Datenschutz & Verbraucher

Kompakt al­les Wich­ti­ge zur DS-GVO zusammengefasst

Die Datenschutz-Grund­ver­ord­nung be­schäf­tigt vie­le Un­ter­neh­mer. Hier le­sen sie Wich­ti­ges zur DS-GVO zu­sam­men­ge­fasst, in­klu­si­ve Tipps für den Be­trieb. Trotz­dem ist es na­tür­lich emp­feh­lens­wert, De­tails zur DS-GVO mit ei­nem spe­zi­ali­sier­ten An­walt zu besprechen.

Teilen auf

LinkedIn Xing

Nach anderthalb Jahren mit praktischen Erfahrungen hat die Datenschutz-Grundverordnung (DS-GVO) einiges von ihrem Schrecken verloren. Die befürchtete Flut an Bußgeldern ist ausgeblieben, der Aufwand hat sich in den meisten Betrieben auf einem erträglichen Niveau eingependelt. Trotzdem fühlen sich viele Unternehmer bei dem Thema noch immer ziemlich unsicher. Darum folgen hier wichtige Punkte der DS-GVO zusammengefasst, ergänzt durch eine zwölf Punkte umfassende Checkliste. Mit ihrer Hilfe kann der Chef eines kleineren oder mittelgroßen Betriebes bei den wesentlichen Fragen prüfen, wo eventuell Handlungsbedarf besteht. Am besten ist es natürlich, über die generelle Checkliste hinaus individuelle DS-GVO-Themen des Unternehmens mit dem Anwalt zu besprechen.

DS-GVO zusammengefasst: Die Zie­le des Gesetzes

Seit dem 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union (EU) neue Regeln zum Schutz personenbezogener Daten. Die Reform sollte unter anderem einen einheitlichen Datenschutzstandard innerhalb der Gemeinschaft erreichen. In Deutschland mit seinen bereits früher relativ hohen Anforderungen an den Datenschutz führte die DS-GVO inhaltlich kaum zu Verschärfungen. Die Unternehmen müssen allerdings zahlreiche formelle Änderungen beachten und das Thema insgesamt deutlich strukturierter angehen. So werden etwa Betriebe stärker in die Pflicht genommen, die entweder Dienstleister zur Verarbeitung der von ihnen erhobenen personenbezogenen Daten einsetzen oder selbst als Auftragsverarbeiter tätig sind. Die wesentlichen Neuerungen der DS-GVO zusammengefasst im Vergleich zum alten Bundesdatenschutzgesetz: Der Betroffene hat mehr Rechte und der Datensammler muss umfassender dokumentieren sowie den Schutzbedarf der Betroffenen risikobasiert ermitteln. Trotzdem gilt: Die ganze Sache ist kein Hexenwerk, sondern lässt sich mit Unterstützung durch einen erfahrenen Anwalt beziehungsweise einen externen Datenschutzbeauftragten gut bewältigen.

DS-GVO zusammengefasst: Die wich­tigs­ten Punkte

Was regelt die DS-GVO? Wie und in welchem Umfang ein Unternehmen personenbezogene Daten über Kunden und Mitarbeiter sammeln und verarbeiten darf. Mithilfe klarer Vorgaben will der Gesetzgeber verhindern, dass sich Nachteile für Betroffene ergeben, wenn ihre Daten falsch sind oder zweckwidrig verwendet werden: Dies kann zu lebenslangen Nachteilen führen, ohne dass der Betroffenen die Ursache kennt. Deshalb stärkt die DS-GVO die Rechte jener Menschen, mit deren personenbezogenen Daten ein Unternehmen arbeitet, durch

  • den Grundsatz der Datenvermeidung und Datensparsamkeit – es werden so wenig Daten wie unbedingt erforderlich erhoben;
  • das informationelle Selbstbestimmungsrecht des Einzelnen – der Betroffene entscheidet über die Verwendung seiner Daten;
  • das Verbotsprinzip mit Erlaubnisvorbehalt – der Unternehmer braucht die Zustimmung zur Datenverwertung;
  • den Grundsatz der Zweckbindung – Daten sind nur für vereinbarte Zwecke nutzbar;
  • den Grundsatz der Transparenz – der Betroffene kann über ihn gesammelte Daten abfragen;
  • die Gewährleistung der Datensicherheit – Daten sind gut zu schützen;
  • eine nachhaltige Aufsicht – Datenpannen sind zu melden.

Einwilligung zur Da­ten­ver­ar­bei­tung meis­tens er­for­derlich

Wann darf man Daten verarbeiten? Ohne Einwilligung ist nur das durch eine gesetzliche Vorschrift erlaubte Verarbeiten von Daten zulässig. Das greift, wenn es zur Erfüllung eins Vertrags notwendig ist, etwa die Adresse des Kunden der Lieferort ist. Oder falls vorvertragliche Maßnahmen wie das Zuschicken eines Kostenvoranschlags die Datenverarbeitung erfordern. Und zur Wahrung berechtigter Interessen, solange nicht die Interessen der betroffenen Person überwiegen. So könnte die Auswertung der Kundendatei erlaubt sein, um bestimmte Zielgruppen punktgenau mit Werbung anzusprechen. Aber dies wäre mit einem Anwalt zu besprechen. In allen anderen Fällen muss der Unternehmer eine datenschutzrechtliche Einwilligung der Betroffenen anfordern.
Wie sieht so eine Einwilligung aus? Der Interessent muss eine Einwilligung unterzeichnen, in der der Datenverarbeiter

  • seine Identität offenlegen, also den Firmennamen,
  • erklärt, welche Daten er erheben will, etwa Adress- oder Kontoinformationen,
  • den Zweck der Datenerhebung nennt, etwa Werbung,
  • einen Hinweis auf das Widerrufsrecht gibt
  • Die Einwilligung muss aktiv und freiwillig sein.

Umfassende In­for­ma­tions­rech­te der Be­trof­fe­nen beachten

Welche Informationspflichten hat das Unternehmen? Sehr umfassende. Wird die DS-GVO zusammengefasst, geht es insbesondere um Transparenz durch Information. Dabei greifen drei Szenarien.
Daten werden direkt erhoben: Der Betroffene muss die Identität des Datenverarbeiters und die Kontaktdaten der Datenschutzbeauftragten erfahren. Außerdem den Zweck der Datenverarbeitung sowie deren Rechtsgrundlage, die Dauer der Verarbeitung sowie eventuelle weitere Datenempfänger, seine Rechte als Betroffener etwa zur Datenlöschung sowie Informationen zum Beschwerderecht bei der Aufsichtsbehörde.
Daten werden von einem Dritten erhoben: Zusätzlich muss der Betroffene erfahren, welche Kategorien personenbezogener Daten erhoben werden. Geht es um einfache Adressdaten oder besonders sensible, etwa Gesundheitsdaten? Außerdem ist zu klären, aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.
Vorliegende Daten sollen anders genutzt werden: In diesem Fall ist der Betroffene zusätzlich über den neuen Zweck der Verarbeitung zu informieren, über die Dauer der Verarbeitung, seine Rechte sowie das Beschwerderecht.

DS-GVO gilt für Kun­den- und Mit­ar­bei­ter­daten

Gilt die DS-GVO auch für Mitarbeiterdaten? Ja. Wie das Bundesdatenschutzgesetz ist auch die DS-GVO ein Verbotsgesetz mit Erlaubnisvorbehalt. Grundsätzlich ist dem Unternehmer das Verarbeiten personenbezogener Daten untersagt, sofern es nicht eine Rechtsvorschrift zulässt. Wer mehr Daten erheben, speichern und verarbeiten will, braucht die Einwilligung des Betroffenen oder eine entsprechende Betriebsvereinbarung. Auch bei Bewerbungen ist die DS-GVO zu beachten. Soll sich der Umgang mit personenbezogenen Daten ändern, ist bei Einzelvereinbarungen zudem eventuell die Zustimmung ausgeschiedener Mitarbeiter notwendig.
Ist ein Datenschutz-Managementsystem erforderlich? Nein. Unternehmer müssen Datenerhebung, -speicherung und -verarbeitung genau analysieren. Daraus erstellen sie ein Verzeichnis der Verarbeitungstätigkeiten, in dem die Informationen nach den gesetzlichen Vorgaben aufgelistet sind. So ist ersichtlich, welche Kategorien von Daten für welchen Zweck verarbeitet oder weitergegeben werden und welche Schutzmaßnahmen vorgesehen sind. Gemäß DS-GVO ist das Verzeichnis nur auf Aufforderung der Aufsichtsbehörde vorzulegen. De facto dient es zugleich als Informationsgrundlage für Managemententscheidungen, also als inoffizielles Datenschutz-Managementsystem.

DS-GVO zusammengefasst: Check­lis­te für Unternehmer

Die Checkliste gibt Firmenchefs einen Überblick, welche Aspekte der DS-GVO besonders wichtig sind. Ob beziehungsweise wie umfassend sie aktiv werden, müssen sie für ihren konkreten Fall mit dem Anwalt besprechen. Er weiß auch, ob sich aus der DS-GVO eventuell weitere Verpflichtungen ergeben. Das könnte etwa für kleinere Betriebe gelten, die – entgegen aller Erwartungen – eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten betreiben. Auch wenn hier wichtige Aspekte der DS-GVO zusammengefasst sind, gilt stets: Nur ein Experte kann für das jeweilige Unternehmen beurteilen, was der Firmenchef mindestens tun muss.
Ist ein Datenschutzbeauftragter zu benennen? In den meisten Betrieben vermutlich nicht. Einen Datenschutzbeauftragten braucht ein Unternehmen, in dem mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das wären etwa Mitarbeiter im Büro, die sich permanent um die Kunden- oder Personalverwaltung kümmern. Nicht dazu zählen hingegen Handwerker, Monteure oder Produktionsmitarbeiter, die nur Zugriff auf Namen und Adressen von Kunden brauchen.

Mitarbeiter zum Da­ten­schutz ver­pflichten

Ist ein Verzeichnis von Verarbeitungstätigkeiten nötig? Grundsätzlich ja. In irgendeiner Form verarbeitet letztlich so ziemlich jedes Unternehmen personenbezogene Daten – selbst der Ein-Mann-Betrieb, der kleine Aufträge bei Privatkunden erledigt. Schließlich muss ja auch er seine Rechnungen stellen und archivieren. Wer regelmäßig mit solchen Kunden- oder Mitarbeiterdaten umgeht, braucht auch ein Verzeichnis der Verarbeitungstätigkeiten. Es darf aber vom Umfang her überschaubarer sein als bei größeren Unternehmen. Die Details klärt der Anwalt.
Ist eine Datenschutz-Verpflichtung der Mitarbeiter nötig? In der Regel ja. Jeder Firmenchef dürfte den Beschäftigten irgendwann auch Zugang zu personenbezogenen Daten von Kollegen oder Kunden geben. Etwa, um Dienste zu tauschen oder eine Montage beim Kunden auszuführen. Deshalb sollte jeder Mitarbeiter mit seinem Vertrag eine Information zum Umgang mit personenbezogenen Daten erhalten. Und er sollte am besten eine Klausel unterschreiben, die seine Belehrung bestätigt sowie ihn auf die Grundsätze der DS-GVO verpflichtet.

Gut informieren, schnell lö­schen, Da­te­npanne melden

Bestehen besondere Informations- und Auskunftspflichten? Ja. Unternehmer müssen Mitarbeiter ebenso wie Kunden bei der Datenerhebung über die Verarbeitung personenbezogener Daten informieren. Die betroffenen Personen haben das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten. Wichtig ist insbesondere ein entsprechendes Formular, das der Kunde bei der Auftragsannahme erhält, sowie die Datenschutzerklärung auf der Homepage.
Gibt es eine Anforderung zur Datenlöschung? Ja. Personenbezogene Daten sind zu löschen, sobald für die Speicherung keine gesetzliche Grundlage mehr besteht. Hat ein Kunde beispielsweise mehrere Jahre keine Aufträge mehr erteilt, braucht der Unternehmer die Daten nicht mehr für Gewährleistungsansprüche. De facto dürfte sich die zulässige Höchstdauer der Speicherung meistens aus den steuerlichen oder handelsrechtlichen Aufbewahrungspflichten des Unternehmens ergeben.
Sind bestimmte Datenschutzvorfälle zu melden? Ja. Bei relevanten Risiken wie Diebstahl, Verlust oder Hacking eine Mobilgeräts mit unverschlüsselten Kundendaten. Oder bei der Fehlversendung der Rechnung. Die Aufsichtsbehörde ist regelmäßig zu informieren, der Betroffene nur bei hohem Risiko.

Vertrag zur Auf­trags­ver­ar­bei­tung meis­tens notwendig

Sind personenbezogene Daten besonders zu sichern? Normalerweise nicht. Um sie beim Verarbeiten zu schützen, reichen in der Regel die Standardmaßnahmen. Dazu gehören unter anderem aktuelle Betriebssysteme und Anwendungen, regelmäßige Backups, wirkungsvolle Virenscanner, starke Passwortschutz sowie durchdachte Benutzerrechte. Wer allerdings mit veralteter Hard- oder Software arbeitet, sich keine Firewall leistet oder auf Passworte verzichtet, für den wird es bei einer Datenpanne wegen Fahrlässigkeit besonders teuer.
Ist ein Vertrag zur Auftragsverarbeitung notwendig? Das dürfte in jedem Unternehmen der Fall sein. Sobald es externe Dienstleistungen etwa in der Buchhaltung oder beim Hosting der Webseite in Anspruch nimmt, um personenbezogene Daten in seinem Auftrag durch Dritte verarbeiten zu lassen, muss es mit dem Dienstleister einen schriftlichen Vertrag zur Auftragsverarbeitung abschließen. Der Steuerberater gilt in diesem Sinne nicht als Auftragsverarbeiter, sondern eigenständiger Verantwortlicher. Daher ist kein Vertrag zur Auftragsverarbeitung erforderlich. Doch wer seinen Newsletter über einen Dienstleister abwickelt, muss mit ihm eine entsprechende Vereinbarung treffen.

Bei Video­über­wa­chung an Hin­weis­schil­der denken

Ist eine Datenschutz-Folgeabschätzung erforderlich? In den meisten Unternehmen nicht. Die Datenschutz-Folgenabschätzung (DFA) kommt nur zum Einsatz, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die Betroffenen birgt. Das gilt etwa für die systematische, umfassende Bewertung persönlicher Aspekte einer Person unter anderem durch Profiling, etwa bei der Schufa.
Besteht eine Ausschilderungspflicht wegen Videoüberwachung? Ja, sobald das Unternehmen entsprechende Technik einsetzt. Sichert etwa ein Handwerksbetrieb das Firmengelände per Videoüberwachung, ist im Normalfall eine solche Hinweisbeschilderung erforderlich. Auch Händler müssen per Aushang auf die eventuelle Videoüberwachung informieren. Bei Videoüberwachung ist zudem das Speichern und Löschen der Aufnahmen mit einem Anwalt zu besprechen.
Gelten besondere Anforderungen an die IT-Sicherheit? Nein. Hard- und Software sowie die organisatorischen Vorkehrung zu deren Einsatz sollten im eigenen Interesse stets auf dem neuesten Stand sein. Das gilt unabhängig von der DS-GVO. Bei einer Datenpanne gibt es natürlich mehr Ärger, wenn die technischen oder organisatorischen Vorkehrungen offenkundig veraltet sind.

Webseite auf­merk­sam auf DS-GVO-Fal­len prüfen

Gibt es besondere Anforderungen an die Homepage? Ja. Internetseiten, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein, etwa Kontaktformulare und Anmeldemasken für einen Newsletter. Hier sollten im Sinne der Datensparsamkeit nur unbedingt erforderliche Angaben abgefragt werden. Die Webseite muss eine aktuelle Datenschutzerklärung enthalten. Außerdem sind eingebundene Social-Media-Plugins und eingebettete Videos darauf zu überprüfen, ob die damit verbundene Datenweitergabe konform mit der DS-GVO ist. Ganz wichtig: Unternehmer müssen über den Einsatz von Cookies auf der Webseite informieren. Und mit dem Dienstleister für den Betrieb der Homepage ist natürlich eine Vertrag zur Auftragsverarbeitung zu schließen.

In diesen zwölf Tipps sind die wichtigsten Aspekte zum Erfüllen der DS-GVO zusammengefasst. Aber jeder Firmenchef sollte regelmäßig mit dem Anwalt und auch mit einem technischen Dienstleister prüfen, ob die Maßnahmen noch ausreichen. Oder ob sich aus neuen Technologien, neuen Urteilen, neuen Erkenntnissen im Management sowie individuellen Besonderheiten des eigenen Unternehmens weiterer Handlungsbedarf ergibt.

DS-GVO zusammengefasst: Wei­ter­ge­hen­de Informationen

Zahlreiche Organisationen, Verbände und Behörden liefern detaillierte Informationen auch zu Sonderfällen im Rahmen der DS-GVO. Beispielsweise

  • der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom).
  • der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD).
  • die Gesellschaft für Datenschutz und Datensicherheit (GDD).
  • Aufsichtsbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).

Die wesentlichen Aspekte der DS-GVO sind in diesem Video noch einmal zusammengefasst.

EMPFEHLUNG VON DATEV
Datenschutz-Grundverordnung

In dieser Info-Broschüre lesen Sie, wie Sie einen wirksamen Schutz bei der Verarbeitung personenbezogener Daten erreichen. Fragen Sie Ihren Steuerberater danach. Oder nutzen Sie den kostenlosen Download auf dieser Seite.

  • Hat Ihnen der Beitrag gefallen?
  • JaNein
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner die Digitalisierung der unternehmerischen Prozesse angehen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Seite

    Jetzt DATEV-Fanpage besuchen

  • DATEV im Web

26617