Kleinunternehmen und die DSGVO

Kleinunternehmen und die DSGVO

Gilt die DSGVO auch für Kleinunternehmen und Selbständige?

Ein meistverbreiteter Irrglaube ist, dass die DSGVO nur Konzerne wie Facebook, Google und Co. trifft und für KMU irrelevant wäre. Dem ist ganz und gar nicht so. Die Frage, ob die DSGVO auch für Kleinunternehmer oder Selbständige Gültigkeit hat, ist demnach mit einem klaren JA zu beantworten.

Für Unternehmen ist die Datenschutzgrundverordnung immer gültig. Ausnahmen vom Anwendungsbereich sind in der Verordnung abschließend gelistet. So zählt zu den Ausnahmen beispielsweise die Datenverarbeitung durch Privatpersonen ausschließlich für „persönliche oder familiäre Tätigkeiten“. Im Umkehrschluss bedeutet dies, dass alle Unternehmen jeder Branche von der DSGVO betroffen sind. Zudem auch ARGE, Vereine, Ärzte, KMU, EPU und Schulen etc.

Fazit: Jedes Unternehmen, egal welcher Größe ist betroffen. Es spielt auch keine Rolle wie viele Daten oder welche personenbezogenen Daten verarbeitet werden.
Nutzen Sie noch heute unseren kostenlosen KMU Check!


Schulung

Die Einhaltung von datenschutzrechtlichen Bestimmungen hängt in vielen Unternehmen von einer ausreichenden Sensibilisierung und Datenschutzschulung der Mitarbeiter ab. Da hierdurch Datenschutzrisiken in erheblichem Maße reduziert werden können, ist es notwendig Mitabeiter in Schulungen stärken insbesondere das Problembewusstsein der Mitarbeiter für Fragestellungen zum Thema Datenschutz. Die Datenschutz-Grundverordnung fordert die Überwachung der Sensibilisierung und Schulung von Mitarbeitern als Aufgabe des Datenschutzbeauftragten vor (Art. 39 Abs. 1 lit. b) DSGVO) und muss immer wieder als Bestandteil des Datenschutzkonzepts gesehen werden.
Eine gute Vorbereitung und Wissen im Datenschutz ist notwendig um das Thema DSGVO und BDSGO Praxisnahe den Mitarbeitern zu vermitteln.

Die Grundschulung muss inhaltlich einen erster Überblick zum Datenschutz geben z.B

  • Grundsätze des Datenschutzes
  • Rechtlicher Rahmen und wesentliche Begriffe des Datenschutzes
  • Grundlagen der Datenverarbeitung
  • Betroffenenrechte
  • Verhalten bei Datenschutzverletzungen und Verstößen
  • Hinweise zu den technischen und organisatorischen Maßnahmen / zur Datensicherheit
  • Hinweise zum datenschutzgerechten Einsatz mobiler Geräte
  • Hinweise zur Datenschutzrichtlinie im Unternehmen

Schulungen müssen nachgewiesen werden können und dokumentiert werden. Hierzu können beispielsweise Teilnahmebescheinigungen/-zertifikate, Schulungsunterlagen und Teilnehmerlisten verwendet werden.

Was müssen Sie wissen?

Gemäß Art. 37 Abs. 1 DSGVO ist unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für die Praxis oder Unternehmen zu benennen. Ein Datenschutzbeauftragter muss bestellt werden, wenn regelmäßig zehn Personen oder mehr in der Firma oder Praxis mit Datenverarbeitung beschäftigt sind (vgl. § 38 Abs. 1 BDSG). Dabei wird schon der reine, nicht nur gelegentliche Zugang zu personenbezogenen Daten als ausreichend angesehen. Ein Anstellungsverhältnis ist nicht notwendig und auch eine urlaubs- oder krankheitsbedingte Abwesenheit lässt die Regelmäßigkeit nicht entfallen. Ebenso ist auch dem Praxis- oder Firmeninhaber selbst zu den zehn datenverarbeitenden Personen zu rechnen.

Art. 37 Abs. 1 DSGVO bestimmt zudem, dass ein Datenschutzbeauftragter auch bei geringerer Beschäftigtenzahl zu bestellen ist, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegen, haben sie ebenfalls unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.

Die Benennung der Person des Datenschutzbeauftragten ist dann auf Basis der beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben (Art. 37 Abs. 5 DSGVO) vorzunehmen. Die DSGVO (Art. 38 Abs. 6 Satz 2) verbietet wie das BDSG Interessenkonflikte, sodass also weder der Praxis – oder Firmeninhaber selbst noch ein für die Datenverarbeitung verantwortlicher Mitarbeiter Datenschutzbeauftragter sein kann.

Selbst wenn geeignete Mitarbeiter in der Praxis für diese Aufgabe vorhanden sein sollten, ist vor einer Berufung zu bedenken, dass der Beauftragte bei Ausübung seiner Tätigkeit gem. § 4f Abs. 3 Satz 2 BDSG weisungsfrei ist und zur Sicherstellung der Weisungsfreiheit und Unabhängigkeit ein „interner“ Datenschutzbeauftragter einen besonderen Kündigungsschutz genießt. Der Externe Datenschutzbeauftragte ist oftmals die bessere Wahl, da dieser täglich mit dem Thema Datenschutz beschäftigt ist und sich schon aus diesem Grund immer Fortbilden muss.

Egal ob „extern“ oder „intern“ bestellt, hat der Datenschutzbeauftragte gem. § 4g BDSG im Rahmen seiner Tätigkeit auf die Einhaltung des Datenschutzes „hinzuwirken“. Er ist dabei nicht für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich, hat also die Compliance des Unternehmens nicht selbst sicherzustellen. Datenschutz bleibt immer „Chefsache“. Die Aufgabe des Datenschutzbeauftragten ist vielmehr die Beratung der Praxis, die Sensibilisierung von Mitarbeitern durch Schulungen sowie die Unterstützung bei der datenschutzkonformen Umsetzung von Projekten. Damit er auf Rechtsverstöße oder drohende Risiken hinweisen kann, ist er in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen frühzeitig einzubinden und durch den Praxisinhaber bei der Aufgabenerfüllung zu unterstützen. Ihm sind die zur Aufgabenwahrnehmung notwendigen Ressourcen und Fortbildungen genauso zu eröffnen wie der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Bedarf die Aufsichtsbehörde einer Anlaufstelle sowie einer internen Stelle für eine ggf. notwendige Zusammenarbeit, ist dafür der Datenschutzbeauftragte zuständig.

Machen Sie den Selbstcheck Klicken Sie HIER


Diese Seite benutzt Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmen Sie dem zu. Datenschutzerklärung