Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung.
Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der DSGVO.
Die meisten Artikel und Auskünfte im Internet sind jedoch nur für große Unternehmen geschrieben, was viele Einzelunternehmer verunsichert. Dieser Artikel soll endlich die Informationen beinhalten und die Fragen klären, die nur Sie sich als Gründer, Freiberufler oder Kleinunternehmer stellen.
In diesem Artikel erfahren Sie insbesondere:
- die wichtigsten Datenschutzgrundsätze und Pflichten, die auch Sie einhalten müssen
- was Sie als Kleinstunternehmen, Einzelunternehmer und Selbstständiger im Besonderen beachten müssen
- und inwieweit für Sie Erleichterungen bei der Einhaltung der DS-GVO bestehen
Inhalte
- Die Grundsätze für den Datenschutz für kleine Unternehmen
- So erhalten Sie Hilfe bei der Umsetzung der DSGVO für Ihr kleines Unternehmen
- Was Sie auch als Einzelkämpfer unbedingt bzgl. DSGVO beachten müssen
- Datenverarbeitung nur aufgrund einer Rechtsgrundlage
- Verzeichnis von Verarbeitungstätigkeiten
- Technische und organisatorische Maßnahmen für kleine Unternehmen (Artikel 32 DSGVO)
- Risikoanalyse und Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)
- Auftragsverarbeitungsvertrag (Artikel 28 DSGVO)
- Internetauftritt – Die Datenschutzerklärung für Kleine Unternehmen
- Datenschutzbeauftragter
- Betroffenenrechte
- Schulung der Mitarbeiter
- Einsatz von KI in kleinen Unternehmen
- Das sind die Folgen für Einzelunternehmer und Kleinunternehmen bei Verletzungen der DSGVO
- Die vier wichtigsten Fragen zum Thema DSGVO in Einzelunternehmen
- Fazit: die DSGVO gilt für jeden Unternehmer!
- Quellen und weiterführende Literatur
Die Grundsätze für den Datenschutz für kleine Unternehmen
Für Sie als Selbstständige oder Kleinunternehmer gelten die Grundsätze der DSGVO genau so wie für den großen internationalen Konzern. Sie sollten diese also zumindest kennen, um sich an diesen zu orientieren.
Wer muss die DSGVO einhalten?
Praxisbeispiel: Sie führen einen kleinen Buch- und Schreibwarenladen und sind sich unsicher, ob Sie von der DSGVO überhaupt betroffen sind?
Dann sollten Sie bedenken, dass die Datenschutzgesetzgebung nicht nur die großen Unternehmen trifft. Die Verpflichtungen der DSGVO erstrecken sich auf alle Unternehmen, unabhängig ihrer Größe oder Branche. Die DS-GVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten.
Ein mittleres Unternehmen unterscheidet sich von einem Großunternehmen nach der Anzahl der Beschäftigten und der Erwirtschaftungen.
Es liegt bei einer Beschäftigung von allenfalls 249 Personen und einem Jahresumsatz von höchstens 50 Millionen Euro sowie einer Jahresbilanzsumme von höchstens 43 Millionen Euro vor.
Kleine Unternehmen, wenn weniger als 50 Personen beschäftigt werden und ein Jahresumsatz sowie eine Jahresbilanzsumme von höchstens 10 Millionen Euro erwirtschaftet wird.
Ein Kleinstunternehmen beschäftigt hingegen weniger als 10 Personen und erwirtschaftet einen Jahresumsatz sowie eine Jahresbilanzsumme von höchstens 2 Millionen Euro.
Unter diesem Begriff sind ebenso Freiberufler, anderweitig Selbstständige oder Existenzgründer inbegriffen. Es ist auch nicht ausschlaggebend, ob Sie einen Online Shop für Hundespielzeug oder eine Tischlerei führen oder gründen wollen.
Zurück zum Praxisbeispiel: Sollten Sie also in Ihrem Buch- und Schreibwarengeschäft drei Vollzeitangestellte und zwei Aushilfen beschäftigen und jährlich einen Umsatz 300.000 Euro erwirtschaften, zählen Sie als Kleinstunternehmen, müssen aber dennoch die DSGVO beachten.
Was muss ich als kleines Unternehmen beim Datenschutz nach DSGVO beachten?
Das Datenschutzgesetz führt sieben elementare Grundsätze in Artikel 5 Absatz 1 DSGVO an, die Sie unbedingt einhalten müssen, um den Datenschutz für kleine Unternehmen einzuhalten.
Wenn Sie sich an die elementaren Grundsätze der DSGVO halten, können Sie auch als kleines Unternehmen die DSGVO gut einhalten.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Die Verarbeitung der personenbezogenen Daten muss zunächst auf einer Rechtsgrundlage beruhen. Das bedeutet, dass Sie nicht einfach die Daten anderer willkürlich und ohne Grund erheben dürfen.Taugliche Rechtsgrundlagen sind:
- Erfüllung eines Vertrags oder vorvertraglicher Maßnahme – Es werden zur Vertragsanbahnung Kontaktdaten erhoben.
- Rechtliche Verpflichtung – Die Kontodaten des Käufers müssen gespeichert und aufbewahrt werden, um der Buchführungspflicht nachzukommen.
- Berechtigtes Interesse des Verantwortlichen oder eines Dritten, ohne dass die Interessen des Betroffenen überwiegen – Der Verantwortliche benutzt Tracking auf seiner Webseite, um sein Marketing verbessern zu können. Dies erfolgt anonym, sodass keine Bedenken für Betroffene bestehen.
- Schutz lebenswichtiger Interessen – Die Blutgruppe eines Schwerverletzten wird an Dritte weitergereicht, um ihm eine überlebenswichtige Transfusion zu geben.
- Öffentliches Interesse – Der Name des neuen Kämmerers einer Stadt wird durch die Presse veröffentlicht, da ein allgemeines öffentliches Interesse daran besteht.
- Wenn keine der Grundlagen einschlägig ist, kann die Datenverarbeitung auch aufgrund einer Einwilligung des Betroffenen erfolgen.
Zweckbindung
Die Verarbeitung der personenbezogenen Daten darf nur für einen eindeutigen und zuvor festgelegten Zweck erfolgen, der dem Betroffenen mitgeteilt wird. Der Datenverarbeiter bleibt grundsätzlich an diesen Zweck gebunden.
Datenminimierung
Die Verarbeitung der personenbezogenen Daten ist auf das nach dem Zweck angemessene und erforderliche Maß zu beschränken. Das bedeutet, dass der Zweck der Datenverarbeitung nicht auch schon mit weniger zu erhebenden Daten erreichbar sein darf.
Richtigkeit
Die personenbezogenen Daten müssen während der Verarbeitung stets richtig und auf dem neusten Stand sein. Sollten unrichtige Daten verarbeitet werden, so müssen diese unverzüglich korrigiert werden.
Speicherbegrenzung
Die personenbezogenen Daten dürfen nicht länger als für den Zweck notwendig verarbeitet werden. Andernfalls sind sie zu löschen. Lediglich ordnungsgemäß gesicherte, d.h. anonymisierte Daten oder Daten mit öffentlichem Interesse an Archivierung oder Forschung müssen nicht gelöscht werden.
Integrität und Vertraulichkeit
Die personenbezogenen Daten müssen vor unrechtmäßiger Datenverarbeitung oder Datenzerstörung gesichert werden. Dieses angemessene Datensicherheitsniveau kann mittels technischer und organisatorischer Maßnahmen erfolgen.
Rechenschaftspflicht
Der Verantwortliche der Verarbeitung personenbezogener Daten ist den Aufsichtsbehörden und dem Betroffenen verpflichtet, die Einhaltung der Grundsätze der DSGVO nachzuweisen. Dieser Nachweis kann anhand eines Verzeichnisses von Verarbeitungstätigkeiten erfolgen, umfasst allerdings zumeist ein umfassendes Datenschutzkonzept. Sollte es zu Datenschutzverletzungen kommen, sind diese unverzüglich zu melden.
So erhalten Sie Hilfe bei der Umsetzung der DSGVO für Ihr kleines Unternehmen
Die Umsetzung der DSGVO in Ihrem Unternehmen mag zunächst herausfordernd erscheinen, doch es gibt zahlreiche offizielle Anlaufstellen, die Ihnen mit Rat und Tat zur Seite stehen.
Landesdatenschutzbehörden, Industrie- und Handelskammern (IHK) sowie Berufsverbände bieten wertvolle Unterstützung durch Informationsmaterialien, Beratungen und oft auch kostenlose Leitfäden speziell für Kleinunternehmen an.
Anlaufstellen zum Thema Datenschutz
Da Sie jetzt die Grundlagen der DSGVO kennen, gilt es jetzt mit Hilfe von externen Ressourcen Ihr Datenschutzprojekt anzugehen. Diese kostenlose DSGVO Checkliste zum Downloaden hilft Ihnen Schritt für Schritt, ein detailliertes Datenschutzkonzept auszuarbeiten oder Ihr bestehendes zu überprüfen.
Natürlich sollten Sie bei Bedarf jederzeit auch externe Unterstützung suchen. Sie können Experten oder offizielle Datenschutzbeauftragte kontaktieren.
- Hilfreich ist zunächst Ihr Branchenverband (wie bspw. der Bundesverband der Freien Berufe oder der Zentralverband des Deutschen Handwerks). Oftmals bieten diese kostenlose Muster und Leitfäden an oder beraten Sie.
- Weiterhin sind die Landesdatenschutzbehörden die nächsten Ansprechpartner. Sie stellen hilfreiche Informationen auf den jeweiligen Webseiten zur Verfügung. (Homepage – Liste der Landesdatenschutzbeauftragten)
- Auch der Internetauftritt des Bundesdatenschutzbeauftragten kann Ihnen weitere Auskünfte geben.
- Besonders viele Informationen bietet das BayLDA zum Thema Informationen für kleine Unternehmen.
Spezielle Erleichterungen für Klein- und Kleinstunternehmer
Natürlich wird von Ihnen nicht das gleiche Datenschutzmanagement wie von einem großen IT-Unternehmen erwartet. Das ist verständlich, da Sie als Kleinunternehmer in den meisten Fällen weder das geeignete Personal noch die Zeit dafür haben.
Es ist oft kein Datenschutzbeauftragter für kleine Unternehmen lt DSGVO notwendig
Für Klein- und Kleinstunternehmen muss kein Datenschutzbeauftragte bestellt werden, soweit nicht 20 Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind.
Praxisbeispiel: Sie führen eine Bäckerei mit 3 Bäckern, 1 Konditorin und 5 Verkäuferinnen. Weiterhin gehören zu Ihrem Team 2 Auslieferer. Sie selbst führen die Buchhaltung, kümmern sich um die Aufgaben der Geschäftsleitung und verwalten insbesondere die Kunden- und die Personaldaten.
Damit gibt es in Ihrem Unternehmen 11 Beschäftigte. Dennoch sind nur Sie selbst ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt. Sie müssen keinen Datenschutzbeauftragten benennen.
Aber: Von der Benennung unabhängig ist die Frage der Haftung. Nur der Verantwortliche (meistens der Unternehmer) ist für die Einhaltung der DSGVO zuständig.
Verzeichnis von Verarbeitungstätigkeiten für kleine Unternehmen (Artikel 30 DSGVO)
Für Klein- und Kleinstunternehmen sowie für mittlere Unternehmen mit weniger als 250 Beschäftigten gelten Erleichterungen. Sie müssen kein Verzeichnis von Verarbeitungstätigkeiten führen, es sei denn, eine der folgenden Voraussetzungen liegt vor:
- Die Datenverarbeitung stellt ein Risiko für die Rechte und Freiheiten des Betroffen dar.
- Die Datenverarbeitung erfolgt nicht nur gelegentlich.
- Es werden besonders personenbezogene Daten verarbeitet:
- Daten, aus denen die rassische und ethnische Herkunft, die politische Meinungen, die religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen
- genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
- Es werden Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet.
Insgesamt ist diese Ausnahme lediglich ein theoretisches Konstrukt. Jeder Unternehmer, der einen regelmäßigen Geschäftsbetrieb hat, wird auch personenbezogene Daten verarbeiten und damit nicht vom Führen eines Verarbeitungsverzeichnis befreit sein.
Praxisbeispiel: Sie reparieren selbstständig Landwirtschaftsmaschinen auf dem Land. Zu Ihren Kunden zählen die umliegenden Bauern und einige weit entferntere Tierzüchter. Sie selbst führen die Reparaturen durch und geben Ihre Buchhaltung an ein externes Buchhaltungsbüro ab. Termine vergeben Sie nicht. Höchstens ein- bis zweimal im Jahr erreicht Sie ein Auftrag. Sobald ein Bauer einen Defekt bemerkt, lässt er die betroffene Maschine zu Ihnen liefern und Sie beginnen sofort mit der Arbeit. Außer dem Namen erheben Sie nichts. Sie müssten kein Verzeichnis anfertigen, da Sie weder regelmäßig Daten verarbeiten und es sich auch nicht um besonders sensible Daten handelt.
Anders ist das folgende Beispiel: Sie führen ein Kosmetikstudio und bieten neben ästhetischen vor allem medizinische Behandlungen an. Sie haben extra zwei Mitarbeiterinnen, die für Sie die Buchhaltung und Verwaltung übernehmen, mit den Krankenkassen kommunizieren und Rezepte der Kunden bearbeiten. In diesem Falle sollten Sie ein Verzeichnis führen, denn Sie haben zwei Mitarbeiterinnen, die nicht nur gelegentlich Daten verarbeiten, zudem handelt es sich auch um Gesundheitsdaten.
Aber: Gerade wenn Sie nur gelegentlich Daten verarbeiten, wäre es wenig Mühe dennoch ein Verzeichnis von Verarbeitungstätigkeiten anzulegen. So erfüllen Sie nicht nur eine Pflicht aus der DSGVO, sondern erleichtern auch Ihre eigene Organisation und den Umgang mit (Kunden)Daten.
Risikoanalyse und Datenschutz-Folgeabschätzung (Artikel 35 DSGVO)
Für Klein- und Kleinstunternehmen ist eine Datenschutz-Folgenabschätzung verzichtbar, wenn die Datenverarbeitungsvorgänge kein Risiko für den Betroffenen darstellen. Allerdings ist eine Risikoanalyse für jede Verarbeitungstätigkeit angebracht.
Praxisbeispiel: Sie führen ein kleines Geschäft für Einbruchsicherungen. Zu Ihren Kunden zählen ausschließlich führende Wirtschaftsunternehmen. Sie arbeiten mit einer Cloud und speichern darin die Auftragsdaten Ihrer Kunden unverschlüsselt. Dazu zählen auch wichtige Codes, die für die Entsicherung der Alarmgeräte notwendig sind. In diesem Fall besteht ein hohes Risiko, dass diese wichtigen Daten gehackt werden können. Sie sollten eine Datenschutz-Folgenabschätzung durchführen.
Anders verhält es sich auch hier: Sie führen gemeinsam mit Ihrem Bruder eine Dachdeckerei. Ihr Büroangestellter verarbeitet Daten Ihrer Kunden. Diese beziehen sich lediglich auf Namens- und Adressdaten. Sie werden elektronisch verschlüsselt und sicher aufbewahrt. Es besteht kein Risiko für die Daten. Sie müssen keine Datenschutz-Folgenabschätzung anfertigen.
Was Sie auch als Einzelkämpfer unbedingt bzgl. DSGVO beachten müssen
Neben den vorangegangenen Erleichterungen sind dennoch die folgenden Pflichten der DSGVO erheblich. Schauen Sie zunächst, welche Daten an welchen Stellen Ihres Unternehmens verarbeitet werden und wo somit Datenschutz notwendig wird. Es ist durchaus sinnvoll eine Übersicht anzufertigen und zu überlegen, ob die Datenverarbeitungen an jeder Stelle nötig sind. Datenschutz beginnt dort, wo Sie vermeiden, überflüssige Daten Ihrer Kunden zu erheben.
Hier sehen Sie zehn Pflichten der Datenschutzgesetzgebung, die Sie umsetzen oder über die Sie zumindest nachdenken sollten.
Doch setzen Sie die folgenden Hinweise nicht einfach nur starr um, sondern schauen Sie genau, wie die aktuelle Situation in Ihrem Unternehmen ist. Meistens erfüllen Sie die Voraussetzungen schon und müssen lediglich eine Anpassungen an die DSGVO vornehmen.
Datenverarbeitung nur aufgrund einer Rechtsgrundlage
Überprüfen Sie genau, auf welcher Rechtsgrundlage die Daten verarbeitet werden und ob es wirklich die richtige ist. Die DSGVO für kleine Unternehmen gilt auch bei der Entscheidung für eine Rechtsgrundlage.
Praxisbeispiel: Sie wollen die Kontakt- und Kontodaten eines Kunden erheben, um das von ihm bestellte Holz zu liefern.
- Rechtsgrundlage der Vertragserfüllung
Ohne das Erheben der Daten können Sie dem Kunden das von Ihm bestellte Holz nicht übergeben. - Rechtsgrundlage des berechtigten Interesses
Sie sollten eine Abwägung Ihres Interesses mit dem Interesse des Kunden durchführen und dokumentieren. Da Sie ein Interesse an der Vertragsabwicklung haben und nur mit Erhebung der Daten Ihr Geschäft betreiben können, überwiegen Ihre Interessen das allgemeine Schutzbedürfnis Ihres Kunden. Zudem ist auch er an dem Erhalt des Holzes interessiert. - Rechtsgrundlage der Einwilligung
Eine Einwilligung des Kunden ist stets denkbar.
Sollten Sie Einwilligungen der Betroffenen als Rechtsgrundlagen nutzen, so prüfen Sie zuerst die bestehenden Einwilligungen auf die Übereinstimmung mit der DSGVO und holen im Zweifel neue ein.
Was muss eine Datenschutz-konforme Einwilligung enthalten?
- Zunächst muss der Betroffene mindestens 16 Jahre alt sein oder sich von seinen Eltern vertreten lassen.
- Die Einwilligung muss freiwillig erfolgen und darf nicht an die Leistungserbringung gekoppelt sein.
- Der Zweck und der Vorgang der Datenerhebung müssen dem Betroffenen mitgeteilt werden.
- Auch muss der Betroffene über sein Recht zur Widerrufung der Einwilligung informiert werden.
- Bestenfalls sollten Sie sich diese Einwilligung schriftlich gegeben lassen, um Ihren Dokumentationspflichten nachkommen zu können.
Sie sehen, wie kompliziert eine Einwilligung sein kann. In diesem Fall, nutzen Sie die Grundlage der Vertragserfüllung. Die Rechtsgrundlage können Sie übrigens ganz einfach im Verzeichnis von Verarbeitungstätigkeiten dokumentieren.
Verzeichnis von Verarbeitungstätigkeiten
Die DSGVO verlangt eine umfassende Dokumentation der Verarbeitungsvorgänge von Ihnen.
Die meisten Einzelunternehmer, von Blogger bis Existenzgründer, verarbeiten allein schon regelmäßig personenbezogene Daten. Beispielsweise Ihre Webseite mit einem darauf eingerichteten Kontaktformular oder das Nutzen von Google Analytics auf Ihrer Webseite ist eine solche regelmäßige Datenverarbeitung. Aber auch das Führen Ihrer Buchhaltung stellt eine Datenverarbeitung von Kunden- und Mitarbeiterdaten dar.
Damit soll Ihnen hier dennoch ein kurzer Überblick über ein solches Verzeichnis gegeben werden. Ein Verzeichnis von Verarbeitungstätigkeiten ist eine umfassende Dokumentierung aller Verarbeitungsprozesse in Ihrem Unternehmen. Darin sind alle Prozesse aufgegliedert, die Daten erheben, speichern, löschen und vieles mehr. Benennen Sie zunächst den Verarbeitungsprozess und ordnen Sie diesem dann mindestens einen Verarbeitungszweck, eine Betroffenengruppe und die verarbeiteten Daten(kategorie) zu.
Praxisbeispiel: Die E-Mail-Kommunikation mit Kunden könnte einen solchen Verarbeitungsprozess darstellen. Es wird wie folgt notiert:
- Zwecke der Verarbeitungstätigkeit: interne und externe Kommunikation zur Abwicklung des Kaufvorganges, Bearbeiten der Anfragen von Interessenten
- Betroffenengruppe: Kunden, Interessenten, Lieferanten, Mitarbeiter
- Empfängergruppe: weitere Mitarbeiter oder externe Geschäftspartner
- Datenkategorien: Vor- und Zuname, E-Mail-Adresse, IP-Adresse, ggf. weitere Kontaktdaten
- Zulässigkeit der Datenverarbeitung: Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen notwendig (Artikel 6 Absatz 1 Buchstabe f DSGVO).
- Interessenabwägung: damit ist eine Interessenabwägung notwendig (weitere Informationen zum Thema Berechtigtes Interesse und Interessenabwägung im Datenschutz)
Technische und organisatorische Maßnahmen für kleine Unternehmen (Artikel 32 DSGVO)
Der Verantwortliche der Datenverarbeitung ist verpflichtet, alle geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten.
Technische Maßnahmen sind alle real umsetzbaren Vorkehrungen, wie beispielsweise die tatsächliche Sicherung der Räumlichkeiten oder die Installierung geeigneter Firewalls und IT-Systeme.
Organisatorische Maßnahmen umfassen hingegen Verfahrensanweisungen, wie die Festlegung von Regelung zur Administration von Besuchern oder die Festlegung von regelmäßigen Sicherheitskontrollen.
Welche Vorkehrungen das im Einzelnen sind, ist von Ihrem Unternehmen und der konkreten Situation abhängig. Bewerten Sie zunächst die einzelnen Verarbeitungsvorgänge bezüglich des Risikos einer Datenverletzung und wählen Sie anschließend geeignete Maßnahmen um die Realisierung des Risikos zu verhindern.
Die DSGVO selbst nennt einige Bereiche, in denen Sie die Datensicherheit auf jeden Fall überprüfen sollten:
Vertraulichkeit der Datenverarbeitung
Die Datenverarbeitung sollte nicht ohne Zutritts-, Zugangs- und Zugriffskontrollen stattfinden.
- Zutrittskontrolle
Es soll vermieden werden, dass Unbefugte sich Zutritt zu Ihren Datenverarbeitungsanlagen verschaffen können.
Beispiele: Alarmanlagen einrichten, Pförtner engagieren, Ausweissysteme installieren
Zugangskontrolle - Es soll vermieden werden, dass Unbefugte Zugriff auf die einzelnen Verarbeitungssysteme erhalten.
Beispiel: Firewall installieren, Bildschirmsperren einrichten, sichere Passwörter entwerfen (Mehr dazu: Wie Sie ein sicheres Passwort nach DSGVO vergeben inkl. Vorlage für eine Richtlinie) - Zugriffskontrolle Es soll vermieden werden, dass Datenverarbeiter auf mehr Daten zugreifen können, als für die sie befugt sind.
Beispiele: Löschung alter Datenträger, Abschließen von Dokumenten in Schränken
Integrität der Datenverarbeitung
Die Verarbeitung der personenbezogenen Daten darf nicht unbefugt erfolgen. Sie muss nachvollziehbar und transparent erfolgen.
- Weitergabekontrolle
Es soll vermieden werden, dass die Daten während des Transportes von Unbefugten Dritten missbraucht werden.
Beispiele: Liste von allen Übermittlungen anfertigen, Daten verschlüsseln, sichere Transportbehälter nutzen. - Eingabekontrolle
Es soll vermieden werden, dass die Daten von Unbefugten im Verarbeitungssystem verändert werden.
Beispiel: Aufzeichnen wer in das Datenverarbeitungssystem zugreift - Verfügbarkeitskontrolle
Es soll vermieden werden, dass die Daten durch zufällige Störungen beschädigt oder zerstört werden.
Beispiel: regelmäßige Sicherungen anfertigen
Verfügbarkeit der Datenverarbeitung
Auch im Falle von Störungen sollten Sie sicherstellen, dass die personenbezogenen Daten gesichert sind und nicht verloren gehen können.
Maßnahmen: regelmäßige Back-Ups, Tresore für Akten
Belastbarkeit der Datenverarbeitungssysteme
Die Systeme sollten regelmäßig auf ihre Belastbarkeit überprüft werden.
Pseudonymisierung
Personenbezogene Daten werden so verändert, dass diese nicht mehr ohne unverhältnismäßigen Aufwand einer natürlichen Person zugeordnet werden können.
Beispiel: Ersetzen des Namens durch eine Kenn-ID
Verschlüsselung
Personenbezogene Daten werden so verändert, dass diese nur noch mit einem Schlüssel lesbar sind.
Beispiel: SSL-Verschlüsselung der Daten
Regelmäßige Kontrolle und Überprüfung
Sie sollten die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen.
Beachten Sie den Grundsatz der Verhältnismäßigkeit: Die Maßnahmen sollten dem Risiko und Umfang Ihrer Datenverarbeitung angemessen sein. Überprüfen und aktualisieren Sie Ihre TOM regelmäßig, um auf neue Bedrohungen und technologische Entwicklungen reagieren zu können.
Risikoanalyse und Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)
Identifizieren Sie mögliche Risiken bei den Verarbeitungsvorgängen. Dies passiert durch eine einfache Klassifikation der Risiken mit Hilfe von Schwere des Schadens und Eintrittswahrscheinlichkeit, einer sog. Risikomatrix.
Bei besonders risikoreichen Datenverarbeitungsvorgängen müssen Sie vor der Verarbeitung eine Datenschutzfolgen-Abschätzung durchführen.
Unter Offizielles Kurzpapier der DSK finden Sie eine Liste mit Datenverarbeitungsvorgängen, für die eine solche DSFA erforderlich ist.
Gehen Sie anschließend wie folgt vor:
Zunächst analysieren Sie die Verarbeitungsvorgänge Ihres Unternehmens nach Art der Daten, Zweck, getroffenen Datensicherheitsmaßnahmen und so weiter.
Bewerten Sie anschließend das Risiko einer Datenschutzverletzung. Wie hoch ist dieses Risiko? Ist es ein allgemein zu erwartendes Risiko? Welche Gefahren drohen?
Birgt die Datenverarbeitung hohe oder gar sehr hohe Risiken für die Rechte von Betroffenen, sind geeignete technische und organisatorische Maßnahmen durchzuführen. Wenn das Risiko auch durch diese Maßnahmen nicht verringert werden kann, muss die Aufsichtsbehörde hinzugezogen werden.
Auftragsverarbeitungsvertrag (Artikel 28 DSGVO)
Die personenbezogenen Daten müssen nicht zwingend von Ihnen persönlich verarbeitet werden. Dazu können Sie einen Auftragsverarbeiter einschalten. Das sind externe Dienstleister, die für Sie tätig werden (beispielsweise. externe Buchhalter oder Clouddienste). Zwischen Ihnen und Ihrem Auftragsverarbeiter muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen. Diesen Vertrag sollten Sie gut dokumentieren, um Ihre Nachweispflichten zu erfüllen.
Dieser Vertrag regelt, wie und in welchem Umfang der Auftragsdatenverarbeiter die Daten verarbeitet. Folgende Voraussetzungen sind in ihm zu notieren:
- der Gegenstand und der Zweck der Datenverarbeitung
- die Dauer der Verarbeitung
- die Datenkategorie
- Verpflichtung der Beteiligten zu Vertraulichkeit und Integrität
- ergriffene technische und organisatorische Maßnahmen
- Verpflichtung des Auftragsverarbeiters bei der Durchführung von Betroffenenanfragen und bei der Meldung von Datenschutzverletzungen mitzuwirken
- Verpflichtung zur Löschung der Daten nach Abschluss der Auftragsdatenverarbeitung
Zusammengefasst kann gesagt werden, dass den Auftragsverarbeiter die gleichen Pflichten nach der DSGVO treffen, wie Sie. Er muss sowohl die Datenschutz-Grundsätze, die Angemessenheit der Datensicherheit sowie technische und organisatorische Maßnahmen einhalten und die Rechte der Betroffenen wahren. Seien Sie sich bewusst, dass Sie für die Einhaltung des Datenschutzrechts durch den Auftragsdatenverarbeiter verantwortlich sind. Hier erhalten Sie weitere Informationen AV Vertrag nach Art. 28 DSGVO abschließen.
Internetauftritt – Die Datenschutzerklärung für Kleine Unternehmen
Der Betroffene muss über die Verarbeitung seiner personenbezogenen Daten informiert werden. Auch bei Webseiten und anderen Internetauftritten müssen Sie eine Datenschutzerklärung führen und damit dem Betroffenen die Datenverarbeitung offenlegen. Diese Datenschutzerklärung muss bei jedem ersten Kontakt mit Kunden zur Kenntnis genommen werden können. Eine allgemeine Veröffentlichung der Erklärung auf Ihrer Website ist zudem möglich. Im besten Fall hängen Sie nach jedem Vertragsschluss eine Version Ihrer allgemeinen Datenschutzbestimmungen an.
Der folgende Inhalt sollte in jedem Fall enthalten sein:
- Ihre Kontaktdaten und gegebenenfalls die Ihres Datenschutzbeauftragten
- Art der Datenverarbeitung, die Rechtsgrundlage, die Dauer der Speicherung und eine eventuelle Weitergabe an Dritte
- Die Rechte des Betroffenen müssen erklärt werden- im Speziellen das Recht auf Auskunft, das Recht auf Löschung der Daten, das Widerspruchsrecht gegen die Datenverarbeitung und das Recht auf Datenübertragbarkeit
Erstellen Sie so schnell wie möglich eine solche Datenschutzerklärung oder gleichen Sie Ihre bestehende an die DSGVO an. Einige Anbieter finden Sie in unserem DSGVO Shop.
Datenschutzbeauftragter
Sollten Sie in großem Umfang personenbezogene Daten verarbeiten (und nicht die oben bereits erwähnte Erleichterung zugute kommen), müssen Sie einen Datenschutzbeauftragten ernennen.
Zunächst müssen Sie eine geeignete Person ernennen, die ein ausreichendes Fachwissen vorweisen kann. Das kann einer Ihrer Mitarbeiter oder ein externer Fachmann sein. Dieser ist anschließend der zuständigen Aufsichtsbehörde zu melden.
Betroffenenrechte
Sie müssen die umfangreichen Rechte der Betroffenen wahren. Bereiten Sie sich darauf vor, diesen Rechten im Ernstfall ordnungsgemäß nachkommen zu können. Dafür haben Sie in der Regel einen Monat Zeit. Auch hier wird deutlich, dass das Führen eines Verzeichnisses von Verarbeitungstätigkeiten oder ein anderweitig organisiertes Datenmanagementsystem durchaus hilfreich ist, um dieser Pflicht schnell und ohne Mühen nachkommen zu können.
- Auskunftsrecht in Artikel 15 DSGVO:
Der Betroffene darf jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten zu welchen Zwecken und wie lang verarbeitet werden. - Recht auf Berichtigung in Artikel 16 DSGVO:
Die Datenschutzgesetzgebung verpflichtet den Datenverarbeiter zur Integrität der zu verarbeiteten Daten. Der Betroffene kann zudem selbst verlangen, dass unrichtige oder unvollständige Daten korrigiert bzw. ergänzt werden. - Recht auf Löschung und Vergessenwerden in Artikel 17 DSGVO:
Die DSGVO verpflichtet den Datenverarbeiter dazu, Daten, die für den Zweck der Verarbeitung nicht mehr erforderlich sind, zu löschen. Der Betroffene kann zudem selbst verlangen, dass diese Daten gelöscht werden. Wurden diese Daten zuvor veröffentlicht oder weitergegeben, müssen auch an diesen Stellen die Daten unwiderruflich gelöscht werden. - Recht auf Einschränkung der Verarbeitung in Artikel 18 DSGVO:
Der Betroffene kann von Ihnen die Einschränkung der Verarbeitung seiner Daten verlangen, wenn Streitigkeiten oder Zweifel über die Rechtmäßigkeit der Verarbeitung bestehen. - Recht auf Datenübertragbarkeit in Artikel 20 DSGVO:
Weiterhin kann der Betroffene verlangen, dass Sie die personenbezogenen Daten in einem gängigen und strukturierten Format ihm selbst oder einem anderen Verantwortlichen gegenüber aushändigen. - Recht auf Widerspruch in Artikel 21 DSGVO:
Der Betroffene kann gegen die Datenverarbeitung aus öffentlichem oder berechtigtem Interesse widersprechen. Können Sie nicht nachweisen, dass Ihr eigenes Interesse an der Verarbeitung überwiegt, dürfen Sie die Verarbeitung nicht weiterführen.
Schulung der Mitarbeiter
Es ist allein nicht ausreichend, dass Sie sich selbst umfassend über das geltende Recht zu informieren. Sie sind für das Handeln Ihrer Mitarbeiter verantwortlich und müssen demnach auch Ihre Mitarbeiter ausreichend schulen. Schließlich sind auch sie es, die die personenbezogenen Daten verarbeiten oder die Betroffenenanfragen bearbeiten.
Geeignete Maßnahmen sind zunächst eine Schulung aller Mitarbeiter und das Erstellen eines Datenschutzkonzeptes für Ihr Unternehmen. Hängen Sie dieses öffentlich aus und lassen Sie sich die Kenntnis von allen bestätigen.
Einsatz von KI in kleinen Unternehmen
Künstliche Intelligenz (KI) bietet auch für kleine Unternehmen enormes Potenzial zur Effizienzsteigerung und Innovation. Allerdings bringt der Einsatz von KI-Technologien spezifische Herausforderungen mit sich, insbesondere im Hinblick auf den Datenschutz.
Problematik der Nutzereingaben
Bei der Nutzung von KI-Anwendungen, wie ChatGPT oder anderen Large Language Models, besteht die Gefahr, dass sensible Unternehmensdaten oder personenbezogene Informationen unbeabsichtigt in die Systeme eingegeben werden. Dies kann zu Datenschutzverletzungen führen, da:
- Die eingegebenen Daten möglicherweise zur Verbesserung der KI-Modelle verwendet werden
- Unklar ist, wie lange und wo die Daten gespeichert werden
- Die Daten möglicherweise für andere Zwecke genutzt werden könnten
Unkontrollierter Einsatz von KI
Ein weiteres Risiko stellt der unkontrollierte Einsatz von KI-Tools durch Mitarbeiter dar. Ohne klare Richtlinien und Schulungen könnten Mitarbeiter:
- Unautorisierte KI-Tools für Unternehmensaufgaben nutzen
- Sensible Daten in nicht-konforme Systeme eingeben
- Urheberrechtlich geschütztes Material durch KI-generierte Inhalte ersetzen, ohne die rechtlichen Implikationen zu beachten
AVV und Cloud-Dienste
Viele KI-Anwendungen werden als Cloud-Dienste angeboten. Beim Einsatz solcher Dienste müssen kleine Unternehmen beachten:
- Auftragsverarbeitungsvertrag (AVV): Mit dem Anbieter der KI-Lösung muss in der Regel ein AVV gemäß Art. 28 DSGVO abgeschlossen werden.
- Datenübermittlung: Bei Anbietern außerhalb der EU/EWR sind zusätzliche Maßnahmen erforderlich, um ein angemessenes Datenschutzniveau sicherzustellen.
- Datenspeicherung: Es sollte geklärt werden, wo die Daten gespeichert werden und wie lange sie aufbewahrt bleiben.
- Zugriffskontrolle: Implementierung von Maßnahmen zur Kontrolle und Beschränkung des Zugriffs auf KI-Tools.
Empfehlungen für kleine Unternehmen
- Entwickeln Sie klare Richtlinien für den Einsatz von KI-Tools
- Schulen Sie Ihre Mitarbeiter regelmäßig zu den Risiken und korrekten Umgang mit KI-Anwendungen
- Prüfen Sie sorgfältig die Datenschutzerklärungen und AGBs der KI-Anbieter
- Ziehen Sie in Betracht, spezialisierte KI-Lösungen für Unternehmen zu nutzen, die höhere Datenschutzstandards bieten
- Implementieren Sie technische Maßnahmen, um den Zugriff auf und die Nutzung von KI-Tools zu kontrollieren
Durch einen bewussten und kontrollierten Einsatz von KI können auch kleine Unternehmen von den Vorteilen dieser Technologie profitieren, ohne unverhältnismäßige Risiken einzugehen.
Das sind die Folgen für Einzelunternehmer und Kleinunternehmen bei Verletzungen der DSGVO
Bei Verstößen gegen die DSGVO sind verschiedene Sanktionen möglich, deren Schwere vom Einzelfall abhängt. Diese vier Sanktionen können relevant sein:
- Bußgelder (Artikel 83 DSGVO)
Besonders vor den immens hohen Bußgeldern haben viele Unternehmer Angst. Geldstrafen in Höhe von 10 bis 20 Millionen Euro oder 2 bis 4 Prozent des Jahresumsatzes ausfallen. Das ist nicht nur bei schwerwiegenden Verstößen einschlägig, sondern grundsätzlich auch, wenn beispielsweise nur datenschutzfreundliche Voreinstellungen Ihrer Webseite fehlen. - Strafrechtliche Sanktionen (Artikel 42 BDSG)
Die DSGVO enthält in Artikel 84 eine Öffnungsklausel. Das bedeutet, dass sie den einzelnen nationalen Staaten erlaubt, Regelungen für Sanktionen außerhalb von Bußgeldern, zu erlassen. Der Artikel 42 BDSG verhängt für die Missachtung der Datenschutz-Grundsätze 2 bis 3 Jahre Haft. - Schadenersatzansprüche
Schadensersatzansprüche insbesondere der Betroffenen sind stets möglich. - Anordnungen der Aufsichtsbehörde
Die Aufsichtsbehörde kann Datenverletzung lediglich rügen, in dem sie die sofortige Einhaltung der DSGVO-Grundsätze verlangt oder ein Verbot weiterer Datenverarbeitungsvorgänge anordnet. Es ist jedoch nicht zu vernachlässigen, dass ein Aktivwerden der Aufsichtsbehörden gegen Ihr Unternehmen nicht ohne mediale Aufmerksamkeit erfolgen wird und Ihnen schon kleine Fehler große Wettbewerbsnachteile bringen können.
Allerdings ist realistisch gesehen nicht zu erwarten, dass Einzelunternehmen eine Strafe in Millionenhöhe erwartet. Die Strafen in Höhe von bis zu 20 Millionen Euro oder 4 Prozent Jahresumsatz treffen eher Großunternehmen. Dennoch darf nicht vergessen werden, dass neben den Geldstrafen weitere Sanktionen denkbar sind, die auch Einzelunternehmer treffen können.
Die vier wichtigsten Fragen zum Thema DSGVO in Einzelunternehmen
Trifft mich die DSGVO auch als Kleinunternehmer?
Jedes Unternehmen unabhängig seiner Art und Größe ist von der DSGVO betroffen- auch Sie als Kleinunternehmer.
Was ist das Wichtigste der DSGVO für Selbstständige im Überblick?
Genau wie jeder andere Unternehmer sind Sie dafür verantwortlich, den Datenschutz und die Datensicherheit in Ihrem Unternehmen zu verankern.
Dazu zählt im Besonderen die Einhaltung der Datenschutzgrundsätze der Rechtmäßigkeit, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Vertraulichkeit der Datenverarbeitung, sowie eine umfassende Rechenschaft für die Einhaltung des Datenschutzes und der Betroffenenrechte.
Gibt es Unterschiede der DSGVO bei Kleinunternehmen und Großunternehmen?
Grundsätzlich gilt die DSGVO uneingeschränkt für alle Unternehmen. Insbesondere gibt es jedoch drei wesentliche Erleichterungen für Kleinunternehmer. Sie können unter Umständen von der Pflicht zur Bestellung einen Datenschutzbeauftragten, dem Führen eines Verzeichnisses für Verarbeitungstätigkeiten und der Durchführung einer Datenschutz-Folgenabschätzung befreit sein.
Treffen mich auch als Kleinunternehmer Sanktionen?
Die in der DSGVO aufgeführten Sanktionen treffen auch jedes von ihr umfasstes Unternehmen. Allerdings ist nicht davon auszugehen, dass Sie als Kleinunternehmer Strafen in Millionenhöhe erwartet.
Fazit: die DSGVO gilt für jeden Unternehmer!
Datenschutz? Zu Unrecht schrecken viele Kleinunternehmer davor zurück. Das Image eines pedantischen und aufwendigen Vorgehens hält sich hartnäckig. Dabei ist das alles andere als das. Selbst wenn Sie ein umfangreiches Datenschutzkonzept etablieren, werden Sie merken, dass es gar nicht schwer ist. Es wird Ihnen Ihre tägliche Arbeit erleichtern, in dem es nicht nur Ihre eigene Organisationsstruktur vereinfacht, in dem Datensätze schneller und übersichtlicher erreichbar sind, sondern gleichzeitig auch die Pflichten der DSGVO erfüllt. Je bewusster und intensiver Sie sich damit beschäftigen, umso mehr Routine werden Sie im Umgang mit dem Datenschutz bekommen.
Der Artikel sollte Ihnen dabei helfen und einen ersten umfassenden Überblick verschaffen. Sie können zudem detaillierte Vorlagenpakete mit Mustern und weiteren Informationen erwerben.
Quellen und weiterführende Literatur
IHK München: Fallstudie kleine Unternehmen und DSGVO.
BayLDA: Informationen für kleine Unternehmen
Wirtschaftskammer Österreich: Musterdokumente zur EU Datenschutzgrundverordnung