DSGVO: Das Wichtigste für Selbstständige im Überblick

Die Datenschutzgrundverordnung der Europäischen Union soll das Datenschutz-Recht hinsichtlich der Verarbeitung von personenbezogenen Daten in den EU-Staaten sowie den Datenverkehr im europäischen Binnenmarkt EU-weit vereinheitlichen.

Die Datenschutzgrundverordnung gilt für jedes Unternehmen beziehungsweise jeden Betrieb, in dem personenbezogene Daten von Kunden, deren Wohnsitz sich innerhalb der EU befindet, erhoben werden. Der Standort des Unternehmens ist für die Rechtswirksamkeit unerheblich.

Personenbezogene Daten gemäß Art. 4 DSGVO sind beispielsweise:

• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• Kredit-/EC-Karten-Daten

Mit Inkrafttreten der DSGVO ergeben sich folgende Pflichten, die Selbstständige im Zuge der Datenerhebung und -verarbeitung erfüllen müssen.

Erheben Sie über Ihre Internetseite, Ihren Web-Shop oder andere digitale Dienste personenbezogene Daten, müssen Sie Ihre Kunden in Ihrer Datenschutzerklärung genauestens darüber unterrichten.

Nach Art. 13 und 14 DSGVO müssen Sie – unter anderem – folgende Informationen zum Zeitpunkt der Erhebung der Daten zur Verfügung stellen:

• Name und Kontaktdaten des Verantwortlichen der Datenerhebung
• Ggf. Kontaktdaten des Datenschutzbeauftragten
• Art der Daten, die erhoben werden
• Zweck der Datenerhebung und -verarbeitung inklusive der entsprechenden Rechtsgrundlage
• Dauer der Datenspeicherung
• Erklärung darüber, dass der Kunde ein Recht auf Widerspruch, Auskunft, Berichtigung und Löschung der gespeicherten Daten hat

Wichtig: Ihre Kunden müssen auf Ihrer Webseite und sonstigen Plattformen die Möglichkeit haben, der Datensammlung zu widersprechen – und zwar bevor Sie die Daten erheben.

Ausführlichere Informationen zu weiteren Kundenrechten bezüglich der Erhebung personenbezogener Daten finden Sie in Art. 12 der DSGVO.

Des Weiteren haben Unternehmen gemäß Art. 30 DSGVO die Pflicht, alle Verarbeitungstätigkeiten zu dokumentieren. Dafür müssen Sie ein schriftliches Verzeichnis anlegen, welches der Aufsichtsbehörde auf Anfrage vorzulegen ist. Jedoch können kleinere und mittlere Unternehmen (weniger als 250 Mitarbeiter) von dieser Pflicht befreit sein, wenn:

• die Verarbeitung kein Risiko für die Rechte und Freiheiten der Kunden birgt,
• nur gelegentlich Daten verarbeitet werden,
• keine besonderen Daten gemäß Art. 9 Abs. 1 DSGVO (z. B. ethnische Zugehörigkeit, Gesundheitsdaten) beziehungsweise gemäß Art. 10 DSGVO (Daten über strafrechtliche Verurteilungen und Straftaten) erhoben werden

Gemäß Art. 33 DSGVO haben Sie die Pflicht, der zuständigen Aufsichtsbehörde eine Verletzung des Datenschutzes personenbezogener Daten innerhalb von 72 Stunden (nachdem Sie von der Verletzung erfahren haben) zu melden.

Diesbezüglich müssen Sie Ihre Mitarbeiter dahingehend sensibilisieren, dass diese den Datenschutzverantwortlichen Ihres Unternehmens unverzüglich über eine Datenschutzverletzung informieren. Dieser ist für die Meldung und die konkrete Dokumentation der Verletzung zuständig.

Auch die Sanktionen bei Verstößen (z. B. Verstoß gegen die Meldepflicht) werden deutlich verschärft. Je nach Art des Verstoßes können Bußgelder bis zu 20 Millionen Euro anfallen. Auch ist eine Kopplung an den Jahresumsatz des Unternehmens, insofern es sich um eine Organisation handelt, möglich. Je nach Schwere des Datenverstoßes können hier 2 % bis 4 % des Jahresumsatzes geahndet werden.

Zudem kann die Aufsichtsbehörde verlangen, dass der Datenverstoß unverzüglich zu beenden ist. Hält sich das Unternehmen nicht daran, kann die Datenerhebung und -verarbeitung personenbezogener Daten komplett untersagt werden.

Bei schweren Verstößen – etwa wenn vertrauliche personenbezogene Daten ohne Berechtigung in großen Mengen an Dritte übermittelt werden – kann gemäß § 42 Bundesdatenschutzgesetz (BDSG) sogar eine Freiheitsstrafe von bis zu drei Jahren verhängt werden.

Folgende Maßnahmen sollten Sie bestenfalls bereits umgesetzt haben:

1. Ernennung eines Datenschutzbeauftragten, insofern mindestens 10 Personen im Unternehmen ständig mit der Verarbeitung der personenbezogenen Daten beschäftigt sind
2. Überarbeitung der Datenschutzerklärung im Sinne der neuen Informationspflichten
3. Ggf. Verzeichnis der Verarbeitungstätigkeiten anlegen gemäß der Dokumentationspflicht
4. Implementierung eines Datenschutz-Management-Systems im Unternehmen, da eine Nachweispflicht besteht, dass die DSGVO im gesamten Unternehmen eingehalten wird

Da Betriebe und Unternehmen nicht alle gleich sind, und sich dementsprechend auch die Anforderungen der DSGVO unterscheiden können, stellt das Bayerische Landesamt für Datenschutzsicherheit (BayLDA) diverse Checklisten der konkreten Maßnahmen sowie Musterverzeichnisse zu den Verarbeitungstätigkeiten verschiedener Betriebsarten (u. a. Handwerksbetriebe, Steuerberater, Arztpraxen oder auch Online-Shops) zur Verfügung. Diese finden Sie auf der folgenden Webseite:

Handreichungen für kleine Unternehmen und Vereine

Außerdem bietet das BayLDA ein Online-Tool zur Selbsteinschätzung an, mit dem Sie testen können, wie weit Sie mit der Umsetzung der DSGVO in Ihrem Betrieb bereits gekommen sind.

Hinreichende Informationen zu weiteren wichtigen Anforderungen und Bestimmungen der DSGVO für Selbstständige finden Sie auf dem Existenzgründerportal des Bundesministeriums für Wirtschaft und Energie.