Seit zwei Jahren hält die Corona-Pandemie jetzt Wirtschaft und Gesellschaft im Griff. Sie beeinflusst weitgehend das Denken und Handeln in Politik und Unternehmen. Doch auch viele Brot-und-Butter-Themen bleiben von Bedeutung, beispielsweise die Datenschutz-Grundverordnung (DS-GVO). Nach fast vier Jahren sollte sie eigentlich ihren Schrecken verloren haben und in die Routinen des geschäftlichen Alltags integriert sein. Eine Umfrage des Branchenverbands Bitkom zeigt allerdings, dass sich viele Unternehmen immer noch mit dem Umsetzen der Datenschutz-Grundverordnung schwer tun. Durch ständige Änderungen bei diesem Thema fühlen sie sich unter Dauerdruck gesetzt. Vor allem kleine und mittelgroße Betriebe (KMU) beklagen, ihnen fehlten die personellen oder finanziellen Ressourcen zur Einhaltung der Vorgaben. Drei von vier Betrieben fühlten sich durch den Datenschutz sogar schon bei Innovationen ausgebremst. Bei der Umsetzung der DS-GVO könnte für KMU vielleicht eine Checkliste quasi als Leitfaden helfen. Aber so mancher Kritiker wie der EVP-Parlamentarier Axel Voss würde das Gesetz lieber gleich umfassend modernisieren.
Die DS-GVO sieht für KMU kaum Ausnahmen vor
Prinzipiell sieht die DS-GVO für KMU wenige Ausnahmen vor, so ein Leitfaden der Europäischen Kommission: „Die Anwendung der Datenschutz-Grundverordnung ist nicht von der Größe Ihres Unternehmens/Ihrer Organisation, sondern von der Art Ihrer Tätigkeiten abhängig. Tätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen, lösen die Anwendung strengerer Vorschriften aus (…) Einige der Pflichten der Datenschutz-Grundverordnung gelten jedoch möglicherweise nicht für alle KMU. Unternehmen mit weniger als 250 Mitarbeitern müssen zum Beispiel kein Verzeichnis ihrer Verarbeitungstätigkeiten führen, sofern die Verarbeitung personenbezogener Daten keine regelmäßige Tätigkeit ist, eine Gefahr für die Rechte und Freiheiten von Personen darstellt oder sensible Daten bzw. Strafregister betrifft. KMU müssen nur dann einen Datenschutzbeauftragten ernennen, wenn die Verarbeitung ihre Haupttätigkeit ist und besondere Gefahren für die Rechte und Freiheiten von Personen (zum Beispiel die Beobachtung von Personen oder die Verarbeitung sensibler Daten oder von Strafregistern) darstellt, insbesondere, da sie in großem Umfang stattfindet.“
Erleichterungen der DS-GVO für KMU anwaltlich prüfen lassen
Axel Voss hält die Grenze von 250 Beschäftigten für Augenwischerei: „Die Ausnahmeregelung zur Aufbewahrung von Aufzeichnungen in Art. 30(5) DS-GVO für KMU mit weniger als 250 Mitarbeitern ist praktisch unwirksam, da jedes Unternehmen mit einer IT-Infrastruktur nicht nur gelegentlich personenbezogene Daten verarbeiten wird. „Nicht gelegentlich“ ist sehr weit gefasst, sodass bereits E-Mails, Gehaltsabrechnungen, Kundenverwaltung oder die Ereignisprotokollierung des Betriebssystems darunterfallen. Darüber hinaus muss jedes Unternehmen mit Mitarbeitern regelmäßig besondere Kategorien personenbezogener Daten verarbeiten, wie etwa Gesundheitsdaten im Rahmen der Lohnfortzahlung oder Angaben zur Religionszugehörigkeit im Rahmen der Lohnsteuerabrechnung. Da die Ausnahmeregelung in diesen Fällen nicht anwendbar ist, tritt die beabsichtigte Entlastung für KMU in der Praxis nicht ein. Für die zahlreichen anderen Pflichten neben Art. 30 Abs. 5 DS-GVO gibt es überhaupt keine KMU-Ausnahmen.“ Auf jede Checkliste als Leitfaden eines KMU für die DS-GVO gehört also, anwaltlich zu klären, ob der Betrieb tatsächlich auf ein Verzeichnis der Verarbeitungstätigkeiten verzichten darf.
Entscheidend ist die Anzahl der datenverarbeitenden Personen
Praktisch enthält die DS-GVO für KMU nur eine Entlastung, die der Bundestag 2019 beschlossen hat. Ein Datenschutzbeauftragter ist seitdem erst dann erforderlich, wenn 20 statt zuvor zehn Personen im Betrieb regelmäßig und systematisch mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dabei spielt es keine Rolle, in welcher Form sensible Daten vorliegen. Das können beispielsweise Buchungssätze im Lohnbüro sein, aber auch Text-Dateien, Audio- und Videoaufnahmen oder Röntgenbilder. Allerdings sind hier mit Fachleuten die Feinheiten zu klären, damit die 20er-Genze nicht unabsichtlich überschritten wird. Als Personen, die solche Daten regelmäßig und systematisch verarbeiten, gelten in der Regel beispielsweise Beschäftigte im Büro, die sich permanent um die Kunden- oder Personalverwaltung kümmern. Nicht dazu zählen meistens Beschäftigte etwa im Handwerk, die nur zur Anfahrt die Namen und Adressen ihrer Kunden kennen müssen.
Bei der Webseite ist die DS-GVO für KMU eine Herausforderung
Keinerlei Spielraum lässt die DS-GVO für KMU bei der Frage, was mit Blick auf die Homepage des Unternehmens gilt. Jede Webseite sowie jeder Onlineshop braucht eine Datenschutzerklärung, sobald personenbezogene Daten erhoben oder verarbeitet werden. Laut Datenschutz-Grundverordnung sind das Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“. Dass dies Onlineshops betrifft, ist logisch – wer bestellt, hinterlässt etwa Lieferadressen oder Kontodaten. Aber auch ohne Möglichkeit zur Dateneingabe läuft im Hintergrund eine Datenverarbeitung. Zumindest der IT-Dienstleister, über dessen technische Infrastruktur die Internetpräsenz läuft, speichert IP-Adressen von Besuchern der Webseite. Schon das macht eine Datenschutzerklärung erforderlich.
Das Ablegen von „Keksen“ im Internetbrowser besprechen
Auch bei Cookies kennt die DS-GVO für KMU keine Sonderregelung. Diese Informationselemente werden beim Aufrufen einer Webseite im Internetbrowser gespeichert und beim nächsten Besuch ausgelesen. Das erleichtert neben der Navigation im Internet bestimmte Aktionen wie das Log-In in Onlinekonten. Außerdem dienen viele Cookies dem Webtracking – um individualisierte Werbung einzublenden, sammeln sie Daten zum Surfverhalten. Das ist zulässig, solange jemand aktiv dem Cookie-Einsatz zustimmt. Daher braucht die Webseite einen Text, der über den Einsatz technisch notwendiger oder vom berechtigten Interesse des Webseitenbetreibers abgedeckter Cookies informiert – also Session- oder Log-In-Cookies, die keine Daten weitergeben. Zudem ist die Einwilligung zu Tracking- und Werbe-Cookies von Drittanbietern einzuholen, falls sie zum Einsatz kommen. Sie sind für die eigentlichen Funktionen der Webseite nicht zwingend notwendig und teilen oder verknüpfen Daten gegebenenfalls mit anderen Daten und Diensten. In eine Checkliste oder einen Leitfaden zur DS-GVO für KMU gehört also, auch dieses Thema mit der Anwaltskanzlei zu besprechen.
Vorsicht bei Kameraeinsatz oder Zugang zu persönlichen Daten
Die DS-GVO gilt für KMU auch bei der Videoüberwachung von Büros oder Geschäftsräumen und Aufnahmen auf dem Firmengelände. Eine Videoüberwachung am Arbeitsplatz ist grundsätzlich erlaubt, falls sich nur so legitime Rechte ausüben lassen. Im Einzelhandel wäre das etwa der Schutz vor Diebstählen. Die Überwachung muss aber verhältnismäßig sein und darf nicht schikanieren. Eine Hürde sind neben dem Datenschutz außerdem die per Gesetz geregelten Persönlichkeitsrechte. Unternehmen sollten beispielsweise darauf achten, dass Beschäftigte bei der Überwachung eines Geschäfts nicht ständig unter Beobachtung stehen. Dies verhindern etwa schwenkbare Kameras. Mit einer Anwaltskanzlei wäre zu klären, welche technischen Lösungen für die Videoüberwachung vom Betriebsgelände oder in Büros geeignet sind und welche Speicherung erlaubt ist. Zudem sind Besucher und Besucherinnen sowie die Nachbarschaft korrekt über die Videoüberwachung rund ums Firmengrundstück zu informieren. Schilder mit Kamerasymbol sind mindestens nötig, zusätzlich könnte ein Aushang mit Details zur Überwachung auf dem Gelände, in Büros oder Geschäftsräumen erforderlich sein.
WhatsApp und digitale Adressbücher können problematisch sein
Mit der DS-GVO können für KMU auch Probleme verbunden sein, wenn bestimmte Apps ohne weitere Rücksprache mit der Anwaltskanzlei zum Einsatz kommen und so die Regeln des Datenschutzes verletzt werden. Gerade in kleinen Unternehmen bietet sich die Nutzung etablierter Dienste an. So lässt sich beispielsweise leicht der Kontakt zu Beschäftigten oder Kunden halten. WhatsApp etwa ist spätestens weit verbreitet, seitdem es eine spezielle Business-Version gibt. Doch wenn Nutzer und Nutzerinnen damit WhatsApp – oder anderen Anbietern – den Zugriff auf Kontakte im Mobiltelefon-Adressbuch erlauben, geben sie damit persönliche Daten von Dritten weiter, ohne diese um Erlaubnis gefragt zu haben. Wer also über bestimmte Apps oder Services bequemer Kontakt halten oder Geschäfte machen will, sollte zuvor anwaltlich klären lassen, ob damit Probleme verbunden sein könnten. Auch dieses Thema gehört in eine Checkliste oder einen Leitfaden zur DS-GVO für KMU.
Die DS-GVO kann auch für KMU hohe Bußgelder bedeuten
Mit der DS-GVO können auch für KMU bei Verstößen erhebliche Bußgelder verbunden sein. Als die Datenschutz-Grundverordnung an den Start ging, war zunächst pauschal von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes die Rede – je nachdem, welcher Betrag höher ist. Inzwischen hat sich ein Bußgeldkatalog etabliert, der quasi auf einem fünfstufigen Vorgehen basiert. Zunächst werden Unternehmen in vier Größenklassen kategorisiert – vom Jahresumsatz unter zwei Millionen Euro bis zum Jahresumsatz über 50 Millionen Euro. Dann folgt die Bestimmung des mittleren Jahresumsatzes sowie eines sogenannten wirtschaftlichen Grundwertes, aus dem sich ein durchschnittlicher Tagessatz errechnet. Der wird mit der Schwere der Datenschutzverletzung multipliziert, dann kommt noch die Anpassung des Grundwertes anhand individueller Faktoren eines Unternehmens. Insofern mag ein Verstoß gegen die DS-GVO für KMU in absoluten Zahlen nicht so teuer erscheinen, kann relativ zum Umsatz aber trotzdem sehr schmerzhaft sein.
Diese Checkliste zur DS-GVO kann als Leitfaden für KMU dienen
Überblick über vorhandene Daten verschaffen. Wo existieren welche persönlichen Informationen über Beschäftigte und/oder Kunden?
Niveau des Datenschutzes überprüfen. Personenbezogene Daten erfordern keine besondere Sicherung, aber der allgemeine Schutz sollte technisch und organisatorisch auf dem neuesten Stand sein.
Informations- und Auskunftspflicht einhalten. Beschäftigte sowie Kunden müssen bei der Datenerhebung über die Verarbeitung personenbezogener Daten informiert werden, insbesondere auf der Webseite. Auch über Videoüberwachung auf dem Firmengelände oder in Büros und Ladenlokalen ist zu informieren.
Beschäftigte auf Datenschutz verpflichten. Alle sollten mit dem Arbeitsvertrag eine Information zum Umgang mit personenbezogenen Daten erhalten und eine Klausel unterschreiben, die die Belehrung bestätigt sowie sie auf die DS-GVO verpflichtet.
Datenschutzbeauftragten benennen. Das ist obligatorisch, wenn mindestens 20 Personen regelmäßig die automatisierte Verarbeitung personenbezogener Daten übernehmen. Das wären etwa Beschäftigte im Büro, die sich permanent um die Kunden- oder Personalverwaltung kümmern.
Verzeichnis der Verarbeitungstätigkeiten anlegen. Weil fast jedes Unternehmen regelmäßig personenbezogene Daten verarbeitet, dürfte die bei unter 250 Beschäftigen geltende Ausnahmeregelung selten greifen.
Vertrag zur Auftragsverarbeitung prüfen. Die meisten Unternehmen dürften Dienstleistern den Zugriff auf persönliche Daten ermöglichen, etwa beim Hosting einer Webseite, über die Aufträge laufen, oder beim Versenden von Newslettern via Marketingagentur. Das erfordert einen schriftlichen Vertrag zur Auftragsverarbeitung.
Notwendigkeit einer Datenschutz-Folgenabschätzung prüfen. Sie ist erforderlich, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die Betroffenen birgt. Das gilt etwa für die systematische, umfassende Bewertung persönlicher Aspekte einer Person unter anderem durch Profiling, etwa bei der Schufa.
Löschroutinen anlegen. Personenbezogene Daten sind zu löschen, sobald für die Speicherung keine gesetzliche Grundlage mehr besteht.
Datenschutzvorfälle melden. Relevanten Risiken entstehen etwa beim Diebstahl, Verlust oder Hacking eines Mobilgeräts mit unverschlüsselten Kundendaten. Oder beim Fehlversenden einer Rechnung. Die Aufsichtsbehörden sind regelmäßig zu informieren, Betroffene bei hohem Risiko.
Die wesentlichen Aspekte der DS-GVO auch für KMU sind quasi als Leitfaden oder Checkliste in diesem Video zusammengefasst.
