Am 25. Mai 2018 ist die neue EU-weit geltende Datenschutz-Grundverordnung (DSGVO) in Kraft getreten.
Um den strengeren Sicherheitsbestimmungen gerecht zu werden, hatten die Betriebe zwar zwei Jahre Zeit, dennoch stellten die Umsetzungen vor allem kleine und mittelständische Unternehmen vor große Herausforderungen. Die wichtigsten Regelungen für KMU im Umgang mit personenbezogenen Daten lesen Sie hier.
Nicht immer brauchen Sie die Einwilligung
Ein Hauptkriterium für die Erhebung von Kundeninformationen ist die Notwendigkeit. So dürfen nur diejenigen Daten erfragt werden, die zur Erfüllung des Vertragsverhältnisses unbedingt notwendig sind, und auch nach deren Beendigung müssen die Angaben umgehend wieder gelöscht werden.
Wichtig hierbei ist, dass die KMU für diese erforderlichen Informationen keine Einwilligungserklärung ihrer Kunden benötigen. Erst für eine darüber hinausgehende Verwendung, etwa zu Marketingzwecken, muss zusätzlich die Erlaubnis eingeholt werden.
Tipp: Erstellen Sie eine Muster-Einwilligungserklärung für die verschiedenen Zwecke. Daraus sollten die beabsichtigte Datennutzung sowie die jeweilige Dauer der Speicherung eindeutig hervorgehen. Außerdem müssen die Betroffenenrechte nach der DSGVO, z.B. die Widerrufbarkeit, ausführlich und in einfacher Sprache aufgeführt werden. Bei elektronischen Einwilligungen ist zu beachten, dass Sie keine voreingestellten Zustimmungen, etwa in Form eines bereits abgehakten Kontrollkästchens, verwenden dürfen.
Achtung: Bei der Erstellung von Einwilligungserklärungen für das Versenden von Werbung gilt es zusätzlich, das Gesetz gegen den unlauteren Wettbewerb (UWG) zu berücksichtigen.
Kein Verarbeitungsverzeichnis für KMU
Unternehmen müssen in der Regel ein Verarbeitungsverzeichnis führen, sobald sie personenbezogene Daten erheben. Darin sind die folgenden Verarbeitungstätigkeiten aufzuführen:
- Name und Kontaktdaten des Verantwortlichen bzw. gegebenenfalls des Datenschutzbeauftragten
- Zweck der Verarbeitung mit zugehöriger Rechtsgrundlage
- Kategorie der betroffenen Personen und personenbezogenen Daten (nicht die Personenangaben selbst!)
- Vorliegen der Einwilligungserklärung mit Löschfristen
- Kategorie von Empfängern der Daten sowie etwaige Übermittlung an Drittstaaten
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung
Für KMU finden sich aber sogenannte Erwägungsgründe in der DSGVO, welche eine Erleichterung in Bezug auf die Protokollierung der Vorgänge vorsehen. Danach sind Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, nicht zur Führung eines Verarbeitungsverzeichnisses verpflichtet, sofern die vorgenommene Verarbeitung
- kein Risiko für die Rechte und Freiheiten des Betroffenen darstellt,
- nicht entgeltlich erfolgt
und
- keine personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen einschließt.
Verträge mit Dienstleistern schließen
KMU arbeiten häufig mit Dienstleistern zusammen. Dabei ist es egal, ob die Kundendaten zur Erfüllung des Vertragsverhältnisses zwingend an Dritte weitergeleitet werden müssen oder ob sie nur zur besseren Verwaltung in einer Cloud – und damit nicht auf dem eigenen Server – abgespeichert werden sollen: Es handelt sich immer um eine Auftragsdatenverarbeitung (ADV), für die ein gesonderter Vertrag mit dem Dienstleister geschlossen werden muss. Wichtig hierbei ist, dass Sie als KMU weiterhin in der Pflicht sind, sicherzustellen, dass der Datenschutz nach den Vorgaben der DSGVO gewährleistet ist.
Achtung: Bei Cloud-Anbietern, deren Server die Daten außerhalb des Europäischen Wirtschaftsraums speichern, müssen außerdem eine Rechtsgrundlage für die Datenübermittlung an Drittländer und besondere Datenschutz-Zertifikate vorliegen. Informieren Sie sich daher vorab genau über den Cloud-Dienst und wählen Sie im Zweifel lieber einen europäischen Anbieter.
Mehr zu den aktuellen Datenschutzrichtlinien können Sie auf der kostenfreien Ratgeberseite des Berufsverbands der Rechtsjournalisten e.V. nachlesen.
Dieser Gastbeitrag wurde freundlicherweise durch Frau Laura Gosemann vom Berufsverband der Rechtsjournalisten e.V. zur Verfügung gestellt.
Der Berufsverband der Rechtsjournalisten e.V. wurde im August 2015 von Rechtsanwalt Mathis Ruff in Berlin gegründet. Für den juristischen Laien steht einem grundlegenden Verständnis zumeist das „Juristendeutsch“ im Wege; entsprechende Recherchen gestalten sich in der Regel als zeitaufwendig und komplex. Ziel des Verbandes ist es daher, über zentrale rechtliche Themenkomplexe in einer verständlichen Sprache zu informieren. Der Berufsverband der Rechtsjournalisten e.V. stellt ausschließlich Informationsportale bereit, bietet jedoch keine Rechtsberatung an.