Seit dem 25. Mai 2018 müssen alle Unternehmen, die mit personenbezogenen Daten von EU-Bürgern arbeiten, die neue europäische Datenschutz-Grundverordnung (DSGVO) anwenden. Das bedeutet vor allem strengere Vorgaben bezüglich des Datenschutzes sowie verstärkte Betroffenenrechte. Werden die neuen Regelungen nicht eingehalten, ist zudem mit hohen Sanktionen zu rechnen – auch für Kleinunternehmer gibt es keine Ausnahme. Geldbußen bis zu 20 Millionen Euro können drohen.
Was sind personenbezogene Daten?
Laut Artikel 4 DSGVO gelten diejenigen Informationen, mit denen man ein Individuum direkt oder indirekt identifizieren kann, als personenbezogene Daten. Dazu gehören selbstverständlich der Name, die Telefonnummer und die Adresse, aber auch Profilbilder und Nutzernamen in sozialen Netzwerken, die IP-Adresse sowie Cookie-IDs. Weiterhin gilt, dass sowohl die unmittelbaren Nutzer als auch die Datenverarbeiter für den Schutz dieser Informationen verantwortlich sind. Das bedeutet, dass ein Kleinunternehmer auch dann für die Daten verantwortlich ist, wenn er andere mit der Verarbeitung derer beauftragt. Das kann zum Beispiel der Fall sein, wenn Weihnachtskarten an alle Bestandskunden gesandt werden sollen und somit eine Weitergabe der Adressen an die entsprechende Druckerei erfolgt. Hierbei sollte daher zum einen vorab sichergestellt werden, dass alle Betroffenen dieser Nutzung ihrer Daten zugestimmt haben, und zum anderen ist eine vertragliche Vereinbarung wichtig, nach der Forderungen bei etwaigen Datenschutzverstößen der Druckerei nicht auf den Kleinunternehmer selbst zurückfallen.
Rechenschaftspflicht
Jede Firma muss die organisatorischen sowie technischen Voraussetzungen besitzen, um jederzeit die Einhaltung der Vorgaben der DSGVO nachweisen zu können. Auch bei entsprechenden Nutzeranfragen wird verlangt, innerhalb eines Monats darüber aufzuklären, welche ihrer Daten auf welche Weise für welchen Zeitraum und zu welchem Zweck verarbeitet werden. Im Zuge dessen haben Betroffene gleichzeitig das Recht, ihre Daten berichtigen oder sogar löschen zu lassen. Egal, wie groß das Unternehmen also ist, es ist hilfreich, einen Datenschutzbeauftragten festzulegen, der für derlei Belange zuständig ist.
Einwilligungserklärung
Eine Vorratsdatenspeicherung wird durch die DSGVO künftig verhindert. So dürfen personenbezogene Daten ausschließlich für den Zeitraum gespeichert werden, wie sie für einen bestimmten Zweck benötigt werden. Das bedeutet zum Beispiel, dass die im Zuge eines Gewinnspiels erhobenen Informationen sofort gelöscht werden müssen, sobald dieses beendet ist. Gleichzeitig wird für jede Datenverarbeitung zunächst die Einwilligungserklärung des Betroffenen benötigt. Sollen dieselben Informationen für verschiedene Zwecke gespeichert werden, muss stets eine gesonderte Erlaubnis vorliegen. Diese kann der Nutzer ebenso zu jeder Zeit ohne Angaben von Gründen widerrufen.
Tipps für Kleinunternehmer
Vor allem im Bereich des Marketings werden die DSGVO-Vorgaben relevant. Kleinunternehmer sollten daher folgendes beachten:
- detaillierte Aufklärung darüber, was mit den erhobenen Daten passiert
- ausschließliche Verwendung von unbedingt notwendigen Daten
- Speicherung der Daten nur in dem vorgegebenen Zeitraum
- wenn möglich: Anonymisierung der Daten
- klare Kommunikation mit den Kunden und Einholung der Einwilligung zu jeder Verwendung
- Zusammenarbeit mit Unternehmen, die DSGVO-konform arbeiten und gegebenenfalls Abschluss einer Datenschutzvereinbarung
Für kleine Firmen, die eine Webseite besitzen, ist weiterhin wichtig, ihre Datenschutzerklärung komplett zu überarbeiten, um die Vorgaben der DSGVO zu erfüllen. Treten in den letzten Monaten noch Probleme bei der Umsetzung auf, sollte zudem eine professionelle Beratung durch Datenschutzexperten in Anspruch genommen werden.
Laura Gosemann
Berufsverband der Rechtsjournalisten e. V.