Stichtag 25.8.18: Neue Datenschutzverordnung birgt hohe Risiken für Selbstständige

Ab dem 25. Mai ändert sich in punkto Datenschutz eine ganze Menge. EU-Bürger profitieren, denn sie haben nun das Recht, zu wissen, was mit ihren persönlichen Daten passiert. In die Rubrik der personenbezogenen Daten fallen neben Name, Kontaktdaten und dem Bild auch Daten, die vor allem technischer Natur sind: Cookie-ID, IP-Adresse, Nutzerdaten. Sie müssen als Selbstständiger nun überprüfen, ob Sie auf Ihrer Homepage oder auf einem anderen Kanal, der der Datenverarbeitung dient, auch nachbessern müssen.
 

Zum Hintergrund

Lange Zeit hat es gedauert bis das Europäische Parlament all die Änderungswünsche durchgearbeitet hatte, die mit Blick auf die Datenschutzverordnung, kurz: DSGVO, vorlagen. Nun steht die komplett novellierte Fassung, die auch den Datenschutz grundlegend revolutioniert. Das Ziel der DSGVO war es, ein einheitliches Datenschutzniveau zu erreichen – auf einem EU-weiten, hohen Level. Was im juristischen Fachjargon noch vergleichsweise abstrakt klingt, müssen Sie künftig umsetzen. Gültig für Sie ist die DSGVO-Version, die in Ihrem Zielland gilt – und nicht wie seither in dem Land, in dem Ihr Unternehmen ansässig ist.
 

Die Grundzüge der Verordnung

Dies sind die wichtigen Änderungen der DSGVO: Das „Verbot mit Erlaubnisvorbehalt“ besagt, dass Sie überhaupt nicht mit den persönlichen Daten Ihrer Kunden arbeiten dürfen, solange Ihnen nicht die ausdrückliche Erlaubnis dafür vorliegt. Auch die Grundsätze, die zum Thema Datentransparenz und Datensparsamkeit bereits Teil der DSGVO waren, tauchen in der neuen Variante in verschärfter Form auf. Ebenfalls Teil der DSGVO: die „Zweckbindung“. Das bedeutet, dass personenbezogene Daten nur zu erheben sind, um einen ausgewiesenen und festgelegten Zweck zu erfüllen. Weiterhin gilt das sogenannte „Kopplungsverbot“, das besagt: Nur weil ein Kunde Ihnen Daten gibt, um ein Produkt oder eine Dienstleistung zu kaufen, bedeutet das nicht, dass Sie diese Daten automatisch weiterleiten dürfen.

Als Mindestalter, um eine Einwilligung zu geben, steht das Alter von 13 Jahren geschrieben. Lediglich anzugeben, dass der User 13 Jahre oder älter ist, wird künftig nicht mehr ausreichen. Prüfpflichten einzuführen, ist ebenfalls angedacht. Der Artikel 12 der DSGVO regelt, dass Sie die Pflicht haben, Ihren Nutzern mitzuteilen, welche Daten Sie sammeln, wie lange Sie diese behalten, wofür Sie sie nutzen und ob Sie sie weitergeben (Auskunftspflicht). Eine reine „Rechenschaftspflicht“ seitens der User ist dabei nicht die einzige Neuerung. Vielmehr müssen Sie Ihre User und Kunden fragen, ob der Weg ihrer Daten für sie in Ordnung ist. Flattert Ihnen eine Aufforderung ins Haus, von Ihnen erhobene Daten zu löschen, müssen Sie dies tun. Zudem müssen Sie all jene informieren, denen Sie die Daten gegeben haben. Auch sie müssen die Daten löschen.
 

Persönliche Daten erhoben? Dann müssen Sie weitere Schritte gehen

Wenn Sie auf Ihrer Homepage oder auf einem anderen Kanal, auf dem Sie mit Ihren Kunden interagieren, persönliche Daten erheben, müssen Sie sich künftig diese Fragen stellen:

• Was tue ich, als Selbstständiger, mit diesen personenbezogenen Daten?
• Welcher Mitarbeiter bzw. welcher Partnerbetrieb greift noch auf diese Daten zu?
• Welche Form der Speicherung erfolgt und wie sicher ist diese?

Kontaktformulare auf der eigenen Homepage, Rückruf-Bitten, Gewinnspiele und dergleichen mehr, sollten dringend mit Blick auf die oben genannten Fragen hin überprüft werden. Anschließend gilt es die Intention aus der Datenschutzverordnung umzusetzen. Diese zielt nämlich auf den Schutz der Daten einerseits ab und auf einen transparenten Weg der Daten.
 

Für Sie als Selbstständigen heißt das:

• Benutzen Sie nur die Daten, die Sie auch wirklich brauchen.
• Erklären Sie Ihren Kunden, was mit den Daten passiert und fragen Sie um Erlaubnis.
• Halten Sie Datensätze anonymisiert vor.
• Behalten Sie die Daten nur solange, wie Sie sie brauchen können.
• Informieren Sie darüber, was mit den Daten passiert, die Sie „einsammeln“.
• Suchen Sie Partnerunternehmen bewusst und mit Blick auf die Einhaltung der DSGVO aus.
   

Ziehen Sie einen Datenschutzexperten zur Rate.

Diese wichtigen Schritte umfassen alle Kanäle, über die Sie mit Ihren Kunden kommunizieren und auf denen Sie Daten gewinnen. Das beginnt bei der Datenschutzerklärung auf Ihrer Homepage, erstreckt sich über die Einwilligung von Nutzern zum Opt-in- und Opt-out-Verfahren und endet beim Auftragsformular, auf dem Kundendaten dokumentiert werden, noch lange nicht.
 

Risiken bei Nichtbeachtung

Es sind vor allem finanzielle Konsequenzen, die Unternehmen drohen. Wer Sanktionen in Höhe von 300.000 Euro beim Verstoß gegen das Bundesdatenschutzgesetz belächelt, muss beim Verstoß gegen das DSGVO mit deutlich höheren Strafen rechnen: 20 Millionen Euro oder vier Prozent des Jahresumsatzes könnten als Strafen erhoben werden.
 

Recherchetipp:

• Ursula Martens hat unter https://www.wortkind.de/blog/neue-eu-datenschutzregeln-2018-tipps-kleine-unternehmen die wichtigsten Änderungen der Datenschutzverordnung für kleine Unternehmen aufbereitet.
• Unter https://www.heise.de/ct/ausgabe/2016-9-Welche-Aenderungen-die-neue-EU-Datenschutz-Regulierung-in-Deutschland-bringen-wird-3166896.html gibt es wichtige Tipps, wie Ihr Unternehmen sich auf die neue Verordnung einstellen kann.