Recht und Steuern

Fallbeispiel: Umsetzung der DSGVO im kleinen Unternehmen

Kurz vorab

Die Datenschutzgrundverordnung (DSGVO) gilt seit dem 25.05.2018. Was es mit der DSGVO auf sich hat, viele (Hintergrund)Informationen und Muster hierzu finden sich auf unserer Website zu dem Thema.
Nachfolgend soll an einem praktischen Beispiel des Muster-Unternehmens „Homedreams“, Inhaberin: Miranda Mustera, Geschäftszweig: Einzelhandel mit selbst genähten Wohnaccessoires, Angebot von Selbstnähkursen und Einrichtungsberatung; MitarbeiterInnen: 4 [ab 20 Beschäftigte: Bestellung eines betrieblichen Datenschutzbeauftragten] dargestellt werden, welche Anforderungen sich aus dem Datenschutzrecht ergeben. Grundsätzlich besteht hierbei kein Unterschied zwischen B2C udn B2B - in beiden Fällen werden personenbezogene Daten verarbeitet.

Rechtsgrundlage für die Datenverarbeitung

1. Vertrag

Wenn Frau Mustera ihren Kunden etwas verkaufen will oder eine Dienstleistung erbringen will, handelt es sich um die Anbahnung beziehungsweise Erfüllung eines Vertragsverhältnisses. Hierzu benötigt sie entsprechende Angaben ihrer Kunden (wie Name, Anschrift, Telefonnummer). Darüber hinausgehende Angaben wie E-Mail-Adresse, Geburtsdatum (für Glückwunschbriefe), Kaufinteressen, Teilnahme(interesse) an Kursen, Kontodaten und Fotos von TeilnehmernInnen) sind hingegen nicht erforderlich für die Erfüllung des Vertrags.
Für die Grunddaten zur Abwicklung des Vertrags benötigt Frau Mustera keine gesonderte Einwilligung ihrer Kunden, für darüber hinausgehende Daten und Zwecke aber schon. Falls der Vertrag erfüllt ist und es keine gesetzlichen Gründe für seine Aufbewahrung mehr gibt (zum Beispiel steuerliche oder handelsrechtliche Gründe), müssen die Daten gelöscht werden.

2. Einwilligung

In der Einwilligungserklärung muss sie auf die jederzeitige Widerrufbarkeit dieser Einwilligung hinweisen. Sie sollte hier nach obligatorischen und freiwilligen Daten trennen. Frau Mustera kann eine elektronische Einwilligung einholen, darf aber keine voreingestellte Einwilligung in Form eines Häkchens verwenden. Zudem muss sie ihre Kunden darüber informieren, zu welchem Zweck sie diese Daten verarbeiten will.
Sie muss prüfen, ob die bisherigen Einwilligungen, die sie eingeholt hat, den Anforderungen nach der DSGVO entsprechen. Falls nicht, wenn also insbesondere der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, müssen die Einwilligungen neu eingeholt werden. Sie muss die Einwilligungen dokumentieren.
Bei der Einholung der Einwilligung muss sie nicht nur die datenschutzrechtlichen Anforderungen erfüllen, sondern auch bei einer Einwilligung zur Werbung das Gesetz gegen unlauteren Wettbewerb (UWG) beachten.

Informationspflichten

Sie muss die folgenden Informationspflichten nach Art. 13 DSGVO gegenüber ihren Kunden und Lieferanten bzw. allen, deren personenbezogene Daten sie verarbeitet, erfüllen.
  • Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters (-> hier: Miranda Mustera, Adresse, Telefonnummer. ggf. E-Mailadresse zur Kontaktaufnahme),
  • Kontaktdaten des Datenschutzbeauftragten (->im Fall von Miranda Mustera nicht erforderlich),
  • Zwecke der Verarbeitung und Rechtsgrundlage (->hier: Anbahnung und Durchführung von Verträgen, Art. 6 I b DSGVO),
  • wenn die Verarbeitung auf Artikel 6 Abs. 1 f beruht DSGVO: berechtigtes Interesse des Verantwortlichen (-> z.B. zum Zwecke der Direktwerbung),
  • den Empfänger oder die Kategorien von Empfängern (-> z.B. Dienstleister, denen die Daten offengelegt werden, wobei eine Umschreibung in abstrakter Form ausreich)
  • Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
  • Dauer der Datenspeicherung (-> z.B. gesetzliche Aufbewahrungsfristen, Dauer der Garantie etc),
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
  • Recht auf Widerruf einer Einwilligung,
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde (-> in Rheinland-Pfalz ist die zuständige Aufsichtsbehörde der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Postfach 30 40, 55020 Mainz, Poststelle@datenschutz.rlp.de)
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte (-> hier: für den Vertragsabschluss erforderlich),
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (-> hier: nicht zutreffend).
  • Falls die Daten nicht bei der betroffenen Person erhoben wurden, muss die Quelle angegeben werden, aus der die Daten stammen.
Diese Informationspflichten müssen zum Zeitpunkt der Erhebung gegenüber dem Kunden erfüllt werden. Frau Mustera könnte die für alle Kunden gleich lautenden Informationen in ihrem Geschäfts auslegen, bei Vertragsanbahnung den Kunden geben oder z.B. auch auf ihrer Internetseite zur Verfügung stellen und darauf verweisen.

Internetauftritt

Für die Nutzer ihrer Internetseite muss Frau Mustera bekannt geben, ob und welche Cookies sie verwendet, ob sie die Nutzer der Seiten trackt und wie die Website generell Daten nutzt. Dieser Datenschutzhinweis sollte von jeder Unterseite aus sichtbar sein, ähnlich wie das Impressum. Nutzt sie hierfür einen Dienstleister, muss sie dazu eine Vereinbarung über die Auftragsverarbeitung schließen. Hat der Dienstleister seinen Sitz in einem Drittland, wie die USA, muss sie prüfen, ob die Weitergabe der Daten über EU-Standardvertragsklauseln abgesichert werden kann.
Falls Frau Mustera auf ihrer Website ein Kontaktformular anbietet, sollten auch die Informationen nach Art. 13 DSGVO auf der Website zu finden sein.

Dienstleister

Generell gilt: Wenn Frau Mustera die Kundendaten an andere Stellen zur Verarbeitung gibt, handelt es sich in der Regel um eine Auftragsverarbeitung, d.h. sie muss einen entsprechenden Auftragsverarbeitungsvertrag schließen. Im Folgenden werden einige Beispiele dargestellt.
  • Wo verarbeitet Frau Mustera die Daten? Auf ihrem eigenen Server oder bei einem Dritten? Bei letzterem muss sie eine schriftliche Vereinbarung über die Auftragsverarbeitung schließen, denn der IT-Dienstleister darf die Daten nur nach ihrer Weisung verarbeiten. Liegen die Daten auf ihrem eigenen Server, nutzt sie aber eine Cloud-Anwendung, muss sie klären, ob die Daten in Deutschland, in Europa oder in den USA gespeichert sind. Im letzteren Fall handelt es sich um einen Datentransfer in Drittländer, so dass sie hierfür eine besondere Grundlage benötigt, wenn die Daten in die USA übermittelt werden.
  • Frau Mustera hat einen Internetauftritt, der von einer Webdesignagentur gestaltet wird. Hat die Webdesignagentur Zugriff auf die personenbezogenen Daten, die ihre Interessenten/Kunden dort angeben? Falls ja, muss sie auch hier eine Vereinbarung über die Auftragsverarbeitung schließen. Zudem ist sie nach dem Telemediengesetz verpflichtet, ein Impressum mit folgenden Angaben zu haben: Name, Anschrift, Rechtsform, E-Mail-Adresse, Umsatzsteuer-Identnummer usw. [Bei mehr als 10 Beschäftigten muss Frau Mustera zusätzlich angeben, inwieweit sie bereit oder verpflichtet ist, an einem Verfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§§ 36, 37 Verbraucherstreitbeilegungsgesetz).] Bei Online-Verträgen muss sie ihrer Informationspflicht nach Artikel 14 der ODR-Verordnung nachkommen.
  • Frau Mustera lässt ihre Buchführung, insbesondere auch die Gehaltsabrechnung ihrer Mitarbeiter, über einen Steuerberater abwickeln. Hierfür muss sie einen entsprechenden Dienstvertrag schließen.
  • Miranda Mustera schaltet ein Inkassounternehmen ein, um säumige Kunden zur Zahlung auffordern zu lassen. Hierfür benötigt sie ebenfalls einen Dienstvertrag. Sie muss ihre Kunden zudem darauf aufmerksam machen, dass sie im Falle ausstehender Zahlungen ein Inkassounternehmen mit der Wahrnehmung ihrer Interessen beauftragt.
  • Frau Mustera nutzt einen elektronischen Bezahldienst, mit dem sie auch einen Dienstvertrag schließen muss.

Lieferanten

Miranda Mustera hat Lieferanten, von denen sie ebenfalls Daten, wie Name, Anschrift, Telefonnummer, Produktangebot, Ansprechpartner, URL der Homepage und E-Mail-Adressen gespeichert hat. Diese Angaben fallen entweder unter das Vertragsverhältnis (s.o. unter Rechtsgrundlage) oder sie benötigt für bestimmte Angaben ebenfalls die Einwilligung der Person zur Speicherung ihrer Daten unter Angabe des Zweckes der Speicherung. Auch hinsichtlich der Lieferanten muss Frau Mustera die Informationspflichten erfüllen (s.o., Informationspflichten).

Mitarbeiter

Frau Mustera sollte ihre Mitarbeiter zur Vertraulichkeit verpflichten und regelmäßig über datenschutzrechtliche Themen schulen bzw. informieren.

Dokumentationspflichten

Miranda Mustera muss ihre Verfahren in einem sogenannten Verzeichnis für die Verarbeitungstätigkeiten mit folgenden Angaben dokumentieren:
  • Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggfs. des gemeinsam Verantwortlichen sowie, falls vorhanden, des Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Kategorie der betroffenen Personen und personenbezogenen Daten
  • Kategorie von Empfängern der Daten
  • Übermittlung in Drittstaaten
  • Löschfristen
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung
Sie sollte festlegen, wie sie mit einem Auskunftsersuchen umgeht, wenn jemand erfahren möchte, welche Daten sie über ihn gespeichert hat. Sie sollte zusätzlich einen Prozess aufsetzen falls es zu Datenverstößen kommt und sie dies der Aufsicht binnen 72 Stunden melden muss. Die betroffene Person muss unverzüglich über den Datenverstoß informiert werden.
Frau Mustera muss ein Löschkonzept vorhalten (geregelt für: 6 Jahre Geschäftsbriefe, 10 Jahre steuerrelevante Unterlagen, 6 Monate Bewerbungsunterlagen). Alle anderen Daten und Dokumente mit personenbezogenen Daten müssen gelöscht beziehungsweise vernichtet werden, wenn sie nicht mehr benötigt werden (Datensätze löschen, Datenträger zerstören, Papierunterlagen mit personenbezogenen Daten schreddern).

Technisch-organisatorische Maßnahmen

Die technisch-organisatorischen Maßnahmen betreffen die Frage, wie sicher die Informationssicherheit ist (IT, Sicherheit im Büro/Geschäft); auch dies muss dokumentiert werden. Miranda Mustera schaut hier sowohl auf ihre eigene Umgebung, als auch auf die ihrer Dienstleister. Auch mit ihrem Steuerberater sollte sie klären, wie die sensiblen Daten ihrer Mitarbeiter (Gesundheitsdaten, Religionszugehörigkeit) gut geschützt sind.
Generell müssen hierzu bestimmte Maßnahmen ergriffen werden (Risikobewertung/Datenschutz-Folgenabschätzung). Nachstehende Punkte geben einen groben Anhaltspunkt für solche Maßnahmen:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle:
  • Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
  • Zugangskontrolle
  • Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Zugriffskontrolle:
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungs-systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Trennungskontrolle:
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle:
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Eingabekontrolle/Verarbeitungskontrolle:
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme ein-gegeben, verändert oder entfernt worden sind.
Dokumentationskontrolle:
Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.
Auftragskontrolle:
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Verfügbarkeitskontrolle:
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

3. Belastbarkeit (Widerstandsfähigkeit/ Resilienz von Systemen/ Diensten)

Maßnahmen die gewährleisten, dass technische Systeme, bei Störungen bzw. Teil-Ausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden. Daten müssen so gesichert werden, dass sie sie bei einem eventuellen Verlust wiederhergestellt werden können.