Neue EU-Datenschutzregeln 2018: Tipps für kleine Unternehmen
Die Datenschutz-Grundverordnung der EU kann ab 25. Mai 2018 bei allen angewendet werden, die mit personenbezogenen Daten von EU-Bürgern arbeiten. Ab diesem Datum gelten strengere Regeln für den Umgang mit personenbezogenen Daten und härtere Strafen bei Verstößen. Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes können fällig werden (DSGVO Art 83.5.).
Für einen leichteren Einstieg in die 88 Seiten umfassende Verordnung finden Sie im Anschluss Informationen vor allem für Selbstständige, kleine und mittelständische Unternehmen (KMU) sowie Vereine.
Wichtig: Die folgenden Inhalte habe ich recherchiert und nach meinem Verständnis zusammengefasst. Der Artikel stellt keine Rechtsberatung dar und erhebt keinen Anspruch darauf, vollständig und in jedem Detail richtig zu sein. Ich möchte einfach Ihr Bewusstsein für das Thema Datenschutz wecken und Ihnen zeigen, dass alles gar nicht so schlimm ist. Wenn Sie nach dem Lesen noch Fragen haben - was sehr wahrscheinlich ist-, dann nutzen Sie bitte die weiterführenden Links. Oder lassen Sie sich anwaltlich oder von einem Datenschutzbeauftragten beraten.
Was sind personenbezogene Daten?
Laut DSGVO Art. 4.1 sind das alle Informationen, mit denen man ein Individuum identifizieren kann:
- direkt durch Name, Bild, Telefonnummer, Adresse …
- indirekt durch Nutzername, Profilbild, IP-Adresse, Cookie-ID …
Diese Daten fallen zum Beispiel an, wenn Sie für ein Gewinnspiel nach der Adresse fragen, wenn Ihre Kunden ein Profil mit ihren Kontaktdaten anlegen oder für eine Rückrufbitte eine Telefonnummer eingegeben wird.
Die DSGVO legt in Artikel 4.7 und 4.8 fest, dass die unmittelbaren Nutzer (Data Controller) und die Datenverarbeiter (Data Processor) gleichermaßen für die Daten verantwortlich sind, wenn es keine anderslautenden vertraglichen Regelungen gibt. Das bedeutet, dass Sie unter Umständen auch dann für die Daten verantwortlich sind, wenn Sie jemand anderen mit der Verarbeitung beauftragen.
Beispiel: Sie möchten allen Mitgliedern Ihres Vereins eine Weihnachtskarte schicken und geben die Adressen dafür an eine Druckerei weiter, die sich um alles kümmert. In diesem Fall sollten Sie:
- vorher am besten schriftlich sicherstellen, dass alle Mitglieder dieser Nutzung ihrer Daten zugestimmt haben
- vertraglich festlegen, dass Forderungen bei Verstößen der Druckerei gegen die DSGVO nicht auf Sie zurückfallen
Das mag übertrieben bürokratisch klingen und in den meisten Fällen nur eine Vorsichtsmaßnahme sein, kann Ihnen aber im Härtefall viel Ärger und Kosten ersparen.
Rechenschaftspflicht und Nutzeranfragen
Alle Verantwortlichen müssen die technischen und organisatorischen Voraussetzungen haben, um zeigen zu können, dass die Datenverarbeitung den Vorgaben der DSGVO entspricht. In der Praxis bedeutet das auch, dass Sie in der Lage sind, betroffene Personen innerhalb eines Monats darüber zu informieren, welche Daten Sie von Ihnen verarbeiten, wie sie das tun und warum (DSGVO Art 13). Betroffene Personen haben auch das Recht, Daten löschen oder berichtigen zu lassen.
Außerdem müssen betroffene Personen darüber informiert werden, wo (in der EU oder außerhalb) ihre Daten gespeichert werden und wie lange.
Tipp: Bestimmen Sie einen Datenschutzbeauftragten für Ihr Unternehmen. Dabei kann es sich auch um einen externen Datenschutzexperten handeln. Arbeiten Sie mit Ihm zusammen eine Datenschutzvereinbarung oder eine Datenschutzklausel für Ihre Verträge und Formulare aus (DSGVO Art 26).
Dauer und Zweck der Datenspeicherung
Daten gelten als das Gold des Informationszeitalters. Die Versuchung Daten zu horten ist groß. Dieser Vorratsdatenspeicherung setzt die DSGVO klare Grenzen: personenbezogene Daten dürfen nur so lange gespeichert werden, wie man sie nachvollziehbar für den Verwendungszweck braucht (DSGVO Art 5.1)
Beispiel: Wenn Sie ein Gewinnspiel veranstalten, müssen sämtliche personenbezogenen Daten gelöscht werden, sobald die Aktion beendet ist. Anders ist es bei einem Newsletter, bei dem Sie die E-Mail-Adresse und gegebenenfalls den Namen benötigen, solange Sie den Newsletter verschicken.
Immer, wenn Sie personenbezogene Daten nutzen, brauchen Sie dafür die Erlaubnis des Betroffenen. Gibt er Ihnen seine E-Mail-Adresse, um bei einem Gewinnspiel über den Gewinn benachrichtigt zu werden, dürfen Sie Ihm mit dieser Adresse keinen Newsletter schicken oder frohe Weihnachten wünschen.
Grundsätzlich haben Betroffene jederzeit das Recht, ihre Einwilligung zur Nutzung der Daten zu widerrufen oder einzuschränken. Personen haben auch das Recht, Daten löschen (Recht auf Vergessenwerden) oder berichtigen zu lassen. Sie müssen dafür sorgen, dass Nutzer dazu die Möglichkeit haben.
Cookies, Datenanalyse und Einverständniserklärungen
Wenn Sie Dienste wie Google Analytics auf Ihrer Website nutzen, sollten Sie sich davon überzeugen, ob diese Angebote der DSGVO entsprechen. Ist das der Fall, können Sie wie gewohnt damit weiterarbeiten.
Unternehmen, die hauptsächlich Daten verarbeiten, unterliegen noch strengeren Auflagen als Unternehmen, die geschäftsbedingt mit personenbezogenen Daten zu tun haben. Unter anderem müssen Daten verarbeitende Unternehmen wie Analyseunternehmen, Profiler oder Ähnliches einen Datenschutzbeauftragten haben und ihr Vorgehen transparent dokumentieren. Diese Dokumentation zeigt Ihnen, ob Ihre Partner DSGVO-konform sind.
Auch bei der Zusammenarbeit mit anderen kleineren Webagenturen oder Dienstleistern sollten Sie sich durch eine Datenschutzvereinbarung absichern. Eine Datenschutzvereinbarung ist natürlich ebenfalls zu empfehlen, wenn Sie selbst eine Webagentur leiten oder Daten-Dienstleistungen anbieten. Richtig ist: Immer wenn Kunden personenbezogene Daten übermitteln, weisen Sie – leicht verständlich – darauf hin, was mit den Daten passiert und wer dabei involviert ist.
Bei E-Mail-Abonnements ist bereits jetzt eine zweifache Bestätigung (Double-Opt-in) vorgesehen. Der Einsatz von Cookies ist aktuell mit einer Einverständniserklärung verbunden, die auf dem Bildschirm erscheint. Mit beidem sollten Sie sich nach wie vor absichern.
Generell spricht die DSGVO in Art. 25 vom Konzept des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Websites sollten also so gestaltet werden, dass personenbezogene Daten standardmäßig geschützt werden.
Die DSGVO in der Praxis
Personenbezogene Daten sollten Sie wie hochexplosiven Raketentreibstoff behandeln – ähnlich wie das bei geistigem Eigentum oder dem Recht am eigenen Bild der Fall ist. Richtig eingesetzt bringen sie Ihr Unternehmen voran, bei einem Fehler kann Ihnen alles um die Ohren fliegen.
Wenn Sie Kundendaten nur für die notwendige Geschäftsabwicklung verwenden, müssen Sie vor allem für eine sichere Verwahrung sorgen. Lieferadressen, ein Geburtsdatum zur Alterskontrolle usw. sind damit relativ unproblematisch in der Anwendung.
Interessant wird es in allen Fällen, die nicht zu Ihrem Kerngeschäft gehören. Also vor allem beim Profiling, der Datenanalyse und beim Marketing. Für Profiling und Analysen brauchen Sie einen kompetenten Anbieter, der DSGVO-konform arbeitet.
Bei Marketing-Aktionen sollten Sie Folgendes bedenken:
- Weisen Sie darauf hin, was mit den Daten passiert.
- Verwenden Sie nur die Daten, die Sie unbedingt brauchen.
- Speichern Sie die Daten nur so lange, wie Sie sie unbedingt brauchen.
- Anonymisieren Sie Daten immer, wenn das möglich ist.
- Kommunizieren Sie klar mit Ihren Kunden und holen Sie sich deren Einverständnis für eine möglichst konkrete Verwendung.
- Arbeiten Sie mit Unternehmen zusammen, die die DSGVO erfüllen und mit denen Sie eine Datenschutzvereinbarung abgeschlossen haben.
- Lassen Sie sich im Zweifelsfall von einem Datenschutzexperten beraten.
Das sollten Sie außerdem tun
Die Regeln der Datenschutz-Grundverordnung der EU gelten ab dem 25. Mai 2018. Prüfen Sie am besten ab sofort beim Kontaktformular auf der Website, bei einem Rückruf-Wunsch, bei Gewinnspielen usw.: Wie geht Ihr Unternehmen mit personenbezogenen Daten um? Welche Person oder welches Partnerunternehmen verarbeitet welche Daten? Wo und wie sicher werden Daten gespeichert?
Notieren Sie sich jeden Handlungsbedarf und arbeiten Sie die Punkte nach und nach ab. Wer ganz sichergehen will, setzt auf professionelle Unterstützung durch einen eigenen oder einen externen Datenschutzbeauftragten.
Sie haben noch Fragen zur DSGVO?
Wenn Sie Fragen zur EU Datenschutz-Grundverordnung haben, werden Sie einfach Mitglied in dieser Facebook-Gruppe. Sie können sich auch an eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten wenden. Diese finden Sie leicht über eine Google-Suche oder in der verlinkten Facebook-Gruppe.
Oder lesen Sie den Ratgeber "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine". Sie erhalten den DSGVO-Ratgeber beim C. H. Beck Verlag für 5,50 Euro. Das ist kein Affiliate-Link ;)
Die IHK München bietet Ihnen auf ihrer Website Links und Informationen. Hier bekommen Sie unter anderem Unterstützung mit einem Muster-Verzeichnis von Verarbeitungstätigkeiten und einem Mustervertrag zur Auftragsverarbeitung.
Jens Bayer von medienvirus stellt Ihnen eine sehr ausführliche und übersichtlich strukturierte Linksammlung zur DSGVO zur Verfügung.
Konkrete und kostenpflichtige Unterstützung erhalten KMU bei meinen Kunden unter Der-Datenschutzbeauftragte.com. Die Erstberatung ist kostenlos.
Tipps zum Kauf DSGVO-konformer Aktenvernichter fürs Büro finden Sie in dem verlinkten Artikel.