DSGVO, die Verordnung zum Schutz personenbezogener Daten und die Auswirkungen auf kleine Unternehmen

Service

Die DSGVO richtet sich an jedes Unternehmen, dem personenbezogene Daten zur Verfügung gestellt werden. Die Reform gibt den EU-Bürgern die Kontrolle über die Daten. Ein EU-Bürger soll unter anderem sicher sein, durch drakonische Strafen, dass seine Daten geschützt werden. Die DSGVO gilt ab dem 25. Mai 2018 in allen EU-Ländern. Den Text finden Sie im Amtsblatt der Europäischen Union L von 2016 Nr. 119, S. 1.

DSGVO - neue Regelungen

Aufgrund des bevorstehenden Inkrafttretens der DSGVO gibt es bei Inhabern kleiner und mittlerer Unternehmen zahlreiche Fragen und Zweifel zum Anwendungsbereich ihrer neuen Regelungen. Die Bestimmungen der DSGVO führen viele Änderungen im Ansatz zum Schutz personenbezogener Daten ein, darunter: die Notwendigkeit, den Schutz personenbezogener Daten bereits in der Entwicklungsphase von IT-Lösungen zu berücksichtigen, die Verpflichtung, ein Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten zu führen, die Pflicht, die Auswirkungen der Handlungen des Unternehmers auf den Schutz personenbezogener Daten zu analysieren, die Pflicht, die Aufsichtsbehörde über einen Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten zu informieren.

Die Bestimmungen der DSGVO gelten für alle Unternehmer, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Daten in irgendeiner Weise (u. a. Vor- und Nachname, Steuernummer, E-Mail-Adresse etc.) von natürlichen Personen (zB deren Kunden) unabhängig davon, ob sie Mitarbeiter haben oder nicht. Zum Beispiel ist ein Unternehmer, der eine Einpersonenbuchhaltung betreibt, unter der andere Einpersonenunternehmer abrechnen, verpflichtet, die Bestimmungen der DSGVO anzuwenden, da die Buchhaltungsstelle personenbezogene Daten seiner Kunden (von ihr abgerechneten Unternehmern) verarbeitet, aber auch personenbezogene Daten der Auftragnehmer ihrer Kunden (personenbezogene Daten, die in Rechnungen der Kunden enthalten sind). Dabei kann es sich um eine Tätigkeit in jeder Rechtsform handeln: ein Unternehmen, Einzelunternehmen oder sogar eine Niederlassung in der EU eines Unternehmers mit Sitz außerhalb der EU, wobei die Staatsangehörigkeit der Personen, deren personenbezogene Daten verarbeitet werden, und der Standort der Server unerheblich sind.

Aktivitäten, die der DSGVO unterliegen

Die der DSGVO unterliegenden Tätigkeiten sind die Verarbeitung personenbezogener Daten, bestehend aus der Erhebung, Speicherung, Löschung, Verarbeitung und Weitergabe von Daten. Der Datenverwalter ist X, der ein Einzelunternehmen, eine Gesellschaft mit beschränkter Haftung führt, und nicht sein Vorstandsvorsitzender oder Marketingleiter. Das Tätigkeitsverzeichnis muss von Unternehmern mit weniger als 250 Beschäftigten nicht geführt werden, es sei denn: die Verarbeitung kann die Rechte oder Freiheiten der betroffenen Personen verletzen, es umfasst besondere Kategorien von Daten oder Daten über strafrechtliche Verurteilungen, es handelt sich nicht um eine gelegentliche Natur.

Die DSGVO gibt keine konkreten Vorgaben zu den Verfahren, die ein Unternehmen zum Datenschutz befolgen muss. Der Schutz kann durch eine Vielzahl von Maßnahmen erfolgen, die dem Profil des Unternehmens angemessen sind. Aufgabe des Unternehmers wird es sein, ein der Marktsituation und dem Profil seiner Tätigkeit entsprechendes umfassendes Datenschutzmodell zu entwickeln. Im Zuge der Umsetzung dieser Annahmen erfolgt eine Überprüfung, ob geeignete Verfahren angewandt wurden und die Interessen des Verbrauchers angemessen gewahrt sind. Gemäß den Anforderungen der DSGVO müssen Unternehmen ihren Kunden sehr detaillierte Informationen über die Verarbeitung ihrer personenbezogenen Daten geben und die Einwilligung zur Verwendung im Rahmen eines bestimmten Geschäftsvorgangs einholen. Jede Einwilligung zur Datenverarbeitung sollte sich durch folgende Merkmale auszeichnen:

  • Freiwilligkeit,

  • Spezifität,

  • Bewusstsein,

  • Eindeutigkeit.

Nach der DSGVO kann eine Einwilligung nicht nur in einer Erklärung, sondern auch in einer eindeutigen bestätigenden Handlung erfolgen. Die Formen der Einwilligung sind eine schriftliche, elektronische oder mündliche Erklärung. Es ist sehr wichtig, dass ausdrücklich darauf hingewiesen wird, dass Schweigen, standardmäßig aktivierte Kästchen oder Untätigkeit nicht als Zustimmung interpretiert werden sollten. Dem Einwilligenden sollen die Daten, d. h. die Identität des Administrators, seine Kontaktdaten und die beabsichtigten Verarbeitungszwecke, die geplante Dauer der Speicherung mitgeteilt werden. Sie sollten auch über das Recht informieren, den Administrator aufzufordern, auf Ihre personenbezogenen Daten zuzugreifen, diese zu berichtigen, zu löschen, die Verarbeitung einzuschränken, der Verarbeitung zu widersprechen sowie das Recht auf Datenübermittlung. Erfolgt die Verarbeitung auf Grundlage einer Einwilligung - informieren Sie über das Recht auf jederzeitigen Widerruf der Einwilligung und das Recht auf Beschwerde bei der Aufsichtsbehörde (diese umfangreichen Informationspflichten sind bei Unternehmern mit weniger als 250 Beschäftigten auszuschließen , Verarbeitung personenbezogener Daten, die für die Geschäftsabwicklung erforderlich sind, insbesondere zum Zwecke des Vertragsabschlusses und der Buchhaltung). Folglich ist die Einwilligung nicht abstrakt. Nach den neuen Vorschriften wird es möglich sein, eine Einwilligung zur Verarbeitung personenbezogener Daten für verschiedene Zwecke einzuholen. Informationspflichten bei Einwilligung in die Verarbeitung personenbezogener Daten bestehen in Form des sog eine Einwilligungsklausel für die Datenverarbeitung. Sie ist z.B. nicht erforderlich, wenn die Datenverarbeitung zur Vertragserfüllung erforderlich ist (Versandhandel von Büchern über das Internet – die Datenverarbeitung erfolgt nach der DSGVO wie zur Erfüllung des Kaufvertrages erforderlich), wenn die Verarbeitung erforderlich ist zur Erfüllung der rechtlichen Verpflichtung des Administrators (z. B. ist keine Einwilligung erforderlich) oder die Verarbeitung ist erforderlich, um das berechtigte Interesse des Verantwortlichen oder eines Dritten zu verwirklichen (z. B. die Einreichung einer Zahlungsklage gegen einen unehrlichen Kunden erfordert keine Einwilligung) zur Datenverarbeitung).

Beachtung!

Der Versand von kommerziellen Informationen mittels elektronischer Kommunikation (Werbung) oder der Einsatz von Telekommunikationsendgeräten zum Zwecke der Direktwerbung (z.B. SMS mit Werbeinhalten) erfordert eine Einwilligung. Profiling erfordert immer die Information von Personen, die von diesem Prozess betroffen sind, beispielsweise Personen, die automatisch durch Aktivitäten auf einer bestimmten Website ausgewählt werden.

Eine der größten Herausforderungen wird die sogenannte das Recht auf Vergessenwerden, d. h. die Daten von Personen, die dies wünschen, sofern eine der Bedingungen erfüllt ist (z. B. personenbezogene Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich, Widerspruch, Widerruf der Einwilligung, Gesetzesverstoß ) muss vollständig von den Systemen des Administrators entfernt werden. Dies gilt auch für Kopien, Links, Verweise und Unterlagen in Papierform, beispielsweise Ausdrucke oder Scans von Dokumenten. Wurden diese Daten zuvor zur Verfügung gestellt oder ins Internet gestellt, muss der Administrator sicherstellen, dass alle Kopien und Links gelöscht und entfernt werden, auch wenn sie sich bereits im Besitz anderer Stellen befinden. Die DSGVO sieht auch das Recht auf Datenübertragbarkeit vor. Sie kann nur durchgeführt werden, wenn: die Datenverarbeitung auf der Grundlage einer Einwilligung oder zur Vertragserfüllung erfolgt und, wenn sie automatisiert erfolgt, keine herkömmlichen Papierdateien umfasst.

Wichtig!

Bei den meisten Unternehmern wird die Verarbeitung personenbezogener Daten anvertraut (z. B. Inanspruchnahme der Dienste einer Buchhaltungsstelle, Inanspruchnahme der Dienste einer Website, die E-Mail-Dienste anbietet). Eine Stelle, die personenbezogene Daten auf Anfrage verarbeitet, sollte mit dem für die Verarbeitung Verantwortlichen einen entsprechenden Betrauungsvertrag (in schriftlicher oder elektronischer Form) abschließen, in dem die Regeln für die Datenverarbeitung festgelegt werden. Wählen Sie eine zertifizierte Entität aus. Es werden Zertifikate ausgestellt, um die Einhaltung der Datenverarbeitung durch eine zertifizierte Stelle zu bescheinigen.

In jedem Unternehmen müssen Sicherheitsregeln festgelegt werden:

PERSÖNLICHE UND ORGANISATORISCHE SICHERHEIT

  • Sicherheitsverfahren im Unternehmen etablieren und einhalten,

  • Verpflichtung, ein Verzeichnis der Datenverarbeitungstätigkeiten zu führen,

  • richtige Schulung der Mitarbeiter,

  • internes Kontrollsystem, Meldung von Datenlecks.

IT SICHERHEIT

  • Sicherheit und Überwachung der IT-Systeme im Unternehmen und Zugriffskontrolle auf sensible Daten,

  • Sicherheitsüberwachung.

PHYSISCHE SICHERHEIT

  • Sicherung der Räumlichkeiten,

  • Sicherstellung der Papierdokumentation,

  • Raumzugangskontrolle.

Es obliegt einem Mitarbeiter des Datenschutzamtes zu beurteilen, ob diese richtig ausgewählt wurden. Es empfiehlt sich auf jeden Fall, die Mitarbeiter entsprechend zu schulen und sensibel zu machen, damit sie mit den erhaltenen oder weitergegebenen Daten sorgsam umgehen. Die Datenmigration in die Cloud kann für viele Unternehmen die Lösung sein. Im Falle einer Verletzung personenbezogener Daten, beispielsweise infolge eines Hackerangriffs, muss das Unternehmen diese Tatsache unverzüglich dem Generalinspektor für den Schutz personenbezogener Daten melden, im Falle einer versehentlichen oder unrechtmäßigen Zerstörung oder eines Verlustes, einer Änderung personenbezogener Daten, unbefugte Offenlegung, unbefugter Zugriff auf gesendete, gespeicherte oder verarbeitete personenbezogene Daten besteht eine Meldepflicht bei Datenschutzverletzungen. Dafür stehen nur 72 Stunden zur Verfügung. Diese neue Verpflichtung erfordert nicht nur die Feststellung des aufgetretenen Verstoßes, sondern auch die Vorbereitung von Verfahren zur Reaktion auf Datenschutzvorfälle (Vorfallmeldepflichten sind in Bezug auf Unternehmer auszuschließen, die weniger als 250 Mitarbeiter beschäftigen und personenbezogene Daten verarbeiten, die für die geschäftliche Nutzung erforderlich sind Tätigkeit, insbesondere zum Zwecke des Vertragsabschlusses und der Buchhaltung).

Dies lohnt sich, denn es ist zu bedenken, dass bei Nichteinhaltung der gesetzlichen Vorgaben durch das Unternehmen strenge Sanktionen vorgesehen sind – bis zu 20 Mio. EUR oder bis zu 4 % des Wertes des weltweiten Jahresumsatzes des Unternehmens. Sie werden je nach Ausmaß des Verstoßes verhältnismäßig verhängt.

Die DSGVO soll technologieneutral und flexibel sein und Unternehmern mehr Handlungsspielraum geben, weshalb sie nur allgemeine Regelungen enthält. Sie müssen sich an diesen geänderten Umgang mit dem Schutz personenbezogener Daten gewöhnen und die Verarbeitungsprozesse in Ihrem, auch kleinen Unternehmen, richtig organisieren.Renata Sobolewska