Jedes Unternehmen verarbeitet personenbezogene Daten, denn jedes Unternehmen hat Mitarbeiter, Kunden, Auftragnehmer und Geschäftspartner. Die am 25. Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) soll personenbezogenen Daten von Einzelpersonen schützen. Daten von Personen- oder Kapitalgesellschaften, Stiftungen oder anderen Personenmehrheiten werden von den Regelungen der DSGVO nicht erfasst. Die Unterscheidung kann im Einzelfall schwierig werden: Der Gesellschafter-Geschäftsführer einer Ein-Personen-GmbH wird wohl schutzwürdig sein. Selbst die Daten des Geschäftsführers einer juristischen Person sind schützenswert, nicht jedoch die der GmbH selbst. Wenn Ordnungswidrigkeiten bei der Umsetzung der DSGVO nachgewiesen werden, drohen hohe Bußgelder.
Keine Datenverarbeitung ohne Vertrag
Wie schon das Bundesdatenschutzgesetz verlangt auch die DSGVO eine Rechtsgrundlage für die Datenverarbeitung durch Unternehmer. Diese ist regelmäßig mit dem Mitarbeiter-Arbeitsvertrag, dem Kundenauftrag und den Verträgen mit den Geschäftspartnern, die der Unternehmer für seine eigene Leistungserbringung einbindet, bereits vorhanden. Bei öffentlichen Pflichten wie der Abführung von Umsatz- oder Lohnsteuer liefert der Gesetzgeber den Rechtsgrund. Zu beachten ist, dass eine Verarbeitung der Daten von Mitarbeitern oder Kunden der vorherigen Einwilligung bedarf, wenn die Nutzung nicht zwingend mit der Vertragserfüllung zusammenhängt. Wer einem Kunden einen Newsletter zusendet, muss sich vorher eine Einwilligung geben lassen. Ein Mitarbeiter muss bei einer Veröffentlichung seines Bildes auf der Homepage des Unternehmers zustimmen, eine schriftliche Einwilligung ist dafür aber nicht erforderlich, die Textform einer E-Mail reicht aus.
Verantwortlich ist der Unternehmer
Der Unternehmer muss sich um eine rechtskonforme Verarbeitung der Daten kümmern, die durch ihn erhoben werden. Dies gilt auch, wenn er sich entsprechende Dienstleistung einkauft, zum Beispiel in Form eines IT-Spezialisten, der die IT-Infrastruktur des Unternehmens betreut. Hier muss er zusätzlich zu dem eigentlichen Dienstvertrag eine Vereinbarung über eine Auftragsdatenverarbeitung abschließen. Regelmäßig werden die datenverarbeitenden Dienstleister mit einer entsprechenden Vereinbarung auf den Unternehmer zugehen. Rechtsanwälte, Wirtschaftsprüfer, Steuerberater und andere freiberuflich Tätige müssen zusätzlich das jeweilige Berufsrecht beachten.
Dokumentation aller EDV-Prozesse
Der europäische Gesetzgeber hat geregelt, dass Unternehmer rechenschaftspflichtig sind für die Ordnungsmäßigkeit ihrer Datenverarbeitung. Dafür muss der Unternehmer ein Verfahrensverzeichnis führen, in dem alle in seinem Unternehmen vorhandenen Datenverarbeitungsprozesse abgebildet werden. Das beginnt bereits mit der Anbahnung einer Geschäftsbeziehung und endet bei der datenschutzgerechten Vernichtung von Datenträgern, wenn diese ausgetauscht werden müssen.
Information der Betroffenen
Damit das gesteigerte Datenschutzniveau spürbar wird, müssen Unternehmer ihre Mitarbeiter, Kunden und Geschäftspartner umfassend über die gespeicherten Daten informieren. Sie haben auch über die sonstigen Rechte, wie zum Beispiel die Löschung, Berichtigung oder Übertragung der gespeicherten Daten zu informieren. Achtung: Fast jedes Unternehmen hat heutzutage einen Internetauftritt. Beim Aufrufen der Webseite hinterlässt der Besucher mit seiner IP-Adresse ein personenbezogenes Datum, dessen zeitweilige Speicherung von der DSGVO erfasst wird und eine entsprechende Informationspflicht auslöst.
Datenlecks in jeder Form sind meldepflichtig
Der Unternehmer muss alle EDV-Prozesse so einrichten, dass Unbefugten keine personenbezogenen Daten bekannt werden können. Neben technischen Vorkehrungen sind mit den Mitarbeitern organisatorische Maßnahmen, zum Beispiel zum Einsatz von E-Mail-Verschlüsselung abzustimmen. Dabei ist auch ein Meldeverfahren vorzusehen, um die Datenschutzbehörde innerhalb von 72 Stunden informieren zu können, wenn ein Datenleck festgestellt wird.
Unser Rat
Das ab dem 25. Mai 2018 geltende Datenschutzrecht verschärft die komplexe Rechtslage noch einmal und macht durch die hohen Bußgelddrohungen den Datenschutz zu einem nicht zu vernachlässigendem Geschäftsrisiko. Als Unternehmer sind Sie gut beraten, sich über die notwendigen Maßnahmen umfassend zu informieren und diese, soweit nicht bereits erfolgt, zügig umzusetzen. Hierüber können Sie auf vielfältige Informationen, Hilfen und praktische Unterstützung Ihrer Branchen- und Berufsverbände, Kammern etc. zurückgreifen und häufig bereits vorbereitete Lösungen nutzen. Softwarehersteller geben ebenfalls Hinweise, um die Verfahrensverzeichniserstellung zu vereinfachen. Ohne eine enge Zusammenarbeit mit seinem IT-Dienstleister wird sich wahrscheinlich jeder Unternehmer schwer tun, die gestiegenen Anforderungen umfassend erfüllen zu können.