DSGVO lässt keine Lücken
Die Datenschutz-Grundverordnung, kurz DSGVO, regelt umfassend und praktisch ohne Lücken die Verpflichtung zum Datenschutz. Viele Selbstständige haben nicht nur die Arbeitsprozesse im Betrieb umgestellt, sondern auch den Umgang mit Kundendaten generell neu geregelt. Jeder Selbstständige war und ist gefordert, die datenschutzrechtlichen Vorschriften einzuhalten. Dazu sind zwei Optionen denkbar: Selbst machen oder einen Profi hinzuziehen.
Die Relevanz der DSGVO
Jeder Selbstständige, der personenbezogene Daten sammelt und in irgendeiner Form für sich nutzt, ist von der DSGVO betroffen. Ob E-Mails verschickt oder Bestelldaten für den Versand von Paketen aufgenommen werden, die DSGVO schreibt vor, wie Firmen damit umgehen müssen. Weitere Vorschriften bezüglich der Angaben im Impressum sowie zum Umgang mit den gesammelten Daten sowie den Aufzeichnungsfristen im Betrieb müssen kommuniziert werden. Selbstständige wie Unternehmen haften für die korrekte Umsetzung und werden bei Verstößen zur Kasse gebeten.
Mehr als die Datenschutzerklärung auf der Website
Selbstständige müssen nicht nur eine stimmige Datenschutzerklärung online stellen oder ihren Kunden aushändigen, sondern auch ein Verzeichnis anlegen. Das Verzeichnis gibt über die Speicherdauer bestimmter Daten Auskunft. Wenn jemand nach diesem Verzeichnis fragt, müssen Betriebe es bereitstellen. Jeder Betrieb, der Kundendaten verarbeitet, muss ein solches Verzeichnis erstellen. Es sind gemäß DSGVO unter anderem diese Informationen zu verzeichnen:
- Unternehmens-Grunddaten
- zuständige Person für den Datenschutz bzw. Datenschutzbeauftragter
- Verarbeitungstätigkeiten
In dem Verzeichnis muss zum Beispiel stehen,
- wann und in welchem Zusammenhang ein Kunde die Zustimmung für die Speicherung von personenbezogenen Daten gegeben hat,
- auf welcher Rechtsgrundlage die Datenverarbeitung basiert,
- welche Erklärungen die Kunden zur Datenverarbeitung erhalten haben,
- aus welcher Quelle die Daten stammen.
Beispiel: Bei einem seriösen Newsletter-Anbieter sollte diese Art der Verzeichniserstellung inkludiert sein, wie bei Rapidmail beispielsweise. Dies geschieht in der Regel über das Double-Opt-In-Verfahren. Dabei bestellt ein User den Newsletter und muss im zweiten Schritt die E-Mail-Adresse bestätigen.
Nicht nur für den Newsletter werden Kundendaten aufgenommen, sondern auch in anderen Zusammenhängen. Wenn Unklarheit oder Unsicherheit über die Einzelheiten besteht, sollten Selbstständige darüber nachdenken, einen externen Datenschutzbeauftragten einzuschalten.
Selbstständige sollten bei der Wahl des Newsletter-Anbieters die Angaben zum Datenschutz prüfen. Bildquelle: Depositphotos.com
Entlastung durch einen Profi: Datenschutzbeauftragten hinzuziehen
Die mit dem Datenschutz in Zusammenhang stehenden Aufgaben lassen sich in der Regel nicht nebenbei erledigen. Die Praxis zeigt, dass im Geschäftsalltag keine Kapazitäten dafür bereitgestellt werden können, insbesondere, bei kleinen und mittleren Betrieben. In diesem Fall ist die Zusammenarbeit mit einem Datenschutzbeauftragten empfehlenswert.
Professionelle Datenschutzbeauftragte nehmen KMU mit mehreren Mitarbeitern nicht nur die Arbeit ab, sie erledigen diese auch zuverlässig und gesetzeskonform. Da Betriebe mit mehr als neun Personen ohnehin einen Datenschutzbeauftragten benennen müssen, was in der Praxis wie erwähnt selten umsetzbar ist, empfiehlt sich eine Vereinbarung mit einem externen Datenschutzbeauftragten. Auch, wenn der Betrieb weniger als neun Personen hat, aber dennoch Zugriff auf sensible persönliche Daten genommen wird, ist ein Datenschutzbeauftragter Pflicht. Als sensible Daten werden dabei zum Beispiel diese eingestuft:
- ethnische Abstammung
- Religion
- Zugehörigkeit zu einer Gewerkschaft
- biometrische Daten
Im Prinzip bedeutet das, dass Steuerberater, Ärzte oder Rechtsanwälte, die alleine arbeiten bzw. nur einen kleinen Mitarbeiterstamm unter 9 Personen haben, verpflichtet sind, einen Datenschutzbeauftragten einzuschalten.
Bei Bornemann erhalten Firmen nicht nur einen professionellen Service, sie können darüber hinaus von Zuschüssen profitieren, die bis zu 100 % der entstehenden Kosten abdecken. Ein nicht zu unterschätzender Vorteil einer guten Datenschutzorganisation ist der Wettbewerbsvorteil, den Betriebe im Vergleich zu denjenigen haben, die ihren Datenschutz nicht oder nur schlecht organisieren: Bei schlecht organisierten Betrieben drohen Abmahnungen, die mit Geldbußen verbunden sein können.
Wenn das Budget begrenzt ist
Betriebe mit einem kleinen Budget oder Startups, die gerade erst die Existenzgründung vollzogen haben und noch nicht auf regelmäßige Umsätze bauen können, überlegen sich oft, die Einhaltung der Datenschutz Grundverordnung selbst zu gewährleisten. Das ist auch in Ordnung, solange eine sorgfältige und umsichtige Arbeitsweise vorliegt. Unterm Strich haften Selbstständige dafür, dass ihre Prozesse der DSGVO entsprechen und die Daten transparent und überprüfbar abgelegt werden. Sie sollten allerdings wissen, dass es regelrechte Abmahn-Firmen gibt, die Webseiten nach fehlerhaften Angaben durchstöbern.
Tipp: Wer sich nicht dauerhaft einen externen Datenschutzbeauftragten leisten kann oder will, sollte mindestens ein professionelles Sicherheitscheck beauftragen. Auch sollten die Datenschutzangaben zumindest mit einem rechtssicheren Generator für Datenschutzerklärungen hergestellt werden. In unserem Beitrag „Alles Wichtige zur Datenschutzerklärung“ finden Sie ebenfalls viele Hinweise sowie die besten Muster, Generatoren und Vorlagen.
Datenschutz im Unternehmen: ein Beispiel
Website und Newsletter sind Beispiele für digitale Bereiche, die vom Datenschutz tangiert werden. Die Arbeitsabläufe im Unternehmen werden oft unterschätzt, sie bergen aus Datenschutzsicht aber zahlreiche Stolpersteine. Betriebe, die täglich mit Kunden zu tun haben und Daten aufnehmen und weiterverarbeiten, müssen den Datenschutz im Unternehmen gezielt und kontrolliert umsetzen, um der DSGVO zu entsprechen. Ein Beispiel soll zeigen, wie das in der Praxis aussehen kann:In einem Autohaus besteht die Verkaufsfläche aus einem offenen Bereich, in den Gesprächsnischen integriert sind. Diese sind zwar durch zwei halbhohe Stellwände von der Umgebung abgetrennt, doch es sind keine abgeschlossenen Räume. Um der DSGVO zu genügen, muss der Betrieb an den Rechnern Bildschirmschoner aktivieren, die nach kürzester Zeit den Zugriff auf die Daten blockieren – niemand ohne Befugnis darf einen Blick auf die erfassten Daten werfen. Vertragsunterlagen, die üblicherweise nach der Unterzeichnung auf den Schreibtisch in die Ablage gelegt werden, sind nun sofort abzuheften, um fremden Dritten den Zugriff unmöglich zu machen. Es kommt häufig vor, dass in einem Verkaufsgespräch Einzelheiten zu klären sind, für die der Verkäufer mit anderen Mitarbeitern des Autohauses persönlich Rücksprache halten muss. Verlässt der Verkäufer den Arbeitsplatz, muss er praktisch dafür sorgen, dass sämtliche personenbezogenen Daten vor fremden Zugriff geschützt werden – auch, wenn der Kunde selbst direkt vor dem Schreibtisch sitzt und auf die Rückkehr wartet. Das bedeutet entweder, stets alle Papiere einzusammeln und mitzunehmen oder vorübergehend in einen Schrank zu schließen.
