2016 trat eine neue Datenschutz-Grundverordnung (DSGVO) in Kraft, die allerdings erst jetzt am 25. Mai 2018 „scharf“ geschaltet wird. Dann drohen heftige Bußgelder bis zu vier Prozent des Jahresumsatzes.
Facebook hätte beispielsweise für den jüngsten Daten-Skandal mit einem Bußgeld im Milliardenbereich rechnen müssen, falls das Gesetz damals schon gegolten hätte.
So schlimm wird es für kleine Unternehmer natürlich nicht werden, aber wenn etwas schiefgeht mit Daten Ihrer Mitarbeiter oder Kunden, kann es auch für Sie teuer werden. Vier Prozent Bußgeld von einer Million Umsatz tun auch sehr weh. Wir raten Ihnen daher, diese Verordnung ernst zu nehmen und nicht blind darauf zu vertrauen, dass mit den Daten Ihrer Kunden und Mitarbeiter schon nichts schiefgehen wird. Der Inhalt der Verordnung ist so umfangreich, dass wir hier nur ein paar Grundsätze anreißen können.
Wer ist betroffen? Jedes Unternehmen. Denn wer Dienstleistungen oder Waren in Deutschland oder in der EU anbietet, unterliegt bereits dieser neuen Verordnung. Sie gelten dann als „Verarbeiter“. Wer in fremden Namen Dienstleistungen oder Waren anbietet, ist „Auftragsverarbeiter“.
Sie müssen ein Verzeichnis von Verarbeitungstätigkeiten anfertigen: Eine Verarbeitungstätigkeit ist zum Beispiel die Erfassung von Kunden in einer Datenbank (Excel, Access, CRM-Programm o. ä.). Auch eine bloße Liste aller Mitarbeiter mit persönlichen Merkmalen (Kinder, Konfession) gilt bereits als eine „Verarbeitungstätigkeit.“
Freistellung von dieser Pflicht? Wer weniger als 250 Mitarbeiter beschäftigt, ist theoretisch freigestellt. Achtung! Das nützt einem normalen Unternehmen nichts! Denn die Freistellung gilt nicht, wenn die Verarbeitung regelmäßig erfolgt oder irgendwelche Datenkategorien wie zum Beispiel Geschlecht, Religion, Krankheiten usw. erfasst werden. Und das trifft sicher auf 99 Prozent aller Unternehmen zu. Dann ist das Verzeichnis eben doch zu erstellen.
Gegenbeispiel: X betreibt einen Kiosk ohne Mitarbeiter. Er hat keinerlei Kunden- oder Lieferantendaten gespeichert. Er braucht kein „Verzeichnis von Verarbeitungstätigkeiten“ anzufertigen.
Grundsatz des Verbots mit Erlaubnisvorbehalt: Grundsätzlich darf man keine Daten sammeln, außer der Betroffene stimmt zu. Beispiel: Herr Meyer will ein Immobilienbüro eröffnen. Er spaziert durch die Straßen und erstellt so nach und nach eine Datenbank mit Namen, Adressen und geschätzten Grundstücksgrößen. So etwas ist verboten.
Rechenschaftspflicht: Hier kann Sie jemand wirklich ärgern. Sie müssen innerhalb angemessener Zeit sagen können, welche Daten Sie über jemanden gespeichert haben. Wenn Sie diese Auskunft nicht, nicht zügig, oder falsch erteilen, droht Ihnen ein Bußgeld. Beispiel: X hat sich 2008 für eine Wohnung interessiert und Bonitätsunterlagen bei einem Immobilienmakler abgegeben. Er will wissen, ob seine Daten noch gespeichert sind. Dieses antwortet am selben Tag: „Da ist nichts mehr von Ihnen gespeichert.“. Da die Freundin des Herrn X in diesem Büro gearbeitet hat, verrät sie ihm, dass das Immobilienbüro Bonitätsauskünfte in Wahrheit unbegrenzt speichert. Hier droht ein hohes Bußgeld.
Sie benötigen mehr Informationen? Das bayerische Landesamt für Datenschutz stellt auf seiner Homepage zahlreiche wertvolle Checklisten und Dokumente kostenlos zur Verfügung: www.lda.bayern.de.
Praxishilfe: Empfehlenswert ist auch die sehr praxisnahe Broschüre „erste Hilfe zur Datenschutzgrundverordnung – das Sofortmaßnahmenpaket“ für 5,50 Euro aus dem Verlag C. H. Beck. Wenn Sie diese Broschüre abarbeiten, sind Sie auf der sicheren Seite.
Herzliche Grüße
Dipl. -Kfm. Alfred Gesierich
Steuerberater für Gilching
