Die Datenschutz-Grundverordnung ist seit nunmehr knapp vier Jahren in Kraft. Trotzdem tun sich gerade kleinere Unternehmen mit der Umsetzung immer noch schwer. Betriebe mit wenigen Mitarbeitern, Solo-Selbstständige oder Vereine gehen häufig davon aus, dass sie von der DSGVO befreit sind. Doch das ist falsch, schließlich fallen auch dort Daten an.
Beim Produktkauf online wird etwa die Lieferadresse angegeben. Interessierte Kontaktpersonen hinterlassen ihre Telefonnummer mit der Bitte um Rückruf. Der Schutz von personenbezogenen Daten wie diesen, die für die geschäftliche Tätigkeit erfasst, verarbeitet, verwendet oder weitergegeben werden, steht im Mittelpunkt der DSGVO. Werden die Bestimmungen nicht eingehalten, drohen empfindliche Bußgelder – unabhängig von der Betriebsgröße.
STRATO erklärt, worauf kleine Betriebe achten müssen.
- Was sind die gesetzlichen Anforderungen der DSGVO? Welche Maßnahmen müssen Unternehmen umsetzen?
Als personenbezogene Daten gelten nicht nur naheliegende Identifikations-Merkmale wie Name, Geburtsdatum, Anschrift, Telefonnummer oder E-Mail-Adresse, sondern grundsätzlich alle Informationen rund um die Identität einer natürlichen Person.
Aber auch Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, jedoch zur erneuten Identifizierung einer Person genutzt werden können, bleiben personenbezogene Daten und fallen damit in den Anwendungsbereich der Datenschutz-Grundverordnung. Die Verarbeitung dieser Daten muss grundsätzlich DSGVO-konform sein, wofür das Regelwerk verschiedene technische und organisatorische Maßnahmen (TOM) vorsieht.
Zu diesen Maßnahmen zählt es etwa, die Mitarbeitenden zu sensibilisieren, Daten zu verschlüsseln, Datenzugriffe zu protokollieren oder eine Firewall einzurichten. Der Umfang unterscheidet sich je nach Betriebsart: So muss etwa ein Handwerker, der wenige Daten in einer Excel-Liste speichert, nicht dieselben Sicherheitsmaßnahmen umsetzen wie eine Arztpraxis, die mit sensiblen Patientendaten arbeitet.
Deshalb sollten gerade kleine Unternehmen vorab beispielsweise mit Hilfe ihres Branchenverbands überprüfen, was wirklich nötig ist. Einen eigenen qualifizierten Datenschutzbeauftragten brauchen Kleinbetriebe in der Regel nicht. Nur wenn mindestens 20 Personen schwerpunktmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wäre dies der Fall.
Das Verzeichnis der Verarbeitungstätigkeiten ist unabhängig von der Firmengröße Vorschrift, sobald die Verarbeitung personenbezogener Daten wie E-Mails oder Kundensysteme eine „regelmäßige Tätigkeit“ ist.
- Wo lauern Fallstricke, die gerade kleine Unternehmen nicht immer auf dem Radar haben?
Viele denken bei personenbezogenen Daten zunächst nur an ihre Kunden. Im Geschäftsleben unterliegen aber auch Daten von Mitarbeitenden, Lieferanten, Dienstleistern oder Behördenvertretern den Datenschutzbestimmungen. Hinzu kommen Bewerberinnen und Bewerber: Die haben das Recht, jederzeit Auskunft über die Nutzung ihrer Daten einzufordern beziehungsweise deren Löschung zu verlangen.
Zudem dürfen nur am Bewerbungsprozess beteiligte Mitarbeitende die Unterlagen einsehen. Viele Betriebe dürften zusätzlich Dienstleistern den Zugriff auf persönliche Daten ermöglichen – beispielsweise beim Hosting einer Webseite mit Kundenlogin-Bereich oder beim Versenden von Newslettern über eine Marketingagentur. Das setzt wiederum einen schriftlichen Vertrag zur Auftragsverarbeitung voraus.
Zu beachten gibt es auch einiges, wenn es um Cookies geht: Diese dürfen nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten.
Für die Anwendung anderer Cookies benötigen Webseitenbetreiber jedoch eine Zustimmung der Nutzer. Das betrifft vor allem Werbe-Cookies, die für das Retargeting genutzt werden, aber auch Analyse- und Social-Media-Cookies zählen hierzu. Kritisch wird es, wenn persönliche Daten von Dritten verkauft werden, ohne diese um Erlaubnis gefragt zu haben.
- DSGVO-konformes Handeln ist nicht einfach – wo bekommen kleine Unternehmen Hilfe?
Die Anforderungen des Datenschutzes sehen bei jedem Unternehmen anders aus und müssen individuell geklärt werden. Eine gute Orientierungshilfe bieten die jeweiligen Landesämter für Datenschutzaufsicht. Dort gibt es für typische Branchen auch Musterverzeichnisse der Verarbeitungstätigkeiten zum Download – etwa beim BayLDA.
Auf Anfrage werden darüber hinaus weitere Themen behandelt: Wie sieht es mit der Verwendung von Adressdaten bei Newslettern aus? Darf man Webanalyse-Tools auf seiner Internetseite verwenden? Ansprechen kann man auch Berufs- und Branchenverbände, die Industrie- und Handelskammern sowie andere Interessenvertretungen, die ihren Mitgliedern eine Beratung anbieten.
„Das Einhalten der DSGVO-Vorschriften ist für Unternehmen zweifellos mit Mehrarbeit verbunden. Wenn kleinere Betriebe aufgrund ihrer Größe allerdings hoffen, unter dem Radar der Kontrollbehörden zu fliegen, dann täuschen sie sich: Auch sie werden bei Verstößen mit Strafzahlungen belegt“, erklärt Agata Guzdziol, Rechtsexpertin bei STRATO.