Der Eintrag "offcanvas-col1" existiert leider nicht.

Der Eintrag "offcanvas-col2" existiert leider nicht.

Der Eintrag "offcanvas-col3" existiert leider nicht.

Der Eintrag "offcanvas-col4" existiert leider nicht.

Have any Questions? +01 123 444 555

 

Kleine Unternehmen und die Datenschutzgrundverordnung (DS-GVO)

Kleine Unternehmen und die Datenschutzgrundverordnung (DS-GVO)

von Elke Heuvens (Kommentare: 0)

Die DS-GVO trat schon am 25. Mai 2016 inkraft und ist ab 25.5.2018 zwingend. Alle Unternehmen, die in der EU ansässig sind, müssen sie ohne Größenbeschränkung anwenden. Sie sichert sämtliche Informationen (Daten) ab, durch die auf irgendeine Art und Weise Rückschlüsse auf eine natürliche Person gezogen werden können. 

Welche Daten darf man speichern 

Grundsätzlich dürfen nur solche Daten verarbeitet werden, die für die Entstehung beziehungsweise Abwicklung eines Vertragsverhältnisses notwendig sind oder die aufgrund anderer gesetzlicher Vorgaben gespeichert werden müssen, etwa für die Steuer. Hinsichtlich dieser Grunddaten zur Abwicklung des Vertrags benötigt der Unternehmer keine gesonderte Einwilligung der Kunden, Lieferanten etc, für darüberhinausgehende Daten und Zwecke aber schon. Diese Daten – genauso wie die Daten der Mitarbeiter auch – darf das Unternehmen nicht an Dritte weitergeben und nur so lange speichern, bis der Vertrag erledigt bzw abgewickelt ist. 

Für welche Datenspeicherung wird eine Einwilligung benötigt 

Für die Speicherung weiterer Daten benötigt das Unternehmen eine Einwilligung, wobei neben der schriftlichen alle denkbaren Formen der Einwilligung möglich sind (z.B. mündliche Einwilligung, Anklicken einer Checkbox, per E-Mail etc). Sie muss freiwillig und in informierter Weise gegeben werden. Dabei hat der Kunde/Lieferant/Dritter u.a. folgende Informationen zu erhalten: 

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke der Verarbeitung und deren Rechtsgrundlage,
  • Dauer der Datenspeicherung,
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1a oder Art. 9 Abs. 2a DS-GVO),
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22),
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung sowie Einschränkung der Verarbeitung, ferner ein Widerspruchsrecht sowie ein Recht auf Datenübertragbarkeit. 

Die Einwilligungserklärung nach Art. 7 Abs. 2 DS-GVO kann als Bestandteil von Allgemeinen Geschäftsbedingungen erfolgen. Dazu muss sie verständlich sowie in einfacher Sprache formuliert sein und so erfolgen, dass sie von dem restlichen Text der AGB klar zu unterscheiden ist. Die Erklärung sollte hervorgehoben werden, etwa durch Einrahmung, farbliche Hervorhebung oder durch Fett- bzw Kursivdruck. 

Für Einwilligungen von Minderjährigen gelten einige komplizierte Besonderheiten. 

Bisher erteilte Einwilligungen gelten nur fort, wenn sie den neuen Anforderungen entsprechen. Ansonsten müssen entsprechende neue Einwilligungen eingeholt werden. 

Welche Datenvereinbarung ist betroffen 

Unerheblich ist, ob die personenbezogenen Daten manuell oder automatisiert verarbeitet werden. Eine mit der Hand geschriebene Kartei ist also ebenso zu behandeln wie eine Software-Datenbank oder eine täglich aktualisierte Excel-Tabelle. Welche Arten der Verarbeitung eingeschlossen sind, ergibt sich aus Art. 4 Nr. 2 DS-GVO. 

Verträge mit Dienstleistern über Datenverarbeitung

Ebenso muss mit allen Dienstleistern, wie etwa IT-Dienstleistern, Anbietern für Cloud-Anwendungen, Webdesignagenturen, Steuerberatern, Inkassofirmen und Bezahldiensten eine Vereinbarung über die Auftragsverarbeitung abgeschlossen werden.

Schutz der Daten 

Die erfassten personenbezogenen Daten müssen vom Unternehmer geschützt werden. Die nach Art. 32 Abs. 1 lit. b DS-GVO geforderte Vertraulichkeit setzt sich zusammen aus: 

  • Zutrittskontrolle: Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
  • Zugangskontrolle: Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. 
  • Zugriffskontrolle: Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Trennungskontrolle: Maßnahmen, die gewährleisten, dass die zu unterschiedlichen Zwecken erhobenen Daten getrennt verarbeitet werden können.

All dies heißt: SSL-Internetverbindung (Secure Sockets Layer) und zufallsgenerierter Passwortschutz für Router müssen selbstverständlich sein. Ebenso sollte wie stets aktuelle Anti-Virus-Software oder sonstige anerkannte Internet-Sicherheitssoftware installiert und der Internetanschluss durch eine Firewall geschützt sein. Mitarbeiter müssen im Hinblick auf den Umgang mit Dateianhängen und Links in Emails sowie eine sichere Passwortgenerierung geschult werden. Der Zugang zur Datenverarbeitung muss mit sicheren Passwörtern geschützt sein. Die Festplatten sollten verschlüsselt werden ebenso wie der E-Mailverkehr. Die Dokumente schriftlicher Datenverarbeitung sind in abschließbaren Schränken aufzubewahren und dürfen auch während der Geschäftszeiten für Dritte nicht zugänglich sein. 

Die Daten sind letztendlich gegen Verlust zu sichern und müssen eventuell wiederhergestellt werden können. 

Wie müssen die getroffenen Maßnahmen dokumentiert werden 

Es muss eine schriftliche Dokumentation der Datenverarbeitung (ein Verarbeitungsverzeichnis) erstellt werden. Mustervorlagen dafür, die entsprechend sich den tatsächlichen Gegebenheiten im Unternehmen anpassen lassen, sind bei der jeweiligen IHK zu erhalten. 

Meldepflicht bei Datenpannen 

Sollte es zu Datenpannen - etwa durch Datenverlust oder Hackerangriffe – kommen, besteht eine Meldepflicht unter der Datenschutzgrundverordnung nach Art. 33 DS-GVO unverzüglich bzw möglichst innerhalb von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in Düsseldorf https://www.ldi.nrw.de). Die Meldung ist entbehrlich, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“  

Werden die Vorgaben nicht eingehalten, drohen hohe Bußgelder sowie Abmahnungen, Unterlassungs- und Schadenersatzansprüche. 

Hinweis: 

Auch digitale Bilddateien weisen personenbezogene Daten auf, wenn darauf Personen zu erkennen sind. Sie müssen dann nach der DS-GVO behandelt werden.

Zurück

Dr. Lieser M.C.L. Rechtsanwälte GbR - Maternusstr. 40-42 - 50996 Köln
kanzlei@drliesermcl.de    0221 - 340 91 362
Diese Website nutzt Cookies, um Inhalte und Anzeigen zu personalisieren, Ihnen Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Webseite zu analysieren. Mit der Nutzung der Website erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Einverstanden
Mehr Informationen info
Erledigt