EU-Datenschutz: So schützen sich Betriebe vor Bußgeldern und Abmahnungen
Kleinbetriebe sind von geltenden Datenschutzvorgaben ebenso wenig ausgeschlossen wie große Konzerne. So gilt mitunter die Pflicht für Unternehmen, die personenbezogene Daten zu mindestens zehn Mitarbeitern automatisiert verarbeiten, einen Datenschutzbeauftragten zu bestellen.
Findet eine nichtautomatisierte Datenverarbeitung statt, wird die Schwelle auf zwanzig Beschäftigte erhöht. Der Berufsverband der Rechtsjournalisten e.V. erklärt folgend, was bei der EU-Datenschutzgrundverordnung (DSGVO) noch zu beachten ist.
Bei Verstößen drohen Bußgelder
Nicht immer ist auf den ersten Blick erkenntlich, welche Bedeutung Datenschutz für die Angestellten eines Unternehmens hat. Es geht dabei nicht nur darum, Daten vor unbefugten Zugriffen zu schützen. So soll unter anderem das Bundesdatenschutzgesetz (BDSG) auch dafür sorgen, dass Datenverarbeitung nicht gegen den Anspruch auf Wahrung des Persönlichkeitsrechts verstößt. Denn in Deutschland besitzt jeder das Recht, über die Preisgabe und Verwendung der persönlichen Daten zu bestimmen.
Dieses Recht auf informationelle Selbstbestimmung ermöglicht es, Kontrolle über die Datennutzung durch Dritte auszuüben. Zumindest ist es vom Gesetzgeber so angedacht. Halten sich Unternehmer nicht an geltende Vorgaben, drohen zudem Bußgelder und Abmahnungen durch spezialisierte Rechtsanwaltskanzleien.
Lesen Sie auch: Verschärfter Datenschutz - Was muss künftig beachtet werden?
DSGVO orientiert sich am bisherigen Datenschutz
Nicht selten erachten Unternehmen den Datenschutz, der durch die neue Datenschutzgrundverordnung verlangt wird, als Belastung. Dieser kann schließlich mit hohen Investitionen und Anforderungen verknüpft sein. Es gibt jedoch eine gute Nachricht: Hält sich ein Großunternehmen oder ein Kleinbetrieb an bisher geltende Datenschutzbestimmungen, muss bis zum 25. Mai 2018 gar nicht so viel geändert werden.
Die DSGVO orientiert sich nämlich sehr am bisher gültigen deutschen Datenschutzrecht, sowohl inhaltlich als auch strukturell. Praxisrelevante inhaltliche Änderungen gibt es eher wenige. Ein einmaliger Umstellungsaufwand besteht jedoch dadurch, dass betriebliche Abläufe angepasst werden müssen.
Checkliste: Abmahnungen verhindern
Es ist nicht unwahrscheinlich, dass Abmahnanwälte ab Mai 2018 gezielt nach Unternehmen suchen, die nicht die durch die DSGVO vorgegebenen Pflichten erfüllen. Auch Kleinbetriebe können dann abgemahnt werden. Um diese Gefahr zu minimieren, sollten in jedem Fall die folgenden Aspekte beachtet werden:
- Datennutzung erfordert in jedem Fall eine Einwilligung der Betroffenen: Ohne Einwilligungserklärung dürfen Daten von Mitarbeitern nicht verarbeitet werden. Dabei ist eine schriftliche Form nicht zwingend vorgeschrieben. Der Nachweispflicht der Unternehmer ist dies jedoch dienlich und fördert die Rechtssicherheit.
- Erfüllung der Informationspflicht: Angestellte besitzen das Recht, im Betrieb eine Bestätigung über die Speicherung von personenbezogenen Daten zu verlangen. Einer entsprechenden Bitte darf sich der Arbeitgeber nicht verweigern.
- Recht auf Datenlöschung: Mitarbeiter dürfen darauf bestehen, dass über sie gespeicherte Daten gelöscht werden.
- Datenverarbeitung dokumentieren: Die Verarbeitung personenbezogener Daten darf nur noch erfolgen, wenn darüber ein Verzeichnis vorliegt, welches die entsprechenden Vorgänge aufzeichnet.
Dazu sollten Unternehmer auch die folgende Faustregel befolgen: Ohne Einwilligung dürfen nur Daten verarbeitet werden, die für die Abwicklung bzw. die Entstehung eines Kundenverhältnisses gebraucht oder durch andere Gesetzesvorgaben gespeichert werden müssen.
Praxistipps zur DSGVO
Grundsätzlich sollten auch Unternehmensleiter in Kleinbetrieben darauf achten, mit personenbezogenen Daten höchst sensibel umzugehen. Denn ein Fehler kann in diesem Bereich teure Konsequenzen nach sich ziehen. Als problematisch kann sich vor allem der Umgang mit Daten erweisen, die nicht direkt zum betriebsinternen Geschäftsablauf gehören. Werden beispielsweise Profile von Verbrauchern erstellt oder Marketing-Analysen durchgeführt, sollten Unternehmer nur auf solche Anbieter zurückgreifen, die bei ihrer Arbeit eindeutig die DSGVO beachten. Aktionen, welche die Daten von Kunden miteinbeziehen, sollten ebenfalls mit Vorsicht behandelt werden.
So ist es empfehlenswert, immer genau aufzulisten, was mit gesammelten Daten geschieht und auch nur die zu speichern, die wirklich gebraucht werden. Besteht eine Möglichkeit der Anonymisierung, ist diese stets wahrzunehmen. Auch dabei ist es zudem ratsam, sich durch ein Einverständnis von Teilnehmern rechtlich abzusichern. Im Zweifelsfall kann ein Datenschutzexperte helfen.