DSGVO & Kleinunternehmen: Das musst du beachten!

Moritz Buhl

Die DSGVO betrifft alle Unternehmen, Freiberufler, Behörden und andere Institutionen, die personenbezogene Daten erheben. Und, ja: Die DSGVO gilt auch für Kleinunternehmen.

Wichtig: Wie du in deiner Freizeit mit den Daten von Familienangehörigen, Freunde oder Nachbarn umgehst, fällt nicht unter die Datenschutz-Vorschriften. Im Geschäftsleben musst du dich aber mit der Umsetzung der DSGVO befassen.

Auch wenn das zusätzliche Arbeit bedeutet: Dass die Vorgaben der DSGVO beachtet werden, ist letztlich ja auch in deinem eigenen Interesse. Die sensiblen Daten von Kunden, Interessenten, Mitarbeiter, Lieferanten und anderer Geschäftskontakte sind ganz besonders schutzbedürftig!

DSGVO: Kleinunternehmen …

Seit Mai 2018 ist die DSGVO in Kraft. Die Verordnung dient einerseits dem freien Datenverkehr in der EU. Vor allem aber sollen die personenbezogenen Daten von Privatleuten geschützt werden.

Gemeint sind nicht nur Namens-, Kontakt- und Adressdaten im engeren Sinne. Vielmehr geht es um sämtliche Informationen, die Ausdruck der „physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ einer natürlichen Person sind. Bereits die IP-Adresse eines Website-Besuchers ist ein persönliches Merkmal!

Im Einzelnen regelt die DSGVO das  …

  • Erfassen,
  • Verarbeiten,
  • Verwenden und
  • die Weitergabe persönlicher Daten.

Die konkreten Ausführungsbestimmungen zur Verarbeitung von personenbezogenen Daten finden sich in den Datenschutzgesetzen der EU-Mitgliedsländer.

… beim Thema Datenschutz gefordert!

Die gute Nachricht: Auch im Datenschutz wird nichts so heiß gegessen, wie es gekocht wurde. Bei Inkrafttreten der Neuregelung vor einem Jahr war eine Klagewelle befürchtet worden. Die ist ausgeblieben.

Berichte über gezielte Bußgelder von Behörden wegen Verletzung der Datenschutz-Vorschriften gab es auch nicht. Zumindest Kleinunternehmen sind bislang von drakonischen Strafen verschont geblieben. Aber Theoretisch möglich sind Strafen von bis zu 20 Millionen Euro (oder 4 % des Jahresumsatzes). Das betrifft dann aber nur Großunternehmen wie Google, Facebook & Co.

Einen eigenen „Datenschutzbeauftragten“ brauchst du als Kleinunternehmer auch nicht. Der ist erst in Betrieben mit zehn und mehr Mitarbeitern Pflicht. Aber: Solange es keinen Datenschutzbeauftragten gibt, bist du selbst für die Einhaltung der Datenschutzvorschriften verantwortlich.

Die wichtigsten Datenschutz-Pflichten

Werden Daten gespeichert, gilt: Was nicht ausdrücklich erlaubt wird, ist verboten. Die Verwendung personenbezogener Daten von Privatleuten ist grundsätzlich nur dann zulässig, wenn …

  • der Gesetzgeber die Datenerhebung vorschreibt oder
  • die betroffene Person dir zuvor ausdrücklich die Erlaubnis erteilt hat. Nur dann darfst du die Daten verarbeiten.

Doch nicht bloß das Speichern personenbezogener Daten ist reglementiert. Vor allem die Weitergabe ist nur dann zulässig, wenn ein schriftliches „OK“ vorliegt.

Daten-Minimalismus

Die DSGVO verlangt auch von Kleinunternehmen, dass die Datenerhebung auf ein Mindestmaß beschränkt wird. Die Datenspeicherung muss zweckgebunden erfolgen und ist zeitlich begrenzt. Sobald der ursprüngliche Zweck für die Speicherung entfallen ist, müssen personenbezogene Daten gelöscht werden.

Hinzu kommt: Wenn du persönliche Daten speicherst und verarbeitets, musst du …

  • sie vertraulich behandeln,
  • sie vor Veränderungen und Verfälschungen schützen und
  • dafür sorgen, dass sie nicht in die Hände Unbefugter geraten.

Betroffene haben zudem ein umfassendes Auskunftsrecht. Auf Anforderung musst du Auskunft geben können über …

  • die Herkunft der von dir verarbeiteten Daten,
  • den Umfang und den Zweck der Speicherung und
  • eine eventuelle Weitergabe an Dritte.

Falls trotz aller Vorsicht doch einmal eine Datenschutzpanne passiert, musst du die zuständige Aufsichtsbehörde benachrichtigen. Normalerweise ist das der Datenschutzbeauftragte deines Bundeslandes. Dessen Kontaktdaten findest du auf der Website des Bundes-Datenschutzbeauftragten.

Praxistipps: Datenschutz mit invoiz

Wenn du als Kleinunternehmen die Daten deiner Kunden und Interessenten mit invoiz verwaltest, sind die Grundlagen für eine DSGVO-konforme Verarbeitung bereits gelegt:

  • Sämtliche personenbezogenen Daten werden in der invoiz-Kundendatenbank an einer zentralen Stelle erfasst:

  • Einen Überblick über alle gespeicherten Daten eines Kunden oder Interessenten kannst du bei Bedarf jederzeit im invoiz-Arbeitsbereich „Kunden“ abrufen.
  • Am Ende jedes Kunden-Datensatzes werden sogar sämtliche Angebote und Rechnungen aufgelistet:

  • Der passwortgeschützte Zugriff auf die Daten ist nur mit deinen persönlichen Zugangsdaten möglich. Unbefugte können die Daten nicht einsehen, verändern oder gar entwenden. Im Vergleich zu Papier-Kundenakten oder einer lokalen Datenbank sind die Daten mit invoiz von vornherein besser geschützt.
  • Die Datensicherheit ist durch tägliche Daten-Backups gewährleistet.
  • Die DSGVO-konforme Speicherung aller invoiz-Daten erfolgt in einem mehrfach gesicherten deutschen Rechenzentrum. Der Standort  befindet sich in Neunkirchen im Siegerland (NRW). Einzelheiten zu den Datenschutz-Maßnahmen findest du in den Allgemeinen Geschäftsbedingungen auf unserer Website.

Dort bieten wir dir auch den schriftlichen Vertrag zur „Auftragsdatenverarbeitung“ an. Mehr dazu weiter unten.

Verzeichnis der Verarbeitungstätigkeiten

Zu den DSGVO-Vorschriften für Kleinunternehmen gehört es, ein Verzeichnis aller betrieblichen „Verarbeitungstätigkeiten“ anzulegen. Gemeint sind Tätigkeiten, die sich auf geschützte persönliche Daten auswirken.

Am besten machst du eine Bestandsaufnahme, bei welchen Gelegenheiten und zu welchem Zweck du persönliche Daten erfasst.  Denk’ dabei sowohl an Interessenten, Kunden, Lieferanten, Dienstleistern, Mitarbeiter, Kooperationspartner und andere Geschäftsfreunde.

Wichtig: Auf die Form der Daten oder die Art des Datenträgers kommt es dabei nicht an. Vor allem geht es nicht nur um elektronische Daten, sondern auch um Geschäftsbriefe, Bewerbungsunterlagen, Listen und Auswertungen aller Art.

Tipp: DSGVO-konforme Musterverzeichnisse von Verarbeitungstätigkeiten einiger Branchen finden sich in den „Handreichungen für kleine Unternehmen und Vereine“. Die Vorlagen hat das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht.

Die Bestandsaufnahme von Verarbeitungstätigkeiten erstreckt sich nicht nur um die interne Datenverarbeitung. Die Bearbeitung rechtmäßig erhobener Daten mithilfe externer Dienstleister muss ebenfalls geregelt sein. „Das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ nennt sich Auftragsverarbeitung. Darüber musst du mit deinen Dienstleistern Auftragsverarbeitungsverträge (AVV) abschließen.

AVV mit invoiz

Auch hier bist du bei invoiz auf der sicheren Seite. Mit ein paar Mausklicks ergänzt und signierst du unseren DSGVO-konformen AVV-Entwurf. Dein Vertragspartner ist der invoiz-Betreiber „Buhl Data Service GmbH“. Auf der Signatur-Plattform „DocuSign“ gibst du im ersten Schritt deinen Namen und die geschäftliche E-Mailadresse ein:

Anschließend klickst du auf den Button „Signiervorgang beginnen“. Dann öffnet sich der Entwurf einer „Vereinbarung zur Auftragsverarbeitung“. Dort trägst du oben im Feld „- Auftraggeber –“ deine Namens- und Adressdaten ein:

Tipp: In der Icon-Leiste am oberen Fensterrand findest du neben der Druck-, Speicher- und Hilfefunktion auch einen Kommentar-Button. Falls du Fragen zur Vereinbarung hast, kannst du sie uns vor dem Unterzeichnen stellen. Unsere Mitarbeiter werden zeitnah darauf antworten.

Wenn alles klar ist, scrollst du nach unten bis zum Unterschrifts-Bereich. Dort klickst du …

  1. zuerst auf den gelben „Signieren“-Button,
  2. dann im Fenster „Signatur übernehmen“ auf den Button „Übernehmen und signieren“ und
  3. schließlich auf die Schaltfläche „Fertigstellen“ (am oberen Seitenrand):

Anschließend kannst du den von beiden Vertragspartnern unterschriebenen Verarbeitungsvertrag herunterladen, abspeichern und bei Bedarf ausdrucken:

Du siehst: DSGVO-konforme Datenschutz-Vereinbarungen müssen keine Raketenwissenschaft sein.

Die nächsten Schritte:

Du bist ein Kleinunternehmen und hast die Vorbereitung auf die DSGVO noch nicht abgeschlossen? Dann solltest du das möglichst bald nachholen:

Noch Fragen?

Was in Sachen Bürokratie, Recht und Steuern sonst noch alles zu beachten ist? Guckst du hier:

Am besten probierst du die invoiz-Demo gleich aus. Einfach mit E-Mailadresse und Passwort registrieren. Und sofort steht dir der volle Funktionsumfang kostenlos zur Verfügung.

 

Hat dir der Artikel gefallen?

Abonniere unseren Blog, um Beiträge wie diesen zu erhalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.