Die DSGVO für Kleinstunternehmen, Einzelunternehmer und Selbstständige

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Die neue DSGVO stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen.

Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der DSGVO.
Die meisten Artikel und Auskünfte im Internet sind jedoch nur für große Unternehmen geschrieben, was viele Einzelunternehmer verunsichert. Dieser Artikel soll endlich die Informationen beinhalten und die Fragen klären, die nur Sie sich als Gründer, Freiberufler oder Kleinunternehmer stellen.

In diesem Artikel erfahren Sie insbesondere:

  • die wichtigsten Datenschutzgrundsätze und Pflichten, die auch Sie einhalten müssen
  • was Sie als Kleinstunternehmen, Einzelunternehmer und Selbstständiger im Besonderen beachten müssen
  • und inwieweit für Sie Erleichterungen bei der Einhaltung der DSGVO bestehen

Inhalte

Die Grundsätze der DSGVO für Einzelunternehmer

Für Sie als Selbstständige oder Kleinunternehmer gelten die Grundsätze der DSGVO genau so wie für den großen internationalen Konzern. Sie sollten diese also zumindest kennen, um sich an diesen zu orientieren.

Wer muss die DSGVO einhalten?

Praxisbeispiel: Sie führen einen kleinen Buch- und Schreibwarenladen und sind sich unsicher, ob Sie von der DSGVO überhaupt betroffen sind?

Dann sollten Sie bedenken, dass die DSGVO nicht nur die großen Unternehmen betrifft. Die Verpflichtungen der DSGVO erstrecken sich auf alle Unternehmen, unabhängig ihrer Größe oder Branche. Kurz gesagt gilt die DSGVO für alle, die personenbezogene Daten verarbeiten. Das können große, aber auch mittlere und kleine Unternehmen sein.

Ein mittleres Unternehmen unterscheidet sich von einem Großunternehmen nach der Anzahl der Beschäftigten und der Erwirtschaftungen.
Es liegt bei einer Beschäftigung von allenfalls 249 Personen und einem Jahresumsatz von höchstens 50 Millionen Euro sowie einer Jahresbilanzsumme von höchstens 43 Millionen Euro vor.

Ein Kleinunternehmen ist dann gegeben, wenn weniger als 50 Personen beschäftigt werden und ein Jahresumsatz sowie eine Jahresbilanzsumme von höchstens 10 Millionen Euro erwirtschaftet wird.

Ein Kleinstunternehmen beschäftigt hingegen weniger als 10 Personen und erwirtschaftet einen Jahresumsatz sowie eine Jahresbilanzsumme von höchstens 2 Millionen Euro.
Unter diesem Begriff sind ebenso Freiberufler, anderweitig Selbstständige oder Existenzgründer inbegriffen. Es ist auch nicht ausschlaggebend, ob Sie einen Online Shop für Hundespielzeug oder eine Tischlerei führen oder gründen wollen.

Zurück zum Praxisbeispiel: Sollten Sie also in Ihrem Buch- und Schreibwarengeschäft drei Vollzeitangestellte und zwei Aushilfen beschäftigen und jährlich einen Umsatz 300.000 Euro erwirtschaften, zählen Sie als Kleinstunternehmen, müssen aber dennoch die DSGVO beachten.

Kleinstunternehmen und Selbstständige müssen sehr selten einen Datenschutzbeauftragten nach DSGVO bestellen.

Welche Grundsätze der DSGVO müssen eingehalten werden?

Die DSGVO führt sieben elementare Grundsätze in Artikel 5 Absatz 1 DSGVO an, die Sie unbedingt einhalten müssen.

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    Die Verarbeitung der personenbezogenen Daten muss zunächst auf einer Rechtsgrundlage beruhen. Das bedeutet, dass Sie nicht einfach die Daten anderer willkürlich und ohne Grund erheben dürfen.Taugliche Rechtsgrundlagen sind:Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
    z.B.: Es werden zur Vertragsanbahnung Kontaktdaten erhoben. — Rechtliche Verpflichtung
    z.B.: Die Kontodaten des Käufers müssen gespeichert und aufbewahrt werden, um der Buchführungspflicht nachzukommen. — Berechtigtes Interesse des Verantwortlichen oder eines Dritten, ohne dass die Interessen des Betroffenen überwiegen
    z.B.: Der Verantwortliche benutzt Tracking auf seiner Webseite, um sein Marketing verbessern zu können. Dies erfolgt anonym, sodass keine Bedenken für Betroffene bestehen. — Schutz lebenswichtiger Interessen
    z.B.: Die Blutgruppe eines Schwerverletzten wird an Dritte weitergereicht, um ihm eine überlebenswichtige Transfusion zu geben. — Öffentliches Interesse
    z.B. Der Name des neuen Kämmerers einer Stadt wird durch die Presse veröffentlicht, da ein allgemeines öffentliches Interesse daran besteht. — Wenn keine der Grundlagen einschlägig ist, kann die Datenverarbeitung auch aufgrund einer Einwilligung des Betroffenen erfolgen.
  2. Zweckbindung
    Die Verarbeitung der personenbezogenen Daten darf nur für einen eindeutigen und zuvor festgelegten Zweck erfolgen, der dem Betroffenen mitgeteilt wird. Der Datenverarbeiter bleibt grundsätzlich an diesen Zweck gebunden.
  3. Datenminimierung
    Die Verarbeitung der personenbezogenen Daten ist auf das nach dem Zweck angemessene und erforderliche Maß zu beschränken. Das bedeutet, dass der Zweck der Datenverarbeitung nicht auch schon mit weniger zu erhebenden Daten erreichbar sein darf.
  4. Richtigkeit
    Die personenbezogenen Daten müssen während der Verarbeitung stets richtig und auf dem neusten Stand sein. Sollten unrichtige Daten verarbeitet werden, so müssen diese unverzüglich korrigiert werden.
  5. Speicherbegrenzung
    Die personenbezogenen Daten dürfen nicht länger als für den Zweck notwendig verarbeitet werden. Andernfalls sind sie zu löschen. Lediglich ordnungsgemäß gesicherte, d.h. anonymisierte Daten oder Daten mit öffentlichem Interesse an Archivierung oder Forschung müssen nicht gelöscht werden.
  6. Integrität und Vertraulichkeit
    Die personenbezogenen Daten müssen vor unrechtmäßiger Datenverarbeitung oder Datenzerstörung gesichert werden. Dieses angemessene Datensicherheitsniveau kann mittels technischer und organisatorischer Maßnahmen erfolgen.
  7. Rechenschaftspflicht
    Der Verantwortliche der Verarbeitung personenbezogener Daten ist den Aufsichtsbehörden und dem Betroffenen verpflichtet, die Einhaltung der Grundsätze der DSGVO nachzuweisen. Dieser Nachweis kann anhand eines Verzeichnisses von Verarbeitungstätigkeiten erfolgen, umfasst allerdings zumeist ein umfassendes Datenschutzkonzept. Sollte es zu Datenschutzverletzungen kommen, sind diese unverzüglich zu melden.

Zusammenfassung Grundsätze der DSGVO für Selbstständige

Demnach sollten Sie zunächst überlegen, ob Sie im Arbeitsalltag Daten anderer Personen erheben, auswerten oder speichern? Wenn ja, dann gilt die DSGVO selbstverständlich auch für Sie und Ihr Unternehmen.

Das ist übrigens unabhängig davon, ob Sie täglich Daten von nur fünf oder fünfhundert Kunden verarbeiten. Nur wenn sie lediglich als Privatperson Daten verarbeiten, beispielsweise den Geburtstag eines Freundes in Ihrem Computer notieren, sind Sie nicht zur Einhaltung der Datenschutzgrundsätze der DSGVO verpflichtet.

So erhalten Sie Hilfe bei der Umsetzung der DSGVO für Ihr Kleinunternehmen

Damit kommen auf Sie umfangreiche Datenschutzvorkehrungen zu und im Zweifel können auch Sie bei Datenschutzverletzungen sanktioniert werden.

Freiberufler und Selbstständige erhalten Hilfe zur DSGVO.

Anlaufstellen zum Thema Datenschutz

Wenn Sie wissen, wie Sie am besten vorgehen müssen, ist es gar nicht schwer, spätestens jetzt mit Einführung der DSGVO einen umfangreichen Datenschutz in Ihrem Unternehmen zu etablieren. Diese kostenlose DSGVO Checkliste zum Downloaden hilft Ihnen Schritt für Schritt, ein detailliertes Datenschutzkonzept auszuarbeiten oder Ihr bestehendes zu überprüfen.

Natürlich sollten Sie bei Bedarf jederzeit auch externe Unterstützung suchen. Sie können Experten oder offizielle Datenschutzbeauftragte kontaktieren.

Spezielle Erleichterungen für Klein- und Kleinstunternehmer

Natürlich kann von Ihnen nicht das gleiche Datenschutzmanagement wie von einem großen IT-Unternehmen erwartet werden. Aber das wird es auch nicht! Es ist völlig klar, dass Sie in den meisten Fällen weder das geeignete Personal, noch selbst die Zeit dafür haben.

Es ist kein Datenschutzbeauftragter notwendig

Für Klein- und Kleinstunternehmen muss kein Datenschutzbeauftragte bestellt werden, soweit nicht 20 Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind.

Praxisbeispiel: Sie führen eine Bäckerei mit 3 Bäckern, 1 Konditorin und 5 Verkäuferinnen. Weiterhin gehören zu Ihrem Team 2 Auslieferer. Sie selbst führen die Buchhaltung, kümmern sich um die Aufgaben der Geschäftsleitung und verwalten insbesondere die Kunden- und die Personaldaten.
Damit gibt es in Ihrem Unternehmen 11 Beschäftigte. Dennoch sind nur Sie selbst ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt. Sie müssen keinen Datenschutzbeauftragten benennen.

Aber: Von der Benennung unabhängig ist die Frage der Haftung. Nur der Verantwortliche (meistens der Unternehmer) ist für die Einhaltung der DSGVO zuständig.

Verzeichnis von Verarbeitungstätigkeiten für Kleinunternehmen (Artikel 30 DSGVO)

Für Klein- und Kleinstunternehmen, im Übrigen auch für mittlere Unternehmen mit einer Zahl unter 250 Beschäftigten, ist das Führen eines Verzeichnisses von Verarbeitungstätigkeiten nicht notwendig, wenn keine der folgenden Voraussetzungen vorliegen:

  • Die Datenverarbeitung stellt ein Risiko für die Rechte und Freiheiten des Betroffen dar.
  • Die Datenverarbeitung erfolgt nicht nur gelegentlich.
  • Es werden besonders personenbezogene Daten verarbeitet:
    • Daten, aus denen die rassische und ethnische Herkunft, die politische Meinungen, die religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen
    • genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren
    • Gesundheitsdaten
    • Daten zum Sexualleben oder der sexuellen Orientierung
  • Es werden Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet.

Insgesamt ist diese Ausnahme lediglich ein theoretisches Konstrukt. Jeder Unternehmer, der einen regelmäßigen Geschäftsbetrieb hat, wird auch personenbezogene Daten verarbeiten und damit nicht vom Führen eines Verarbeitungsverzeichnis befreit sein.

Praxisbeispiel: Sie reparieren selbstständig Landwirtschaftsmaschinen auf dem Land. Zu Ihren Kunden zählen die umliegenden Bauern und einige weit entferntere Tierzüchter. Sie selbst führen die Reparaturen durch und geben Ihre Buchhaltung an ein externes Buchhaltungsbüro ab. Termine vergeben Sie nicht. Höchstens ein- bis zweimal im Jahr erreicht Sie ein Auftrag. Sobald ein Bauer einen Defekt bemerkt, lässt er die betroffene Maschine zu Ihnen liefern und Sie beginnen sofort mit der Arbeit. Außer dem Namen erheben Sie nichts. Sie müssten kein Verzeichnis anfertigen, da Sie weder regelmäßig Daten verarbeiten und es sich auch nicht um besonders sensible Daten handelt.

Anders ist das folgende Beispiel: Sie führen ein Kosmetikstudio und bieten neben ästhetischen vor allem medizinische Behandlungen an. Sie haben extra zwei Mitarbeiterinnen, die für Sie die Buchhaltung und Verwaltung übernehmen, mit den Krankenkassen kommunizieren und Rezepte der Kunden bearbeiten. In diesem Falle sollten Sie ein Verzeichnis führen, denn Sie haben zwei Mitarbeiterinnen, die nicht nur gelegentlich Daten verarbeiten, zudem handelt es sich auch um Gesundheitsdaten.

Aber: Gerade wenn Sie nur gelegentlich Daten verarbeiten, wäre es wenig Mühe dennoch ein Verzeichnis von Verarbeitungstätigkeiten anzulegen. So erfüllen Sie nicht nur eine Pflicht aus der DSGVO, sondern erleichtern auch Ihre eigene Organisation und den Umgang mit (Kunden)Daten.

Risikoanalyse und Datenschutz-Folgeabschätzung (Artikel 35 DSGVO)

Für Klein- und Kleinstunternehmen ist eine Datenschutz-Folgenabschätzung verzichtbar, wenn die Datenverarbeitungsvorgänge kein Risiko für den Betroffenen darstellen. Allerdings ist eine Risikoanalyse für jede Verarbeitungstätigkeit angebracht.

Praxisbeispiel: Sie führen ein kleines Geschäft für Einbruchsicherungen. Zu Ihren Kunden zählen ausschließlich führende Wirtschaftsunternehmen. Sie arbeiten mit einer Cloud und speichern darin die Auftragsdaten Ihrer Kunden unverschlüsselt. Dazu zählen auch wichtige Codes, die für die Entsicherung der Alarmgeräte notwendig sind. In diesem Fall besteht ein hohes Risiko, dass diese wichtigen Daten gehackt werden können. Sie sollten eine Datenschutz-Folgenabschätzung durchführen.

Anders verhält es sich auch hier: Sie führen gemeinsam mit Ihrem Bruder eine Dachdeckerei. Ihr Büroangestellter verarbeitet Daten Ihrer Kunden. Diese beziehen sich lediglich auf Namens- und Adressdaten. Sie werden elektronisch verschlüsselt und sicher aufbewahrt. Es besteht kein Risiko für die Daten. Sie müssen keine Datenschutz-Folgenabschätzung anfertigen.

Was Sie auch als Einzelkämpfer unbedingt bzgl. DSGVO beachten müssen

Neben den vorangegangenen Erleichterungen sind dennoch die folgenden Pflichten der DSGVO erheblich. Schauen Sie zunächst, welche Daten an welchen Stellen Ihres Unternehmens verarbeitet werden und wo somit Datenschutz notwendig wird. Es ist durchaus sinnvoll eine Übersicht anzufertigen und zu überlegen, ob die Datenverarbeitungen an jeder Stelle nötig sind. Datenschutz beginnt dort, wo Sie vermeiden, überflüssige Daten Ihrer Kunden zu erheben.

Hier sehen Sie zehn Pflichten der DSGVO, die Sie umsetzen oder über die Sie zumindest nachdenken sollten.
Doch setzen Sie die folgenden Hinweise nicht einfach nur starr um, sondern schauen Sie genau, wie die aktuelle Situation in Ihrem Unternehmen ist. Meistens erfüllen Sie die Voraussetzungen schon und müssen lediglich eine Anpassungen an die DSGVO vornehmen.

Datenverarbeitung nur aufgrund einer Rechtsgrundlage

Überprüfen Sie genau, auf welcher Rechtsgrundlage die Daten verarbeitet werden und ob es wirklich die richtige ist.

Praxisbeispiel: Sie wollen die Kontakt- und Kontodaten eines Kunden erheben, um das von ihm bestellte Holz zu liefern. 

  • Rechtsgrundlage der Vertragserfüllung
    Ohne das Erheben der Daten können Sie dem Kunden das von Ihm bestellte Holz nicht übergeben.
  • Rechtsgrundlage des berechtigten Interesses
    Sie sollten eine Abwägung Ihres Interesses mit dem Interesse des Kunden durchführen und dokumentieren. Da Sie ein Interesse an der Vertragsabwicklung haben und nur mit Erhebung der Daten Ihr Geschäft betreiben können, überwiegen Ihre Interessen das allgemeine Schutzbedürfnis Ihres Kunden. Zudem ist auch er an dem Erhalt des Holzes interessiert.
  • Rechtsgrundlage der Einwilligung
    Eine Einwilligung des Kunden ist stets denkbar.

Sollten Sie Einwilligungen der Betroffenen als Rechtsgrundlagen nutzen, so prüfen Sie zuerst die bestehenden Einwilligungen auf die Übereinstimmung mit der DSGVO und holen im Zweifel neue ein.

Was muss eine DSGVO-konforme Einwilligung enthalten?

  1. Zunächst muss der Betroffene mindestens 16 Jahre alt sein oder sich von seinen Eltern vertreten lassen.
  2. Die Einwilligung muss freiwillig erfolgen und darf nicht an die Leistungserbringung gekoppelt sein.
  3. Der Zweck und der Vorgang der Datenerhebung müssen dem Betroffenen mitgeteilt werden.
  4. Auch muss der Betroffene über sein Recht zur Widerrufung der Einwilligung informiert werden.
  5. Bestenfalls sollten Sie sich diese Einwilligung schriftlich gegeben lassen, um Ihren Dokumentationspflichten nachkommen zu können.

Sie sehen, wie kompliziert eine Einwilligung sein kann. In diesem Fall, nutzen Sie die Grundlage der Vertragserfüllung. Die Rechtsgrundlage können Sie übrigens ganz einfach im Verzeichnis von Verarbeitungstätigkeiten dokumentieren.

Auch als Einzelunternehmer ist ein VVT anzufertigen und vorzuhalten.

Gewährleistung angemessener Datensicherheit – TOM für Selbstständige

Die Datenverarbeitungsvorgänge müssen eine angemessene Datensicherheit vorweisen können. Das umfasst zunächst das Einsetzen einer datenschutzfreundlichen Technik. Sie sollten Voreinstellungen treffen, die die Daten schon von Beginn pseudonymisieren oder anonymisieren. Nutzen Sie geeignete Firewalls und Virenprogramme. Auch sollten Sie die eingesetzten Programme auf Ihre Aktualität und Verbesserungen überprüfen und nicht stets die voreingestellten Standardeinstellungen nutzen.

Ein weiteres wichtiges Prinzip ist der Grundsatz der Datenminimierung. Sie sollten nur Daten erheben und speichern, die Sie wirklich für den Zweck der Datenverarbeitung benötigen. Prüfen Sie daher alle Kontaktformulare oder Fragebögen auf Ihre Erforderlichkeit und löschen Sie gegebenenfalls überflüssige Daten.

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO verlangt eine umfassende Dokumentation der Verarbeitungsvorgänge von Ihnen.

Die meisten Einzelunternehmer, von Blogger bis Existenzgründer, verarbeiten allein schon regelmäßig personenbezogene Daten. Beispielsweise Ihre Webseite mit einem darauf eingerichteten Kontaktformular oder das Nutzen von Google Analytics auf Ihrer Webseite ist eine solche regelmäßige Datenverarbeitung. Aber auch das Führen Ihrer Buchhaltung stellt eine Datenverarbeitung von Kunden- und Mitarbeiterdaten dar.

Damit soll Ihnen hier dennoch ein kurzer Überblick über ein solches Verzeichnis gegeben werden. Ein Verzeichnis von Verarbeitungstätigkeiten ist eine umfassende Dokumentierung aller Verarbeitungsprozesse in Ihrem Unternehmen. Darin sind alle Prozesse aufgegliedert, die Daten erheben, speichern, löschen und vieles mehr. Benennen Sie zunächst den Verarbeitungsprozess und ordnen Sie diesem dann mindestens einen Verarbeitungszweck, eine Betroffenengruppe und die verarbeiteten Daten(kategorie) zu.

Praxisbeispiel: Die E-Mail-Kommunikation mit Kunden könnte einen solchen Verarbeitungsprozess darstellen. Es wird wie folgt notiert:

  • Zwecke der Verarbeitungstätigkeit: interne und externe Kommunikation zur Abwicklung des Kaufvorganges, Bearbeiten der Anfragen von Interessenten
  • Betroffenengruppe: Kunden, Interessenten, Lieferanten, Mitarbeiter
  • Empfängergruppe: weitere Mitarbeiter oder externe Geschäftspartner
  • Datenkategorien: Vor- und Zuname, E-Mail-Adresse, IP-Adresse, ggf. weitere Kontaktdaten
  • Zulässigkeit der Datenverarbeitung: Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen notwendig (Artikel 6 Absatz 1 Buchstabe f DSGVO).
  • Interessenabwägung: damit ist eine Interessenabwägung notwendig (weitere Informationen zum Thema Berechtigtes Interesse und Interessenabwägung nach DSGVO)

In der Mustergliederung Verzeichnis von Verarbeitungstätigkeiten können Sie nachlesen, wie genau ein solches Verzeichnis anzufertigen ist. Weitere Beispiele für Verarbeitungstätigkeiten nach DSGVO finden Sie hier.

Technische und organisatorische Maßnahmen (Artikel 32 DSGVO)

Der Verantwortliche der Datenverarbeitung ist verpflichtet, alle geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten.

Technische Maßnahmen sind alle real umsetzbaren Vorkehrungen, wie beispielsweise die tatsächliche Sicherung der Räumlichkeiten oder die Installierung geeigneter Firewalls und IT-Systeme. Organisatorische Maßnahmen umfassen hingegen Verfahrensanweisungen, wie die Festlegung von Regelung zur Administration von Besuchern oder die Festlegung von regelmäßigen Sicherheitskontrollen.

Welche Vorkehrungen das im Einzelnen sind, ist von Ihrem Unternehmen und der konkreten Situation abhängig. Bewerten Sie zunächst die einzelnen Verarbeitungsvorgänge bezüglich des Risikos einer Datenverletzung und wählen Sie anschließend geeignete Maßnahmen um die Realisierung des Risikos zu verhindern.

Die DSGVO selbst nennt einige Bereiche, in denen Sie die Datensicherheit auf jeden Fall überprüfen sollten:

Vertraulichkeit der Datenverarbeitung

Die Datenverarbeitung sollte nicht ohne Zutritts-, Zugangs- und Zugriffskontrollen stattfinden.

  • Zutrittskontrolle
    Es soll vermieden werden, dass Unbefugte sich Zutritt zu Ihren Datenverarbeitungsanlagen verschaffen können.
    Beispiele: Alarmanlagen einrichten, Pförtner engagieren, Ausweissysteme installieren
    Zugangskontrolle
  • Es soll vermieden werden, dass Unbefugte Zugriff auf die einzelnen Verarbeitungssysteme erhalten.
    Beispiel: Firewall installieren, Bildschirmsperren einrichten, sichere Passwörter entwerfen (Mehr dazu: Wie Sie ein sicheres Passwort nach DSGVO vergeben inkl. Vorlage für eine Richtlinie)
  • Zugriffskontrolle Es soll vermieden werden, dass Datenverarbeiter auf mehr Daten zugreifen können, als für die sie befugt sind.
    Beispiele: Löschung alter Datenträger, Abschließen von Dokumenten in Schränken

Integrität der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten darf nicht unbefugt erfolgen. Sie muss nachvollziehbar und transparent erfolgen.

  • Weitergabekontrolle
    Es soll vermieden werden, dass die Daten während des Transportes von Unbefugten Dritten missbraucht werden.
    Beispiele: Liste von allen Übermittlungen anfertigen, Daten verschlüsseln, sichere Transportbehälter nutzen.
  • Eingabekontrolle
    Es soll vermieden werden, dass die Daten von Unbefugten im Verarbeitungssystem verändert werden.
    Beispiel: Aufzeichnen wer in das Datenverarbeitungssystem zugreift
  • Verfügbarkeitskontrolle
    Es soll vermieden werden, dass die Daten durch zufällige Störungen beschädigt oder zerstört werden.
    Beispiel: regelmäßige Sicherungen anfertigen

Verfügbarkeit der Datenverarbeitung

Auch im Falle von Störungen sollten Sie sicherstellen, dass die personenbezogenen Daten gesichert sind und nicht verloren gehen können.
Maßnahmen: regelmäßige Back-Ups, Tresore für Akten

Belastbarkeit der Datenverarbeitungssysteme

Die Systeme sollten regelmäßig auf ihre Belastbarkeit überprüft werden.

Pseudonymisierung

Personenbezogene Daten werden so verändert, dass diese nicht mehr ohne unverhältnismäßigen Aufwand einer natürlichen Person zugeordnet werden können.
Beispiel: Ersetzen des Namens durch eine Kenn-ID

Verschlüsselung

Personenbezogene Daten werden so verändert, dass diese nur noch mit einem Schlüssel lesbar sind.
Beispiel: SSL-Verschlüsselung der Daten

Regelmäßige Kontrolle und Überprüfung

Sie sollten die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen.

Risikoanalyse und Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)

Identifizieren Sie mögliche Risiken bei den Verarbeitungsvorgängen. Dies passiert durch eine einfache Klassifikation der Risiken mit Hilfe von Schwere des Schadens und Eintrittswahrscheinlichkeit, einer sog. Risikomatrix.

Sollten Sie besonders risikoreiche Datenverarbeitungsvorgänge betreiben, trifft Sie die Pflicht, vor der Verarbeitung eine Datenschutzfolgen-Abschätzung durchzuführen.
Unter Offizielles Kurzpapier der DSK finden Sie eine Liste mit Datenverarbeitungsvorgängen, für die eine solche DSFA erforderlich ist.

Gehen Sie anschließend wie folgt vor:

Zunächst analysieren Sie die Verarbeitungsvorgänge Ihres Unternehmens nach Art der Daten, Zweck, getroffenen Datensicherheitsmaßnahmen und so weiter.
Bewerten Sie anschließend das Risiko einer Datenschutzverletzung. Wie hoch ist dieses Risiko? Ist es ein allgemein zu erwartendes Risiko? Welche Gefahren drohen?

Birgt die Datenverarbeitung hohe oder gar sehr hohe Risiken für die Rechte von Betroffenen, sind geeignete technische und organisatorische Maßnahmen durchzuführen. Wenn das Risiko auch durch diese Maßnahmen nicht verringert werden kann, muss die Aufsichtsbehörde hinzugezogen werden.

Auftragsverarbeitungsvertrag (Artikel 28 DSGVO)

Die personenbezogenen Daten müssen nicht zwingend von Ihnen persönlich verarbeitet werden. Dazu können Sie einen Auftragsverarbeiter einschalten. Das sind externe Dienstleister, die für Sie tätig werden (beispielsweise. externe Buchhalter oder Clouddienste). Zwischen Ihnen und Ihrem Auftragsverarbeiter muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen. Diesen Vertrag sollten Sie gut dokumentieren, um Ihre Nachweispflichten zu erfüllen.

Dieser Vertrag regelt, wie und in welchem Umfang der Auftragsdatenverarbeiter die Daten verarbeitet. Folgende Voraussetzungen sind in ihm zu notieren:

  • der Gegenstand und der Zweck der Datenverarbeitung
  • die Dauer der Verarbeitung
  • die Datenkategorie
  • Verpflichtung der Beteiligten zu Vertraulichkeit und Integrität
  • ergriffene technische und organisatorische Maßnahmen
  • Verpflichtung des Auftragsverarbeiters bei der Durchführung von Betroffenenanfragen und bei der Meldung von Datenschutzverletzungen mitzuwirken
  • Verpflichtung zur Löschung der Daten nach Abschluss der Auftragsdatenverarbeitung

Zusammengefasst kann gesagt werden, dass den Auftragsverarbeiter die gleichen Pflichten nach der DSGVO treffen, wie Sie. Er muss sowohl die DSGVO-Grundsätze, die Angemessenheit der Datensicherheit sowie technische und organisatorische Maßnahmen einhalten und die Rechte der Betroffenen wahren. Seien Sie sich bewusst, dass Sie für die Einhaltung der DSGVO durch den Auftragsdatenverarbeiter verantwortlich sind. Hier erhalten Sie weitere Informationen AV Vertrag nach Art. 28 DSGVO abschließen.

Auch Selbstständige müssen ihren Internetauftritt anpassen und DSGVO konform machen.

Internetauftritt

Der Betroffene muss über die Verarbeitung seiner personenbezogenen Daten informiert werden. Auch bei Webseiten und anderen Internetauftritten müssen Sie eine Datenschutzerklärung führen und damit dem Betroffenen die Datenverarbeitung offenlegen. Diese Datenschutzerklärung muss bei jedem ersten Kontakt mit Kunden zur Kenntnis genommen werden können. Eine allgemeine Veröffentlichung der Erklärung auf Ihrer Website ist zudem möglich. Im besten Fall hängen Sie nach jedem Vertragsschluss eine Version Ihrer allgemeinen Datenschutzbestimmungen an.

Der folgende Inhalt sollte in jedem Fall enthalten sein:

  • Ihre Kontaktdaten und gegebenenfalls die Ihres Datenschutzbeauftragten
  • Art der Datenverarbeitung, die Rechtsgrundlage, die Dauer der Speicherung und eine eventuelle Weitergabe an Dritte
  • Die Rechte des Betroffenen müssen erklärt werden- im Speziellen das Recht auf Auskunft, das Recht auf Löschung der Daten, das Widerspruchsrecht gegen die Datenverarbeitung und das
  • Recht auf Datenübertragbarkeit

Erstellen Sie so schnell wie möglich eine solche Datenschutzerklärung oder gleichen Sie Ihre bestehende an die DSGVO an.

Datenschutzbeauftragter

Sollten Sie in großem Umfang personenbezogene Daten verarbeiten (und nicht die oben bereits erwähnte Erleichterung zugute kommen), müssen Sie einen Datenschutzbeauftragten ernennen.
Zunächst müssen Sie eine geeignete Person ernennen, die ein ausreichendes Fachwissen vorweisen kann. Das kann einer Ihrer Mitarbeiter oder ein externer Fachmann sein. Dieser ist anschließend der zuständigen Aufsichtsbehörde zu melden.

Betroffenenrechte

Schließlich müssen Sie die umfangreichen Rechte der Betroffenen wahren. Sie sollten im Ernstfall in der Lage sein, der Wahrnehmung dieser Rechte ordnungsgemäß nachkommen zu können. Sie haben dazu grundsätzlich einen Monat Zeit. Auch hier wird deutlich, dass das Führen eines Verzeichnisses von Verarbeitungstätigkeiten oder ein anderweitig organisiertes Datenmanagementsystem durchaus hilfreich ist, um dieser Pflicht schnell und ohne Mühen nachkommen zu können.

  • Auskunftsrecht in Artikel 15 DSGVO:
    Der Betroffene darf jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten zu welchen Zwecken und wie lang verarbeitet werden.
  • Recht auf Berichtigung in Artikel 16 DSGVO:
    Die DSGVO verpflichtet den Datenverarbeiter zur Integrität der zu verarbeiteten Daten. Der Betroffene kann zudem selbst verlangen, dass unrichtige oder unvollständige Daten korrigiert bzw. ergänzt werden.
  • Recht auf Löschung und Vergessenwerden in Artikel 17 DSGVO:
    Die DSGVO verpflichtet den Datenverarbeiter dazu, Daten, die für den Zweck der Verarbeitung nicht mehr erforderlich sind, zu löschen. Der Betroffene kann zudem selbst verlangen, dass diese Daten gelöscht werden. Wurden diese Daten zuvor veröffentlicht oder weitergegeben, müssen auch an diesen Stellen die Daten unwiderruflich gelöscht werden.
  • Recht auf Einschränkung der Verarbeitung in Artikel 18 DSGVO:
    Der Betroffene kann von Ihnen die Einschränkung der Verarbeitung seiner Daten verlangen, wenn Streitigkeiten oder Zweifel über die Rechtmäßigkeit der Verarbeitung bestehen.
  • Recht auf Datenübertragbarkeit in Artikel 20 DSGVO:
    Weiterhin kann der Betroffene verlangen, dass Sie die personenbezogenen Daten in einem gängigen und strukturierten Format ihm selbst oder einem anderen Verantwortlichen gegenüber aushändigen.
  • Recht auf Widerspruch in Artikel 21 DSGVO:
    Der Betroffene kann gegen die Datenverarbeitung aus öffentlichem oder berechtigtem Interesse widersprechen. Können Sie nicht nachweisen, dass Ihr eigenes Interesse an der Verarbeitung überwiegt, dürfen Sie die Verarbeitung nicht weiterführen.

Schulung der Mitarbeiter

Es ist allein nicht ausreichend, dass Sie sich selbst umfassend über die DSGVO informieren. Sie sind für das Handeln Ihrer Mitarbeiter verantwortlich und müssen demnach auch Ihre Mitarbeiter ausreichend schulen. Schließlich sind auch sie es, die die personenbezogenen Daten verarbeiten oder die Betroffenenanfragen bearbeiten.
Geeignete Maßnahmen sind zunächst eine Schulung aller Mitarbeiter und das Erstellen eines Datenschutzkonzeptes für Ihr Unternehmen. Hängen Sie dieses öffentlich aus und lassen Sie sich die Kenntnis von allen bestätigen.

Das sind die Folgen für Einzelunternehmer und Kleinstunternehmen bei Verletzungen der DSGVO

Verstöße gegen die DSGVO können zum Teil sehr hart geahndet werden. Diese vier Sanktionen können relevant sein:

  • Bußgelder (Artikel 83 DSGVO)
    Besonders vor den immens hohen Bußgeldern haben viele Unternehmer Angst. Geldstrafen in Höhe von 10 bis 20 Millionen Euro oder 2 bis 4 Prozent des Jahresumsatzes ausfallen. Das ist nicht nur bei schwerwiegenden Verstößen einschlägig, sondern grundsätzlich auch, wenn beispielsweise nur datenschutzfreundliche Voreinstellungen Ihrer Webseite fehlen.
  • Strafrechtliche Sanktionen (Artikel 42 BDSG)
    Die DSGVO enthält in Artikel 84 eine Öffnungsklausel. Das bedeutet, dass sie den einzelnen nationalen Staaten erlaubt, Regelungen für Sanktionen außerhalb von Bußgeldern, zu erlassen. Der Artikel 42 BDSG verhängt für die Missachtung der Datenschutz-Grundsätze 2 bis 3 Jahre Haft.
  • Schadenersatzansprüche
    Schadensersatzansprüche insbesondere der Betroffenen sind stets möglich.
  • Anordnungen der Aufsichtsbehörde
    Die Aufsichtsbehörde kann Datenverletzung lediglich rügen, in dem sie die sofortige Einhaltung der DSGVO-Grundsätze verlangt oder ein Verbot weiterer Datenverarbeitungsvorgänge anordnet. Es ist jedoch nicht zu vernachlässigen, dass ein Aktivwerden der Aufsichtsbehörden gegen Ihr Unternehmen nicht ohne mediale Aufmerksamkeit erfolgen wird und Ihnen schon kleine Fehler große Wettbewerbsnachteile bringen können.

Allerdings ist realistisch gesehen nicht zu erwarten, dass Einzelunternehmen eine Strafe in Millionenhöhe erwartet. Die Strafen in Höhe von bis zu 20 Millionen Euro oder 4 Prozent Jahresumsatz treffen eher Großunternehmen. Dennoch darf nicht vergessen werden, dass neben den Geldstrafen weitere Sanktionen denkbar sind, die auch Einzelunternehmer treffen können.

Die vier wichtigsten Fragen zum Thema DSGVO in Einzelunternehmen

Trifft mich die DSGVO auch als Kleinunternehmer?

Jedes Unternehmen unabhängig seiner Art und Größe ist von der DSGVO betroffen- auch Sie als Kleinunternehmer.

Was ist das Wichtigste der DSGVO im Überblick?

Genau wie jeder andere Unternehmer sind Sie dafür verantwortlich, den Datenschutz und die Datensicherheit in Ihrem Unternehmen zu verankern.
Dazu zählt im Besonderen die Einhaltung der Datenschutzgrundsätze der Rechtmäßigkeit, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Vertraulichkeit der Datenverarbeitung, sowie eine umfassende Rechenschaft für die Einhaltung des Datenschutzes und der Betroffenenrechte.

Gibt es Unterschiede der DSGVO bei Kleinunternehmen und Großunternehmen?

Grundsätzlich gilt die DSGVO uneingeschränkt für alle Unternehmen. Insbesondere gibt es jedoch drei wesentliche Erleichterungen für Kleinunternehmer. Sie können unter Umständen von der Pflicht zur Bestellung einen Datenschutzbeauftragten, dem Führen eines Verzeichnisses für Verarbeitungstätigkeiten und der Durchführung einer Datenschutz-Folgenabschätzung befreit sein.

Treffen mich auch als Kleinunternehmer Sanktionen?

Die in der DSGVO aufgeführten Sanktionen treffen auch jedes von ihr umfasstes Unternehmen. Allerdings ist nicht davon auszugehen, dass Sie als Kleinunternehmer Strafen in Millionenhöhe erwartet.

Fazit: die DSGVO gilt für jeden Unternehmer!

Datenschutz? Zu Unrecht schrecken viele Kleinunternehmer davor zurück. Das Image eines pedantischen und aufwendigen Vorgehens hält sich hartnäckig. Dabei ist das alles andere als das. Selbst wenn Sie ein umfangreiches Datenschutzkonzept etablieren, werden Sie merken, dass es gar nicht schwer ist. Es wird Ihnen Ihre tägliche Arbeit erleichtern, in dem es nicht nur Ihre eigene Organisationsstruktur vereinfacht, in dem Datensätze schneller und übersichtlicher erreichbar sind, sondern gleichzeitig auch die Pflichten der DSGVO erfüllt. Je bewusster und intensiver Sie sich damit beschäftigen, umso mehr Routine werden Sie im Umgang mit dem Datenschutz bekommen.

Der Artikel sollte Ihnen dabei helfen und einen ersten umfassenden Überblick verschaffen. Sie können zudem detaillierte Vorlagenpakete mit Mustern und weiteren Informationen erwerben.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://www.lda.bayern.de/media/muster_2_kfz-werkstatt.pdf

https://www.stuttgart.ihk24.de/Fuer-Unternehmen/recht_und_steuern/Datenschutzrecht/ihk-merkblaetter-dsgvo/datenschutz-fuer-kleine-unternehmen/3935426