihnen ausgeschriebene Stelle oder um eine Initiativbewerbung handelt. Wichtig ist daher, dass Sie alle Daten abgelehnter Bewerber binnen sechs Monaten löschen. Bei einem Verstoß haben abgelehnte Personen nämlich die Möglichkeit, Klage gegen Sie einzureichen und Schadenersatz zu fordern. Eine Ausnahme bilden lediglich Name, Anschrift und Geburtsdatum. Diese Daten dürfen Sie speichern, sofern Sie diese für zukünftige Bewerbungsverfahren weiterhin nutzen wollen. Möchten Sie weitere Daten eines Bewerbers länger aufbewahren – zum Beispiel, um ihn in einen Bewerberpool aufzunehmen – müssen Sie seine schriftliche Einwilligung einholen.

Insbesondere Kleinunternehmer stehen häufig in engem Kontakt mit ihren Kunden. Umso wichtiger ist es, dass es nicht zu problematischen Zwischenfällen kommt. Sofern Ihre Kunden davon erfahren, kann sich das nämlich schnell geschäftsschädigend auf Ihr Unternehmen auswirken. Aus diesem Grund sollten Sie Datenschutzverletzungen im Hinblick auf die personenbezogenen Daten Ihrer Kunden unbedingt vermeiden.

Wichtig ist, dass Sie Kundendaten, wie zum Beispiel private Telefonnummern oder E-Mail-Adressen, vertraulich behandeln und alle persönlichen Daten sicher aufbewahren. Das bedeutet auch, personenbezogene Daten Ihrer Kunden nicht auf mobilen Endgeräten zu speichern. Nutzen Sie einen Cloud-Speicher, sollten Sie sich zudem um eine Datenverschlüsselung kümmern.

Sofern Sie als Kleinunternehmer enge geschäftliche Beziehungen zu Ihren Dienstleistern und Lieferanten pflegen, speichern Sie vermutlich hin und wieder personenbezogene Daten Ihrer Ansprechpartner. Diese unterliegen selbstverständlich ebenfalls dem Datenschutz. Hinzu kommt, dass Sie gemäß der DSGVO dazu verpflichtet sind, einen Vertrag über Auftragsverarbeitung mit Ihren Lieferanten und Dienstleistern zu schließen, sobald diese personenbezogenen Daten für Sie verarbeiten. Das ist zum Beispiel dann der Fall, wenn Sie mit anderen Agenturen, Web-Hostern, Cloud-Anbietern, Gehaltsabrechnungsbüros und Co. zusammenarbeiten.

Im besten Fall sollten Sie von vornherein alles dafür tun, um Datenschutzverletzungen in Ihrem Unternehmen zu vermeiden. Manchmal können allerdings trotzdem Fehler passieren, wozu beispielsweise auch IT-Ausfälle gehören. Für den Fall, dass in Ihrem Betrieb der Schutz personenbezogener Daten verletzt wurde, sieht die DSGVO bestimmte Verhaltensweisen vor:

1. Informieren Sie unverzüglich die zuständige Aufsichtsbehörde. Warten Sie hiermit keinesfalls länger als 72 Stunden.
2. Setzen Sie ebenfalls die Betroffenen von der Datenpanne in Kenntnis, sofern voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten besteht.
3. Formulieren Sie die Benachrichtigung in einfacher und klarer Sprache.

Sie können definitiv ausschließen, dass Sie die Rechte der betroffenen Personen bei einer Datenpanne verletzt haben? Dann dürfen Sie auf die Meldung verzichten. Wenn Sie vor der Datenpanne entsprechende Maßnahmen getroffen haben, die eine Einsichtnahme der Daten durch Dritte ausschließen, müssen Sie die Betroffenen nicht benachrichtigen.

DSGVO-Verstöße können schnell ganz schön teuer werden! Mögliche Bußgeldzahlungen können Sie bis zu 4 % Ihres Umsatzes bzw. im schlimmsten Fall bis zu 20 Mio. Euro kosten. In Anbetracht dieser hohen Bußgeld-Summen sollten Sie gerade als Kleinunternehmer dringend vorbeugende Maßnahmen ergreifen, um von vornherein einen wirtschaftlichen Schaden Ihres Betriebs durch Verstöße gegen den Datenschutz auszuschließen. Achten Sie nicht nur darauf, Ihre Mitarbeiter gründlich im Sinne der DSGVO zu unterweisen, sondern setzen Sie außerdem nur Software-Lösungen in Ihrem Unternehmen ein, mit denen Sie zu 100 % DSGVO-konform arbeiten können.

Wie bereits erwähnt, müssen Sie einen Datenschutzbeauftragen bestellen, sobald Sie in Ihrem Unternehmen mindestens zehn Mitarbeiter beschäftigen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. Sie haben dabei folgende Möglichkeiten:

1. Sie machen einen Ihrer Mitarbeiter zum Datenschutzbeauftragten
2. Sie konsultieren einen externen Fachspezialisten

Anschließend muss der Datenschutzbeauftragte in Ihrem Unternehmen folgenden Aufgaben nachkommen:

• Überwachung der Einhaltung der DSGVO-Vorschriften
• Zusammenarbeit mit der Aufsichtsbehörde
• Beratung in Bezug auf Datenschutz-Folgenabschätzungen
• Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters

Sie betreiben eine eigene Website und verschicken regelmäßig einen Newsletter oder besitzen vielleicht sogar einen Kunden-Login? Auch in diesem Fall müssen Sie dafür Sorge tragen, die DSGVO-Richtlinien einzuhalten. Denn sobald sich Kunden online auf Ihrer Seite anmelden, erhalten Sie personenbezogene Daten, die Sie möglicherweise weiterverarbeiten möchten. Die DSGVO schreibt grundsätzlich vor, dass Sie personenbezogene Daten von Kunden nur unter bestimmten Voraussetzungen weiterverarbeiten dürfen. Welche das sind, können Sie im lexoffice DSGVO eBook ausführlich nachlesen. Sofern diese nicht erfüllt sind, müssen Sie bei Ihren Interessenten bzw. Kunden eine schriftliche Einwilligung einholen, um deren Daten weiterverarbeiten zu dürfen.