Die Bedeutung der DSGVO für Unternehmer

Wenn Sie vorhaben, ein Unternehmen zu gründen, möchten Sie Ihre Leistungen sicherlich auch auf einer Website, in einem Online-Shop oder in den sozialen Medien präsentieren. Sobald Sie diese Kanäle bespielen und in Kontakt zu Besucher:innen treten, verarbeiten Sie mit sehr großer Wahrscheinlichkeit auch Daten der Nutzer und Nutzerinnen. Das können beispielsweise Kontoregistrierungen, Newsletteranmeldungen oder generell die Verwendung von Cookies sein. Das Internet bietet durch verschiedene Analyse-Tools, Plattformen und Automatisierungen eine unbegrenzte Anzahl an Werbeformaten, um Ihr Angebot der richtigen Zielgruppe vorzustellen und auch zu verkaufen.

Um dabei keine Persönlichkeitsrechte zu verletzen und um teure Geldbußen zu vermeiden, sollten Sie sich bei der Datenverarbeitung in Ihrem Unternehmen an die sogenannte DSGVO (Datenschutzgrundverordnung) halten. Auf welche Besonderheiten Sie dabei achten sollten, zeigen wir Ihnen in diesem Artikel.

Die Datenschutzgrundverordnung der EU trat bereits 2016 in Kraft. Die meisten Unternehmer:innen hatten damit aber erstmals im Frühjahr 2018 die ersten Berührungspunkte, da das Gesetz eine zweijährige Übergangsfrist beinhaltete. Im englischsprachigen Raum werden Sie auf den gleichbedeutenden Begriff "General Data Protection Regulation (GDPR)" stoßen.

Die DSGVO hat das Ziel, die Verarbeitung und den Verkehr von personenbezogenen Daten innerhalb der EU zu vereinheitlichen. Das Gesetz gilt sowohl für private Unternehmen, als auch für öffentliche Behörden. Mit der Verordnung soll gewährleistet werden, dass Verbraucher:innen auch im Internet die Kontrolle über ihre sensiblen Daten behalten. Für manche mag das nun nach einer entbehrlichen, bürokratischen Auflage klingen. Sie können aber selbst wahrscheinlich gut nachvollziehen, dass eine Erhebung, Speicherung, Verwendung und Weitergabe Ihrer persönlichen Daten ohne Zustimmung nicht legitim ist. Oder wären Sie beispielsweise damit einverstanden, wenn ein Unternehmen Ihre Daten ohne Erlaubnis speichert, verkauft und Sie anschließend unzählige Werbemails erhalten?

Die vorherigen Bestimmungen des Datenschutzrechts der einzelnen Mitgliedsstaaten der Europäischen Union konnten keinen einheitlichen Rechtsrahmen schaffen und galten als potentielle Gefahr für den innergemeinschaftlichen Import und Export von Waren. Die DSGVO enthält aber bei einigen Klauseln auch weiterhin die Entscheidungsfreiheit für bereichsspezifische Regelungen der einzelnen Mitgliedsstaaten. An die Verordnung müssen sich nicht nur Unternehmen halten, die in der EU ihren Sitz haben, sondern auch jene, die generell Daten von EU-Bürgern verarbeiten.

Grundsätzlich schützt die DSGVO also die Grundrechte und -freiheiten von natürlichen Personen innerhalb der EU hinsichtlich der Verarbeitung von personenbezogenen Daten, wie z.B.

• Namen
• Adressen
• Telefonnummern
• Geburtsdaten
• E-Mail-Adressen
• Standorte
• Zahlungsdaten. 

Um den Anforderungen bei der Verarbeitung personenbezogener Daten gerecht zu werden, sollten Sie mehrere Grundsätze des Datenschutzrechts bzw. der DSGVO bei Ihrem Internetangebot berücksichtigen. Folgende Richtlinien helfen Ihnen u.a. dabei. Bei der technischen Umsetzung können Ihnen übrigens auch Kanzleien für IT-Recht, Plug-Ins für Ihren Online-Shop oder externe Dienstleister helfen.

Bitte beachten Sie, dass diese Aufzählung aufgrund des Umfangs der DSGVO keinen Anspruch auf Vollständigkeit erhebt. Die Auflistung dient als Zusammenfassung von den wichtigsten Punkten:

Ohne Einwilligung der Nutzer:innen dürfen Sie grundsätzlich keine Daten erheben und verarbeiten. Sie haben damit eine transparente Informationspflicht gegenüber Ihren Besucher:innen. Die Einwilligung wird online oftmals über Cookie-Consent-Tools, Checkboxen im Checkout eines Online-Shops und entsprechende Verweise auf die Datenschutzbestimmungen eingeholt.

• Sie werden dazu aufgefordert, sparsam mit der Datenerhebung umzugehen und dürfen lediglich die Daten abfragen, die verhältnismäßig sind und für den angegebenen Zweck benötigt werden. Für die meisten Unternehmen besteht im Übrigen auch die Pflicht, eine:n Datenschutzbeauftragte:n zu benennen.
• Die erhobenen Daten dürfen nur für den eigentlichen Zweck genutzt werden: Solange ein:e Besucher:in z.B. lediglich bei Ihnen eingekauft hat, aber Ihnen keine Zustimmung zum Erhalt des Newsletters erteilt hat, haben Sie keine Erlaubnis diese Daten für Ihr E-Mail-Marketing zu nutzen. Die Lösung besteht in diesem speziellen Fall im sogenannten Double-Opt-In-Verfahren für die Newsletteranmeldung.
• Die erhobenen Daten müssen korrekt und aktuell geführt werden, um falsche Datensätze und Missbrauch zu vermeiden. In diesem Zusammenhang muss auch ein “Verzeichnis der Verarbeitungstätigkeiten” geführt werden.
• Für die Zusammenarbeit mit Dritten, bei denen personenbezogene Daten weitergeleitet werden müssen, sind Auftragsverarbeitungsverträge vonnöten. Sitzen Kooperationspartner von Ihnen in Drittländern, müssen Sie ein gleichwertiges Schutzniveau für den Datenverkehr gewährleisten.

Kommt es bei Ihnen im Betrieb zu einer Datenpanne und damit beispielsweise zu einem unberechtigten Zugriff auf Ihre Kundendaten, muss dieser Vorfall zwingend an die zuständige Aufsichtsbehörde gemeldet werden.

Aus diesen Grundsätzen resultieren wiederum u.a. folgende Rechte für Kunden und Kundinnen, die unentgeltlich und binnen eines Monats zu bearbeiten sind:

• Anspruch auf Berichtigung, Einschränkung oder Löschung aller personenbezogenen Daten, die Sie im Laufe der Zeit erhoben haben
• Anspruch auf die Auskunft über alle personenbezogenen Daten, die Sie im Laufe der Zeit erhoben haben
• Anspruch auf Informationen, die belegen, wie Sie die DSGVO-Konformität erfüllen
• Anspruch auf Widerruf, z.B. bei der Kündigung von Direktwerbung
• Anspruch auf Datenübertragbarkeit, um die Daten einem anderen Verantwortlichen übergeben zu können

Als die DSGVO 2018 endgültig in Kraft trat, bestand eine große Unsicherheit in der Unternehmenslandschaft. Viele Firmen waren überfordert und wussten nicht, wie sie die neue Verordnung umsetzen sollten oder wie schwer Verstöße wirklich geahndet würden. Nun sind einige Jahre vergangen und es zeigt sich, dass auf jeden Fall eine höhere Sensibilität für das Thema Datenschutz bei den Unternehmen und Verbraucher:innen besteht. Die DSGVO sorgte aber auch für viel Unmut, vor allem bei kleinen und mittelständischen Unternehmen, die die Richtlinien genau so umsetzen mussten, wie Konzerne.

In den vergangenen Jahren wurde ebenfalls klar, dass Datenschutzverstöße konsequent bestraft werden. Einige namhafte Unternehmen haben dies bereits zu spüren bekommen. Mit der DSGVO wird eine Geldbuße von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr kommuniziert. Angewendet wird in diesem Zusammenhang der Wert, der höher ist. Berücksichtigt werden hierbei aber auch weitere Bemessungskriterien, wie z.B. Vorsatz, Fahrlässigkeit, Dauer des Verstoßes, frühere Verstöße gegen das Datenschutzrecht oder die Zusammenarbeit mit der Datenschutzaufsichtsbehörde.

Im Internet finden Sie mittlerweile sogar Bußgeldrechner, bei denen Sie Ihre Umsatzhöhe, den entsprechenden Artikel der Verordnung und die Schwere der Tat eintragen können. Daraufhin wird Ihnen die Höhe des erwarteten Bußgelds angezeigt.

Dies sollte Sie nun aber keineswegs davon abhalten, im E-Commerce tätig zu werden. Viele der Website- und Online-Shop-Anbieter helfen Ihrer Kundschaft mit bereits integrierten DSGVO-Tools. Auch Ihre Datenschutzbestimmungen können Sie für wenig Geld rechtssicher von Kanzleien und Dienstleistern formulieren lassen. Wenn Sie sich darüber hinaus noch mit den Verordnungen der DSGVO auseinandersetzen, die Sie selbst im Unternehmen umsetzen müssen, haben Sie den Datenschutz in Ihrer Firma sehr gut im Griff. 

Der Datenschutz ist im ständigen Wandel, daher wird auch die DSGVO fortlaufend aktualisiert. Seit 2018 gab es mehrere Anpassungen in der Verordnung. Die vorgestellten Punkte können daher stets nur als Momentaufnahme für den derzeitigen Stand des Datenschutzrechts dienen.

Folgende Inhalte sollten Sie, sofern noch nicht geschehen, in Ihren Datenschutz integrieren und zukünftig verfolgen:

• Zukünftig soll eine DSGVO-Zertifizierung von akkreditierten Zertifizierungsstellen angeboten werden. Im Rahmen dieses Prozesses wird ein Gutachten von IT-Produkten oder -Dienstleistungen hinsichtlich der Einhaltung des Datenschutzes erstellt. Eine solch zertifizierte Marke soll Vertrauen schaffen und etwaige Zweifel über die DSGVO-Konformität direkt aus dem Weg räumen.
• Es gibt neue Vertragsmuster für die Standardvertragsklauseln (auch „Standard Contractual Clauses“ oder „SCC“ genannt) hinsichtlich des Datenverkehrs in Drittländer. Sitzen also Kooperationspartner von Ihnen außerhalb der EU, müssen Sie ein gleichwertiges Datenschutzniveau - ähnlich der DSGVO - gewährleisten. Die neuen SCC müssen bestehende Altverträge bis zum 27. Dezember 2022 ablösen, ansonsten drohen Strafgebühren.
• Der Datentransfer in die USA wird von den Behörden aktuell noch kritischer gesehen. Die reinen SCC sollen hier nicht mehr ausreichen, sondern zusätzlich durch ein sogenanntes „Transfer Impact Assessment“ ergänzt werden. Da viele Unternehmen auf die großen Tech-Unternehmen in den USA angewiesen sind und diese massenhaft genutzt werden, ist hier die Situation noch nicht ganz eindeutig. Sie sollten in jedem Falle prüfen, ob Ihr Datenverkehr in die USA mit den Richtlinien der DSGVO vergleichbar ist und dokumentiert wird. Sollten Sie auf europäische Anbieter zurückgreifen können, ist dies unbedingt empfehlenswert.
• Das neue Telekommunikations-Telemedien-Datenschutzgesetz, kurz „TTDSG“, trat Ende 2021 in Kraft und beinhaltet unter anderem, dass keine Cookies mehr gesetzt werden dürfen, die technisch nicht unbedingt notwendig sind. Cookies für Werbezwecke sollten daher beispielsweise nur noch mit ausdrücklicher Zustimmung der Besucher:innen aktiviert werden.
• Das Auskunftsrecht Betroffener hinsichtlich ihrer personenbezogenen Daten wurde erweitert und schließt nicht nur Ihre Kundschaft, sondern auch Arbeitnehmer:innen ein. In diesem Zusammenhang bestehen neue Leitlinien hinsichtlich der Reichweite und des Umfang des Betroffenenrechts.