10.10.2018

Die neue DSGVO – Rechte und Pflichten für Selbstständige und Unternehmen

Am 25. Mai 2018 trat die neue DSGVO für Selbständige und Unternehmen in Kraft. Obwohl bereits eine zweijährige Übergangszeit existierte, wussten viele Firmen wenig mit ihr anzufangen. Was ändert sich für Unternehmen, wenn es um die Speicherung personenbezogener Daten geht?

Was genau ist die DSGVO?

Bislang hatte jedes Land in Europa seine eigenen Bestimmungen in Bezug auf den Datenschutz. Um ein europaweit einheitliches Datenschutzrecht zu schaffen, trat nun die DSGVO (Datenschutz-Grundverordnung) in Kraft. Nicht nur, dass dadurch ein identischer Datenschutz innerhalb der gesamten EU gilt, auch Unternehmen mit Sitz außerhalb des EU-Raumes müssen sich daran halten, wenn sie in Europa tätig werden und personenbezogene Daten von EU-Bürgern verarbeiten.

Für Unternehmen war es bisher kein Problem, Kundendaten für betriebliche Zwecke zu speichern. Meistens war dieses auch sinnvoll. Allerdings kam es auch zu Missbrauch und vor allem fehlte die Transparenz. Nach der neuen Datenschutz-Grundverordnung sind Selbständige und Unternehmen dazu angehalten, sorgfältiger mit personenbezogenen Daten umzugehen. Der Kunde hat nun die Möglichkeit, Einsicht in seine von Unternehmen gesammelten Daten zu nehmen und diese sogar löschen zu lassen.

Der Umgang von Unternehmen mit personenbezogenen Daten

In erster Linie geht es nach der neuen DSGVO für Unternehmen um die Speicherung von Personendaten. Unter diese Daten fallen z. B. der Name des Kunden, die Adresse, Telefonnummer und E-Mail, aber auch Bank- und Geburtsdaten. Für eine gute Geschäftsbeziehung sind viele dieser Daten wichtig, zum Teil aber nicht nötig. Wenn ein Kunde bei einem Online-Händler einkauft, ist die Hinterlegung seiner Bankverbindung sicher sinnvoll – aber wozu braucht das Unternehmen auch sein Geburtsdatum? Dieses hat für die Abwicklung eines Einkaufs keine Relevanz.

Die Datenschutzerklärung muss angepasst werden

Möchte das Unternehmen zukünftig personenbezogene Daten speichern, muss es den Kunden darüber unterrichten und ihm die Möglichkeit einräumen, diesem zu widersprechen. Unternehmen sollten ihre Datenschutzerklärung hinsichtlich der neuen DSGVO unbedingt überarbeiten, denn sie unterliegen neuerdings der Informationspflicht. Das bedeutet, dass sie Kunden mitteilen müssen, welche ihrer personenbezogenen Daten gesammelt – am besten mit der dazugehörigen Rechtsgrundlage – und zu welchem Zweck diese genutzt werden. Ebenso sind sie dazu verpflichtet, darüber zu informieren, wie lange die Daten gespeichert werden.

Name und Kontakt des Datenschutzbeauftragen, oder, wenn dieser nicht existiert, des für die Datenerhebung Verantwortlichen, dürfen nicht fehlen. Ferner ist das Unternehmen dazu angehalten, den Kunden auf sein Widerspruchs-, Auskunfts- oder Berichtigungsrecht hinzuweisen. Dieser hat nach dem DSGVO nämlich das Recht selbst zu bestimmen, welche Kundendaten ein Unternehmen verwenden und speichern darf.

Weitere Pflichten bezüglich der DSGVO für Unternehmen

Neben der oben erwähnten Informationspflicht muss das Unternehmen auch anderen Pflichten nachkommen. Die sogenannte Dokumentationspflicht steht dafür, dass über die Einhaltung der DSGVO nach Aufforderung der Aufsichtsbehörde ein Nachweis erfolgen muss. Es wird also zur eigenen Sicherheit schriftlich dokumentiert, dass beispielsweise Kunden per E-Mail von der neuen Datenschutzgrundverordnung in Kenntnis gesetzt und über ihre Rechte informiert wurden.

Es gibt jedoch eine Sonderregelung für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen – diese können sich unter Umständen von der Dokumentationspflicht befreien lassen.

Des Weiteren gilt die Meldepflicht, falls es zu einer Datenschutzverletzung aufgrund eines Hackerangriffs oder eines Datenlecks gekommen ist. Das Unternehmen ist verpflichtet, der zuständigen Aufsichtsbehörde dieses unverzüglich zu melden – innerhalb von 72 Stunden. Dabei ist es nicht relevant, ob es sich um sensible oder allgemeine Personendaten handelt.

Auftragsdatenverarbeitung – was ist zu beachten?

Oft arbeiten Unternehmen und Selbstständige mit externen Dienstleistern, die Zugriff auf deren Kunden- oder Mitarbeiterdaten haben. Bestehende Verträge zur Auftragsdatenverarbeitung sollten im Hinblick auf die neue DSGVO überprüft und angepasst werden. Sollten die alten Verträge nicht zulässig sein, drohen hohe Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des gesamten Vorjahres-Umsatzes.

Bei anderen Verstößen gegen die DSGVO drohen Unternehmen ebenfalls drastische Strafen – sogar bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erwirtschafteten Umsatzes. Es ist also dringend erforderlich, sich mit der DSGVO für Unternehmen gründlich auseinanderzusetzen. Eine Firmen-Rechtsschutzversicherung kann sich hier lohnen – sei es zur Abwehr unberechtigter Ansprüche Betroffener nach dem Bundesdatenschutzgesetz oder für die Verteidigung gegen angedrohte Bußgelder wegen angeblicher Verstöße gegen das Bundesdatenschutzgesetz.

Der eingestellte Blog-Beitrag wurde von unserer Partnerkanzlei TeReBe Rechtsanwalts-AG auf rechtliche Korrektheit überprüft.

Weitersagen