Seitdem die EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 in ihrer vollen Wirkung in Kraft getreten ist, hat sich das allgemeine Interesse zum Thema Datenschutz in der Bevölkerung stark erhöht.
Doch nicht immer ist allen Gründern und auch bestehenden Unternehmern klar, wie sie mit den vorhandenen Daten in ihrem Unternehmen umgehen sollen und was die DSGVO nun genau für sie bedeutet. Die wichtigsten Antworten darauf gibt es in diesem Artikel.
Was bedeutet die DSGVO für Unternehmen?
Die EU verfolgt mit der DSGVO das Ziel, die Daten seiner Bürger noch besser zu schützen. Dazu gibt die DSGVO EU-weit einheitliche Vorgaben zur Verarbeitung personenbezogener Daten durch Unternehmen und Behörden.
Betroffen sind davon so gut wie alle Unternehmen, denn die EU-Datenschutzverordnung wendet sich an alle Betriebe, die personenbezogene Daten verarbeiten. Dabei ist es egal, ob es sich um die Daten von Kunden oder Mitarbeitern handelt, wieviel Umsatz das Unternehmen macht oder wieviel Mitarbeiter beschäftigt sind.
Zusammengefasst: Die DSGVO gilt für kleine Einzelunternehmen genauso wie für global agierende Großkonzerne. Sie alle müssen sich bei der Verarbeitung von personenbezogenen Daten an die entsprechenden Vorschriften der Verordnung halten.
Was sind personenbezogene Daten?
Was unter personenbezogenen Daten genau zu verstehen ist, regelt der Artikel 4 der DSGVO. Laut der Grundverordnung gelten vor allem die folgenden Daten als personenbezogen:
- Allgemeine Daten zu einer Person wie beispielsweise Name, Anschrift, E-Mail-Adresse und Geburtsdatum.
- Körperliche Merkmale einer Person. Dazu zählen zum Beispiel die Größe, das Gewicht sowie die Farbe der Augen und der Haare.
- Identifikationsnummern wie beispielsweise die Personalausweisnummer oder die Sozialversicherungsnummer.
- Vermögens- und Bankdaten: Also die Kontonummer und der aktuelle Kontostand, Grundbuchauszüge, Fahrzeugscheine, Kfz-Kennzeichen etc.
- Diverse Online-Daten wie etwa eine Aufzeichnung von Standortdaten oder die IP-Adresse
- Schul- und Arbeitszeugnisse
- Daten aus der Geschäftsbeziehung wie beispielsweise Bestellungen oder eine alternative Lieferadresse.
Die DSGVO definiert darüber hinaus auch noch Merkmale, für die es noch strengere Vorschriften zur Verarbeitung gibt. Dazu zählen:
- Zugehörigkeiten zu einer Glaubensgemeinschaft
- Politische Ansichten sowie Gewerkschaftszugehörigkeit
- Angaben zu Gesundheit und Sexualität
- Diverse Angaben zur Herkunft (z. B. Rasse)
Welche Daten dürfen gespeichert werden?
Die DSGVO funktioniert nach dem Verbotsprinzip. Das bedeutet, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten und nur in Ausnahmefällen erlaubt ist.
Um so einen Ausnahmefall handelt es sich beispielsweise dann, wenn ein Händler seinen Teil des Vertrages nur dann erfüllen kann, wenn ihm die entsprechenden Daten auch zur Verfügung stehen. Dazu gehören zum Beispiel auch die Adressdaten des Kunden, um bei einer Online-Bestellung die Ware an den gewünschten Bestimmungsort zu liefern.
Um keine hohen Bußgelder zu riskieren, sollten sich Unternehmer vor allem an die folgenden Pflichten im Zusammenhang mit der DSGVO halten:
- Recht auf Vergessenwerden: Die Daten müssen auf Anweisung eines Kunden gelöscht werden.
- Informationspflicht: Kunden müssen informiert werden, welche Daten zu welchem Zweck gespeichert werden.
- Auskunftsrecht: Kunden können jederzeit Informationen darüber einfordern, welche Daten von ihnen verarbeitet werden.
- Führung eines Verarbeitungsverzeichnisses: Enthält eine Beschreibung der Geschäftsprozesse und Verarbeitungsvorgänge im Unternehmen. Formal gibt es hier keine Vorgaben, im Internet stehen zahlreiche Vorlagen zum Download zur Verfügung.
- Erstellung einer Datenschutzerklärung: Gibt den Zweck der Datenverarbeitung und die Dauer der Datenspeicherung an und weist auf das Recht zur Beschwerde hin. Auch für Unternehmen ohne Webseite ist eine Datenschutzerklärung verpflichtend.
- Meldepflicht im Pannenfall: Jede Datenschutzverletzung muss innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.
Ist ein Datenschutzbeauftragter gesetzlich verpflichtend?
Ein Datenschutzbeauftragter ist für Unternehmen grundsätzlich empfehlenswert, da dadurch die Gefahr von Datenschutzverletzungen deutlich reduziert werden kann. Eine gesetzliche Verpflichtung dazu besteht aber nicht für alle Unternehmen.
Es kommt im Einzelfall darauf an, in welchem Maße die Daten verarbeitet werden und wie viele Personen insgesamt im Unternehmen beschäftigt sind. Wenn in einem Unternehmen mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden.
Dabei ist egal, ob es sich um Vollzeitkräfte, Praktikanten oder Aushilfen handelt und ob sie die Daten mit MS Excel oder anderen speziellen Softwareprogrammen verarbeiten.
Unabhängig von der Anzahl der Mitarbeiter muss auch dann ein Datenschutzbeauftragter bestellt werden, wenn Unternehmen Kerntätigkeiten ausüben, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen.
Das ist zum Beispiel der Fall bei Betrieben, die ihr Geld primär mit Marktforschung oder Umfragen erwirtschaften. Aber auch dann, wenn Daten über Straftaten und Verurteilungen im Unternehmen gespeichert werden.