Gratis-Download

5 Schritte, mit denen Sie dem Datenschutz Rechnung tragen

Jetzt downloaden

DSGVO: Unternehmerische Pflichten zum Datenschutz

 
DSGVO Pflichten Unternehmen
© Blue Planet Studio | Adobe Stock

Erstellt:

Für Selbstständige und Unternehmen war die Umsetzung der DSGVO durch zahlreiche Änderungen in den eigenen Abläufen geprägt. Doch viele Unternehmen haben noch Schwierigkeiten mit den Regelungen der DSGVO. Welche Pflichten Sie als Unternehmer erfüllen müssen, erfahren Sie im folgenden Artikel.

Was ist die DSGVO?

Die Abkürzung DSGVO steht für die Datenschutz-Grundverordnung. Diese umfasst zahlreiche gesetzliche Regelungen und Vorschriften rund um den Datenschutz, insbesondere die Verarbeitung von personenbezogenen Daten. Die DSGVO ist für die gesamte EU gültig.

Das Inkrafttreten der Datenschutzgrundverordnung (kurz: DSGVO) im Mai 2018 hat beim Thema Datenschutz europaweit für große Veränderungen gesorgt. Dabei war die DSGVO für Selbstständige jedoch  oft ein "Buch mit sieben Siegeln": Zu kompliziert, zu umständlich und vor allem zu teuer. Besonders kleine Unternehmen waren vom europäischen Datenschutz zunächst wenig angetan. Mittlerweile gehört die Umsetzung der datenschutzrechtlichen Vorgaben aus der europäischen Verordnung ganz selbstverständlich zum Tagesgeschäft.

Welche Pflichten müssen Unternehmen nach der DSGVO erfüllen?

Auch, wenn Sie als Selbstständige dem Thema Datenschutz schon vor der Datenschutzgrundverordnung besondere Aufmerksamkeit zukommen ließen: Durch das Inkrafttreten der DSGVO zum 25. Mai 2018 rückten datenschutzrechtliche Fragestellungen verstärkt in den Vordergrund.

Dabei schützt die DSGVO vor allem die Rechte der Verbraucher in den Mitgliedsstaaten der EU. Wo vorher zum Teil große Abweichungen durch nationale Gesetzgebungen vorherrschend waren, ist durch die DSGVO ein einheitliches und verbindliches Regelwerk geschaffen worden. Dieses greift Inhalte aus dem vorher geltenden Bundesdatenschutzgesetz auf, enthält aber daneben auch zahlreiche neue Regelungen.

Informationspflicht

Verbraucher haben durch die Datenschutzgrundverordnung das Recht auf umfassende Information darüber, welche personenbezogenen Daten gespeichert, verarbeitet und archiviert werden. Personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO sind demnach alle Informationen, die den direkten oder indirekten Rückschluss auf eine Person erlauben.

Wichtiger Hinweis: Die DSGVO unterscheidet zwei Arten von personenbezogenen Daten: Sogenannte sensible personenbezogene Daten (zum Beispiel ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung, medizinische sowie biometrische Daten) und sogenannte nicht sensible personenbezogene Daten. Ihre Handhabung unterscheidet sich in einigen Punkten und kann daher rechtlich von großer Relevanz sein.

Zu den personenbezogenen Daten gehören zum Beispiel:

  • Name
  • Adresse
  • Handynummer
  • Geburtsdatum
  • Telefonnummer
  • Kundennummer
  • Kontoverbindung
  • IP-Adresse
  • Kfz-Kennzeichen
  • Standortdaten
  • E-Mail-Adresse

Rechenschaftspflicht

Unternehmen müssen nachweisen können, dass sie über die technischen und organisatorischen Voraussetzungen verfügen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten. Die Rechenschaftspflicht wird durch Art. 5 II DSGVO geregelt: Danach ist der Verantwortliche für die in Art. 5 I DSGVO genannten Pflichten verantwortlich und muss den Nachweis für deren Einhaltung erbringen.

Dabei geht es in erster Linie um die bekannten datenschutzrechtlichen Pflichten wie zum Beispiel:

  • Transparenzgebot
  • Zweckbindung
  • Datensparsamkeit.

In der Praxis ist nach wie vor fraglich, wie Sie die Rechenschaftspflicht als Unternehmer umsetzen können - nach richtigem Verständnis sind hier aber alle Dokumentationen zu verstehen, die einen Rückschluss auf die eigenen DSGVO-Compliance erlauben. Auf Nachfrage muss es Ihnen daher möglich sein, die Einhaltung der datenschutzrechtlichen Vorschriften lückenlos nachweisen zu können.

Praxistipp: Dokumentieren Sie alle Maßnahmen, die Sie in Ihrem Unternehmen in Bezug auf den Datenschutz veranlassen. Dazu gehören auch Schulungsmaßnahmen, Rundschreiben, Seminare oder externe Weiterbildungen ebenso wie Checklisten und Handlungsanweisungen.

Datenspeicherung

Unternehmen sind auf Daten angewiesen: Dementsprechend kam es in der Vergangenheit häufig vor, dass große Mengen an Daten gesammelt und gespeichert wurden, um diese bei Bedarf abrufen zu können. Der Gesetzgeber hat das Risiko der Datenspeicherung erkannt und durch die DSGVO geregelt: Als Unternehmer dürfen Sie jetzt nur noch so lange Daten speichern, wie Sie sie nachweisbar für den konkreten Verwendungszweck brauchen (DSGVO Art 5.1).

Für die Verwendung der personenbezogenen Daten brauchen Sie eine entsprechende Einwilligung: Diese kann von den Betroffenen aber auch jederzeit widerrufen werden - dokumentieren Sie daher auch alle Vorgänge, bei denen die von Ihnen erhobenen Daten eine Veränderung bzw. Berichtigung oder eine Löschung erfahren.

Wichtig: Wenn Sie sich bisher um das Thema Datenschutz in Ihrem Unternehmen noch nicht oder nur unzureichend gekümmert haben, dann ist dafür jetzt höchste Zeit! Sie genügen damit nämlich nicht nur den gesetzlichen Vorschriften - Sie zeigen damit auch nach Außen hin, dass Ihr Unternehmen verantwortungsvoll und seriös mit dem Vertrauen umgeht, das Kunden und Geschäftspartner Ihnen entgegenbringen.

Betrifft die DSGVO auch Einzelunternehmer und Freiberufler?

Die Datenschutzgrundverordnung ist ein für alle Unternehmen unmittelbar geltendes Gesetz: Dementsprechend spielt es keine Rolle, ob es sich um eine große Firma handelt oder um einen Einzelunternehmer im sogenannten Ein-Mann-Betrieb.

Einschlägig ist die DSGVO für Selbstständige in dem Moment, in dem Sie als Unternehmer Rechnungen ausstellen, eine Kundendatei anlegen oder vielleicht auch einen Newsletter über Ihre Webseite anbieten. Alle diese Vorgänge sind nur möglich, indem Sie personenbezogene Informationen erheben, die in den Geltungsbereich der Datenschutzgrundverordnung fallen.

Wichtiger Hinweis: Auch, wenn die DSGVO primär zusammen mit digitalen Vorgängen in Verbindung gebracht wird: Auch analog verarbeitete Daten fallen in den Schutzbereich der Datenschutzgrundverordnung. Damit ist die DSGVO für Selbstständige auch dann einschlägige Rechtsvorschrift, wenn diese ausschließlich "per Hand" Daten sammeln, auswerten und archivieren.

Vereinfacht lässt sich festhalten: Die DSGVO gilt für alle - ob als Verbraucher, Großunternehmer oder Freiberufler im Home-Office.

Gelten für große Unternehmen strengere Anforderungen?

Die genannten Pflichten aus der DSGVO treffen große und kleine Unternehmen gleichermaßen. Ein Unterschied besteht lediglich, wenn es um die Bestellung eines Datenschutzbeauftragten geht. Gemäß Art. 37 I DSGVO müssen bestimmte Unternehmen einen Datenschutzbeauftragten bestellen.

Das ist der Fall, wenn eine der folgenden Konstellationen gegeben ist:

  1. Im Unternehmen sind mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt.
  2. Die Kerntätigkeit des Unternehmens ist durch Verarbeitungsvorgänge gekennzeichnet, die aufgrund ihrer Art, ihres Umfangs und / oder ihrer Intention eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Personen erforderlich macht.
  3. Die Kerntätigkeit Ihres Unternehmens ist durch die umfangreiche Verarbeitung besonderer Datenkategorien gekennzeichnet (sogenannte sensible personenbezogene Daten, s. o.).

Abseits der Regelungen für die Bestellung eines Datenschutzbeauftragten gelten für kleine und große Unternehmen dieselben Vorschriften und Grundsätze - sowohl aus der Datenschutzgrundverordnung als auch aus dem daneben nach wie vor geltenden Bundesdatenschutzgesetz.

Welche Konsequenzen drohen bei Verstößen gegen die DSGVO?

Halten Sie sch nicht an die Vorgaben der DSGVO, kann man Sie abstrafen. Verstöße gegen die DSGVO sind mit empfindlichen Sanktionen belegt. Hier drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes – eine hohe Geldstrafe, die im Unterschied zum vorher geltenden Bundesdatenschutzgesetz deutlich an Schärfe gewonnen hat.

Wichtiger Hinweis: Ihr Unternehmen kann jederzeit auf die Einhaltung datenschutzrechtlicher Vorgaben überprüft werden - insbesondere dann, wenn es Anlass dazu gibt oder eine Meldung an die Datenschutzbehörde erfolgt. Diese Meldung kann auch aus Ihren eigenen Reihen stammen (zum Beispiel Mitarbeiter, die den Datenschutz im Unternehmen gefährdet sehen), aber auch durch Konkurrenten, Kunden oder andere Geschäftspartner.

Wie stellen Sie den Datenschutz im Unternehmen sicher?

  1. Erhebung des Ist-Zustandes: Welche personenbezogenen Daten werden im Unternehmen verarbeitet? Liegt eine Einwilligung der Betroffenen dazu vor? Werden sensible personenbezogene Daten im Unternehmen verarbeitet? Ist die Rechtsgrundlage dafür gegeben?
  2. Überprüfung von Webseiten und Online-Auftritten: AGB, Datenschutzerklärungen, Impressum, Einstellungen auf der Webseite und den entsprechenden Social-Media-Kanälen müssen den Anforderungen der DSGVO entsprechen.
  3. Überprüfung von externen Auftragsverarbeitern: Werden Dienstleister herangezogen, die Zugriff auf die von Ihnen erhobenen personenbezogenen Daten haben? Ist die Rechtsgrundlage dafür gegeben? Besteht ein Vertrag zur Auftragsdatenverarbeitung? Alte Verträge müssen eventuell überarbeitet und an die neuen gesetzlichen Vorschriften angepasst werden. Hier hilft eine saubere Aufstellung über alle externen Dienstleister inklusive Überprüfung der Zuverlässigkeit dieser Dienstleister gem. Datenschutzgrundverordnung.
  4. Auflistung aller Maßnahmen zur Datensicherheit
  5. Überprüfung der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten und gegebenenfalls Bestellung.

Welchen Einfluss hat die DSGVO auf Social-Media-Aktivitäten?

Im Zeitalter der Digitalisierung sind Unternehmen mehr als je zuvor darauf angewiesen, auch in den sozialen Netzwerken präsent zu sein. Social-Media hat sich in wirtschaftlicher Sicht zum elementaren Bestandteil eines jeden wirtschaftlichen Erfolges entwickelt. Dementsprechend häufig sind Unternehmen auch in den sozialen Medien vertreten.

Ob über eine Fanpage bei Facebook, per Vlog auf Youtube oder mit einem Account auf Instagram: Auch die sozialen Netzwerke sind aus datenschutzrechtlicher Sicht kein rechtsfreier Raum. Die DSGVO entfaltet daher auch im scheinbar lockeren Miteinander von Usern ihre volle Wirkung.

Welche Regeln zum Datenschutz gelten bei Social-Media-Aktivitäten?

Relevant wird die DSGVO in den sozialen Netzwerken insbesondere dann, wenn Sie hier als Unternehmer Marketing betreiben. Das kann zwar ganz unterschiedlich aussehen, bindet Sie aber grundsätzlich an die Regelungen der DSGVO zum Datenschutz.

Beachten Sie bezüglich Social-Media auf die nachfolgenden Punkte:

  • Impressumspflicht: Nicht nur auf Ihrer Homepage besteht eine Impressumspflicht. Auch in den sozialen Netzwerken sind Sie verpflichtet, bei einem Unternehmensauftritt Ihr Impressum mit aufzuführen. Das ist übrigens ganz unabhängig von der gewählten Plattform: Wer über Social-Media-Marketing betreiben möchte, muss das eigene Impressum angeben. Die Impressumspflicht ergibt sich aus § 5 Telemediengesetz (kurz: TMG).
  • Plugins: Die Einbindung von Plugins hat sich im Rahmen der DSGVO als besonderes problematisch herausgestellt. Nicht selten sind Plugins für Facebook & Co. nicht datenschutzkonform und sorgen damit fast schon automatisch für einen Verstoß gegen die gesetzlichen Vorschriften. Das liegt an der automatischen Übermittlung von Daten an das damit verbundene soziale Netzwerk. Bei Nutzung von Plugins ist daher Vorsicht geboten: Überprüfen Sie diese vor Ihrem Einsatz auf ihre DSGVO-Konformität.
  • WhatsApp: Auch die Nutzung des Messengerdienstes WhatsApp ist vor dem Hintergrund der DSGVO nicht unproblematisch. Zwar gibt es hier unterschiedliche Meinungen, ob der Einsatz von WhatsApp in Unternehmen rechtlich zulässig ist. Da es hierzu aber noch keine einheitliche Rechtsprechung gibt, ist vorerst von dem Einsatz des Messengers im Business abzuraten.

Wenn Sie als Unternehmen bisher Ihre Kanäle in den sozialen Netzwerken erfolgreich bespielt haben, sollten Sie auch angesichts der DSGVO nicht damit aufhören. In der Mehrzahl der Fälle bedarf es nur einiger kleiner Modifizierungen, um Ihren Unternehmensauftritt auch datenschutzrechtlich auf den aktuellsten Stand zu bringen. Das schützt zum einen Ihre Zielgruppe, zeigt zum anderen aber auch, dass Sie als Unternehmer Verantwortung übernehmen - für Ihre Kunden, Geschäftspartner und Lieferanten.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen.

Datenschutz
Produktempfehlungen

So setzen Sie die Anforderungen des Art. 32 DSGVO in Ihrem Unternehmen um

Auf alle Personalfragen rechtssichere und sofort umsetzbare Antworten

111 ausgewählte Ideen für ein einfacheres Leben

Ein einfacher Überblick über das neue Telekommunikations-Telemedien-Datenschutzgesetz

Jobs