Gilt die DSGVO auch für kleine Unternehmen und kleine Selbständige?
Die Antwort muss „leider Ja“ lauten. Denn die DSGVO gilt für jede Person oder Organisation, welche personenbezogene Daten elektronisch oder nicht automatisiert in einer strukturierten Ablage verarbeitet. Die einzige Ausnahme: wenn diese Daten in einem persönlichen oder familiären Umfeld verarbeitet werden (teilweise auch einige staatliche Aktivitäten).
Betroffen von der DSGVO sind also unter anderen:
- Vereine
- Verbände
- Unternehmen
- Parteien
- Stiftungen
- Einrichtungen des Bundes, Länder, Kommunen
- Körperschaften des öffentlichen Rechts
- Ein Personen Unternehmen
Die Vorschriften der DSGVO sind also vom weltweiten Konzern bis zum kleinsten Unternehmer gleichermaßen einzuhalten.
Deutschland hat doch bereits ein hohes Datenschutz Niveau: Der Gesetzgeber sorgt schon für Außnahmen
Das stimmt – und auch wieder nicht. Deutschland hat seit vielen Jahren eines der striktesten Datenschutzgesetze. Allerdings wird der Gesetzgeber kaum Ausnahmen gegenüber der DSGVO zulassen. Warum? Weil die DSGVO keine Richtlinie der EU ist welche durch den nationalen Gesetzgeber in ein Gesetz übersetzt werden muss. Die DSGVO ist eine Verordnung. Diese gilt unmittelbar und zwar vor nationalem Recht. Deutschland kann also eine EU Verordnung weder abschwächen noch aufheben. Es gibt allerdings sogenannte Öffungsklauseln welche von der EU dafür vorgesehen wurden mit nationalen Gesetzen zu erweitern (z.B. Arbeitnehmerdatenschutz).
Ändert die DSGVO überhaupt etwas?
Die bereits bekannten Prinzipien des Datenschutzes aus dem alten BDSG (Bundesdatenschutzgesetz) sind tatsächlich in großen Bereich unverändert geblieben. Die Neuerungen fanden eher versteckt unter der Oberfläche statt. Die dabei wichtigsten Neuerungen umfassen:
- Die extensive Dokumentationspflicht: also die Möglichkeit jederzeit das Einhalten der DSGVO nachweise zu können
- Datenschutzorganisation: es muss sichergestellt werden das durch eine geeignete Organisation die Einhaltung des Datenschutzrechts systematisch im Unternehmen kontrolliert werden kann
Wir (Ich) verarbeite doch überhaupt keine personenbezogenen Daten…
Hierzu muss man in die DSGVO selber reinschauen und zwar in den Artikel 4 Nr.1. Hier werden personenbezogene Daten als „alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Diese Personen können also Mitarbeiter, Kunden oder Lieferanten sein. Es kommt also nur auf den Status als natürliche Person an – nicht auf die Beziehung zu Unternehmen.
Identifizierbar wird eine Person wenn zum Beispiel durch die Kombination von mehreren Merkmalen Rückschlüsse auf die Person getätigt werden können:
- Email Adresse
- IP-Adresse
- Kundennummer
- Mitarbeiternummer
- Telefonnummer
- Video und Sprachaufzeichnungen etc..
In der täglichen Praxis wären also (fast) alle Daten personenbezogen von der Rechnung hin zum Besucher der Webseite.