Ab 25.05.2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Betroffen davon sind alle Unternehmen, egal ob klein oder groß, also auch Sie. In 99 Artikeln (nicht Paragrafen wie in deutschen Gesetzen) werden die Einzelheiten des neuen Rechts dargelegt.
Im Internet gibt es dazu bereits eine Flut von Informationen und sicher haben Sie davon auch schon aus Zeitungen oder anderen Quellen erfahren. Durch Gespräche mit Mandanten in den letzten Tagen habe ich allerdings den Eindruck, dass viele von Ihnen sich offenbar noch gar nicht um das Thema gekümmert haben. Dies könnte – insbesondere wenn Sie eine Website betreiben – fatale Folgen haben, denn vermutlich stehen schon Scharen von darauf spezialisierten Rechtsanwaltskanzleien in den Startlöchern, um massenhaft teure Abmahnungen zu verschicken. Zudem riskieren Sie erhebliche Bußgelder, die – natürlich in absoluten Ausnahmefällen – bis hin zu 20 Mio. Euro (siehe Art. 83 DSGVO) reichen.
Eine eingehende Beratung zu diesem Thema darf ich zum einen aus rechtlichen Gründen nicht vornehmen und zum anderen ist das Thema derart komplex, dass ich selbst damit überfordert bin. Aus meiner eigenen Beschäftigung mit dem Thema heraus, möchte ich Ihnen aber dennoch folgende Hinweise geben:
Kümmern Sie sich als erstes um Ihre Website, sofern Sie eine betreiben.
Dies ist eigentlich derzeit der wichtigste Hinweis! Machen Sie Ihre Website „Datenschutz-konform“, das heißt, bauen Sie einen zusätzlichen Link „Datenschutz“ ein und versehen diese neue Seite mit den entsprechenden Informationen. Schauen Sie sich z.B. dazu folgende Seiten an:
- Bundessteuerberaterkammer: https://www.bstbk.de/de/service/datenschutz/index.html
- DSL und Webhosting 1&1: https://hosting.1und1.de/terms-gtc/terms-privacy/
- Bundesministerium der Finanzen (BMF): https://www.bundesfinanzministerium.de/Web/DE/Meta/Datenschutz/datenschutz.html
- meine Website: https://www.steuerkanzlei-chwatal.de/datenschutz/
Auf der Website von https://www.e-recht24.de können Sie sich mit wenigen Klicks einen (hoffentlich) rechtssicheren Inhalt für Ihre Datenschutzseite automatisch und in der Grundversion auch kostenlos erzeugen lassen. Der Button für den kostenlose Version des Datenschutz-Generators ist mittlerweile etwas versteckt oben links am Rand der Website.
Kümmern Sie sich erst dann um die übrigen Auflagen (das sind mehr als genug), z.B.
a) Analyse und Dokumentation von datenschutzrelevanten Vorgängen in Ihrem Unternehmen
Dies ist ein Herzstück der Verordnung. Es geht um Fragen wie: Welche personenbezogenen Daten (Art. 4 DSGVO) werden wie, wann und warum verarbeitet und welche Verarbeitungsvorgänge sind davon datenschutzrechtlich besonders problematisch? Legen Sie zu all diesen Fragestellungen eine Dokumentation an (sogenanntes Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSVGO). Auf Anforderung der Aufsichtsbehörde muss jedes Unternehmen (zu den Ausnahmen siehe Art. 30 Abs. 5 DSGVO) dieses Verzeichnis bereitstellen.
b) Analyse und Dokumentation Datensicherheit in Ihrem Unternehmen
Hier beschreiben Sie detailliert, wie Sie in Ihrem Unternehmen die Sicherheit der Daten einschließlich von Backups gewährleisten, siehe dazu Art. 32 DSGVO.
c) Information und Schulung Ihrer Mitarbeiter
Weitere Hinweise:
Ein Datenschutzbeauftragter nach Art. 37 DSGVO dürfte meines Erachtens für Sie nicht notwendig werden, denn dafür müssten mehr als 9 Mitarbeiter ständig mit automatisierter Datenverarbeitung zu tun haben (Nach Art. 37 Abs. 4 DSGVO – Öffnungsklausel – hat Deutschland dies mit § 38 BDSG-neu abweichend geregelt). Natürlich können Sie sich auch einen externen Datenschutzbeauftragten „kaufen“. Dieser übernimmt dann für Sie alle erforderlichen Arbeiten, ist aber natürlich nicht kostenlos.
Das Bayrische Landesamt für Datenaufsicht hat erkennbar bislang als einzige Institution (weder meine Steuerberaterkammer, noch der Steuerberaterverband noch andere offizielle Stellen haben so etwas bisher zustande gebracht) eine „Handreichung für kleine Unternehmen und Vereine“ veröffentlicht. In dieser Übersicht werden für viele typische Unternehmen wie Vereine, Bäckereien, Kfz-Werkstatt, Handwerksbetriebe, Arztpraxis, Einzelhändler und Hotels die wesentlichen Anforderungen an die Datenschutzgrundverordnung dargestellt und zum Teil Handlungsempfehlungen gegeben. Der Link zu dieser Seite lautet: https://www.lda.bayern.de/de/kleine-unternehmen.html
Mein Fazit zu den Bayern: Absolut lesenswert!
Kommentar:
Die Datenschutzgrundverordnung (DSVGO) ist etwas, was die Welt – jedenfalls kleine und Kleinstunternehmen – nicht braucht. Warum dieser Bürokraten-Wahnsinn der EU-Juristen unter Zustimmung auch von Deutschlands Politikern nicht von pragmatisch denkenden Menschen gestoppt oder zumindest lediglich auf große Unternehmen beschränkt werden konnte, ist mir ein Rätsel. Das Verordnungsmonster beschert den kleinen Unternehmen unnötige Arbeit oder Kosten und fördert den allgemein mittlerweile üblichen Dokumentationswust (Hauptsache es ist dokumentiert, dann wird es schon in Ordnung sein).
