040 555663250 info@fairvendo.de

Augen verschließen kann teuer werden

Die DSGVO betrifft alle Selbstständigen

In vielen Firmenkalendern dürfte dieses Datum rot markiert sein: der 25. Mai 2018. An diesem Tag tritt in der EU die neue Datenschutzgrundverordnung (DSGVO, englisch General Data Protection Regulation, GDPR) in Kraft. Sie ersetzt die bisherigen Datenschutzgesetze in den Mitgliedsländern der EU durch einheitliche Regelungen – und legt dabei deutlich strengere Maßstäbe an. Noch vier Monate, bis die Anforderungen an den Datenschutz und die entsprechenden Dokumentationspflichten erheblich steigen. Wie weit sind Ihre Vorbereitungen gediehen?

Falls Sie jetzt sagen: „Das betrifft mich nicht!“, dann sind Sie wohl weder selbstständig, noch arbeiten Sie in der Geschäftsführung oder als Datenschutzbeauftragte/r eines Unternehmens. Und auch im Sportverein oder einem anderen Ehrenamt haben Sie keine Berührung mit E-Mail-Verteilern oder Adressenlisten. Haben Sie jetzt jedes Mal genickt? Dann herzlichen Glückwunsch! Sie müssen sich im Moment offenbar wirklich nicht mit der DSGVO auseinandersetzen.

Personenbezogene Daten

Alle anderen schon. Denn sie haben in aller Regel mit personenbezogenen Daten zu tun. Damit sind Daten gemeint, durch die eine Person identifizierbar wird. Sie müssen also gar keine große Kundendatenbank mit sensiblen Informationen wie Gesundheits- oder Kontodaten haben, damit die DSGVO für Sie relevant wird. Es reicht zum Beispiel schon,

  • dass Sie Namen und E-Mail-Adressen von Ansprechpartnern bei Ihren Kunden irgendwo elektronisch gespeichert haben, etwa in Ihrem E-Mail-Programm;
  • dass Sie irgendwo die Kontaktdaten von (freien) Mitarbeitern griffbereit halten,
  • dass Sie einen Newsletter verschicken und zu diesem Zweck eine Abonnentenliste führen,
  • dass Sie Ihre Website mit Google Analytics oder einem ähnlichen Statistikprogramm auswerten, das auch IP-Adressen, Cookie-Kennungen und/oder verwendete Browser speichert,
  • dass auf Ihrer Website Plugins installiert sind, die weitgehend unbemerkt ebenfalls Daten sammeln.

Was kommt auf Sie zu?

Grundsätzlich gilt, dass Datensammeln deutlich erschwert werden soll – gut für Verbraucherinnen und Verbraucher, die künftig eine bessere Handhabe bekommen, gegen unerwünschte Newsletter und den Weiterverkauf ihrer Adressdaten einzuschreiten. Wer Daten von sich preisgeben soll, muss daher in Zukunft genau erklärt bekommen, wofür sie eingesetzt werden; er oder sie muss über das Widerrufsrecht informiert werden und darüber, wer für die Daten verantwortlich ist. Entsprechend müssen Datenschutzerklärungen von Websites, die üblichen Cookie-Einwilligungs-Pop-ups, aber auch Gewinnspielbedingungen, Verträge und AGB angepasst werden.

Unternehmen müssen natürlich außerdem gewährleisten, dass alle personenbezogenen Daten vor fremdem Zugriff geschützt sind. Werden ihre Server gehackt oder Daten gestohlen, müssen sie Meldung bei der Aufsichtsbehörde erstatten und zudem sofort die Personen informieren, deren Daten betroffen sind. Zudem haben nun alle Menschen das Recht, die endgültige Löschung ihrer Daten zu verlangen. Falls jemand mit diesem Wunsch auf Sie zukommt, müssen Sie als Unternehmen nachweisen können, dass tatsächlich nirgends mehr Datenreste vorhanden sind.

Informieren Sie sich!

Diese Punkte sind allerdings höchstens ein kleiner Vorgeschmack auf das, was an Prozessen im Unternehmen betroffen ist oder sein könnte. Es hilft nichts: „Über die DSGVO informieren“ gehört auf die To-do-Liste aller Selbstständigen. Ein guter Startpunkt ist das Merkblatt „Datenschutz für kleine Unternehmen und Existenzgründer“ der IHK Stuttgart, außerdem lesenswert das Whitepaper mit 12 Tipps zur DSGVO der Medien- und IT-Rechtskanzlei ResMedia.

Nur den Kopf in den Sand stecken, das gilt nicht! Denn ein Prinzip der neuen DSGVO ist die Beweislastumkehr: Musste Ihnen bisher im Zweifel ein Verstoß gegen die Datenschutzgesetze nachgewiesen werden, so müssen Sie jetzt im Verdachtsfall selbst dokumentieren können, dass Sie alle notwendigen Vorkehrungen gegen Datenklau getroffen haben. Und Datenschutzverstöße haben das Potenzial, richtig teuer zu werden: Bis 4 % des Jahresumsatzes bzw. bis zu 20 Millionen Euro können fällig werden. Viele erwarten außerdem, dass die notorischen Abmahner schon in den Startlöchern stehen, um beispielsweise bei nicht DSGVO-konformen Datenschutzerklärungen auf Websites die Hand aufzuhalten.

Die Cyberversicherung springt ein

Natürlich ist in erster Linie ein gutes Gewissen ein sanftes Ruhekissen. Wer die neuen Regeln befolgt, ist zwar immer noch nicht vor Hackerangriffen und Cyberkriminalität gefeit, muss aber zumindest nicht befürchten, bei der Meldung von Datenklau auch noch wegen Gesetzesverstößen eins aufs Dach zu bekommen. Nur: Wer kann schon mit Sicherheit sagen, alles richtig gemacht zu haben? Gerade Einzelselbstständigen und kleinen Unternehmen ohne Datenschutzbeauftragten dürfte es schwerfallen, ihre oft über Jahre gewachsene IT-Struktur DSGVO-konform zu machen oder nachzuvollziehen, an welchen Stellen sich auf dem Rechner noch Telefonnummern oder E-Mail-Adressen verstecken könnten. Leider können gerade für sie Bußgelder schnell existenzgefährdend werden.

Aber bei aller Brisanz des Themas: Sie sollten sich davon nicht den Schlaf rauben lassen! Wenn Sie befürchten, trotz sorgfältiger Beschäftigung mit dem Thema DSGVO nicht hundertprozentig sicher aufgestellt zu sein, sollten Sie über eine Cyber-Versicherung nachdenken. Das Gute: Wurden bei Ihnen Systeme gehackt und Daten gestohlen, übernimmt sie nicht nur die Kosten für die IT-Experten, die jetzt Lücken schließen, Systeme neu aufsetzen und Daten rekonstruieren müssen. Die Cyber-Versicherung steht auch für Bußgelder ein, die möglicherweise auf Sie zukommen. Und das kann ein sehr beruhigendes Gefühl sein.