DSGVO: Warum du besser nicht auf Tauchstation gehst!

Moritz Buhl

Alle Welt spricht dieser Tage über die Datenschutz-Grundverordnung (DSGVO). Dabei ist die Vorschrift schon vor zwei Jahren in Kraft getreten: Ende Mai 2018 endet bloß die Übergangsfrist für die Verordnung, mit der das Datenschutzrecht in der EU vereinheitlicht wird.

Die Vorschrift richtet sich an Unternehmen, Behörden, Vereine und andere Institutionen, die personenbezogene Daten erheben. Sie regelt die Erfassung, Verarbeitung, Verwendung und Weitergabe personenbezogener Daten von Privatleuten. Zugleich soll damit der freie Datenverkehr innerhalb des EU-Binnenmarktes sichergestellt werden.

Immer mit der Ruhe…

Eines gleich vorweg: Lass dich bloß nicht verunsichern! Grund zur Torschlusspanik besteht nicht! So gilt zum Beispiel die vielzitierte Pflicht zur obligatorischen Bestellung eines Datenschutzbeauftragten erst in Betrieben mit zehn und mehr Mitarbeitern. Dessen ungeachtet musst du die Datenschutzvorschriften beachten: Wenn es keinen Datenschutzbeauftragten gibt, ist der Unternehmer dafür selbst verantwortlich!

Handlungsbedarf gibt es auch sonst: Viele DSGVO-Inhalte sind zwar schon im bisherigen Datenschutzgesetz enthalten. Mit ein paar angepassten oder zusätzlichen Datenschutz-Hinweisen in deinen AGB oder auf der Website ist es aber definitiv nicht getan.

Hintergrund: Die DSGVO ist ein „Verbotsgesetz mit Erlaubnisvorbehalt“. Das bedeutet: Was nicht ausdrücklich erlaubt wird, ist verboten. Die Erhebung und Verarbeitung personenbezogener Daten von Privatleuten ist demnach grundsätzlich nur dann zulässig, wenn dir die betroffene Person ausdrücklich die Erlaubnis dazu erteilt hat – oder der Gesetzgeber die Datenerhebung vorschreibt.

… aber auch kein Mut zur Lücke!

Den Kopf in den Sand zu stecken, ist also keine Option mehr: Weniger, weil der Gesetzgeber die Strafen für Verstöße gegen die DSGVO und andere Datenschutzbestimmungen verschärft hat. Die Behörden haben mit der Strafverfolgung großer Unternehmen und professioneller Datenhändler vorläufig mehr als genug zu tun.

Weitaus gefährlicher sind aus Sicht von Selbstständigen und kleinen Unternehmen die berüchtigten Abmahnanwälte und -vereine: Die sitzen bereits in den Startlöchern, um ab Ende des Monats im großen Maßstab den schnellen Euro zu machen. Einige Beutelschneider nutzen dabei gezielt die Unerfahrenheit von Gründern und Kleingewerbetreibenden, um sie mit teuren und völlig überzogenen Unterlassungserklärungen zu überziehen.

Besonders gefährdet sind dabei Onlineshops: Nach Feststellungen des E-Commerce-Dienstleisters eTrusted waren bereits im Vorjahr mehr als die Hälfte aller befragten Online-Händler Opfer von Abmahnungen! Die werden oft mit vermeintlichen oder tatsächlichen Datenschutzverstößen begründet. Kostenpunkt: im Schnitt 1.300 Euro pro Abmahnung. Ausführliche Informationen bietet die Studie „Abmahnungen im Online-Handel 2017” (PDF, 4,25 MB).

Abmahn Grafik von etrusted

Quelle: obs/Trusted Shops GmbH

Passend dazu finden sich auf der Website des Anbieters auch „Die 10 Gebote“ der DSGVO:

10 DSGVO Gebote

Quelle: obs/Trusted Shops GmbH

Worum geht’s überhaupt?

So anschaulich und unterhaltsam dieser Gebots-Dekalog sein mag: Ein paar Details mehr solltest du schon kennen. 😊 Die DSGVO …

… definiert „personenbezogene Daten“ als sämtliche Informationen, die Ausdruck der „physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ einer natürlichen Person sind. Selbst die IP-Adresse eines Besuchers deiner Website gilt demnach als Merkmal seiner persönlichen Identität!

… legt Transparenz- und Informationspflichten gegenüber Betroffenen fest,

… verlangt die ausdrückliche Zustimmung betroffener Personen zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten (eine bloß stillschweigende Zustimmung künftig normalerweise nicht mehr!),

… beschränkt die Weitergabe personenbezogener Daten an Dritte,

… gibt Betroffenen ein umfassendes Auskunftsrecht über die Erhebungsquelle, den Umfang der Daten, den Zweck der Speicherung und bei Weitergabe über den Empfänger ihrer Daten,

… verlangt Maßnahmen zur Sicherung personenbezogener Daten und ihrer Richtigkeit, Integrität und Vertraulichkeit,

… fordert eine interne Dokumentation aller „Verarbeitungstätigkeiten“, die sich auf geschützte persönliche Daten auswirken,

… verlangt im Fall von Datenpannen innerhalb von drei Tagen unaufgeforderte Mitteilungen an die Betroffenen und zuständige Aufsichtsbehörden (z. B. den Datenschutzbeauftragten des jeweiligen Bundeslandes).

Außerdem legt die Verordnung die Grundsätze der Datenminimierung, Zweckbindung und zeitlich begrenzten Speicherung fest: Entfällt der ursprüngliche Zweck der Datenspeicherung, müssen die personenbezogenen Daten gelöscht werden. Falls du die Daten an Dritte weitergegeben hast, musst du die Abnehmer der Daten ebenfalls über die Lösch-Pflicht informieren.

Wichtig: Verstöße gegen die europäischen Datenschutzvorschriften sollen Zukunft mit „wirksamen, verhältnismäßigen und abschreckenden“ Bußgeldern geahndet werden: Bei besonders schwerwiegenden Verstößen reicht deren Obergrenze bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro.

invoiz Screenshot

Dein Finanz- und Rechnungstool

Was tun?

Falls du bislang noch keine Datenschutz-Überlegungen angestellt hast, solltest du das möglichst bald nachholen:

  • Am besten fragst du zunächst einmal bei deinem Branchen- oder Berufsverband nach: Denn die rechtlichen Folgen und konkret erforderlichen Maßnahmen unterscheiden sich zwischen den verschiedenen Branchen gravierend. Viele Verbände stellen ihren Mitgliedern Datenschutz-Leitfäden, Muster und Vorlagen zur Verfügung.
  • Branchen-spezifische DSGVO-Anforderungen (z. B. für Berater, Mediziner, Einzelhändler, Online-Händler und Handwerker) und passende Vorlagen bieten auch die „Handreichungen für kleine Unternehmen und Vereine“, die das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht hat
  • Der Bundesdatenschutz-Beauftragte stellt auf seiner Website nützliche Kurzpapiere zum neuen Datenschutzrecht zum Download bereit – darunter Informationen zu den Themen Datenschutzbeauftragte, Auskunftsrechte, Datenverarbeitung für Werbezwecke, Verarbeitungstätigkeiten sowie einen Maßnahmenplan für Unternehmen.
  • Wenn du es noch genauer wissen willst, findest du auf der Seite dsgvo-gesetz.de eine informative Gegenüberstellung von DSGVO und neuem Bundesdatenschutzgesetz mit wechselseitigen Verweisen.
  • Als invoiz-Nutzer solltest du mit uns unbedingt eine Vereinbarung zur Auftragsverarbeitung abschließen. Das kannst du ganz bequem online unter buhl.de/go/6763 erledigen.

Noch Fragen?

Was in Sachen Bürokratie, Recht und Steuern sonst noch alles zu beachten ist und wie invoiz dir dabei hilft, erfährst du unter anderem auf folgenden Seiten:

Am besten probierst du die invoiz-Demo gleich aus: Einfach mit E-Mail-Adresse und Passwort registrieren – und sofort steht dir der volle Funktionsumfang kostenlos zur Verfügung. Du kannst das Rechnungsprogramm dann 14 Tage lang auf Herz und Nieren testen. So bist du hinterher sicher, dass es alle deine Anforderungen erfüllt.