Einfach erklärt: Die DSGVO für kleine und mittlere Unternehmen

Wahrscheinlich ist die Datenschutz-Grundverordnung (DSGVO) nicht an Ihnen vorübergegangen. Alle Fachmagazine, Newsletter und Onlineportale haben sich dieses Schwerpunktthema für 2018 auf die Startseite geschrieben. Kurz vor dem 25. Mai 2018 herrschte regelrechte DSGVO-Panik. Der Grund: Die Verordnung ist schwer verständlich und gleichzeitig ist die Rede von hohen Strafen. Wir haben uns durch die Verordnung gewühlt! Hier auf dem Uniki Blog bringen wir die DSGVO für kleine und mittlere Unternehmen auf den Punkt. Mit unserer Checkliste räumen Sie Sorgen um Abmahnungen und Strafen aus dem Weg.

DSGVO: Warum eigentlich?

Die Wirtschaft häuft immer mehr Daten an – sei es beim Speichern von Dokumenten, bei der Kommunikation über E-Mail oder via Apps, bei der Nutzung von Maschinen oder ganz einfach bei der Nutzung von Webseiten durch Besucher und Kunden. Sie werden zunehmend „zweckentfremdet“. Denn aus unseren Daten lassen sich beispielsweise Rückschlüsse auf das Kundenverhalten ziehen oder Angebote und Abläufe verbessern. Darum ist die Europäische Kommission der Meinung, dass Daten mittlerweile ein Wirtschaftsgut sind. Schlecht geschützt oder zweckentfremdet kann die Masse an Daten zur Gefahr werden.

Die DSGVO schafft deshalb Rahmenbedingungen, welche Daten überhaupt erhoben werden dürfen, wie sie aufbewahrt, verwendet und weitergegeben werden dürfen. Sie versucht dadurch, die Rechte der Betroffenen, deren Daten verarbeitet werden, zu stärken.

Um welche Daten geht es?

In der DSGVO geht es um personenbezogene Daten. Das sind alle Daten, mit deren Hilfe natürliche Personen identifizierbar sind, also z.B. Name, Adresse, Identifikationsnummern wie Steuernummer oder Kundennummern, Standortdaten, Email-Adresse, Cookies und so weiter. Alle nicht personenbezogenen Daten sind von der DSGVO nicht betroffen.

Betrifft mich die DSGVO?

Einfache Antwort: Ja.
Lange Antwort:  Die DSGVO betrifft jeden in der EU, der personenbezogene Daten verarbeitet. Das ist praktisch jedes Unternehmen, denn darunter fallen auch die Daten von Mitarbeitern und Kunden. Und zwar egal, ob diese digital verarbeitet werden oder nicht.

Was bedeutet das für mich?

Die gute Nachricht: Für die meisten Unternehmen ändert sich nicht viel. Wer sich aber bisher kaum oder gar nicht mit dem Thema Datenschutz befasst hat, sollte das jetzt tun. Denn die Strafen sind empfindlicher geworden und die Behörden sensibler. Für die meisten Unternehmen reicht es, die folgenden fünf Bereiche zu beachten:


Datensparsamkeit und Einwilligung

  1. Ohne explizite Einwilligung des Betroffenen dürfen personenbezogene Daten nur in zwei Fällen gespeichert und verarbeitet werden:

    • Wenn es für einen bestimmten Zweck erforderlich ist oder
    • Wenn es durch ein Gesetz vorgeschrieben ist. Beispiele sind Versandadressen von Kunden bei einen Online-Kauf, die Archivierung von Rechnungen oder Verträgen, oder Mitarbeiterdaten für die Löhne.

  2. In allen anderen Fällen muss die Einwilligung des Betroffenen eingeholt werden.

    Ganz wichtig: Eine Einwilligung zur Verarbeitung zusätzlicher Daten muss freiwillig sein! Wenn Sie Daten für einen bestimmten erheben, dürfen Sie also nicht gleichzeitig die Einwilligung zur Verarbeitung weiterer Daten erzwingen.Klingt kompliziert? Hier ein Praxisbeispiel: Der Online-Kauf. Eventuell hat der Kunde die Möglichkeit, Daten anzugeben, die für die Abwicklung des Kaufs an sich nicht nötig sind. Über eine Checkbox kann er einwilligen, dass diese Daten verarbeitet werden. Er muss aber die Möglichkeit haben, den Kauf auch ohne Anklicken der Einwilligungs-Checkbox fortzusetzen – sonst drohen Abmahnungen.

  3. Verwenden Sie einmal gespeicherte Daten auch später nicht für andere Zwecke als den ursprünglichen. Löschen Sie die Daten, sobald die Speicherung für den ursprünglichen Zweck nicht mehr erforderlich ist und kein Gesetz die weitere Speicherung vorschreibt (es sei denn, der Nutzer hat in die längere Speicherung eingewilligt).


Dokumentationspflicht

Dokumentieren Sie die Erfassung, Speicherung, Nutzung und Löschung von personenbezogenen Daten. Mehr dazu in unserer DSGVO Checkliste.


Auskunfts- und Einspruchsrechte

  1. Die betroffenen Personen haben jederzeit ein Recht auf Auskunft, welche Daten über sie erfasst und verarbeitet wurden und in welcher Form.

  2. Betroffene haben das Recht, dass Sie auf Anfrage die freiwillig überlassenen Daten löschen (Recht auf Vergessenwerden). Also alle Daten, die Sie nicht für einen bestimmten Zweck oder aufgrund eines Gesetzes weiter speichern müssen.

  3. Betroffene haben das Recht, dass sie ihre Daten an andere Anbieter übertragen können (Verbot von „Daten-Silos“).


Technische Vorkehrungen

Die DSGVO stellt auch Anforderungen an die Technik, mit der Sie personenbezogene Daten speichern und verarbeiten:

  1. Wenn Sie personenbezogene Daten sammeln, dann speichern Sie diese immer sicher und verschlüsselt (egal ob es sich um Daten von Mitarbeitern, Kunden oder Besuchern handelt).

  2. Achten Sie darauf, dass die Hard- und Software, die Sie einsetzen, eine Beschränkung von Zugriffsrechten auf personenbezogene Daten erlaubt. Nutzen Sie diese Möglichkeiten, um unberechtigte Zugriffe zu verhindern.

  3. Achten Sie darauf, dass alle Dienste, die Sie Mitarbeitern, Mitgliedern, Partnern und Kunden zur Verfügung stellen, von Haus aus nicht mehr Daten über die Nutzer sammeln als unbedingt nötig. Wenn Einstellmöglichkeiten bestehen, treffen Sie immer die „datenschutzfreundlichsten“ Voreinstellungen und lassen Sie den Nutzer entscheiden, ob er mehr über sich preisgeben möchte.

  4. Achten Sie darauf, dass Sie nicht fahrlässig Hard- oder Software zur Speicherung personenbezogener Daten einsetzen, die bekannte Sicherheitslücken hat.

Die Eigenschaften, die Ihre Hard- und Software erfüllen muss, heißen „Privacy by Design“ (Datenschutz durch Technikgestaltung) und „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen).


Einbindung Externer

Wer mit Cloud-Diensten oder externen Beratungsfirmen zusammenarbeitet, gibt unter Umständen personenbezogene Daten an Dritte weiter. Diese externen Auftragsverarbeiter müssen vertraglich garantieren, dass sie die Daten nur auf dokumentierte Weisung verarbeiten, die technischen Maßnahmen zum Schutz der Daten ergreifen und alle Auflagen der DSGVO beachten und befolgen.