security-2168234_1920.jpg

DSGVO - Das sollten kleine Unternehmen und Start-ups jetzt wissen

Dresden 06.03.2018
Mit der Datenschutz-Grundverordnung (DSGVO) hat die EU einen einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten geschaffen. Am 25. Mai 2018 endet die Übergangsfrist und Unternehmen müssen die darin enthaltenen Pflichten erfüllen. Doch was bedeutet das für kleine Unternehmen wie Agenturen und Start-ups? Und ist die derzeitige mediale Panikmache gerechtfertigt? Sputnika.de hat mit dem Dresdner Rechtsanwalt David Bastanier darüber gesprochen.

Zu Beginn sollten wir nochmal klären, was genau “personenbezogene Daten” eigentlich sind.

Als personenbezogene Daten werden alle Angaben über persönliche oder sachliche Verhältnisse bezeichnet, die einen Rückschluss auf eine bestimmte – zumindest aber bestimmbare – natürliche Person zulassen. Klassische personenbezogene Daten sind zum Beispiel der Vor- und Nachname, Anschrift oder E-Mail-Adresse. Aber auch die IP-Adresse und MAC-Adressen können nach Meinung einiger Datenschützer zu den personenbezogenen Daten gehören, da mit technischen Mitteln ein Rückschluss auf den Anschluss- beziehungsweise Geräteinhaber möglich ist. Kurzum: Alle Informationen die irgendeinen Rückschluss auf eine natürliche Person zulassen, können personenbezogene Daten sein.

Ein weiterer Begriff, der in dem Zusammenhang immer wieder auftaucht, ist “Verfahren”. Was ist damit gemeint?

Der Begriff stammt noch aus dem alten Bundesdatenschutzgesetz. Die Datenschutzgrundverordnung spricht hier künftig von sogenannten Verarbeitungstätigkeiten. An sich ist das aber nichts anderes als ein Geschäftsprozess. Im Datenschutzrecht müssen alle Tätigkeiten im Unternehmen, also alle Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden, erfasst und dokumentiert werden. Diese Prozesse werden dann in einem Verarbeitungsverzeichnis - bislang auch als Verfahrensverzeichnis bezeichnet - zusammengefasst. Der Begriff ist dabei nicht technisch, sondern organisatorisch zu verstehen. Ein Verfahren oder eine Verarbeitungstätigkeit im Unternehmen kann beispielsweise die Kundenverwaltung oder die Buchhaltung sein. Das Bundesdatenschutzgesetz und auch die Datenschutzgrundverordnung geben dann einen Rahmen vor, was bei so einem Geschäftsprozess dokumentiert werden muss. Dabei geht es in erster Linie darum, dass man übersichtlich zusammenfasst, welche Daten zu welchem Zweck verarbeitet werden, wer Zugriff auf die Daten hat und welche Maßnahmen im Unternehmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten.

Etwas überspitzt gefragt: braucht jede kleine Agentur jetzt einen externen Datenschutzbeauftragten, nur weil sie auf ihrer Website ein Kontaktformular anbietet und Google Analytics zum Website-Tracking nutzt?

Da kommt die typische Juristen-Antwort: Es kommt darauf an. Nach dem alten Bundesdatenschutzgesetz war ein Datenschutzbeauftragter nur dann zwingend nötig, wenn mindestens zehn Personen dauerhaft mit der automatisierten Verarbeitung von personenbezogene Daten betraut waren. Die Datenschutzgrundverordnung verlangt dagegen immer dann einen Datenschutzbeauftragten, wenn „die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht.“ Ob und wann das der Fall ist, lässt sich leider nicht pauschal sagen, da kommt es konkret darauf an, was jede kleine Agentur macht.

Kommt man zu dem Ergebnis, dass ein Datenschutzbeauftragter erforderlich ist, muss man sich die Frage stellen, ob man einen externen Dienstleister einsetzen will oder einen eigenen Mitarbeiter zum internen Datenschutzbeauftragten ernennt. Neben der Frage, ob der eigene Mitarbeiter diesen Job übernehmen will, muss er auch „sachkundig“ sein, darf nicht der Geschäftsleitung angehören und es darf keine Gefahr für mögliche Interessenkollisionen bestehen. Reinweg aus dieser Systematik wird schon klar, dass grundsätzlich nur bei größeren Unternehmen eine Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen kann. Ich würde eine Pflicht erst bei Unternehmen mit mehr als fünf Mitarbeitern sehen, wenn der Unternehmensgegenstand nicht schon eher einen Datenschutzbeauftragten verlangt, beispielsweise bei professionellen Adresshändlern. Meine Empfehlung ist aber, dass in jedem Unternehmen ein Mitarbeiter für das Thema Datenschutz zuständig sein sollte. Ob diese Person dann direkt zum Datenschutzbeauftragten ernannt wird, kann man immer noch entscheiden. Sollte man sich aber für einen externen Datenschutzbeauftragten entscheiden, braucht dieser ohnehin einen Ansprechpartner im Unternehmen.

David Bastanier ist Rechtsanwalt in Dresden und auch als Datenschutzbeauftragter tätig. Schwerpunkte seiner Arbeit sind die Unternehmensfinanzierung und das Vertriebs- und Datenschutzrecht.

Bei welchen Marketing-und Vertriebs-Maßnahmen sollte man also aufpassen? Newsletter, Remarketing, Payment, Online-Shop?

Aufpassen sollte man grundsätzlich bei allen Vertriebs- und Marketingmaßnahmen. Neben dem Datenschutzrecht muss man hier auch immer das Wettbewerbsrecht im Auge behalten. So sollte also beispielsweise vorher geklärt werden, ob man beim Versand eines Newsletters auch die Einwilligungen aller Empfänger eingeholt hat oder das im Online-Shop die Eingabe der Zahlungsdaten über einen sicheren Übertragungsweg, sprich eine SSL-Verbindung, erfolgt.

Was ist zu beachten, wenn ein Unternehmen Kundendaten an Dienstleister weitergibt, z.B. ein Online-Shop an den Paketlogistiker?

Das kann im Einzelfall eine sogenannte Auftragsdatenverarbeitung, kurz ADV, sein. Entscheidend ist dabei aber immer, ob und was der Dienstleister eigentlich machen soll. Wenn der Paketdienstleister nur Waren befördern soll, wäre das grundsätzlich keine ADV. Der Klassiker für eine ADV ist der Wartungsvertrag mit einem IT-Dienstleister. Wenn eine ADV vorliegt, muss eine gesonderte Vereinbarung mit dem externen Dienstleister geschlossen werden, bei der es dann nach dem Gesetz einige Sachen zu beachten gibt. So muss zum Beispiel genau geregelt werden, welche Datenkategorien verarbeitet werden und welche Überwachungsmöglichkeiten bestehen.

Macht es einen Unterschied, ob man z.B. für die Vermarktung von Events Eventbrite oder den Newsletterversand Mailchimp verwendet, also US-Anbieter, oder deutsche beziehungsweise europäische Anbieter?

Es macht dann einen Unterschied, wenn die konkrete Datenverarbeitung nicht mehr in Deutschland beziehungsweise innerhalb der Europäischen Union durchgeführt wird. Bei einer Datenverarbeitung im Ausland muss vorab geprüft werden, ob in dem jeweiligen Land ein ausreichendes Datenschutzniveau besteht. Dann muss auch hier ein gesonderter Vertrag geschlossen werden. Dafür gibt es Muster von der Europäischen Kommission, die mittlerweile auch von zahlreichen US-Anbietern akzeptiert werden. Grundsätzlich muss bei US-Anbietern aber immer genau geschaut werden, da das Safe-Harbour-Abkommen gekippt wurde und bei der Privacy-Shield-Policy erhebliche Bedenken bestehen, ob diese wirklich für einen ausreichenden Schutz sorgen kann. Die meisten Anbieter auf dem deutschen beziehungsweise europäischen Markt sind aber für dieses Thema auch schon sensibilisiert und können hier auch direkt weiterhelfen.

Ein Knackpunkt sind ja die erhöhten Dokumentationspflichten und Berichte, die gerade für kleine Unternehmen schon mal zur Belastung werden können. Was genau muss denn wirklich dokumentiert werden und was kann man sich vielleicht auch sparen?

Die Erstellung des Verarbeitungsprozessverzeichnisses ist eine gesetzliche Pflicht, daran kommt man nicht vorbei. Die erste Erstellung so eines Verzeichnisses ist schon aufwendig. Am Ende gibt es zwei Wege: Entweder ich erfasse alle Prozesse in meinem Unternehmen, prüfe die datenschutzrechtlich durch und dokumentiere alles. Oder ich suche mir einen bereits datenschutzrechtlich geprüften Standardprozess, der schon mal sauber dokumentiert wurde und passe dann die organisatorischen Abläufe und technischen Mittel in meinem Unternehmen an den Standardprozess an. Das kann in einigen Fällen leichter, schneller und kostengünstiger sein.

Wie genau und vom wem wird denn überprüft, ob ein Unternehmen diese Pflichten erfüllt?

Die Datenschutzgrundverordnung legt eine sogenannte Nachweispflicht fest. Das heißt, es muss im Einzelfall nachgewiesen werden, dass man sich an die gesetzlichen Pflichten hält. Auf einen Verstoß kommt es damit nicht an. Die Landesdatenschutzbehörden als Aufsichtsbehörden können also verdachtsunabhängig Prüfungen durchführen und sich die Verzeichnisse der Verarbeitungsprozesse vorlegen lassen und haben auch das Recht die Geschäftsräume zu betreten, Einsicht in geschäftliche Unterlagen zu nehmen und sich Zugang zu allen personenbezogenen Daten im Unternehmen zu verschaffen. Die Eingriffsrechte sind also recht weitreichend. Ob und wie diese Rechte in der Praxis dann tatsächlich von den Behörden wahrgenommen werden, bleibt abzuwarten. Die Aufsichtsbehörden haben aber auch explizit die Aufgabe, alle Unternehmen im sicheren Umgang mit Daten zu sensibilisieren. Auf den Websites der Behörden finden sich sehr viele nützliche Hinweise, Checklisten und Erklärungen, die zudem kostenfrei zur Verfügung gestellt werden.

Gelten die Anforderungen nur für die Daten von Endverbrauchern oder auch für reine B2B-Geschäftsbeziehungen?

Das Datenschutzrecht unterscheidet nicht zwischen B2C und B2B, sondern spricht immer nur von „Daten“. So kann ich auch im B2B-Bereich personenbezogene Daten verarbeiten. Denken Sie hier nur die Daten von freien Redakteuren, Fotografen oder Programmierern, die als Geschäftspartner erfasst werden oder die persönlichen Daten der Marketingleiterin, die für ein laufendes Projekt als Ansprechpartnerin eines Kunden erfasst wird.

Es wird immer wieder von drastischen Bußgeldern gesprochen, wenn man als Unternehmen die Pflichten nicht erfüllt. Welche Konsequenzen hätte das denn konkret und über welche Höhe an Bußgeldern sprechen wir denn?

Richtig ist, dass die Bußgelder drastisch erhöht wurden. Die Datenschutzgrundverordnung sieht Bußgelder bis maximal 20 Millionen Euro beziehungsweise vier Prozent des weltweit erzielten Jahresumsatzes vor. Das alte Bundesdatenschutzgesetz sprach hier noch von 300.000 Euro. Unabhängig davon können bestimmte Verstöße gegen das Datenschutzrecht auch als Straftaten geahndet werden. Die Landesdatenschutzbehörden haben bereits angekündigt, dass sie die bislang verhängten Bußgelder deutlich anheben werden. Es ist also davon auszugehen, dass Verstöße gegen das Datenschutzrecht teurer werden. Die verhängte Strafe muss aber immer in einem angemessenen Verhältnis zum Verstoß und zum konkreten Unternehmen stehen. Jeder Unternehmer soll und muss sich also mit dem Thema Datenschutz im eigenen Haus beschäftigen, aber nicht aus Angst vor irgendwelchen utopischen Strafen, sondern weil man die bestehenden Geschäftsprozesse sauber erfassen und bei der Gelegenheit oft auch optimieren kann und damit – gewissermaßen nebenbei – eine gesetzliche Pflicht erfüllt. Das ganze Thema ist ernst zu nehmen, Angst ist aber immer ein schlechter Berater.

Was empfehlen Sie kleinen Unternehmen, die jetzt erst beginnen, sich mit dem Thema zu beschäftigen? Die Stichworte hier sind Datenschutzerklärung, Auskunftsblatt, Musterverzeichnis, Verschwiegenheitserklärung und Verzeichnis der Verarbeitungstätigkeiten.

Auf keinen Fall in Panik zu verfallen! Hier gilt es in erster Linie die Ruhe zu bewahren, den Ist-Zustand zu analysieren und die bestehenden Aufgaben zu priorisieren. Wer sich bislang noch nicht mit dem Thema beschäftigt hat, kann schnell verzweifeln. Wichtig ist, dass man sich hier einen Fahrplan zurechtlegt, mit welcher Arbeit man anfängt. Ich empfehle dabei zu allererst eine Aufstellung zu machen, an welchen Stellen im Unternehmen personenbezogene Daten von wem für welchen Zweck verarbeitet werden. Das betrifft auch die Schnittstellen, bei denen auf externe Dienstleister zurückgegriffen wird. Dann sollten alle Unterlagen und Informationen, die nach außen an Dritte wie Kunden, Geschäftspartner oder Interessenten gehen oder öffentlich zugänglich sind, auf den aktuellen Stand gebracht werden. Hierzu gehören beispielsweise die Datenschutzhinweise auf der eigenen Website, Einwilligungserklärungen und so weiter. Damit ist dann schon mal der erste große Schritt getan. Danach kann man sich an die Erstellung des Verarbeitungsverzeichnisses machen, bei dem dann auch die bestehenden Verträge auf den aktuellen Stand gebracht werden müssen.

Muss man sich wirklich einen Experten ins Boot holen? Wenn ja, wen? Und was kostet das? Oder bekommt man das auch in einer überschaubaren Zeit allein hin?

Das lässt sich leider nicht pauschal beantworten. Die Materie ist zwar komplex, am Ende aber kein Hexenwerk. Wer sich intensiver damit beschäftigt, bekommt für sein eigenes Unternehmen das ganze Thema auch allein gelöst. Die Frage ist aber immer: Wieviel Zeit kann und will ich investieren? Wer es allein nicht lösen will, kann auf externe Hilfe zurückgreifen. Die Kosten hängen dabei vom Aufwand ab und sind bei einer international tätigen Agentur mit 100 Mitarbeitern an fünf Standorten um ein Vielfaches höher, als bei einer Marketingagentur mit drei Mitarbeitern an einem Standort. Dann hängt es auch davon ab, was der Unternehmer selbst zuliefern kann beziehungsweise wie das Unternehmen bislang aufgestellt ist und welche Leistungen der Externe konkret erbringen soll. Bei mir persönlich läuft es dabei so, dass ich in einem ersten Gespräch erstmal kläre, wie die aktuelle Situation eigentlich aussieht und welche Erwartungshaltung besteht. Wenn dann die Chemie stimmt, legt man gemeinsam einen Fahrplan fest und klärt auch, welche Kosten mit der Umsetzung verbunden sind. Dabei gibt es bei den Kosten sehr viele Gestaltungsvarianten, wie man hier gemeinsam, langfristig miteinander auskommen kann.

Ist es mit einem einmaligen Aufwand denn dann erstmal getan oder ist das Thema ein Dauerbrenner auch für kleine Unternehmen?

Wie bei der Buchhaltung ist es auch hier nicht der einmaligen Einrichtung getan. Geschäftsprozesse ändern sich, das Unternehmen wird größer, es kommen neue Dienstleister hinzu oder die technischen Möglichkeiten ändern sich. So wie sich das Unternehmen im Laufe der Zeit wandelt, muss auch das Verarbeitungsverzeichnis angepasst werden. Denken Sie hier beispielsweise an den Einsatz einer neuen Software zum Newsletterversand oder aber einen Wechsel des IT-Dienstleisters. Je nach Größe des Unternehmens sollte mindestens einmal im Jahr nachgeschaut werden, ob die Verzeichnisse noch auf dem aktuellen Stand sind. Wer sich für einen externen Datenschutzbeauftragten entscheidet, bekommt dann zu diesen Audits auch immer einen Prüfbericht. Ein externer Datenschutzbeauftragter sollte dabei immer als Berater auftreten und aktiv in die Entwicklung der Geschäftsprozesse eingebunden werden. So kann man frühzeitig reagieren und für Herausforderungen eine Lösung finden. Und keine Panik: Datenschutzbeauftragte sind zur Verschwiegenheit über alle Geschäftsgeheimnisse verpflichtet. Die Vertraulichkeit in der Zusammenarbeit ist also gewahrt.

Vielen Dank für das Gespräch!

Fotos: pixabay.com; David Bastanier

 

Kommentare

Weitere Artikel von Sputnika

Innovationstreiber statt naiver „Fehlerfeierkultur“: 10 Tipps wie Unternehmen mit Fehlern umgehen können
Ausbildung und Studium 2018: Das bieten Dresdner Agenturen
“Überraschend entspannt” - Marketingentscheider im Gespräch: Matthias Benz vom Konsum Leipzig
Sputnika TV - Sputnika exklusiv.