Datenschutz: Wie sichern sich kleine Unternehmen ab?

  • in der Kategorie Datenschutz
  • veröffentlicht.
gdpr elemente

Ende Juni 2019 hat der deutsche Bundestag ein für den Datenschutz in kleinen Unternehmen bedeutsames Gesetz verabschiedet: Er hat die Grenze der im Unternehmen beschäftigten Mitarbeiter auf 20 (vorher: 10) angehoben, aber welcher die Stellung eines Datenschutzbeauftragten verpflichtend ist. Die Kleinunternehmen sollten damit entlastet werden. Die Intention wird allseits gelobt, doch Experten warnen: Die Haftung für die Kleinbetriebe bleibt bestehen, zumal die schon seit Mai 2018 geltende DSGVO den Datenschutz auch für Einzelunternehmer und Kleinunternehmen sehr streng regelt.

Worum geht es konkret im Bundesdatenschutzgesetz?

Laut deutschen Bundesdatenschutzgesetz muss ein Datenschutzbeauftragter gestellt werden, wenn eine bestimmte Zahl von Mitarbeitern ständig mit der Verarbeitung personenbezogener Daten beschäftigt ist (§ 38 BDSG). Vor Juni 2019 lag die Grenze bei 10 Mitarbeitern, nun sind es 20. Die Entlastung befreit aber die betroffenen Betriebe mit bis zu 20 mit der Datenverarbeitung befassten Mitarbeitern nicht vom Haftungsrisiko. Im schlimmsten Fall unterliegen diese Firmen dem Trugschluss, vom Haftungsrisiko freigestellt worden zu sein, was eindeutig nicht stimmt. Der Datenschutzbeauftragte entlastet die Unternehmensleitung generell nicht von ihrer Haftung in Datenschutzfragen: Er wird nur gesetzlich ab einer bestimmten Betriebsgröße vorgeschrieben, damit sich das Risiko für gängige Datenschutzpannen minimieren lässt. Die Gesetze zum Datenschutz haben sich nicht geändert, die DSGVO und das BDSG sind da eindeutig. Die Stellung eines Datenschutzbeauftragten muss auch nicht teuer sein, denn es gibt Firmen, die als externe Dienstleister einen solchen Experten regelmäßig ins Unternehmen schicken. Diese Lösung wenden viele kleinere Unternehmen vor allem im Bereich E-Commerce an. Sie ist nötig, weil hier naturgemäß sehr viele personenbezogene Daten anfallen – inklusive Versandadresse und Zahlungsinformationen. Der Schutz personenbezogener Daten steht daher auf der Prioritätenliste ganz weit oben. Der externe Datenschutzbeauftragte wird auch nach der oben genannten deutschen Gesetzesänderung nach wie vor selbst für Kleinstbetriebe empfohlen. Die vergleichsweise überschaubaren Kosten für diese Dienstleistung sollten selbst Einzelunternehmer, die einen Onlineshop betreiben, durchaus tragen. Wenn es nämlich zu einer Datenschutzverletzung kommt, sind die Strafzahlungen sehr hoch. Die Haftungsrisiken sind per se existenzbedrohend.

Expertenmeinung zur Stellung eines Datenschutzbeauftragten

Für den Bundesdatenschutz ist Ulrich Kelber zuständig. Der Experte positioniert sich zum Thema eindeutig: Wenn die Kleinunternehmer die fachliche Kompetenz ohnehin nicht mitbringen, sollten sie lieber externes Wissen einkaufen, anstatt sich wegen möglicher Datenschutzverstöße dem Risiko einer Bußgeldforderung durch die Aufsichtsbehörde auszusetzen, so Kelber. Im Klartext: Externe Datenschutzbeauftragte bleiben auch für Firmen bis 20 Mitarbeiter wichtig. Es gibt natürlich Unternehmen mit sehr geringen diesbezügliche Risiken. Das sind Kleinbetriebe, die nur sehr wenige personenbezogene Daten verarbeiten. Zu nennen wären etwa Handwerker, die kaum Kundendaten erfassen und diese schon gar nicht online (zum Beispiel in einer Cloud) verwalten. Dennoch müssen auch diese Firmen natürlich die einschlägigen Datenschutzgesetze beachten. Möglicherweise sollten sie wenigstens in größeren Abständen ihre Datenbestände von einem externen Experten überprüfen lassen – zum Beispiel im Abstand von ein bis zwei Jahren. Zu differenzieren ist hier auch nach Branchen. So empfiehlt man Apothekern und Dienstleistern im Gesundheitsbereich eine enge Kontrolle der erfassten personenbezogenen Daten. Die Haftungsrisiken in diesen Berufen sind hoch. Einzelunternehmer haften meistens mit ihrem Privatvermögen. Ihnen empfahl man schon immer, die einschlägigen Datenschutzverordnungen genauestens zu beachten.

Welche Bedeutung hat die DSGVO für Freiberufler und kleine Unternehmen?

Gerade Freiberufler und kleine Unternehmen berichten von Schwierigkeiten mit den Vorschriften der DSGVO. Es herrschen Unsicherheiten und Ängste vor hohen Strafen oder Abmahnungen. Die Kleinunternehmer haben weder einen internen Datenschutzbeauftragten noch eine eigene Rechtsabteilung. Die DSGVO-Vorschriften durchdringen sie nur ungenügend. Von den drohenden Strafen nach der DSGVO haben sie allerdings schon gehört: Die Bußgelder können vier Prozent des weltweiten Jahresumsatzes bzw. 20 Millionen Euro erreichen. Eine weitere Befürchtung besteht hinsichtlich möglicher Abmahnwellen durch größere Wettbewerber, die ihre Juristen das Netz auf Datenschutzfehler durchforsten lassen. Daher hier eine Checkliste zu den Pflichtenkreisen der DSGVO, die kleine Unternehmen beachten müssen:

  • Datenschutzbeauftragter: Abgesehen von der Betriebsgröße (siehe oben) muss ein Datenschutzbeauftragter gestellt werden (auch extern), wenn die Datenverarbeitung einer Datenschutzfolgenabschätzung unterliegen (Artikel 35 DSGVO) und/oder die personenbezogenen Daten der Marktforschung dienen.
  • Das Impressum von Webseiten muss DSGVO-konform sein.
  • Personenbezogene Daten sind auch die Mailadressen von Interessenten, die einen Newsletter erhalten.
  • Jede Person, die vom Unternehmen erfasst wurde, hat das Recht auf Vergessen, also auf Löschung ihrer Daten. Das betrifft auch Bewerber.
  • DSGVO-konforme Cookies sind diejenigen, die auch eine Verweigerung im Hinweis zulassen.
  • Jedes Unternehmen muss auf technische Datensicherheit achten. Für Datenlecks durch einen Hackerangriff haftet das Unternehmen.
  • Personen, deren Daten erfasst wurden, haben das Recht auf Auskunft hierzu – auch nach Löschung. Sie sind über die Löschung auf Anfrage zu informieren.

DSGVO-konforme Webseite

Das Impressum einer Webseite muss den Inhaber samt Anschrift und Kontaktmöglichkeiten sowie die USt-ID nennen. Des Weiteren muss auf mögliches Tracking hingewiesen werden. Dieser Hinweis ergibt sich schon mit dem vorgeschriebenen Verweis auf Cookies. Dieser ist nur dann DSGVO-konform, wenn er die einzelnen Cookies erwähnt und Ausschlussmöglichkeiten anbietet:

  • #1: unbedingt erforderliche Cookies, damit ein Surfen auf der Seite möglich ist
  • #2: funktionale Cookies, welche Einstellungen wie das Land oder die Sprache des Nutzers speichern
  • #3: Statistik-Cookies, die dem Inhaber der Seite Informationen über das Surfverhalten liefern (wo erfolgt der Kaufabbruch?)
  • #4: Werbe-Cookies, die das gezielte Einspielen von Werbung auf die IP-Adresse des Nutzers ermöglichen

Wenn ein Nutzer nun die Cookies #1 und #2 ausschließt, wird das Surfen auf der Webseite vielleicht unkomfortabel, indem beispielsweise die Sprache immer wieder neu eingestellt werden muss. Wenn er die Cookies #3 ausschließt, merkt er es gar nicht, doch der Webseitenbetreiber erhält keine vernünftige Statistik. Der Ausschluss der Cookies #4 befreit den Nutzer von künftigen Werbeeinblendungen dieses Webseitenbetreibers. Wirklich DSGVO-konforme Webseiten bieten differenzierte Ausschlussmöglichkeiten an. Mit Stand Januar 2020 ermöglichen nur wenige Webseiten die Differenzierung der Cookie-Einstellungen, weshalb hier demnächst eine Abmahnwelle zu erwarten ist, falls findige Juristen diese Lücke entdecken.

26. Mai 2025KI

ChatGPT Erinnerungen sinnvoll nutzen: Strategien, Tipps & FAQ

Die ChatGPT Erinnerungen ermöglichen es, mit dem Chatbot nicht nur einzelne zusammenhanglose Konversationen zu führen, sondern langfristig auf gemeinsam aufgebautes

22. Mai 2025Marketing

Vergleichende Werbung: Zwischen Cleverness und unlauterem Wettbewerb

Vergleichende Werbung – clever, provokant und manchmal ein bisschen riskant. Wer Produkte oder Dienstleistungen vermarktet, kennt den Reiz: den direkten

Weiterlesen
19. Mai 2025Webshop

Warum Buy Now Pay Later (BNPL) in der Schweiz so wenig verbreitet ist

Wer aus Deutschland in die Schweiz zieht, erlebt schnell, wie unterschiedlich sich der Alltag anfühlen kann – vor allem beim

Weiterlesen
14. Mai 2025Unternehmenskultur

Von Quiet Quitters und Unternehmenskultur als Schlüssel zur Mitarbeiterbindung

Still, aber deutlich: Quiet Quitters senden ein Warnsignal. Nicht durch Kündigungen, sondern durch innere Distanz. In vielen Unternehmen ist diese

Weiterlesen
Zum Inhalt springen