Gerade kleine und mittlere Unternehmen tun sich vielfach sehr schwer im Umgang mit der EU-Datenschutzgrundverordnung. Die Unsicherheiten, die Angst vor hohen Strafen sowie Abmahnungen sind groß. Wie lässt sich die DSGVO durch kleine Unternehmen erfassen und bewältigen?
Was bedeutet die DSGVO für kleine Unternehmen?
In der Regel fühlen sich kleinere Organisationseinheiten durch die Forderungen der DSGVO schneller überfordert als große Unternehmen. Sie beschäftigen keine eigene Rechtsabteilung, haben bisher oft keinen eigenen Datenschutzbeauftragten bestellt und durchdringen die Vorschriften der DSGVO nicht. Vor allem, wenn es um die die Pflichten nach der DSGVO und die praktische Umsetzung der Vorschriften geht, macht sich schnell Ratlosigkeit breit.
Dagegen haben auch Kleinstunternehmer und fast alle Webseitenbetreiber meist bereits von den drohenden Sanktionen nach der DSGVO gehört: Bei maximalen Bußgeldern von 20 Millionen Euro (die 4 Prozent des Vorjahresumsatzes dürften bei kleineren Unternehmen eher weniger relevant sein), verbreitet sich große Angst. Auch befürchten gerade die Kleinsten der Marktteilnehmer Abmahnwellen seitens größerer Wettbewerber, wenn sie Fehler im Datenschutz machen. Die DSGVO ist auch für kleine Unternehmen zu handhaben, wenn einige Gesichtspunkte beachtet werden.
Checkliste: DSGVO und kleine Unternehmen
Die folgenden Punkte fassen die wichtigsten Pflichtenkreise nach der DSGVO für kleinere und mittlere Unternehmen nach Themen geordnet zusammen:
Hauptpflicht nach DSGVO - Datenschutzbeauftragter (DSB)
Viele kleine Unternehmen haben bisher keinen eigenen Datenschutzbeauftragten bestellt. Es wichtig für kleinere Organisationen festzustellen, ob sie jetzt nach der DSGVO einen DSB benennen müssen. Die Frage ist nicht pauschal und einfach zu beantworten, weil die genauen Umstände des Einzelfalls geprüft und unbestimmte Rechtsbegriffe mit Leben gefüllt werden müssen. Auch spielt bei dieser Frage nicht nur die DSGVO, sondern auch das neue Bundesdatenschutzgesetz eine Rolle.
Ein DSB ist zu benennen, wenn in einem Unternehmen
regelmäßig zehn Personen oder mehr ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder
Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder
Verarbeitungen stattfinden, bei denen personenbezogene Daten zur Übermittlung auf geschäftsmäßiger oder auf anonymisierter Basis oder für Markt- und Meinungsforschungszwecke verarbeitet werden.
Im Zweifel sollte sich ein kleines Unternehmen kompetent zur Frage der DSB-Bestellung beraten lassen, um empfindliche Strafen bei Nichtbeachtung sowie auch Abmahnungen durch Wettbewerber zu vermeiden. Besonders wichtig ist, dass allein die die Beschäftigung von nur 9 Mitarbeitern nicht in jedem Fall zur Entpflichtung des Unternehmens führt. Die Aufsichtsbehörden haben allgemein strenge Maßstäbe bei der Benennung des DSB angekündigt. Leider fallen sie wegen Überlastung nach Einführung der DSGVO als kompetente Anlaufstelle für Fragen zur DSB Bestellung vielfach aus. Hier sollte gerade kleinere Organisationen den Rat externer Dienstleister in Anspruch nehmen.
Weitere wichtige Aspekte der DSGVO, die besonders Online-Händler und Webseitenbetreiber beschäftigen sollten, werden hier gelistet. Die Stichpunkte müssen gegebenenfalls mit sachverständiger Unterstützung recherchiert werden:
Betroffenenrechte (wie der korrekte Umgang mit Bewerberdaten)
Erste Schritte zur Datenschutzkonformität der Webseite
Unterlassungen bei der Gestaltung der Webseite sind besonders auffällig - für Wettbewerber und Aufsichtsbehörden gleichermaßen. Kleinere Unternehmen sind deshalb gut beraten, zumindest ihre Datenschutzerklärung/ihr Impressum den neuen Anforderungen der DSGVO anzupassen, soweit das noch nicht geschehen ist. Dazu gehört etwa, einen Hinweis in die Erklärung mitaufzunehmen, sofern auf der Webseite Tracking Tools wie Google Analytics verwendet werden. Zwar ist es noch streitig, ob die DSGVO Wettbewerber überhaupt zu Abmahnungen berechtigt, aber erste Abmahnungen sollen bereits in der Welt sein. Die Datenschutzerklärung lässt sich nach Mustern aus dem Netz rechtkonform gestalten. So wird eine erste Hürde der DSGVO durch kleine Unternehmen genommen.
Kleine Unternehmen auf gute Beratung angewiesen
Da die DSGVO kleine Unternehmen schon organisatorisch sehr fordert, empfiehlt sich die Anspruchnahme externer Dienstleister im Datenschutz. Das Spektrum dieser Leistungen kann von der Benennung eines externen DSB, über die Prüfung der Datenschutzkonformität im Unternehmen bis hin zur Datenschutzberatung im Einzelfall reichen. Prinzipiell muss die DSGVO auch für kleine und mittlere Unternehmen kein unlösbares Problem darstellen. Wichtig ist, dass die kleinsten DSGVO Unternehmen aktiv werden, sich informieren und kompetente Dienstleister beauftragen. Letzteres muss im Übrigen nicht teuer sein, weil viele Leistungen im Rahmen von Pauschalverträgen angeboten werden. Darüber hinaus gibt es speziell für kleine und mittlere Unternehmen eine Datenschutz-Beratungsförderung vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), die Zuschüsse in unterschiedlicher Höhe ermöglicht.
Artikel veröffentlicht am: 16. Juli 2018
