DSGVO für Kleinunternehmer: So wirst du Datenschutzkonform!
Am 25. Mai 2018 ist die DSGVO, die Datenschutzgrundverordnung, in Kraft getreten und hat sofort für große Probleme gesorgt. Denn grundsätzlich gilt die DSGVO für alle Arten von Unternehmen – egal, ob riesige Firma mit 2000 Mitarbeitern oder ein einfaches Kleinunternehmen. Die Frage, die sich allerdings besonders für kleine Unternehmen stellt, ist und war die nach der Umsetzbarkeit der Bestimmungen. Denn gerade zu Beginn wusste niemand genau, was Kleinunternehmer beachten sollten. Die Unwissenheit kann gefährlich werden, denn bei Nichtbeachtung der Vorschriften der DSGVO drohen gewaltige Strafen.
Definition: Was besagt die DSGVO?
Die DSGVO regelt, wie du mit Kundendaten umzugehen hast und diese schützen musst. Gleichzeitig gibt es aber auch neue Informationspflichten, Regelungen über E-Mail Werbung und sogenannte Verfahrensverzeichnisse.
Wenn du im Detail wissen möchtest was in der DSGVO steht, kannst du dir hier das Amtsblatt der Europäischen Union durchlesen.
Ab wann gilt die DSGVO?
Die DSGVO trat am 25. Mai 2018 in Kraft. Sie gilt für Selbstständige, Ärzte, Zahnärzte, Steuerberater, Rechtsanwälte und eigentlich jede Firma, die mit Kunden zu tun hat. Also sowohl Kleinunternehmer als auch große Firmen wie AGs, GmbHs und andere Rechtsformen.
Welche Konsequenzen ergeben sich für Unternehmen aus der DSGVO?
Die Konsequenz aus der DSGVO ist, dass Unternehmer mehr an ihrem Datenschutz arbeiten müssen. Ist ein Unternehmen schon ISO- Zertifiziert, dann hat es bereits eine gute Basis für die neue Verordnung. Aber auch in diesem Fall musst du überprüfen, ob alle Regelungen der DSGVO eingehalten werden. Sie sind nämlich nicht identisch mit den ISO-Zertifizierungen.
Wie wichtig es ist, unbedingt die Vorschriften zu befolgen, siehst du an den Konsequenzen: Hält ein Unternehmen die Regelungen der DSGVO nicht ein, läuft es Gefahr, hohe Bußgelder zu kassieren.
Denn entsprechend der DSGVO können bzw. müssen die Aufsichtsbehörden Bußgelder verteilen. Diese Bußgelder werden neben bestimmten Auflagen verhängt. Solche Auflagen können Anordnungen zur Beendigung des Verstoßes, eine Anpassung der Datenverarbeitung oder der Anspruch eines zeitlich begrenzten oder endgültigen Verbots sein.
Die zu verhängenden Bußgelder müssen in jedem Fall abschreckend und verhältnismäßig sein und sind daher relativ hoch. Bei besonders schwerwiegenden Verstößen gegen die Vorschriften werden Strafzahlungen in Höhe von bis zu 20 Millionen Euro oder bis zu 4% des Jahresumsatzes fällig.
Definition Kleinunternehmen
Kleinstunternehmen, Kleinunternehmen und mittlere Unternehmen werden in der EU-Empfehlung 2003/361 definiert. Die Definition als Kleinunternehmen hängt von den beschäftigten Mitarbeitern, dem Umsatz und der Bilanzsumme pro Jahr ab.
Danach ist ein Unternehmen ein Kleinunternehmen, wenn es nicht mehr als 49 Beschäftigte, einen Umsatz von bis zu 10 Millionen Euro pro Jahr und eine Bilanzsumme von bis zu 10 Millionen Euro pro Jahr erwirtschaftet.
Was muss ich als Kleinunternehmer bei der DSGVO beachten?
Bist du Kleinunternehmer, dann wirst du dich sicher fragen, was du jetzt überhaupt beachten musst. Aus diesem Grund haben wir die wichtigsten Regeln und Vorschriften für dich zusammengetragen.
Es ist mittlerweile so, dass es nicht mehr ausreicht, den Datenschutz innerhalb des Unternehmens umzusetzen. Denn im Zweifel – wenn also eine Behörde die Umsetzung der Bestimmungen überprüfen möchte – musst du dazu in der Lage sein, einen Nachweis darüber zu erbringen.
Das gelingt dir am besten mit einer entsprechenden Dokumentationen. Hierfür empfiehlet es sich, sofern es deine Ressourcen zulassen, einen Mitarbeiter zum Datenschutzbeauftragetzen zu ernennen.
Pflichten der DSGVO für Kleinunternehmer
Am sichersten fährst du, wenn du zunächst einmal davon ausgehst, dass laut DSGVO in Bezug auf Datenerhebung und -speicherung alles verboten ist. Es sei denn, du findest eine Vorschrift, die bestimmte Dinge ausdrücklich erlaubt. Woran du dich in jedem Fall orientieren kannst: Die DSGVO verlangt, dass Kleinunternehmen die Datenerhebung auf ein Mindestmaß beschränken.
Stolperstein, Datenschutzerklärung
Eines der größten Probleme insgesamt dürfte die Datenschutzerklärung sein. Denn diese Erklärung sollte ohne große Anstrengung für deinen Kunden oder Besucher der Seite, direkt auf deiner Homepage zu finden sein. Deine Kunden müssen die Datenschutzerklärung von jeder deiner Unterseiten aus erreichen können.
Wichtig ist dabei, dass du darauf achtest, dass diese Erklärung nicht fehlerhaft ist. Fällt jemandem auf, dass sie lückenhaft ist, können eventuell hohe Bußgelder drohen.
Im Internet findest du zahlreiche Vorlagen, die dir bei der Erstellung der Datenschutzerklärung helfen. Nutze unser Datenschutzerklärung Muster, um alle Informationen schnell zur Hand zu haben. Daneben kannst du auch mit einem Generator arbeiten und dir deine Datenschutzerklärung selbst zusammen stellen. Das geht ganz einfach: Bei diesen Generatoren gibst du die für dein Unternehmen wichtigen Daten an und der Generator schickt dir eine Datenschutzerklärung per E-Mail zu.
Außerdem solltest du unbedingt viel Zeit und auch etwas Geld einplanen, um dein Unternehmen an die DSGVO anzupassen. Denn die Erstellung der erforderlichen Grundlagen für die DSGVO erfordert sehr viel Zeit und ist meist auch nicht ganz günstig.
In der Regel startest du damit, dass du deine Geschäfts- und Unternehmensabläufe analysierst, um sagen zu können, wo personenbezogene Daten erhoben werden.
Häufig schafft man das gar nicht allein und so ist es oftmals notwendig, dass man sich externe Personen dazu holt, die einem helfen seinen Datenschutz anzupassen. Das hat noch einen weiteren Vorteil: Dieses Vorgehen spart dir Zeit sparen und du bist rechtlich abgesichert, wenn du den Datenschutz von einem Profi machen lässt. Auf der anderen Seite musst du das natürlich bezahlen. Die Investition kann sich allerdings durchaus lohnen – nicht nur, wenn man an die Strafen denkt, die bei einem Verstoß gegen die DSGVO drohen.
Vorgehen für ein datenschutzkonformes Kleinunternehmen
Wenn du dich nun fragst, wie du dein Kleinunternehmen datenschutzkonform gestalten kannst, haben wir auch dafür ein paar nützliche Tipps für dich zusammengestellt. Denn als Unternehmer ist es für dich erste Pflicht, dass du dich an die Vorschriften hältst. Das nicht nur, weil dir sonst Geldstrafen drohen. Unternehmen, die mit den Daten ihrer Kunden lasch umgehen, geraten schnell in den Verdacht, nicht professionell zu arbeiten. Und genau das kann dich Kunden kosten – und damit letztlich auch bares Geld.
Wo im Unternehmen wird mit personenbezogenen Daten gearbeitet?
Zuerst solltest du dich fragen, wo im Unternehmen personenbezogene Daten gespeichert und erhoben werden. Denn all diese Daten werden für die Umsetzung der DSGVO-Bestimmungen eine große Relevanz haben. Am besten, du machst dir vorab einen genauen Plan, wie du dabei am besten und strukturiertesten vorgehen kannst. Denn in diesem Schritt solltest du wirklich alle Stellen identifizieren, an denen du personenbezogene Daten erhebt. Vergisst du etwas, kann das dir später böse auf die Füße fallen.
Ein guter Tipp ist das sogenannte “privacy by design”-Vorgehen. Dieser Grundsatz sagt aus, dass von Anfang an nur die nötigsten Daten gespeichert werden. Wenn du deine Kunden beispielsweise per E-Mail erreichen möchtest, solltest du nicht auch noch ihre Telefonnummern abspeichern. Diese ist für deine Zwecke unerheblich und führt im Zweifel nur zu mehr Arbeit.
Welchen Grund gibt es, die Daten zu speichern?
Grundsätzlich gilt, dass du nur Daten sammeln darfst, die du tatsächlich brauchst. Frage dich also immer nach dem Grund, für den du diese Daten deiner Kunden benötigst. Wenn dir auf Anhieb kein triftiger Grund einfällt, solltest du die Speicherung lieber sein lassen. Was du übrigens ebenfalls auf keinen Fall vergessen solltest, ist die Einwilligung deiner Kunden zur Speicherung ihrer Daten. Fehlt diese, hast du ebenfalls ein großes Problem.
Wie können die Daten am sichersten gespeichert werden?
Auch für die Sicherheit der gespeicherten Daten bist du verantwortlich. Du musst also dafür sorgen, dass die Daten nicht gestohlen oder an Dritte gelangen können. So müssen beispielsweise über das Internet übertragene Daten verschlüsselt werden. Verarbeitest du auch noch Daten von Dritten, dann musst du mit diesen Firmen Datenverarbeitungsverträge abschließen.
Wie können die Daten fristgerecht oder auf Wunsch der betroffenen Person unwiderruflich gelöscht werden?
Weiter musst du dafür sorgen, dass die Daten deiner Kunden, auf Anfrage, unwiderruflich gelöscht werden können. Auch Backups, die Kundendaten enthalten, dürfen nicht mehr abrufbar sein. Am besten überlegst du dir für diesen Zweck einen genauen Speicherplan. Dort hält du fest, welche Daten Du wo hinterlegt hast. Am besten machst du das übrigens in analoger Form. Also beispielsweise mit einer herkömmlichen Akte. So kannst du nämlich noch auf den Plan zugreifen, wenn dir deine gesamten Daten verlorengehen sollten.
DSGVO Einwilligungserklärung
Der betroffene Kunde muss letztlich noch in die Datenverarbeitung einwilligen. Dies geschieht durch eine Einwilligungserklärung. Eine solche Erklärung muss freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden.
Muster
Beispiel einer Einwilligung:
Ihr Einverständnis für die Erhebung und Verarbeitung von Daten durch unsere Firma …
Benötigte Daten, die erhoben und verarbeitet werden, damit wir unsere Dienstleistung durchführen können, sind:
- Name
- Adresse
- Telefonnummer
- E-Mail Adresse
- Bankverbindung
Ihre Daten werden auf dem Server unserer Firma (Firmenname) gespeichert und können nur durch uns eingesehen werden.
Sie erhalten von uns eine Garantie, dass die durchgeführte EDV auf der Grundlage von geltenden Gesetzen stattfindet und dass diese für das Zustandekommen eines Vertrages notwendig ist. Außerdem benötigt es für jede weitere Datenerhebung eine neue Einverständniserklärung des Nutzers. Eine automatische Löschung Ihrer Daten erfolgt nach (Anzahl der Tage/ Wochen/ Monate), sollten Ihre Daten nicht weiter benötigt werden.
Nutzerrechte
Sie haben das Recht, Ihre Einwilligung jederzeit, ohne Nennung eines Grundes, zu widerrufen. Abgegebene Daten können jederzeit korrigiert, gelöscht oder deren Erhebung eingeschränkt werden. Sie können jederzeit eine Auskunft über den Umfang der Datenerhebung von uns verlangen. Weiter können Sie eine Datenübertragung anfordern, wenn eine Übertragung an einen Dritten gewünscht wird.
Folgen des Nicht-Unterzeichnens
Sie haben das Recht, diese Einwilligung nicht zu unterzeichnen. Da unser Service allerdings auf die Erhebung und Verarbeitung Ihrer Daten angewiesen ist, würde ein Nicht-Unterzeichnen zu einer Nichtannahme des Auftrages führen.
Kontakt
Auskunftsanfragen oder auch Beschwerden können Sie an folgende Stelle richten:
Mustermann
Beispielstrasse 456
45678 Beispielstadt
Zustimmung durch den Nutzer
Mit seiner Unterschrift versichert der Nutzende der Erhebung und Verarbeitung seiner Daten, durch unsere Firma (Firmenname) zuzustimmen und über seine Rechte belehrt worden zu sein:
_____________________
Datum, Unterschrift
Selbstverständliche finden sich im Internet auch kostenlose DSGVO Einwilligungserklärungen Vorlage zum Download.
Impressum Kleinunternehmer DSGVO
Zuletzt musst du für die Webseite deines Unternehmens unbedingt ein Impressum erstellen. Das Impressum muss von jeder Unterseite deiner Homepage für den Nutzer erreichbar sein. Ein Impressum ist relativ schnell erstellt und wenn du dir unsicher bist, kannst du einen der vielen Generatoren nutzen, die es im Netz gibt. Grundsätzlich solltest du dabei ein paar Dinge beachten.
Ein Impressum kann folgendermaßen aussehen:
Zusätzlich dazu kannst du noch erklärenden Text schreiben. Auch diese Informationen findest du frei verfügbar im Netz. Wenn du allerdings ganz sicher gehen willst, dass du keine Fehler beim Erstellen des Impressums machst, kannst du dich an einen Fachmann wenden. Es gibt mittlerweile viele Rechtsanwälte, die sich genau auf diese Dinge spezialisiert haben. Hier lohnt es sich, die Kosten für die Dienstleistung zu vergleichen. Unter Umständen kannst du so noch etwas Geld sparen.
Unterscheidung zwischen sensiblen und unsensiblen Daten
In der DSGVO wird zwischen unsensiblen und sensiblen Daten unterschieden.
Sensible Daten sind alle, die Informationen zu bestimmten Bereichen enthalten oder entsprechende Rückschlüsse erlauben.
Solche Bereiche sind zum Beispiel:
Fazit
Es ist nicht ganz einfach, die neuen Bestimmungen der DSGVO umzusetzen. Auch, wenn nicht viele Daten gespeichert werden, muss diese Verordnung unbedingt eingehalten werden. Es drohen hohe Bußgelder für die Nichteinhaltung.
Wenn du ein paar Schritte richtig befolgst, wirst du es definitiv schaffen, dein Unternehmen datenschutzkonform umzugestalten.
Im Zweifel kannst du immer noch einen Experten um Hilfe bitten. Dieser kostet dann zwar Geld, du sparst dir im Gegenzug aber viel Zeit und Ärger.