Rechtsanwalt Nils Bremann

Einführung
Die DSGVO (Datenschutzgrundverordnung) ist ein Europäisches Gesetz, das auch in Deutschland unmittelbar gilt. Die DSGVO kann Unternehmen jeder Größenordnung, mithin auch mittelständische Unternehmen, unabhängig von ihrer Mitarbeiterzahl, verpflichten, bestimmte Datenschutzregelungen einzuhalten. Bei Nichtbeachtung drohen teils hohe Bußgelder.

Für wen gilt die DSGVO genau?
Ob Ihr Unternehmen von der DSGVO betroffen ist, bekommen Sie ganz einfach heraus. Wenn Sie personenbezogene Daten (pbD) automatisiert verarbeiten, können Sie bereits in den Anwendungsbereich der DSGVO fallen. Und das ist ganz schnell der Fall. Personenbezogene Daten können alle Daten von Kunden, Geschäftspartnern etc. sein. Sobald es Ihnen möglich ist, mit diesen Daten eine dahintersteckende natürliche Person ausfindig zu machen oder zu beschreiben, handelt es sich um personenbezogene Daten im Sinne der DSGVO. Kurz gesagt, fast jede Information, die irgendwie mit Menschen zu tun hat, kann hiervon erfasst sein. Vom Namen einer Person bis hin zu seiner Anschrift, seinem Geburtstag, seiner automatischen Standortbestimmung, seiner Online-Kennung auf Internetseiten oder seiner IP-Adresse. Wenn Ihr Unternehmen solche Daten verarbeitet, indem Sie die Daten mithilfe von Computerprogrammen speichern, auswerten, gegenüber Dritten offenlegen oder sonstwie verbreiten, ist es schon soweit. Sie müssen die Verpflichtungen der DSGVO beachten und Maßnahmen ergreifen.

Wozu verpflichtet die DSGVO denn?
Die DSGVO verpflichtet zu Vielem. Es ist insbesondere das Ziel der DSGVO, die Verarbeitung von pbD für die Personen, deren Daten verarbeitet werden (betroffene Personen), transparent zu machen. Ihnen soll die Möglichkeit gegeben werden, weitestgehend selbst über die Art und Weise der Verarbeitung ihrer Daten zu entscheiden.

Einige der Verpflichtungen der DSGVO, die insbesondere vom Mittelstand zu beachten sind, sind die Folgenden:

• Erlaubnis zur Verarbeitung von pbD: Sie müssen sich vergewissern, dass Sie für jeden Verarbeitungsschritt pbD, also etwa für die Erhebung, die Speicherung, die Verwendung für Ihre Geschäfts- und Werbezwecke und auch für die Weitergabe von pbD, eine Erlaubnis haben. Das muss nicht unbedingt eine ausdrücklich erklärte Einwilligung der betroffenen Person sein. Eine Erlaubnis kann schon dann vorliegen, wenn Sie die pbD zur Erfüllung Ihrer vertraglichen Verpflichtung mit Kunden oder Geschäftspartnern speichern, auswerten oder an Dritte übermitteln müssen.
  Beachten Sie: Verschiedene Verarbeitungsschritte können verschiedene Erlaubnisse erfordern. Es ist jeweils im Einzelfall zu prüfen, ob eine Erlaubnis vorliegt bzw. auf welche Weise die Erlaubnis eingeholt werden kann.
• Informationspflichten: Sie müssen die betroffenen Personen über die Art und Weise Ihrer Datenverarbeitungsmaßnahmen informieren und ggf. auf Anfragen dieser Personen reagieren können. Wenn Sie etwa über Ihre Internetseite Geschäfte machen, müssen Sie, wenn Kunden hierbei ihre Daten etwa in eine Eingabemaske eintragen, diese darüber informieren, was mit ihren Daten passiert. Dies können Sie etwa im Rahmen einer Datenschutzerklärung tun, die Sie auf Ihrer Internetseite einbauen. Wenn Sie beabsichtigen, Ihren Kunden Werbung zuzusenden, benötigen Sie ggf. hierüber hinaus deren ausdrückliche Einwilligung.  Aber mehr noch: Sie müssen jederzeit in der Lage sein, auf Anfragen derjenigen betroffenen Personen reagieren zu können, deren pbD Sie verarbeiten. Sie müssen diesen mitteilen können, ob und wenn ja, welche pbD Sie in welcher Weise verarbeiten.
  Beachten Sie: Machen Sie sich erst einmal klar, auf welche Art und Weise Sie pbD verarbeiten. Dann teilen Sie dies den betroffenen Personen, ggf. schon vor Erhebung deren pbD mit und holen Sie ggf. sogar deren ausdrückliches Einverständnis ein.
• Technischer Datenschutz: Die DSGVO verpflichtet Sie neben der Gewährleistung größtmöglicher Transparenz für die betroffenen Personen u.a. auch dazu, nur solche pbD zu verarbeiten, die Sie für Ihre jeweilige Geschäftsbeziehung auch wirklich benötigen. Dieser Verpflichtung kann (und muss) dadurch nachgekommen werden, dass bereits Ihre technischen Vorrichtungen, wie etwa eine Eingabemaske auf Ihrer Internetseite, nur solche Datenerhebungen ermöglicht, die Sie im Hinblick auf die konkrete Geschäftsbeziehung auch wirklich brauchen.
  Beachten Sie: Eine Erhebung von pbD „auf Vorrat“, weil Sie denken, diese Daten irgendwann einmal gebrauchen zu können, ist nicht erlaubt!
• Datenschutzbeauftragter: Wenn in Ihrem Unternehmen mindestens 10 Personen ständig, also überwiegend mit der automatisierten Verarbeitung pbD beschäftigt sind, sind Sie ggf. verpflichtet, einen Datenschutzbeauftragten zu bestellen.
  Beachten Sie: Datenschutzbeauftragter kann ein Mitarbeiter in Ihrem Unternehmen sein, muss es aber nicht. Sie können auch einen externen Datenschutzbeauftragten bestellen.

Welche Maßnahmen habe ich also zu ergreifen?
Neben den bereits geschilderten Maßnahmen, die Sie im Hinblick auf ein datenschutzrechtskonformes Arbeiten ergreifen sollten, gibt es viele weitere Punkte, die Sie beachten müssen.
Prüfen Sie für sich einmal selbst und fragen sich, ob, und wenn ja, wie umfangreich und für welche Zwecke Ihr Unternehmen pbD verarbeitet. Je größer und umfassender die Verarbeitungsschritte im Hinblick auf pbD sind, desto mehr müssen Sie tun.

Wer kontrolliert, ob ich die DSGVO einhalte?
Kontrollieren, ob Sie die Verpflichtungen aus der DSGVO einhalten, kann insbesondere die Aufsichtsbehörde. Jedes Bundesland hat (mindestens) eine. Die Aufsichtsbehörde kann Sie verpflichten, Auskunft über die von Ihnen ergriffenen Maßnahmen zu geben. Neben der Aufsichtsbehörde hat auch jede betroffene Person, deren pbD Sie verarbeiten, Ihnen gegenüber entsprechende Rechte, wie das bereits genannte Recht auf Auskunft über die Art und Weise der Verarbeitung ihrer pbD, das Recht auf Beschränkung der Verarbeitung ihrer pbD oder auch das Recht, unter gewissen Voraussetzungen die Löschung ihrer pbD zu verlangen. Dies ist also auch eine Art von Kontrolle.

Was passiert, wenn ich gegen die DSGVO verstoße?
Wenn Sie gegen die Verpflichtungen der DSGVO verstoßen, kann die für Sie zuständige Aufsichtsbehörde von Ihnen verlangen, dass Sie diese Verstöße abstellen und Maßnahmen ergreifen, um DSGVO-konform zu arbeiten. Bei schwerwiegenden Verstößen kann die Aufsichtsbehörde Ihnen auch Bußgelder auferlegen. Diese können bis in die Millionen gehen.
Neben der Aufsichtsbehörde hat eine betroffene Person, das Recht, Schadensersatz von Ihnen zu verlangen, wenn Sie gegen Verpflichtungen der DSGVO verstoßen und der betroffenen Person daraus ein Schaden entsteht.

Selbsttest
Um Sie bei der Prüfung, ob Sie auf dem richtigen Weg sind, zu unterstützen, hat das Bayrische Landesamt für Datenschutzaufsicht einen Online-Selbsteinschätzungs-Test vorbereitet, den Sie zur eigenen DSGVO-Standortbestimmung einmal durchführen können. Sie finden Ihn hier: https://www.lda.bayern.de/tool/start.html.

• Legen Sie sich ein Datenschutzmanagementsystem an. Prüfen Sie hierbei etwa, ob Sie ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO erstellen müssen/sollten, in das Sie alle für die Verarbeitung von pbD relevanten Schritte, die Sie in Ihrem Unternehmen durchführen, auflisten.
• Suchen Sie Kontakt zu der für Sie zuständigen Aufsichtsbehörde und fragen Sie diese, was sie Ihnen im Hinblick auf DSGVO-konformes Arbeiten in Ihrem Unternehmen empfiehlt. Wie Sie Kontakt zur NRW-Aufsichtsbehörde aufnehmen, finden Sie hier: https://www.ldi.nrw.de/.
• Dokumentieren Sie den aktuellen Stand in Ihrem Unternehmen darüber, auf welche Weise pbD verarbeitet werden. Hilfreich sind hierbei insbesondere die Fragebögen des Bayrischen Landesamt für Datenschutzaufsicht unter: https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf. Nur mit dem Bewusstsein des aktuellen Stands lassen sich weitere Maßnahmen bestimmen und eingrenzen.