Die Frist für die Umsetzung der neuen Datenschutzgrundverordnung der EU (DSGVO) rückt immer näher (25. Mai 2018!). Die Informationen darüber, ob die DSGVO auch für Freelancer und sehr kleine Unternehmen gilt, waren teilweise verwirrend, aber die Antwort auf die Frage, ob die DSGVO kleine Unternehmen betrifft, ist zunächst ganz einfach: Ja.
Je nach Größe eines Unternehmens gibt es einige leicht abweichende Bestimmungen. Die allgemeinen Anforderungen der DSGVO gelten jedoch gleichermaßen für kleine Unternehmen, ganz gleich, wie klein sie sind. Das Hauptthema ist die Erhebung und Verarbeitung personenbezogener Daten, die heute von Unternehmen jeder Größe problemlos durchgeführt werden kann.
Ist die DSGVO für kleine Unternehmen anders?
Die kurze Antwort ist nein - sie gilt für jedes Unternehmen in der EU. Selbst Unternehmen, die nicht in der EU ansässig sind, aber personenbezogene Daten von EU-Bürgern oder -Quellen erheben oder verarbeiten, müssen die vollständige Einhaltung der Vorschriften gewährleisten - oder mit hohen Geldstrafen rechnen.
Unternehmen, die gegen die DSGVO verstoßen, können eine Geldbuße von bis zu 20 Mio. EUR oder 4% des Jahresumsatzes erhalten. Die Kosten für die Verletzung der Regelungen zum Datenschutz sind also enorm, und die Einhaltung der Frist somit umso wichtiger.
Kleine Unternehmen sind von diesen Anforderungen nicht ausgenommen. Unternehmen mit weniger als 250 Mitarbeitern müssen jedoch Aufzeichnungen über alle Daten führen, die sie verarbeiten, wenn eine missbräuchliche Nutzung einen Verstoß gegen die Persönlichkeitsrechte darstellt, oder sie strafrechtlich relevant sind.
Was sind personenbezogene Daten?
Die DSGVO dreht sich um personenbezogene Daten, aber was genau sind personenbezogene Daten? Dies soll ebenfalls im Rahmen der DSGVO standardisiert werden, um sicherzustellen, dass die Informationen, die unter diese Kategorie fallen, in der gesamten EU identisch sind. Bisher unterscheiden sie sich von Land zu Land.
Es ist wichtig zu beachten, dass der Begriff "personenbezogene Daten" im Rahmen der Datenschutz-Grundverordnung einen viel größeren Datenumfang umfasst als viele bisherige Definitionen. Laut der neuen Verordnung gehört zu den personenbezogenen Daten:
- Name
- Adresse
- Ort
- Einkommensdetails
- Gesundheitsinformationen
- Online-Kennungen
- Kultureller Hintergrund
- und viele mehr
Wenn du derartige Daten in deinem Unternehmen erhältst, gelten diese als personenbezogene Daten und dein Unternehmen muss daher die DSGVO vollständig einhalten.
Was kleine Unternehmen tun sollten, um sich vorzubereiten
Das britische Amt für Information Commission (ICO) hat einen nützlichen Leitfaden in 12 Schritten veröffentlicht, mit dem du dein Unternehmen auf die Einhaltung der DSGVO vorbereiten kannst. Wir haben hier die wesentlichen Punkte für dich zusammengefasst.
Prüfe deine Daten führe eine gründliche Analyse durch, welche Art von Daten dein Unternehmen sammelt und wie diese Daten verarbeitet werden.
Einverständniserklärung: Wenn Teile der von Ihnen erfassten Daten als personenbezogene Daten gelten(wie bereits erwähnt, ist die DSGVO-Definition von personenbezogenen Daten weit gefasst), musst du eine Einwilligung einholenfür die Erhebung dieser Daten einholen. Das gleiche gilt für das Senden von Marketingmaterial.
Verbesserung der Sicherheit: Ein Teil der DSGVO beinhaltet verstärkte Sicherheitsmaßnahmen, um Verletzungen von persönlichen Daten durch dein Unternehmen zu verhindern. Dies kann zum Beispiel Verschlüsselung sein.
Zugriff gewähren: Sie müssen jeder Person erlauben, ihre Daten, die sich in deinem Unternehmen befinden, zu exportieren oder anzufordern. Nutzer können auch die vollständige Löschung ihrer Daten unter dem "Recht auf Vergessenwerden" beantragen.
Überprüfen deine Partner: Überprüfe, ob andere Unternehmen oder Dienstleister, mit denen du arbeiten oder Daten austauschst, die DSGVO einhalten, um unnötige Komplikationen zu vermeiden.
Sei transparent: Im Rahmen der DSGVO musst du offen kommunizieren, warum die personenbezogenen Daten von Einzelpersonen erhoben werden und wofür sie verwendet werden. Dies erfordert häufig, dass die Nutzenden deinen Allgemeinen Geschäftsbedingungen und Datenverarbeitungsvereinbarungen zustimmen.
Schule deine Mitarbeiter: Falls du Mitarbeiter hast, führe einen Workshop durch, um sicherzustellen, dass alle auf dem neuesten Stand sind, was die DSGVO für das Unternehmen bedeutet und wie mit Daten verfahren werden sollte.
Datenschutzbeauftragter: Prüfe, ob du einen Datenschutzbeauftragten brauchst. Ob du zu dazu für dein Unternehmen verpflichtet bist, hängt von der Unternehmensgröße, dem Detailgrad und Sensibilität der Daten und deinem Geschäftsfeld ab.
Debitoor und die DSGVO
Die Sicherheit der Daten unserer Nutzer ist bei Debitoor von größter Bedeutung. Daher haben die Datenverarbeitungsprozesse deines Rechnungsprogramms in den letzten Monaten umfassend analysiert und, wo nötig, angepasst
In einem dreistufigen Prozess haben wir die notwendigen Schritte zur Erfüllung der DSGVO vorgenommen, und zum Beispiel erweiterte Datenexportoptionen und eine Datenverarbeitungsvereinbarung implementiert. Mehr über die DSGVO x Debitoor, und darüber, wie wir Daten erheben und verarbeiten, erfährst du auf unseren Seiten zum Thema Datenschutz in deinem Rechnungsprogramm.