EU-DSGVO: Tipps für kleine Unternehmen

By | 5. Februar 2018

Neue EU-Datenschutzregeln 2018: Tipps für kleine Unternehmen

Die Datenschutz-Grundverordnung der EU kann ab 25. Mai 2018 bei allen angewendet werden, die mit personenbezogenen Daten von EU-Bürgern arbeiten. Ab diesem Datum gelten strengere Regeln für den Umgang mit personenbezogenen Daten und härtere Strafen bei Verstößen. Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes können fällig werden (DSGVO Art 83.5.).

Für einen leichteren Einstieg in die 88 Seiten umfassende Verordnung finden Sie im Anschluss Informationen vor allem für Selbstständige, kleine und mittelständische Unternehmen sowie Vereine.

 

Was sind personenbezogene Daten?

Laut DSGVO Art. 4.1 sind das alle Informationen, mit denen man ein Individuum identifizieren kann:

  • direkt durch Name, Bild, Telefonnummer, Adresse …
  • indirekt durch Nutzername, Profilbild, IP-Adresse, Cookie-ID …

Diese Daten fallen zum Beispiel an, wenn Sie für ein Gewinnspiel nach der Adresse fragen, wenn Ihre Kunden ein Profil mit ihren Kontaktdaten anlegen oder für eine Rückrufbitte eine Telefonnummer eingegeben wird.

Die DSGVO legt in Artikel 4.7 und 4.8 fest, dass die unmittelbaren Nutzer (Data Controller) und die Datenverarbeiter (Data Processor) gleichermaßen für die Daten verantwortlich sind, wenn es keine anderslautenden vertraglichen Regelungen gibt. Das bedeutet, dass Sie unter Umständen auch dann für die Daten verantwortlich sind, wenn Sie jemand anderen mit der Verarbeitung beauftragen.

Beispiel: Sie möchten allen Mitgliedern Ihres Vereins eine Weihnachtskarte schicken und geben die Adressen dafür an eine Druckerei weiter, die sich um alles kümmert. In diesem Fall sollten Sie:

  1. vorher am besten schriftlich sicherstellen, dass alle Mitglieder dieser Nutzung ihrer Daten zugestimmt haben
  2. vertraglich festlegen, dass Forderungen bei Verstößen der Druckerei gegen die DSGVO nicht auf Sie zurückfallen

 

Das mag übertrieben bürokratisch klingen und in den meisten Fällen nur eine Vorsichtsmaßnahme sein, kann Ihnen aber im Härtefall viel Ärger und Kosten ersparen.

Rechenschaftspflicht und Nutzeranfragen

Alle Verantwortlichen müssen die technischen und organisatorischen Voraussetzungen haben, um zeigen zu können, dass die Datenverarbeitung den Vorgaben der DSGVO entspricht. In der Praxis bedeutet das auch, dass Sie in der Lage sind, betroffene Personen innerhalb eines Monats darüber zu informieren, welche Daten Sie von Ihnen verarbeiten, wie sie das tun und warum (DSGVO Art 13). Betroffene Personen haben auch das Recht, Daten löschen oder berichtigen zu lassen.

Außerdem müssen betroffene Personen darüber informiert werden, wo (in der EU oder außerhalb) ihre Daten gespeichert werden und wie lange.

 

Tipp: Bestimmen Sie einen Datenschutzbeauftragten für Ihr Unternehmen. Dabei kann es sich auch um einen externen Datenschutzexperten handeln. Arbeiten Sie mit Ihm zusammen eine Datenschutzvereinbarung oder eine Datenschutzklausel für Ihre Verträge und Formulare aus (DSGVO Art 26).