FRANKREICH + 33 (0)1 86 61 01 04

 

BELGIEN +32 (0)475 98 21 15

 
 
 
 
 
 
 

Alles über die DSGVO für Kleinunternehmen, KMU und Vereine

Was ist die DSGVO?

Die Allgemeine Datenschutzverordnung in wenigen Worten!

Die DSGVO, was ist das?

Die Europäische Datenschutzverordnung (DSGVO) ist eine Verordnung, die die Privatsphäre der europäischen Verbraucher und Bürger schützen soll.

Betrifft die DSGVO ganz Europa?

Der Text der DSGVO ist seit dem 25. Mai 2018 in allen europäischen Ländern anwendbar. 

Ist das verpflichtend?

Natürlich ist dies für alle Organisationen, ob groß oder klein, im öffentlichen oder privaten Sektor, und sogar für Vereine und Selbstständige verpflichtend.

Wie schützt die DSGVO die Privatsphäre?

Die DSGVO bringt Rechte für Einzelpersonen, die Fragen zur Verwendung ihrer personenbezogenen Daten stellen können, und zahlreiche Verpflichtungen für Organisationen, darunter insbesondere eine Verpflichtung zur Transparenz hinsichtlich der Verwendung personenbezogener Daten.

Was passiert, wenn meine Privatsphäre nicht respektiert wird?

Wenn eine Organisation die DSGVO nicht einhält, kann sie mit einer hohen Geldstrafe belegt werden. Darüber hinaus können Verbraucher und Bürger bei der nationalen Behörde Beschwerde einlegen, um ihre Rechte durchzusetzen.

Ausländische Unternehmen wie Facebook oder Google müssen sich daran halten?

Ja, ausländische Unternehmen wie Facebook oder Google, die Kunden in Europa haben, müssen die DSGVO einhalten. Einige ausländische Unternehmen wurden wegen Nichteinhaltung der DSGVO zu Geldstrafen in Höhe von mehreren hunderttausend Euro verurteilt.

Was sind personenbezogene Daten?

Dabei handelt es sich um jedes Element, das Sie sammeln und das die Identifizierung einer Person ermöglicht, wie z. B. Name, Foto, Sozialversicherungsnummer, Adresse, Handynummer etc. Und somit sammelt jede Organisation personenbezogene Daten und unterliegt daher der DSGVO.

Inwiefern bin ich von der DSGVO betroffen?

Gesellschaften, Vereine, Unternehmen, öffentlicher Sektor, Selbstständige - alle sind betroffen

Sind bestimmte Wirtschaftszweige befreit?

NEIN! Kein Handels- oder Industriezweig ist von der Pflicht befreit, die DSGVO einzuhalten. Auch wenn einige Berufe eine Berufsethik, einen Verhaltenskodex oder sogar ein Berufsgeheimnis haben, ist kein Beruf von der Pflicht zur Einhaltung der DSGVO ausgenommen.

Sind Kleinstunternehmen und KMU betroffen?

JA! Selbst sehr kleine Unternehmen, sogar Ein-Personen-Firmen müssen sich in Ordnung bringen. Denn sie verwalten persönliche Daten von Kunden, Interessenten und Mitarbeitern und daher gilt die DSGVO, um ihre Privatsphäre zu schützen.

Sind nicht-kommerzielle Organisationen betroffen?

JA! Auch Vereine, selbst sehr kleine Vereine, müssen sich in Ordnung bringen. Denn sie verwalten persönliche Daten von Mitgliedern, Kontakten und Mitarbeitern und daher gilt die DSGVO, um deren Privatsphäre zu schützen.

Sind Selbstständige betroffen?

JA! Auch Selbstständige, sogar Kleinstunternehmer müssen sich in Ordnung bringen. Denn sie verwalten personenbezogene Daten von Kunden, Interessenten und Mitarbeitern und daher gilt die DSGVO, um die Privatsphäre dieser Personen zu schützen.

Ich habe keine Website, ist das für mich relevant?

JA! Die DSGVO betrifft alle Arten der Verarbeitung personenbezogener Daten, auch wenn alles auf Papier abgewickelt wird oder wenn es keine Website gibt oder das Internet nicht einmal genutzt wird. Die bloße Tatsache, dass personenbezogene Daten im Rahmen der Geschäftstätigkeit verarbeitet werden, reicht aus, um der DSGVO zu unterliegen.

DSGVO: Was muss ich tun?

Was sind die wichtigsten Verpflichtungen zur Einhaltung der DSGVO?

Was muss ich konkret tun?

Die DSGVO verlangt von Ihnen nicht nur, dass Sie die DSGVO einhalten, sondern vor allem, dass Sie in der Lage sind, dies zu belegen. Sie müssen eine Akte anlegen, in der Sie alles, was Sie getan haben, nachweisen können.

Welche Informationen müssen sich in meinem RGPD-Ordner befinden?

Ihr DSGVO-Dossier sollte insbesondere detailliert darlegen, (1) was Sie für Ihre Website getan haben, (2) welche Sicherheitsmaßnahmen Sie zum Schutz personenbezogener Daten ergriffen haben, (3) welche Aspekte mit dem Personalwesen zusammenhängen, (4) wie Sie die Rechte der Personen, deren Daten Sie besitzen, verwalten und (5) welche Datenverluste auftreten können,(6) welche verschiedenen Datenverarbeitungen Sie durchführen, (7) welche Beziehungen Sie zu Ihren Auftragsverarbeitern haben.

Sollte ich mich von einem Anwalt oder Berater unterstützen lassen?

Das ist nicht unbedingt erforderlich. Anwendungen wie GDPRfolder helfen Ihnen dabei, ein Dossier zu vervollständigen, mit dem Sie nachweisen können, was Sie zur Einhaltung der Vorschriften getan haben. Dennoch kann Ihnen die Unterstützung eines DSGVO-Anwalts oder eines DSGVO-Experten helfen, wenn Sie dies wünschen.

Was muss ich in Bezug auf unsere Website tun?

Die DSGVO verlangt eine klare und transparente Kommunikation

Muss ich eine Datenschutzrichtlinie aufstellen, auch wenn ich keine Daten auf der Website sammle?

Es ist empfehlenswert, auf jeder Website ein Dokument zur Information der Besucher zu platzieren, in dem du ihnen erklärst, welche Politik du im Umgang mit persönlichen Daten verfolgst. Genauso wie es wichtig ist, das Impressum und einen Disclaimer zu platzieren.

Was muss ich tun, wenn ich auf meiner Website einen Newsletter anbiete?

Damit sich eine Person für Ihren Newsletter anmeldet, muss sie Ihnen ihre E-Mail-Adresse geben. Sie müssen sie also dazu bringen, Ihre Politik zur Verwaltung von E-Mail-Adressen im Rahmen Ihres Newsletters zu genehmigen, ihr Einverständnis dazu zu geben. Sie müssen die interessierten Personen auffordern, Ihrer Datenschutzpolitik zuzustimmen, und Sie müssen den Nachweis über die Zustimmung dieser Personen aufbewahren.

Was muss ich tun, wenn ich ein Kontaktformular für Besucher der Website anbiete?

Wenn Sie auf Ihrer Website ein Kontaktformular anbieten, muss die betroffene Person wissen, was Sie mit ihren Daten tun werden. Daher müssen Sie ihr eine Datenschutzrichtlinie anbieten, der sie zustimmen muss, bevor sie Ihnen ihre Kontaktanfrage schickt. Und Sie müssen den Nachweis über die Zustimmung dieser Person aufbewahren.

Ist eine einzige Datenschutzrichtlinie für alle Datensammlungen auf der Website ausreichend?

NEIN. Sie können nicht nur eine einzige Richtlinie für den Umgang mit personenbezogenen Daten anbieten, wenn Sie auf Ihrer Website einen Newsletter, Online-Shopping, ein Kontaktformular oder Stellenangebote anbieten. Jede dieser Möglichkeiten sammelt und verwaltet personenbezogene Daten auf unterschiedliche Art und Weise.

Wie muss ich die Zustimmung von Personen einholen, die sich auf meiner Website registrieren oder dort einkaufen?

Es ist unerlässlich, dass die Personen ein Kästchen anklicken, aus dem hervorgeht, dass sie Ihre Datenschutzrichtlinie akzeptiert und gelesen haben, und zwar bevor sie ihre Daten senden. Und wenn die Person das Kästchen nicht anklickt, müssen Sie sie darauf hinweisen, dass Sie keine Daten sammeln können, wenn sie Ihre Datenschutzrichtlinie nicht akzeptiert.

Welche Rechte haben die Personen, deren Daten ich sammle?

Die DSGVO erkennt Rechte für Verbraucher und Bürger an!

Was ist das Recht auf Zugang?

Jede natürliche Person hat das Recht, jede Organisation, die Daten sammelt, zu fragen, ob sie Daten über sie hat. Und sie müssen ihr innerhalb von 30 Tagen antworten.

Was ist das Recht auf Berichtigung?

Wenn Sie auf einen Antrag auf Auskunftsrecht geantwortet haben und die betroffene Person der Meinung ist, dass die gesammelten Daten fehlerhaft sind, kann sie eine Berichtigung der Daten verlangen. Wenn sie z. B. feststellt, dass ihr Geburtsdatum falsch ist, kann sie verlangen, dass es berichtigt wird. 

Was ist das Recht auf Löschung oder das Recht auf Vergessenwerden?

Eine Person kann von einer Organisation verlangen, die Daten zu löschen, die diese über sie gespeichert hat. Es gibt jedoch einige Ausnahmen. Wenn die Daten z. B. aus steuerlichen Gründen vom Finanzministerium gesammelt werden, ist es nicht möglich, ihre Löschung zu verlangen, da sie aufgrund von Gesetzen gesammelt werden. Ebenso kann es bei einer E-Commerce-Website aufgrund von Buchhaltungs- und Steuerpflichten erforderlich sein, die Daten auch dann aufzubewahren, wenn der Kunde sie löschen möchte.

Wie reagiere ich auf eine Anfrage?

Es gibt einige Vorsichtsmaßnahmen, die Sie beachten müssen: 1/ Sie müssen überprüfen, ob die Person, die ihre Rechte ausübt, die richtige Person ist, also müssen Sie ihre Identität überprüfen. 2/ Sie haben einen Monat Zeit, um der Person zu antworten, daher ist es wichtig, dass Sie über ein Inventar Ihrer Datenbanken verfügen. 3/ Sie müssen natürlich den Verlauf der Anfrage und Ihrer Antwort aufbewahren, um nachzuweisen, dass Sie geantwortet haben.

Wie viel Zeit habe ich, um auf eine Anfrage zu reagieren?

Die Frist beträgt einen Monat, nachdem der Antrag eingegangen ist und die Identität der Person überprüft wurde. Es gibt einige Möglichkeiten, die Frist zu verlängern, wenn der Aufwand unverhältnismäßig groß ist. Wenn ich von einer riesigen Institution alle Daten über mich anfordere, kann sie mich bitten, meine Anfrage zu präzisieren oder eine Frist von zwei weiteren Monaten haben.

Welche Rechtsgrundlagen sind für die Erhebung von Daten erforderlich?

Man darf nur in bestimmten erlaubten Situationen Daten sammeln 

Welche Möglichkeiten der Datenerhebung gibt es?

Die DSGVO erlaubt das Sammeln von Daten nur in den Fällen, in denen Sie eine Rechtsgrundlage haben, sei es die Zustimmung der Person, ein Vertrag etc. Es gibt nur 6 Rechtsgrundlagen, die im Folgenden erläutert werden

Wie wird die Datenerhebung mit einer Einwilligung gehandhabt?

Sie dürfen personenbezogene Daten verarbeiten, wenn die betroffene Person Ihnen ihre Einwilligung gegeben hat. Sie müssen nachweisen können, dass Sie diese Einwilligung erhalten haben, entweder auf Papier oder durch ein Kästchen, das Sie auf einer Website ankreuzen können. Achtung: 1/ Es gibt keine implizite Einwilligung, die Einwilligung muss ausdrücklich und spezifisch für die Datenverarbeitung gegeben werden, die Sie der Person anbieten. 2/ Die betroffene Person kann ihre Einwilligung jederzeit und ohne Angabe von Gründen zurückziehen.

Wie kann das berechtigte Interesse zur Datenerhebung genutzt werden?

Diese Rechtsgrundlage ist komplex und muss sich aus einem Gleichgewicht zwischen den Interessen des für die Verarbeitung Verantwortlichen und dem Respekt für die persönlichen Daten der betroffenen Personen ergeben. Ein Beispiel ist die Möglichkeit, ehemalige Kunden zu kontaktieren, um ihnen ähnliche Produkte oder Dienstleistungen anzubieten.

Wie kann ein Vertrag das Sammeln von Daten ermöglichen?

Wenn Sie einen Vertrag unterzeichnen oder sich in Vorvertragsverhandlungen befinden, können Sie Daten verarbeiten. Zum Beispiel werden Sie im Rahmen einer Einstellung einen Lebenslauf, die Daten des Interviews usw. sammeln.

Wie ermöglicht eine gesetzliche Verpflichtung die Erhebung von Daten?

Es kann gesetzlich erlaubt sein, Daten zu verarbeiten. Beispielsweise ist das Finanzministerium gesetzlich verpflichtet, Ihre Steuerdaten zu verarbeiten. 

Wie ermöglicht ein öffentlicher Auftrag die Erhebung von Daten?

Das Gesetz kann eine Aufgabe von öffentlichem Interesse entweder einem öffentlichen oder einem privaten Akteur übertragen. In diesem Fall ist es zwingend erforderlich, bei der Information der betroffenen Personen auf die Vorschriften zu verweisen, die dem für die Verarbeitung Verantwortlichen diese Aufgabe übertragen.

Wie ermöglicht das vitale Interesse das Sammeln von Daten?

Dies ist ein sehr begrenzter Fall, wenn das Leben einer Person in Gefahr ist, ist es erlaubt, Daten ohne Zustimmung zu sammeln und zu verarbeiten. 

Was soll ich im Falle von Diebstahl oder Datenverlust tun?

Cyberkriminalität existiert und menschliche Fehler auch!

Was soll ich tun, wenn ich einen Datenverlust oder -diebstahl bemerke?

Wenn Sie einen Datenverlust oder -diebstahl feststellen (Cyberkriminalität, Verlust eines Laptops, versehentliches Versenden vertraulicher Informationen an die falsche Person usw.), müssen Sie die Folgen dieser Tatsache analysieren.

Muss ich schnell reagieren?

JA! Sie haben maximal 72 Stunden Zeit, um eine Entscheidung zu treffen, die von der Schwere des Vorfalls abhängt. Sie haben drei mögliche Reaktionen: 1/ Sie betrachten den Vorfall als nicht schwerwiegend und unternehmen nichts (z. B. ein verlorener Laptop, der am nächsten Tag wiedergefunden wird). 2/ Der Vorfall ist schwerwiegend und Sie müssen die nationale Datenschutzbehörde kontaktieren. 3/ Der Vorfall ist sehr schwerwiegend und kann Folgen für die betroffenen Personen haben.

Muss ich die Behörden benachrichtigen?

Wenn Sie der Meinung sind, dass es sich um einen schwerwiegenden Vorfall handelt, oder wenn Sie Zweifel an der Schwere des Vorfalls haben, müssen Sie sich innerhalb von 72 Stunden an die nationale Datenschutzbehörde wenden. Auf der Website dieser Behörde gibt es ein Meldeformular.

Muss ich die betroffenen Personen benachrichtigen?

Nur wenn es schwerwiegende Folgen für die betroffenen Personen gibt, z. B. bei der Weitergabe von Gesundheitsdaten. In diesem Fall müssen Sie alle betroffenen Personen darüber informieren.

Wozu dient der Datenschutzbeauftragte (DSB oder DPO)?

Der Datenschutzbeauftragte (DSB), auch Data Protection Officer (DPO) genannt, hat eine wichtige Aufgabe

Muss ich zwingend einen DSB ernennen?

NEIN! Für öffentliche Einrichtungen, große Organisationen und solche, die eine große Anzahl von Daten verarbeiten, ist die Ernennung eines DSB obligatorisch. Für KMU, Selbstständige, NGOs und Vereine ist die Ernennung eines DSB nicht verpflichtend.

Was ist die Rolle des DSB?

Der DSB ist von der Geschäftsleitung unabhängig, ähnlich wie ein Rechnungsprüfer. Er hat eine beratende Funktion und überwacht die Einhaltung der DSGVO, er hilft der Organisation bei der Einhaltung der Vorschriften.

Kann ich als Unternehmensleiter der DSB sein?

NEIN! Das ist sogar verboten, da dies einen Interessenkonflikt zwischen den Entscheidungen der Geschäftsleitung einerseits und der Verpflichtung zur Einhaltung der DSGVO andererseits schaffen würde. Kein Mitglied der Geschäftsleitung darf DSB seiner Organisation sein.

Interne oder externe DSB?

Es gibt für jeden Vor- und Nachteile. Ein interner DSB kennt das Unternehmen gut, hat aber weniger Erfahrung und läuft Gefahr, von seinen Kollegen beeinflusst zu werden. Ein externer DSB kennt das Unternehmen weniger gut, hat aber mehr Erfahrung als DSB und ist unabhängiger vom Unternehmen.

Was ist das Register der Datenverarbeitung?

Das Verarbeitungsverzeichnis beschreibt die Datenverarbeitungen, die Sie durchführen 

Ist das Register der Datenverarbeitung verpflichtend?

Sie ist für Organisationen mit weniger als 250 Mitarbeitern verpflichtend, es sei denn, die Organisation führt Verarbeitungen durch, die Risiken für die betroffenen Personen beinhalten oder sensible Daten betreffen.

Was beinhaltet das Register der Datenverarbeitung?

Das Register umfasst die Beschreibung der Verarbeitung, die betroffenen personenbezogenen Daten, die Sicherheitsmaßnahmen, den Zweck der Verarbeitung, die Rechtsgrundlage, mögliche Datenempfänger usw. All diese Daten geben Ihnen einen guten Überblick über die von Ihnen durchgeführten Verarbeitungen und darüber, wie Sie die DSGVO einhalten.

Ist das Register der Datenverarbeitung sinnvoll?

JA, selbst in Fällen, in denen das Register nicht verpflichtend ist, raten die Datenschutzbehörden dazu, es auszufüllen, da es einen guten Überblick über die durchgeführten Datenverarbeitungen ermöglicht.

Wie verwalte ich die Lieferanten und Subunternehmer, denen ich personenbezogene Daten anvertraue?

Sie sind für die Auswahl Ihrer Auftragsverarbeiter verantwortlich, die ebenfalls die DSGVO einhalten müssen!

Was ist ein Auftragsverarbeiter nach der DSGVO?

Nach der DSGVO ist ein Auftragsverarbeiter eine Organisation, der Sie Daten anvertrauen, um sie nach Ihren Anweisungen zu verarbeiten. Beispielsweise führen Sie eine E-Mail-Kampagne durch und vertrauen einem Anbieter Ihre Kundenliste an, damit er die E-Mail-Kampagne verwaltet.

Bin ich für die Einhaltung der DSGVO bei meinen Auftragsverarbeitern verantwortlich?

JA! Sie sind für die Auswahl Ihrer Auftragsverarbeiter verantwortlich und können daher, wenn diese die DSGVO nicht einhalten, gegenüber den betroffenen Personen dafür haftbar gemacht werden.

Muss ich einen Vertrag mit meinen Subunternehmern abschließen?

JA! Die DSGVO schreibt vor, dass ein spezieller Vertrag unterzeichnet werden muss, der die Rechte und Pflichten des Auftragsverarbeiters und insbesondere seine Verpflichtung zur Einhaltung der DSGVO enthält.

Was passiert, wenn einer meiner Subunternehmer ein Nicht-EU-Bürger ist?

Sie sind auch für die Wahl Ihres außereuropäischen Subunternehmers verantwortlich. In diesem Fall müssen besondere Sicherheitsmaßnahmen ergriffen werden, da einige Länder problematisch sind, z. B. die USA. Beispielsweise wurde Google Analytics für DSGVO-widrig erklärt und es ist daher zwingend erforderlich, eine andere Lösung zu wählen, da man sonst haftbar gemacht werden kann und Sanktionen drohen.

Welche Kontrollen und Sanktionen gibt es bei Nichteinhaltung der DSGVO?

Die DSGVO zu vernachlässigen oder nicht in der Lage zu sein, die Einhaltung der Vorschriften nachzuweisen, ist nicht ohne Risiko!

Wer kann meine Einhaltung der DSGVO überwachen?

Viele Leute können Sie fragen, ob Sie die DSGVO einhalten: Ihre Kunden, Ihre Lieferanten, bei Ausschreibungen und natürlich die Datenschutzbehörden. Und denken Sie daran, dass die DSGVO nicht nur verlangt, dass Sie die Vorschriften einhalten, sondern auch, dass Sie in der Lage sind, dies zu beweisen, weshalb der DSGVO-Ordner so wichtig ist.

Welche Sanktionen sind möglich?

Hohe Geldstrafen, die bis zu 20 Millionen Euro oder 4% des Jahresumsatzes betragen können. Vergessen Sie aber auch nicht den Schaden für Ihren Ruf, wenn bekannt wird, dass Sie die Ihnen anvertrauten persönlichen Daten nicht respektieren.

Erhalten kleine Organisationen Bußgelder?

JA! Auch wenn viel über die Millionen Euro gesprochen wird, die großen Konzernen wie Google auferlegt wurden, gab es bereits zahlreiche Bußgelder, die gegen kleine und mittlere Unternehmen, Vereine und sogar Selbstständige verhängt wurden. 

Akronyme

Hier finden Sie eine Reihe von Akronymen, die im Zusammenhang mit der DSGVO verwendet werden

Was ist die CNIL?

CNIL ist die Commission Informatique et Liberté, die französische Behörde, die für die Überwachung der Einhaltung der DSGVO zuständig ist und über Kontrollbefugnisse verfügt und Geldstrafen verhängen kann. 

Was ist der EDSB?

Der Europäische Datenschutzbeauftragte setzt sich aus den 27 nationalen Datenschutzbehörden zusammen und hat die Hauptaufgabe, Empfehlungen zur Anwendung der DSGVO abzugeben.

Was ist der APD?

Der DSB ist die belgische Datenschutzbehörde

Was ist die CNPD?

die CNPD ist die luxemburgische Datenschutzbehörde

Was ist eine AIPD oder eine DPIA?

Eine PIA ist eine Datenschutz-Folgenabschätzung (oft auch als DPIA bezeichnet). Dabei handelt es sich um eine Risikoanalyse, die in bestimmten Fällen, z. B. bei der Verarbeitung einer großen Anzahl sensibler Daten, zwingend durchgeführt werden muss.

was ist EDPB?

Der Europäische Datenschutzrat ist die englische Bezeichnung für den EDSB.

Erstellung und Referenzierung der Website durch Simplébo

Verbindung