Am 25. Mai diesen Jahres tritt in Deutschland die Datenschutz-Grundverordnung in Kraft. Betroffen sind nicht nur die „Großen“, sondern alle – egal ob Unternehmer, Einzelkämpfer oder Existenzgründer. Wer mit Daten von Kunden, Mitarbeitern und Dienstleistern zu tun hat, hat ein grundsätzliches Risiko gegen den Datenschutz zu verstoßen. Ab dem 25. Mai drohen hohe Geldbußen. Existenzgründer und Selbstständige sollten daher dringend Maßnahmen ergreifen.
Personenbezogene Daten sammeln
Unter dem Begriff der personenbezogenen Daten werden alle Angaben verstanden, die die persönlichen oder sachlichen Verhältnisse einer natürlichen Person betreffen. Dazu zählen u. a. Name, Beruf, Geburtsdatum, Religion etc. Nach den Vorgaben der DSGVO dürfen personenbezogene Daten nur noch in geringen Mengen erhoben und verarbeitet werden.
Rechte von Personen achten
Die DSGVO räumt natürlichen Personen weitgehende Rechte ein. Diese dürfen nicht missachtet werden, sonst drohen empfindliche Strafen. So müssen beispielsweise fehlerhafte Daten von Personen auf Anfrage korrigiert werden. Außerdem haben Personen das Recht zu erfahren, woher die Daten kommen. Solche Anfragen müssen innerhalb eines Monats beantwortet werden.
Meldepflichten bei Datenschutzverletzungen nach DSGVO
Immer dann, wenn persönliche Daten erhoben und verarbeitet werden, besteht das potenzielle Risiko gegen den Datenschutz zu verstoßen. Kommt es zur Verletzung personenbezogener Daten, muss der vom Unternehmen dafür bestimmte Verantwortliche binnen 72 Stunden den zuständigen Aufsichtsbehörden anzeigen.
Wer gegen die Bestimmung der DSGVO verstößt, muss mit empfindlichen Bußgeldern rechnen. Die Höhe der Bußgelder ist von verschiedenen Faktoren abhängig. So ist beispielsweise eine Bemessungsgrundlag e die Schwere und Dauer des Verstoßes. Ebenfalls wichtige Bemessungsgrundlage ist auch die Art der betroffenen Daten.
Bemerken Kunden, dass gegen den Datenschutz verstoßen wurde, müssen Gründer und Selbstständige mit entsprechenden Vertragsstrafen rechnen. Die Kontaktdaten von Kunden sollten daher besonders gesichert aufbewahrt werden. Wenn wichtige Daten auf mobilen Endgeräten gespeichert werden, müssen außerdem entsprechende Maßnahmen der Datenverschlüsselung ergriffen werden.
Datenschutzverantwortlicher und andere Maßnahmen
Die DSGVO sieht vor, dass bei einem Verstoß gegen den Datenschutz umgehend gehandelt werden muss. Je nach Größe und Struktur können hier unterschiedliche Personen verantwortlich sein. Sind in einem Unternehmen beispielsweise mindestens zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, besteht die Pflicht einen Datenschutzbeauftragten zu beschäftigen.
Um einen Verstoß gegen die DSGVO zu vermeiden, müssen personenbezogene Daten pseudonymisiert und verschlüsselt werden. Darüber hinaus sollten Existenzgründer, Selbstständige und Unternehmer ein System zur regelmäßigen Überprüfung der Sicherheits- und Schutzmaßnahmen einführen.
Mitarbeiter und Bewerber
Die DSGVO hat nicht nur Auswirkung auf den Datenschutz von Kunden, sondern auch auf den der Mitarbeitern und Bewerbern. Auch hier fällt regelmäßig eine Vielzahl von Daten an, die u. a. in einer Personalakte geführt werden. Diese vertraulichen Daten müssen vor dem Zugriff Dritter geschützt und daher entsprechende Vorkehrung getroffen werden. Denkbar sind hier u. a. Maßnahmen der Datensicherung, der Einsatz von Virenscannern etc. Wichtig ist auch, dass die Daten von Bewerbern ebenfalls der DSGVO unterliegen. Es sollten daher wirklich nur die Daten gespeichert werden, die für den Bewerbungsprozess absolut notwendig sind.
Datenschutz beim Marketing
Wer personenbezogene Daten für das Marketing verwenden möchte, einen Newsletter oder einen Kunden-Login anbietet, muss besonders aufpassen. Ohne das Einverständnis der betroffenen Personen, dürfen personenbezogene Daten nicht für gewerbliche Zwecke genutzt werden. Verwendet werden dürfen dabei auch grundsätzlich nur solche Daten, die auch in allgemein zugänglichen Verzeichnissen wie beispielsweise Adress-, Telefon- oder Branchenbücher abrufbar sind. Bestimmte Informationen wie das Geburtsdatum dürfen die Daten nicht enthalten.
Dienstleister
Auch die persönlichen Daten von Dienstleister eines Unternehmen z. B. Werbeagenturen oder freie Mitarbeiter unterliegen der DSGVO. Greifen Dienstleister im Rahmen ihrer Tätigkeit auf Kundendaten zurück, muss ein „Vertrag über die Auftragsverarbeitung“ solcher Daten mit dem Dienstleister geschlossen werden.