EU-DSGVO – Der große Irrsinn für die ganz kleinen

EU-DSGVO
Was bedeutet der große Irrsinn für ganz kleinen?

Einführung

Hinweis: Dieser Artikel ist lediglich eine Zusammenfassung, gesammelter Informationen über die ab 25.05.2018 in Kraft getretene EU-DSGVO. Eine Aktualität und Rechtmäßigkeit der recherchierten Gesetzgebung bezüglich der EU-DSGVO kann und wird nicht gewährleistet werden. Es handelt sich lediglich um eine Zusammenfassung der wichtigsten Informationen, sowie einigen Regelungen, die für kleine Unternehmen und z.T. auch mittelständische Unternehmen, einfach keinen Sinn ergeben.

Zu aller erst bedeutet die seit 25.05.2018 in Kraft getretene EU-DSGVO vor allem für ganz kleine Unternehmen, sowie Selbstständige , Vereine und viele mehr, erstmal eine große Verzweiflung.

Generell sind die neuen Regelungen eigentlich gar nicht so neu und wurden größtenteils schon durch die alte DSGVO abgedeckt. Doch bis vor kurzem wurde über das Thema Datenschutz kaum gesprochen. Die neuen hohen maximal Strafen, schrecken jedoch viele kleine Unternehmer und auch private Webseitenbetreiber ab, ihre Dienste und Inhalte weiter Online bereitzustellen.

Viele schalten Ihre Internetpräsenz sogar ganz ab.

Das eigentliche Problem der ganzen Geschichte…

Wie schon erwähnt, sind viele Regelungen der neuen EU-DSGVO für uns nicht wirklich neu. Da es jedoch keine staatliche Funktion gibt, die Unternehmen bei rechtlichen Regelungen verständlich informiert und der Datenschutz bislang kein großes Thema in der Öffentlichkeit war, wird vielen Unternehmen erst jetzt bewusst, welche Regelungen bestehen.

Auch wenn die neue EU-DSGVO schon lange beschlossen ist, werden die Folgen erst kurz vor Ablauf der Frist zur Einhaltung, in den Medien zum Ersten mal ausgiebig diskutiert. Denn auch die ganz großen Unternehmen hatten und haben Probleme, alle Punkte der Verordnung einzuhalten und konnten in breiter Masse auch erst kurz vor Ablauf der Frist ihre Lösungen bereitstellen.

– Wo die ganz großen Unternehmen sich freuen, endlich ihre Gewinne durch überteuerte Datenschutz-Beauftrage schmälern zu können, leiden vor allem die ganz kleinen unter der befürchteten Last, die einem durch die neue Verordnung auferlegt wird.
Zitternd vor Angst eine Millionen schwere Strafe auferlegt zu bekommen. –

Was sollten kleine Unternehmen beachten?

Das wichtigste, dass es in allen Unternehmen zu beachten gilt, ist, dass man sich Gedanken darüber machen sollte, wo im Unternehmen überall Daten gespeichert werden und ob man darüber auch die volle Kontrolle hat. Der Schutz dieser Daten sollte an erster Stelle stehen. Kundenbindung bedeutet eben auch, dass der Kunde sich darauf verlassen kann, dass seine Daten vertraulich behandelt und ausreichend geschützt werden.

Der nächste Punkt auf der Liste sollte sein, zu überprüfen, welche Daten der Kunden überhaupt benötigt werden. Häufig sind der Name des Kunden, sowie seine Postleitzahl und ggf. eine Telefonnummer für Rücksprachen, vollkommen ausreichend, um die Bearbeitung eines Auftrages zu gewährleisten. Schließlich muss der Auftrag ja irgendwie dem richtigen Kunden zugeordnet werden und nicht immer, kann schon während Auftragserteilung ein fester Zeitpunkt zur Fertigstellung festgelegt werden.

Nachdem Sie sich nun einmal ein paar Gedanken gemacht haben, sollten Sie wissen, dass sich die neue Verordnung in erster Linie an die ganz großen Unternehmen richten sollte, die mit den ganz kleinen gar nichts gemeinsam haben. Denn diese großen Unternehmen sammeln vor allem über ihre Webseiten und Plattformen tausende Daten über ihre Nutzer und teilen diese gerne auch mal mit anderen Unternehmen, oder Werbeplattformen.

Eben dieser Umfang an Daten, die über jeden im Internet gesammelt werden, soll durch diese neue Verordnung eingedämmt werden. Und auch nur hier werden wohl auch die ganz hohen Strafen angewendet werden.
Leider heißt dies aber nicht, dass Sie deshalb nicht betroffen sind. Viele kleinere Unternehmen haben hier jedoch den Vorteil, dass Online kaum, oder gar keine Daten gesammelt werden. Die gesamte Abwicklung der Aufträge findet häufig noch auf lokalen Systemen, oder gar Registrierkassen statt. Hier fallen die „gesammelten Daten“ z.B. in der Regel unter den $14 Umsatzsteuergesetz, demnach Rechnung unveränderbar sein müssen. Also nicht alle Daten, die man speichert, werden auch direkt durch die neue Verordnung abgedeckt.

Ein weiterer Zusatz, der vor vorrangig kleineren Unternehmen zugute kommt, ist die Beschränkung auf digitalisierte Daten. Sofern bei Ihnen nur die Registrierkasse und ein paar handschriftliche Notizen genutzt werden, sind Sie von der Verordnung ausgeschlossen.

Doch generell sind die folgenden Grundregeln immer zu beachten:
  • Speichern Sie wirklich nur Daten, die Sie auch wirklich benötigen
  • Stellen sie sicher, dass alle Mitarbeiter in Ihrem Unternehmen den Schutz von Kundendaten sicherstellen
  • Klären Sie Ihre Kunden darüber auf, welche Daten sie verarbeiten und zu welchem Zweck
  • Holen Sie nach Möglichkeit eine Unterschrift des Kunden ein, mit der der Verarbeitung der Daten zugestimmt wird
  • Sofern Sie eine Webseite haben, sollten Sie sich bewusst sein, dass automatisch Daten verarbeitet werden

weitere Themen folgen:

  • Wo werden in kleinen Unternehmen Daten gespeichert?
  • Was ist mit unserem Auftrags-/Kassensystem?
  • Was müssen wir auf unserer Website konkret beachten?
  • Was muss in einem Ladengeschäft beachtet werden?
  • Was muss bei E-Mails beachtet werden?
  • Abschließende Hinweise
  • Irrsinn, oder wirklich Notwendig?

Falls Sie Fragen haben sollten, kontaktieren Sie mich gerne. Beachten Sie jedoch:

Rechtliche Hinweise:
Ich bin kein Anwalt und kann daher nicht für eine rechtliche Absicherung garantieren. Dies ist lediglich eine Zusammenfassung meiner Recherchen und soll Ihnen einen Leitfaden, sowie Hinweise und Tipps zur Verfügung stellen. Alle Angaben werden nach bestem Wissen und Gewissen erstellt. Falls sich Änderungen ergeben, oder Sie Hinweise auf Fehler haben, werden diese schnellstmöglich mit einbezogen.

Wo werden in kleinen Unternehmen Daten gespeichert?

Wie schon aus den vorherigen Kapiteln hervorgeht, sind kleinere Unternehmen von der neuen Verordnung nicht so stark betroffen, wie große Unternehmen. Unabhängig von der Größe, gibt es jedoch zunehmend auch bei den ganz kleinen Unternehmen ein Autrags- oder Kassensystem, auf einem Computer, oder gar eine Website mit Onlineshop.

Konkret werden häufig auch Daten bei den kleinsten wie folgt gespeichert:
    Auftrags- und Kassensystem
  • Vorname
  • Nachname
  • Postleitzahl
  • Straße
  • Telefonnummer

  • Website
  • IP-Adresse
  • Browser
  • verwendetes Betriebssystem
  • Herkunftslink
  • Uhrzeit der Anfrage
  • Cookies sofern aktiviert
  • Analytics sofern aktiviert

  • Onlineshop
  • Vorname
  • Nachname
  • Postleitzahl
  • Straße
  • Telefonnummer
  • Benutzername
  • Kennwort
  • IP-Adresse
  • Browser
  • verwendetes Betriebssystem
  • Herkunftslink
  • Uhrzeit der Anfrage
  • Cookies
  • Analytics sofern aktiviert

Machen Sie sich zunächst ein Bild davon, welche dieser Daten bei Ihnen gespeichert werden und ob Sie darüber hinaus weitere Daten erfassen, die nicht zwingend notwendig sind. Beachten Sie jedoch, dass alle angegebenen Daten bei der Website und dem Onlineshop erfasst werden müssen, oder durch den Anbieter über den die Website, oder der Shop läuft, automatisch erfasst werden.

Was ist mit unserem Auftrags- / Kassensystem?

In den meisten Fällen, läuft in kleineren Unternehmen ein Auftrags- oder Kassensystem auf einem Computer und ist dementsprechend anpassungsfähig. Sprechen Sie am Besten mit dem Anbieter Ihres Systems über notwendige Maßnahmen. Beachten Sie hierbei, dass zwar viele geschäftlichen Unterlagen nach dem Umsatzsteuergesetz zwischen 6 und 10 Jahren aufbewahrt werden müssen, jedoch auch direkt nach Ablauf der Frist, möglichst direkt gelöscht werden müssen, um den Datenschutz zu gewähren.

Der Grundsatz sollte hier natürlich wieder sein, so wenig Daten wie möglich zu speichern, um den Kunden bestmöglich zu schützen. Gerade so viel, dass Sie den Auftrag noch einwandfrei zuordnen können, sollte der Maßstab an Informationen sein, die Sie über einen Kunden speichern.

Sollte bei Ihnen ein Cloud-Basierendes System im Einsatz sein, informieren Sie sich darüber, ob die Daten bei Ihrem Anbieter EU-DSGVO-Konform gespeichert werden. Wählen Sie sofern möglich, einen Anbieter, der die Daten innerhalb der EU speichert.

Was müssen wir auf unserer Website konkret beachten?

Welche Daten auf Ihrer Website von Besuchern, oder Kuden gespeichert werden, hängt sehr stark von den genutzten System, oder jeweiligen Einrichtung ab. Generell werden jedoch, wie schon in einem vorherigen Kapitel beschrieben, einige Daten immer erfasst, da diese unter anderem zur Auftragsabwicklung notwendig sind.

Viele Unternehmen setzen mittlerweile auf sogenannte Content Management Systeme, wie z.B. WordPress, oder TYPO3. Diese Systeme erstellen je nach Konfiguration sehr wenig, bis übermäßig viele Daten der Besucher. Jedes genutzte Plugin kann weitere Daten speichern, die nicht notwendig sind.

Informieren Sie sich deshalb bei Nutzung von externer Software, oder externen Plugins, welche Daten erfasst werden. Geben Sie grundsätzlich alle gespeicherten Daten auch in Ihrer Datenschutzerklärung an und beschreiben Sie kurz, warum Sie diese Daten speichern müssen.

Auf dieser Website werden z.B. bis auf die vom Provider erfassten Daten, nur ein einziger Cookie gespeichert, der für normale Besucher obsolet ist. Denn er beinhaltet lediglich die Bereitschaft, Cookies zuzulassen, welche nur für registrierte Nutzer benutzt werden. Aus Datenschutzrechtlichen Gründen, muss der Hinweis jedoch erscheinen und akzeptiert worden sein.

Ein weiterer Punkt ist die Nutzung von eingebundenen Inhalten, wie z.B. Google Maps, ReCAPTCHA, Facebook, oder speziellen Schriftarten und anderen Scripts. Hierbei werden die Daten, die normalerweise unter den Punkt „Website“, oder „Onlineshop“ fallen, zusätzlich auch an Google, oder Facebook übermittelt. Versuchen Sie also diese Dienste nicht zu nutzen, oder geben Sie die Nutzung auch korrekt in Ihrer Datenschutzerklärung an.

Sie können die Nutzung von Cookies in Google Chrome sehr leicht nachvollziehen, indem Sie auf das kleine Schloss in Ihrer Browserleiste klicken und Cookies auswählen.

Selbstverständlich, müssen auch z.B. Schriftarten und andere genutzte Inhalte in der Datenschutzerklärung berücksichtigt werden.

Was muss in einem Ladengeschäft beachtet werden?

In Ladengeschäften, werden neben einem Auftrags- oder Kassensystem auch im Tagesgeschäft bei Gesprächen mit Kunden häufig personenbezogene Daten verwendet. Versuchen Sie Kundengespräche möglichst von anderen Kunden getrennt zu führen, sofern die räumlichen Gegebenheiten dies zulassen. Achten Sie auch darauf, dass Handschriftliche Notizen und Unterlagen zur Auftragsabwicklung, die personenbezogene Daten enthalten, nicht offen für andere Kunden ersichtlich sind.

Sofern Sie in Ihrem Ladengeschäft eine Überwachungskamera einsetzen, machen Sie sich gedanken darüber, ob diese nur Lokal aufzeichnet, oder in der Cloud. Sollte es sich um eine Cloud-Kamera handeln, informieren Sie sich beim Hersteller, ob die Daten in der Cloud DSGVO-Konform verarbeitet werden.

Was muss bei E-Mails beachtet werden?

Beachten SIe, dass normale E-Mails generell als unsicher einzustufen sind. Angreifer können normale ungesicherte E-Mails abfangen, mitlesen, oder sogar manipulieren. Es sollten niemals kritische personenbezogene Daten, wie z.B. Passwörter, oder Gesundheitsinformationen per E-Mail versendet werden. Informieren Sie Ihre Kunden darüber und versenden Sie nur so wenig Informationen wie notwendig.

Häufig müssen jedoch auch kritische Daten versendet werden. Bieten Sie Ihren Kunden und auch Ihren Mitarbeitern hierfür die Möglichkeit PGP-Verschlüsselte E-Mails zu senden und zu Empfangen.

Eine mit PGP Verschlüsselte E-Mail kann nicht von Dritten mitgelesen, oder manipuliert werden. Hierzu ist jedoch eine zusätzliche Software notwendig, die in das genutzte E-Mail-Programm auf dem Computer integriert wird. Zusätzlich müssen Sie Ihren Kunden einen öffentlichen Schlüssel zur verfügung stellen, über den die Kunden Sie erreichen können.

Weitere Hinweise, wie Sie eine PGP-Verschlüsselung einrichten, erhalten Sie in einem weiteren Tutorial.

Abschließende Hinweise

Das Wichtigste nochmal kurz zusammengefasst:

– Wie schon häufiger erwähnt, ist der wichtigste Grundastz, dass wirklich nur so viele Informationen gespeichert, oder übermittelt werden, wie für den Auftrag notwendig ist und niemals mehr.

– Stellen Sie sich in allen Bereichen des Unternehmens die Frage, was sie wirklich über Ihre Kunden wissen müssen und wo diese Informationen überall gespeichert werden.

– Im Grundsatz erfasst jedes elektronische System Daten. Egal ob Website, E-Mails, Kamera, oder das Kassensystem.

– Handschriftliche Notizen sind von der DSGVO ausgenommen, dürfen jedoch selbstverständlich nicht für alle anderen Kunden offen einsehbar sein.

Irrsinn, oder wirklich Notwendig?

Ist die neue EU-DSGVO nun wirklich reiner Irrsinn, oder benötigen wir sie wirklich? Letzteres lässt sich definitiv mit „Ja“ beantworten. Der Datenschutz wurde viel zu lange außer Acht gelassen, sodass viele nun nachholbedarf haben. Zudem wurde das Thema bisher in der Öffentlichkeit nicht wirklich diskutiert. Auch die Gerichte haben sich bislang nur sehr wenig mit dem Thema befasst und vergehen wurden oft zu milde verurteilt. Dies ändert sich nun mit der neuen Verordnung. Somit gewinnen wir alle zumindest an Aufklärung und rein rechtlich einen etwas besseren Schutz unserer persönlichen Daten.

Jedoch ist der Umfang für viele kleinere Unternehmen eine sehr hohe Belastung und führt zu vielen Unsicherheiten. Dabei sind es eigentlich die ganz großen Unternehmen, die riesige Datenmengen sammeln und häufig in sehr undurchsichtigen Kooperationen weitergeben, ohne den Nutzer darüber zu informieren.

Und genau für diese Vorgehensweisen der großen Unternehmen, ist die neue Verordnung und die Aufmerksamkeit in der Öffentlichkeit wirklich wichtig und absolut notwendig.

Sie haben weitere Fragen?

Falls Sie Fragen haben sollten, kontaktieren Sie mich gerne. Beachten Sie jedoch:

Rechtliche Hinweise:
Ich bin kein Anwalt und kann daher nicht für eine rechtliche Absicherung garantieren. Dies ist lediglich eine Zusammenfassung meiner Recherchen und soll Ihnen einen Leitfaden, sowie Hinweise und Tipps zur Verfügung stellen. Alle Angaben werden nach bestem Wissen und Gewissen erstellt. Falls sich Änderungen ergeben, oder Sie Hinweise auf Fehler haben, werden diese schnellstmöglich mit einbezogen.