Die europäische Datenschutz-Grundverordnung (DSGVO) hat am 25. Mai 2018 ihre volle Wirkung entfaltet und findet insbesondere dann Anwendung, wenn mit personenbezogenen Daten von EU-Bürgern gearbeitet wird. Die DSGVO hat maßgeblich zum Ziel, die Rechte der Individuen zu stärken, was an den neuen Rechten auf Vergessenwerden oder bei der Verarbeitung von Mitarbeiterdaten deutlich wird.
Die Datenschutzregelungen gelten folglich neben Vereinen auch für alle Unternehmen jeder Branche, Größe, Gesellschaftsform, Umsatz- oder Beschäftigtenzahlen – und damit natürlich auch für Unternehmen wie beispielsweise Kfz-Werkstätten, sonstigen Handwerksbetrieben, Bäckereien, Einzelhändlern, Beherbergungsbetrieben oder auch Arztpraxen.
Trotz zahlreicher Materialien herrscht verständlicherweise noch Verunsicherung darüber, welche Anforderungen mit ihr verbunden sind. Gerade für die Datenschutzpraxis von kleineren Unternehmen oder auch Vereinen braucht es deshalb vielfach noch die Unterstützung bei den ersten Schritten zum neuen Datenschutzrecht.
Wichtige Pflichten für Unternehmen und Vereine im Rahmen der DSGVO
Wesentliche Neuerung der DSGVO ist die Umkehrung der Darlegungslast. In Sachen Datenschutz wird durch die Datenschutzgrundverordnung viele Pflichten auferlegt, die erfüllt werden müssen, um Bußgelder zu vermieden.
Die wichtigsten Punkte einer ganzen Reihe von Compliance-Vorgaben sind in der Praxis beispielsweise die Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten und die detaillierte Dokumentation der technischen und organisatorischen Maßnahmen (Verfahrensverzeichnis). Das Verzeichnis sollte hierbei für die Zukunft möglichst aktuell gehalten werden und stetig um neue Verarbeitungen angepasst werden. Das Verzeichnis kann auch elektronisch und muss auf Anfrage der Behörde jederzeit vorgelegt werden können.
Die neuen Vorgaben wirken sich online und auch offline auf Einwilligungserklärungen aus. Viele Unternehmen mussten daher insbesondere die Datenschutzerklärung und Disclaimer Ihrer Unternehmenswebsite überarbeiten und anpassen (Datenschutzinformation). Abmahnungen durch einen Konkurrenten stellen tatsächlich zur Zeit ein Risiko dar. Jedoch ist aus meiner Sicht das Abmahnrisiko als gering einzuschätzen, da Abmahner Verstöße grundsätzlich nicht ohne weiteres pauschal feststellen können, sondern in jedem Einzelfall prüfen müssen, welche konkreten Informationen auf der Webseite zu erteilen sind. Zudem ist noch rechtlich sehr umstritten, ob Datenschutzverstöße überhaupt wettbewerbsrechtlich abgemahnt werden können. Es ist aber unabhängig davon ratsam in 2019 die Datenschutzerklärungen und Cookie-Hinweise Ihrer Website zu prüfen und ggf. zu aktualisieren, da mit neuen Urteilen in Zukunft zu rechnen ist.
Darüber hinaus kann der Kunde wie bisher jederzeit Auskunft über die Speicherung seiner Daten verlangen (Betroffenenrechte). Diese Auskunft muss unverzüglich erteilt werden. Neu ist ein generelles Widerspruchsrecht gegen die Datenverarbeitung. Natürlich kann einem Unternehmen aber nicht verboten werden, Daten zu speichern, die für die Vertragserfüllung oder Verfolgung von Ansprüchen erforderlich sind. Handwerksbetriebe dürfen die Daten ihrer Kunden für alle vertraglichen Maßnahmen (z.B. Kostenvoranschlag) und zur Abwicklung des Auftrags erheben, speichern und nutzen. Eine Einwilligung ist nicht erforderlich. Daten, die aber ausschließlich zu Marketingzwecken verarbeitet werden, müssen dagegen auf Verlangen gelöscht werden. Es ist daher empfehlenswert regelmäßig zu überprüfen wie online und auch offline gelöscht wird.
Auch in 2019 wird der Datenschutz bei Unternehmen und Vereinen ein Thema bleiben
Die Datenschutzgrundverordnung bringt Veränderungen und ist nicht mit unerheblichem Aufwand und Kosten verbunden. Genauso wie der Arbeitsschutz oder die Regelungen zur Mehrwertsteuer sollte die Befassung mit dem Datenschutz in Zukunft Selbstverständlichkeit werden.
Wer sich bisher nicht um den Datenschutz gekümmert hat, sollte damit jetzt beginnen. Was sich seit Inkrafttreten der DSGVO tatsächlich verändert hat, ist wohl der Stellenwert, den der Datenschutz nunmehr in der Öffentlichkeit genießt – auch wenn die DSGVO sehr häufig in ein schlechtes Licht gerückt wird. Die Maßnahmen dienen letztendlich dem Schutz unserer personenbezogenen Daten im digitalen Informationszeitalter. Die Regeln sind zwar teilweise nicht unkompliziert, mit ein bisschen Vorbereitung lässt sich die DSGVO jedoch in den Griff bekommen.
Beispiele für die Anwendung der DSGVO in der Praxis bei Unternehmen und Vereinen mit weiterführenden Informationen
Im Folgenden werden Links mit weiterführen Informationen und Checklisten Ihnen zur Verfügung gestellt, die für die Anwendung der DSGVO konkret auf die Arbeit in Ihrem Unternehmen auswirken kann:
Auf der offizielle Informations- und Serviceangebot des Bayerischen Landesamts für Datenschutzaufsicht https://www.lda.bayern.de/de/kleine-unternehmen.html werden sehr übersichtlich für Unternehmen wie beispielsweise Kfz-Werkstätten, Handwerksbetrieben, Bäckereien, Einzelhändlern, Beherbergungsbetrieben, Arztpraxen oder auch Vereinen die wesentlichen Anforderungen exemplarisch zusammengestellt. Hier bekommen Sie unter anderem kostenlose Unterstützung mit einem Muster-Verzeichnis von Verarbeitungstätigkeiten und einem Mustervertrag zur Auftragsverarbeitung.
Darüber hinaus empfehle ich speziell bei Vereinen, kleinen Unternehmen und Selbständigen die offizielle Webseite des Bayerischen Staatsministeriums des Innern, für Sport und Integration https://www.dsgvo-verstehen-bayern.de. Dort werden kostenlos praxisorientierte Hilfestellungen zum Umgang mit den neuen Datenschutzregelungen gegeben. Die dort enthaltenen Fragen und Antworten führen Sie Schritt für Schritt durch die häufigsten Praxisthemen.
Dieser Inhalt wurden von mir recherchiert und nach meinem Verständnis zusammengefasst. Der Artikel stellt keine Rechtsberatung dar und erhebt daher auch keinen Anspruch darauf, vollständig und in jedem Detail richtig zu sein. Wenn Sie nach dem Lesen noch Fragen haben, dann nutzen Sie bitte die weiterführenden Links. Oder lassen Sie sich anwaltlich oder von einem Datenschutzbeauftragten beraten.
