In drei Teilen berichten wir über die Datenschutzgrundverordnung – kurz DSGVO –, die im Mai 2018 unter großem medialem Getöse in Kraft getreten ist.
TEIL 1: DIE GRUNDLAGEN
Was ist die Datenschutzgrundverordnung und warum das Thema Datenschutz auch für dein Business wichtig ist. Im ersten Teil unserer dreiteiligen Serie erfährst du mehr über die Grundlagen der DSGVO und was diese für dich bedeutet.
Mit der Einführung der Datenschutzgrundverordnung sind wir im Zeitalter des Datenschutzes angekommen – die umfassende Verordnung betrifft alle Geschäftsbereiche einer Organisation, in der „personenbezogene Daten“ verarbeitet werden. Ganz gleich, ob es sich dabei um private oder geschäftliche Daten, um einen Konzern oder Einzelunternehmen handelt. Und die DSGVO war nur der Anfang – denn die EU arbeitet bereits an der nächsten „ePrivacy-Verordnung“, welche die elektronische Kommunikation und Online-Werbung noch weiter einschränken wird. Kurz: Am Thema Datenschutz führt spätestens jetzt kein Weg mehr vorbei!
Warum die DSGVO für jeden Unternehmer wichtig ist: Erfüllt man die Anforderungen als Unternehmen – darunter fallen auch Einzelunternehmen – nicht oder nur zum Teil, drohen Abmahnungen und empfindliche Geldstrafen. Es macht sich also bezahlt, sich mit dem Thema zu beschäftigen, die eigenen Abläufe auf die Rechtslage zu überprüfen und ggf. anzupassen.
Aufwändige Umsetzung: Wenn du dich bisher noch nicht mit dem Thema Datenschutz und der Datenschutzgrundverordnung beschäftigt hast, bist du zwar in guter Gesellschaft, aber nicht vor Strafen geschützt. Laut einer aktuellen Studie der bitkom-Research erfüllt nämlich nur rund ein Viertel der deutschen Unternehmen die Anforderungen der Datenschutzgrundverordnung. Und das, obwohl diese bereits seit dem 25. Mai 2018 für den gesamten EU-Raum gilt und praktisch jedes Unternehmen auch in Deutschland betrifft.
Darüber hinaus können Verstöße oder eine unzureichende Reaktion auf Anfragen von der betroffenen Person bei einer der 16 regionalen Datenschutzbehörden in den Bundesländern angezeigt werden. Die Behörde ist dann dazu verpflichtet, der Sache nachzugehen und das kann schnell unangenehm werden. Denn bei der DSGVO gilt eine „Umkehr der Beweislast“, womit die Beweispflicht nicht beim Betroffenen, sondern beim Unternehmen liegt. Im Ernstfall musst du auf Basis einer Dokumentation argumentieren, dass du die DSGVO bei der Verarbeitung von Daten eingehalten und richtig reagiert hast. Umso wichtiger ist es, fristgerecht auf Anfragen und Beschwerden zu reagieren, deine Datenschutzerklärung aktuell zu halten und die Verarbeitung von Daten zu dokumentieren. Neben eher harmlosen Abmahnungen können auch empfindliche Geldstrafen verhängt werden. Dass es zu den in Medien kolportierten Millionenstrafen kommt, ist aber nur in Ausnahmenfällen zu erwarten, wenn internationale Konzerne systematisch und regelmäßig gegen die Datenschutzgesetze verstoßen. Für kleine Unternehmen soll sich das Strafmaß aber wie bisher eher im Bereich einiger Tausend Euro bewegen.
Mehr Kontrolle über personenbezogene Daten. Die DSGVO verleiht „Betroffenen“ – also all jener Personen, deren Daten du gespeichert hast und zu welchem Zweck auch immer verarbeitest – mit noch umfassenderen „Betroffenenrechten“ als bisher: Betroffene können etwa Einsicht in die über sie gespeicherten Daten einfordern oder deren Löschung bzw. Korrektur beantragen. Diese Anfragen ist innerhalb von festgelegten Fristen nachzukommen.
Ein komplexer Mix aus mehreren Gesetzen: Auch wenn die EU mit der DSGVO versucht den Datenschutz im Interesse des Endverbrauchers in allen EU-Mitgliedsstaaten zu vereinheitlichen, wirkt diese in jedem Land in Kombination mit anderen nationalen Gesetzen. In Deutschland ist neben dem Bundesdatenschutzgesetzt (BDSG) auch das Gesetz gegen den Unlauteren Wettbewerb (UWG) sowie das Telemediengesetz (TMG) zu berücksichtigen. Die gute Nachricht ist, dass diese Gesetze bereits viele Anforderungen enthalten, die nun auf EU-Ebene mit der DSGVO übernommen und „nur“ etwas umfassender formuliert wurden. Deutschland gilt im Datenschutz als „Vorreiter“ und hat das Thema deutlich früher als die meisten anderen Länder im Detail gesetzlich geregelt. Dennoch hat die Einführung der DSGVO dazu geführt, dass laut einer Umfrage der bitkom Research für rund 80% der Unternehmen die Abwicklung ihres Tagesgeschäfts nicht gerade einfacher sondern aufwändiger geworden ist. Um den strengen Anforderungen der DSGVO gerecht zu werden, müssen in der Regel interne Prozesse verändert oder vollkommen neu definiert werden. Und das gelingt nicht über Nacht.
Welche Rolle spielst Du im Datenschutz?
Je nachdem welche Rolle du mit deinem Unternehmen erfüllst, fällst du in zumindest eine der folgenden Kategorien:
Verantwortlicher: Aus Sicht der DSGVO ist dieser für den Datenschutz verantwortlich und muss sicherstellen, dass die Anforderungen der Verordnung von allen an der Verarbeitung von personenbezogenen Daten beteiligten Parteien erfüllt werden. Dies trifft auf dich zu, wenn du die Daten deiner eigenen Kunden und Newsletter-Abonnenten verarbeitest und/oder diese an einen Dienstleister weitergibst.
Auftragsverarbeiter: Wenn du von einem anderen Unternehmen einen Auftrag erhältst und zur Erfüllung deiner Dienstleistung personenbezogenen Daten – wie zum Beispiel die Adressdaten von Kunden oder Mitarbeitern – deines Auftraggebers verarbeitest, fällst du in die Kategorie der „Auftragsverarbeiter“. Dein Auftraggeber ist dann dazu verpflichtet, mit dir eine „Auftragsverarbeiter-Vereinbarung“ – auch unter den Abkürzungen „ADV“ und „AVV“ bekannt – abzuschließen. In dieser Vereinbarung wird genau definiert, welche Daten zu welchem Zweck von dir verarbeitet werden. Darüber hinaus musst du hinreichend Garantien dafür bieten, dass geeignete „technische und organisatorische Maßnahmen“ zum Schutz der Daten umgesetzt werden und die Verarbeitung im Einklang mit der DSGVO erfolgt. Ohne diese Vertragsgrundlage dürftest du – streng rechtlich gesehen – keine personenbezogenen Daten deines Auftraggebers verarbeiten.
Wenn du personenbezogene Daten deines Auftraggebers verarbeitest, solltest du dir auch schriftlich bestätigen lassen, dass die Daten für die von dir erbrachten Leistungen laut DSGVO genutzt werden dürfen. Schließlich hast du keine Möglichkeit, dies selbst zu überprüfen und solltest nicht die Haftung dafür übernehmen.
Tipp: Biete deinem Auftraggeber proaktiv eine AVV an, die du bereits an deinen individuellen Anwendungsfall angepasst hast. So ersparst du dir und deinem Auftraggeber viel Zeit und Nerven. Online findest du jede Menge Vorlagen für eine AVV, z.B. unter www.bitkom.org
Betroffener: Das wichtigste „Element“ im Datenschutz ist immer der „Betroffene“. Die DSGVO wurde vor dem Hintergrund erlassen, die Daten „natürlicher Personen“ bestmöglich zu schützen und die Verwendung von personenbezogenen Daten weitestgehend einzuschränken. Dies trifft auch auf die B2B-Kommunikation im Rahmen einer Geschäftsbeziehung zwischen Unternehmen zu, da auch dort fast immer ausgewählte Personen eines Unternehmens „persönlich“ angesprochen werden. Aus der Perspektive des Datenschutzes darf daher nicht übersehen werden, dass auch bei der Kommunikation mit Mitarbeitern anderer Unternehmen – unabhängig von der Art der Geschäftsbeziehung – immer mit einer natürlichen Person kommuniziert wird. Es macht also keinen Unterschied, ob du Daten eines geschäftlichen oder privaten Kontakts verarbeitest. Betroffene können gegenüber dem Verantwortlichen oder auch Auftragsverarbeitern Schadensersatzansprüche geltend machen und haben das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Verarbeitung ihrer Daten.
Rechtlicher Hinweis
Bitte beachte, dass die hier veröffentlichten Informationen nur einen ersten Einblick in den Bereich des Datenschutzrechts geben und der Autor keine wie auch immer geartete Haftung für diese Inhalte übernehmen kann. Diese Inhalte können keine auf deine Organisation abgestimmte Rechtsberatung ersetzen und wir empfehlen daher weitergehende Fragen sowie individuelle Anwendungsfälle mit einem Rechtsanwalt abzuklären.
Text, Fotos: Stefan Grossek | invitario
Erfahre mehr über invitario
https://invitario.com
https://www.facebook.com/invitario
https://www.instagram.com/invitario/
https://twitter.com/invitario