Alles über die DSGVO für Kleinunternehmen, KMU und Vereine

NEIN! Kein Handels- oder Industriezweig ist von der Pflicht befreit, die DSGVO einzuhalten. Auch wenn einige Berufe eine Berufsethik, einen Verhaltenskodex oder sogar ein Berufsgeheimnis haben, ist kein Beruf von der Pflicht zur Einhaltung der DSGVO ausgenommen.

JA! Selbst sehr kleine Unternehmen, sogar Ein-Personen-Firmen müssen sich in Ordnung bringen. Denn sie verwalten persönliche Daten von Kunden, Interessenten und Mitarbeitern und daher gilt die DSGVO, um ihre Privatsphäre zu schützen.

JA! Auch Vereine, selbst sehr kleine Vereine, müssen sich in Ordnung bringen. Denn sie verwalten persönliche Daten von Mitgliedern, Kontakten und Mitarbeitern und daher gilt die DSGVO, um deren Privatsphäre zu schützen.

JA! Auch Selbstständige, sogar Kleinstunternehmer müssen sich in Ordnung bringen. Denn sie verwalten personenbezogene Daten von Kunden, Interessenten und Mitarbeitern und daher gilt die DSGVO, um die Privatsphäre dieser Personen zu schützen.

JA! Die DSGVO betrifft alle Arten der Verarbeitung personenbezogener Daten, auch wenn alles auf Papier abgewickelt wird oder wenn es keine Website gibt oder das Internet nicht einmal genutzt wird. Die bloße Tatsache, dass personenbezogene Daten im Rahmen der Geschäftstätigkeit verarbeitet werden, reicht aus, um der DSGVO zu unterliegen.

Die DSGVO verlangt von Ihnen nicht nur, dass Sie die DSGVO einhalten, sondern vor allem, dass Sie in der Lage sind, dies zu belegen. Sie müssen eine Akte anlegen, in der Sie alles, was Sie getan haben, nachweisen können.

Ihr DSGVO-Dossier sollte insbesondere detailliert darlegen, (1) was Sie für Ihre Website getan haben, (2) welche Sicherheitsmaßnahmen Sie zum Schutz personenbezogener Daten ergriffen haben, (3) welche Aspekte mit dem Personalwesen zusammenhängen, (4) wie Sie die Rechte der Personen, deren Daten Sie besitzen, verwalten und (5) welche Datenverluste auftreten können,(6) welche verschiedenen Datenverarbeitungen Sie durchführen, (7) welche Beziehungen Sie zu Ihren Auftragsverarbeitern haben.

Das ist nicht unbedingt erforderlich. Anwendungen wie GDPRfolder helfen Ihnen dabei, ein Dossier zu vervollständigen, mit dem Sie nachweisen können, was Sie zur Einhaltung der Vorschriften getan haben. Dennoch kann Ihnen die Unterstützung eines DSGVO-Anwalts oder eines DSGVO-Experten helfen, wenn Sie dies wünschen.

Es ist empfehlenswert, auf jeder Website ein Dokument zur Information der Besucher zu platzieren, in dem du ihnen erklärst, welche Politik du im Umgang mit persönlichen Daten verfolgst. Genauso wie es wichtig ist, das Impressum und einen Disclaimer zu platzieren.

Damit sich eine Person für Ihren Newsletter anmeldet, muss sie Ihnen ihre E-Mail-Adresse geben. Sie müssen sie also dazu bringen, Ihre Politik zur Verwaltung von E-Mail-Adressen im Rahmen Ihres Newsletters zu genehmigen, ihr Einverständnis dazu zu geben. Sie müssen die interessierten Personen auffordern, Ihrer Datenschutzpolitik zuzustimmen, und Sie müssen den Nachweis über die Zustimmung dieser Personen aufbewahren.

Wenn Sie auf Ihrer Website ein Kontaktformular anbieten, muss die betroffene Person wissen, was Sie mit ihren Daten tun werden. Daher müssen Sie ihr eine Datenschutzrichtlinie anbieten, der sie zustimmen muss, bevor sie Ihnen ihre Kontaktanfrage schickt. Und Sie müssen den Nachweis über die Zustimmung dieser Person aufbewahren.

NEIN. Sie können nicht nur eine einzige Richtlinie für den Umgang mit personenbezogenen Daten anbieten, wenn Sie auf Ihrer Website einen Newsletter, Online-Shopping, ein Kontaktformular oder Stellenangebote anbieten. Jede dieser Möglichkeiten sammelt und verwaltet personenbezogene Daten auf unterschiedliche Art und Weise.

Es ist unerlässlich, dass die Personen ein Kästchen anklicken, aus dem hervorgeht, dass sie Ihre Datenschutzrichtlinie akzeptiert und gelesen haben, und zwar bevor sie ihre Daten senden. Und wenn die Person das Kästchen nicht anklickt, müssen Sie sie darauf hinweisen, dass Sie keine Daten sammeln können, wenn sie Ihre Datenschutzrichtlinie nicht akzeptiert.

Jede natürliche Person hat das Recht, jede Organisation, die Daten sammelt, zu fragen, ob sie Daten über sie hat. Und sie müssen ihr innerhalb von 30 Tagen antworten.

Wenn Sie auf einen Antrag auf Auskunftsrecht geantwortet haben und die betroffene Person der Meinung ist, dass die gesammelten Daten fehlerhaft sind, kann sie eine Berichtigung der Daten verlangen. Wenn sie z. B. feststellt, dass ihr Geburtsdatum falsch ist, kann sie verlangen, dass es berichtigt wird. 

Eine Person kann von einer Organisation verlangen, die Daten zu löschen, die diese über sie gespeichert hat. Es gibt jedoch einige Ausnahmen. Wenn die Daten z. B. aus steuerlichen Gründen vom Finanzministerium gesammelt werden, ist es nicht möglich, ihre Löschung zu verlangen, da sie aufgrund von Gesetzen gesammelt werden. Ebenso kann es bei einer E-Commerce-Website aufgrund von Buchhaltungs- und Steuerpflichten erforderlich sein, die Daten auch dann aufzubewahren, wenn der Kunde sie löschen möchte.

Es gibt einige Vorsichtsmaßnahmen, die Sie beachten müssen: 1/ Sie müssen überprüfen, ob die Person, die ihre Rechte ausübt, die richtige Person ist, also müssen Sie ihre Identität überprüfen. 2/ Sie haben einen Monat Zeit, um der Person zu antworten, daher ist es wichtig, dass Sie über ein Inventar Ihrer Datenbanken verfügen. 3/ Sie müssen natürlich den Verlauf der Anfrage und Ihrer Antwort aufbewahren, um nachzuweisen, dass Sie geantwortet haben.

Die Frist beträgt einen Monat, nachdem der Antrag eingegangen ist und die Identität der Person überprüft wurde. Es gibt einige Möglichkeiten, die Frist zu verlängern, wenn der Aufwand unverhältnismäßig groß ist. Wenn ich von einer riesigen Institution alle Daten über mich anfordere, kann sie mich bitten, meine Anfrage zu präzisieren oder eine Frist von zwei weiteren Monaten haben.

Die DSGVO erlaubt das Sammeln von Daten nur in den Fällen, in denen Sie eine Rechtsgrundlage haben, sei es die Zustimmung der Person, ein Vertrag etc. Es gibt nur 6 Rechtsgrundlagen, die im Folgenden erläutert werden

Sie dürfen personenbezogene Daten verarbeiten, wenn die betroffene Person Ihnen ihre Einwilligung gegeben hat. Sie müssen nachweisen können, dass Sie diese Einwilligung erhalten haben, entweder auf Papier oder durch ein Kästchen, das Sie auf einer Website ankreuzen können. Achtung: 1/ Es gibt keine implizite Einwilligung, die Einwilligung muss ausdrücklich und spezifisch für die Datenverarbeitung gegeben werden, die Sie der Person anbieten. 2/ Die betroffene Person kann ihre Einwilligung jederzeit und ohne Angabe von Gründen zurückziehen.

Diese Rechtsgrundlage ist komplex und muss sich aus einem Gleichgewicht zwischen den Interessen des für die Verarbeitung Verantwortlichen und dem Respekt für die persönlichen Daten der betroffenen Personen ergeben. Ein Beispiel ist die Möglichkeit, ehemalige Kunden zu kontaktieren, um ihnen ähnliche Produkte oder Dienstleistungen anzubieten.

Wenn Sie einen Vertrag unterzeichnen oder sich in Vorvertragsverhandlungen befinden, können Sie Daten verarbeiten. Zum Beispiel werden Sie im Rahmen einer Einstellung einen Lebenslauf, die Daten des Interviews usw. sammeln.

Es kann gesetzlich erlaubt sein, Daten zu verarbeiten. Beispielsweise ist das Finanzministerium gesetzlich verpflichtet, Ihre Steuerdaten zu verarbeiten. 

Das Gesetz kann eine Aufgabe von öffentlichem Interesse entweder einem öffentlichen oder einem privaten Akteur übertragen. In diesem Fall ist es zwingend erforderlich, bei der Information der betroffenen Personen auf die Vorschriften zu verweisen, die dem für die Verarbeitung Verantwortlichen diese Aufgabe übertragen.

Dies ist ein sehr begrenzter Fall, wenn das Leben einer Person in Gefahr ist, ist es erlaubt, Daten ohne Zustimmung zu sammeln und zu verarbeiten. 

Wenn Sie einen Datenverlust oder -diebstahl feststellen (Cyberkriminalität, Verlust eines Laptops, versehentliches Versenden vertraulicher Informationen an die falsche Person usw.), müssen Sie die Folgen dieser Tatsache analysieren.

JA! Sie haben maximal 72 Stunden Zeit, um eine Entscheidung zu treffen, die von der Schwere des Vorfalls abhängt. Sie haben drei mögliche Reaktionen: 1/ Sie betrachten den Vorfall als nicht schwerwiegend und unternehmen nichts (z. B. ein verlorener Laptop, der am nächsten Tag wiedergefunden wird). 2/ Der Vorfall ist schwerwiegend und Sie müssen die nationale Datenschutzbehörde kontaktieren. 3/ Der Vorfall ist sehr schwerwiegend und kann Folgen für die betroffenen Personen haben.

Wenn Sie der Meinung sind, dass es sich um einen schwerwiegenden Vorfall handelt, oder wenn Sie Zweifel an der Schwere des Vorfalls haben, müssen Sie sich innerhalb von 72 Stunden an die nationale Datenschutzbehörde wenden. Auf der Website dieser Behörde gibt es ein Meldeformular.

Nur wenn es schwerwiegende Folgen für die betroffenen Personen gibt, z. B. bei der Weitergabe von Gesundheitsdaten. In diesem Fall müssen Sie alle betroffenen Personen darüber informieren.

NEIN! Für öffentliche Einrichtungen, große Organisationen und solche, die eine große Anzahl von Daten verarbeiten, ist die Ernennung eines DSB obligatorisch. Für KMU, Selbstständige, NGOs und Vereine ist die Ernennung eines DSB nicht verpflichtend.

Der DSB ist von der Geschäftsleitung unabhängig, ähnlich wie ein Rechnungsprüfer. Er hat eine beratende Funktion und überwacht die Einhaltung der DSGVO, er hilft der Organisation bei der Einhaltung der Vorschriften.

NEIN! Das ist sogar verboten, da dies einen Interessenkonflikt zwischen den Entscheidungen der Geschäftsleitung einerseits und der Verpflichtung zur Einhaltung der DSGVO andererseits schaffen würde. Kein Mitglied der Geschäftsleitung darf DSB seiner Organisation sein.

Es gibt für jeden Vor- und Nachteile. Ein interner DSB kennt das Unternehmen gut, hat aber weniger Erfahrung und läuft Gefahr, von seinen Kollegen beeinflusst zu werden. Ein externer DSB kennt das Unternehmen weniger gut, hat aber mehr Erfahrung als DSB und ist unabhängiger vom Unternehmen.

Sie ist für Organisationen mit weniger als 250 Mitarbeitern verpflichtend, es sei denn, die Organisation führt Verarbeitungen durch, die Risiken für die betroffenen Personen beinhalten oder sensible Daten betreffen.

Das Register umfasst die Beschreibung der Verarbeitung, die betroffenen personenbezogenen Daten, die Sicherheitsmaßnahmen, den Zweck der Verarbeitung, die Rechtsgrundlage, mögliche Datenempfänger usw. All diese Daten geben Ihnen einen guten Überblick über die von Ihnen durchgeführten Verarbeitungen und darüber, wie Sie die DSGVO einhalten.

JA, selbst in Fällen, in denen das Register nicht verpflichtend ist, raten die Datenschutzbehörden dazu, es auszufüllen, da es einen guten Überblick über die durchgeführten Datenverarbeitungen ermöglicht.

Nach der DSGVO ist ein Auftragsverarbeiter eine Organisation, der Sie Daten anvertrauen, um sie nach Ihren Anweisungen zu verarbeiten. Beispielsweise führen Sie eine E-Mail-Kampagne durch und vertrauen einem Anbieter Ihre Kundenliste an, damit er die E-Mail-Kampagne verwaltet.

JA! Sie sind für die Auswahl Ihrer Auftragsverarbeiter verantwortlich und können daher, wenn diese die DSGVO nicht einhalten, gegenüber den betroffenen Personen dafür haftbar gemacht werden.

JA! Die DSGVO schreibt vor, dass ein spezieller Vertrag unterzeichnet werden muss, der die Rechte und Pflichten des Auftragsverarbeiters und insbesondere seine Verpflichtung zur Einhaltung der DSGVO enthält.

Sie sind auch für die Wahl Ihres außereuropäischen Subunternehmers verantwortlich. In diesem Fall müssen besondere Sicherheitsmaßnahmen ergriffen werden, da einige Länder problematisch sind, z. B. die USA. Beispielsweise wurde Google Analytics für DSGVO-widrig erklärt und es ist daher zwingend erforderlich, eine andere Lösung zu wählen, da man sonst haftbar gemacht werden kann und Sanktionen drohen.

Viele Leute können Sie fragen, ob Sie die DSGVO einhalten: Ihre Kunden, Ihre Lieferanten, bei Ausschreibungen und natürlich die Datenschutzbehörden. Und denken Sie daran, dass die DSGVO nicht nur verlangt, dass Sie die Vorschriften einhalten, sondern auch, dass Sie in der Lage sind, dies zu beweisen, weshalb der DSGVO-Ordner so wichtig ist.

Hohe Geldstrafen, die bis zu 20 Millionen Euro oder 4% des Jahresumsatzes betragen können. Vergessen Sie aber auch nicht den Schaden für Ihren Ruf, wenn bekannt wird, dass Sie die Ihnen anvertrauten persönlichen Daten nicht respektieren.

JA! Auch wenn viel über die Millionen Euro gesprochen wird, die großen Konzernen wie Google auferlegt wurden, gab es bereits zahlreiche Bußgelder, die gegen kleine und mittlere Unternehmen, Vereine und sogar Selbstständige verhängt wurden. 

CNIL ist die Commission Informatique et Liberté, die französische Behörde, die für die Überwachung der Einhaltung der DSGVO zuständig ist und über Kontrollbefugnisse verfügt und Geldstrafen verhängen kann. 

Der Europäische Datenschutzbeauftragte setzt sich aus den 27 nationalen Datenschutzbehörden zusammen und hat die Hauptaufgabe, Empfehlungen zur Anwendung der DSGVO abzugeben.

Der DSB ist die belgische Datenschutzbehörde

die CNPD ist die luxemburgische Datenschutzbehörde

Eine PIA ist eine Datenschutz-Folgenabschätzung (oft auch als DPIA bezeichnet). Dabei handelt es sich um eine Risikoanalyse, die in bestimmten Fällen, z. B. bei der Verarbeitung einer großen Anzahl sensibler Daten, zwingend durchgeführt werden muss.

Der Europäische Datenschutzrat ist die englische Bezeichnung für den EDSB.