Die DSGVO betrifft alle Unternehmen, Freiberufler, Behörden und andere Institutionen, die personenbezogene Daten erheben. Und, ja: Die DSGVO gilt auch für Kleinunternehmen.
Wichtig: Wie du in deiner Freizeit mit den Daten von Familienangehörigen, Freunde oder Nachbarn umgehst, fällt nicht unter die Datenschutz-Vorschriften. Im Geschäftsleben musst du dich aber mit der Umsetzung der DSGVO befassen.
Auch wenn das zusätzliche Arbeit bedeutet: Dass die Vorgaben der DSGVO beachtet werden, ist letztlich ja auch in deinem eigenen Interesse. Die sensiblen Daten von Kunden, Interessenten, Mitarbeiter, Lieferanten und anderer Geschäftskontakte sind ganz besonders schutzbedürftig!
DSGVO: Kleinunternehmen …
Seit Mai 2018 ist die DSGVO in Kraft. Die Verordnung dient einerseits dem freien Datenverkehr in der EU. Vor allem aber sollen die personenbezogenen Daten von Privatleuten geschützt werden.
Gemeint sind nicht nur Namens-, Kontakt- und Adressdaten im engeren Sinne. Vielmehr geht es um sämtliche Informationen, die Ausdruck der „physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ einer natürlichen Person sind. Bereits die IP-Adresse eines Website-Besuchers ist ein persönliches Merkmal!
Im Einzelnen regelt die DSGVO das …
- Erfassen,
- Verarbeiten,
- Verwenden und
- die Weitergabe persönlicher Daten.
Die konkreten Ausführungsbestimmungen zur Verarbeitung von personenbezogenen Daten finden sich in den Datenschutzgesetzen der EU-Mitgliedsländer.
… beim Thema Datenschutz gefordert!
Die gute Nachricht: Auch im Datenschutz wird nichts so heiß gegessen, wie es gekocht wurde. Bei Inkrafttreten der Neuregelung vor einem Jahr war eine Klagewelle befürchtet worden. Die ist ausgeblieben.
Berichte über gezielte Bußgelder von Behörden wegen Verletzung der Datenschutz-Vorschriften gab es auch nicht. Zumindest Kleinunternehmen sind bislang von drakonischen Strafen verschont geblieben. Aber Theoretisch möglich sind Strafen von bis zu 20 Millionen Euro (oder 4 % des Jahresumsatzes). Das betrifft dann aber nur Großunternehmen wie Google, Facebook & Co.
Einen eigenen „Datenschutzbeauftragten“ brauchst du als Kleinunternehmer auch nicht. Der ist erst in Betrieben mit zehn und mehr Mitarbeitern Pflicht. Aber: Solange es keinen Datenschutzbeauftragten gibt, bist du selbst für die Einhaltung der Datenschutzvorschriften verantwortlich.
Die wichtigsten Datenschutz-Pflichten
Werden Daten gespeichert, gilt: Was nicht ausdrücklich erlaubt wird, ist verboten. Die Verwendung personenbezogener Daten von Privatleuten ist grundsätzlich nur dann zulässig, wenn …
- der Gesetzgeber die Datenerhebung vorschreibt oder
- die betroffene Person dir zuvor ausdrücklich die Erlaubnis erteilt hat. Nur dann darfst du die Daten verarbeiten.
Doch nicht bloß das Speichern personenbezogener Daten ist reglementiert. Vor allem die Weitergabe ist nur dann zulässig, wenn ein schriftliches „OK“ vorliegt.
Daten-Minimalismus
Die DSGVO verlangt auch von Kleinunternehmen, dass die Datenerhebung auf ein Mindestmaß beschränkt wird. Die Datenspeicherung muss zweckgebunden erfolgen und ist zeitlich begrenzt. Sobald der ursprüngliche Zweck für die Speicherung entfallen ist, müssen personenbezogene Daten gelöscht werden.
Hinzu kommt: Wenn du persönliche Daten speicherst und verarbeitets, musst du …
- sie vertraulich behandeln,
- sie vor Veränderungen und Verfälschungen schützen und
- dafür sorgen, dass sie nicht in die Hände Unbefugter geraten.
Betroffene haben zudem ein umfassendes Auskunftsrecht. Auf Anforderung musst du Auskunft geben können über …
- die Herkunft der von dir verarbeiteten Daten,
- den Umfang und den Zweck der Speicherung und
- eine eventuelle Weitergabe an Dritte.
Falls trotz aller Vorsicht doch einmal eine Datenschutzpanne passiert, musst du die zuständige Aufsichtsbehörde benachrichtigen. Normalerweise ist das der Datenschutzbeauftragte deines Bundeslandes. Dessen Kontaktdaten findest du auf der Website des Bundes-Datenschutzbeauftragten.
Praxistipps: Datenschutz mit invoiz
Wenn du als Kleinunternehmen die Daten deiner Kunden und Interessenten mit invoiz verwaltest, sind die Grundlagen für eine DSGVO-konforme Verarbeitung bereits gelegt:
- Sämtliche personenbezogenen Daten werden in der invoiz-Kundendatenbank an einer zentralen Stelle erfasst:
- Einen Überblick über alle gespeicherten Daten eines Kunden oder Interessenten kannst du bei Bedarf jederzeit im invoiz-Arbeitsbereich „Kunden“ abrufen.
- Am Ende jedes Kunden-Datensatzes werden sogar sämtliche Angebote und Rechnungen aufgelistet:
- Der passwortgeschützte Zugriff auf die Daten ist nur mit deinen persönlichen Zugangsdaten möglich. Unbefugte können die Daten nicht einsehen, verändern oder gar entwenden. Im Vergleich zu Papier-Kundenakten oder einer lokalen Datenbank sind die Daten mit invoiz von vornherein besser geschützt.
- Die Datensicherheit ist durch tägliche Daten-Backups gewährleistet.
- Die DSGVO-konforme Speicherung aller invoiz-Daten erfolgt in einem mehrfach gesicherten deutschen Rechenzentrum. Der Standort befindet sich in Neunkirchen im Siegerland (NRW). Einzelheiten zu den Datenschutz-Maßnahmen findest du in den Allgemeinen Geschäftsbedingungen auf unserer Website.
Dort bieten wir dir auch den schriftlichen Vertrag zur „Auftragsdatenverarbeitung“ an. Mehr dazu weiter unten.
Verzeichnis der Verarbeitungstätigkeiten
Zu den DSGVO-Vorschriften für Kleinunternehmen gehört es, ein Verzeichnis aller betrieblichen „Verarbeitungstätigkeiten“ anzulegen. Gemeint sind Tätigkeiten, die sich auf geschützte persönliche Daten auswirken.
Am besten machst du eine Bestandsaufnahme, bei welchen Gelegenheiten und zu welchem Zweck du persönliche Daten erfasst. Denk’ dabei sowohl an Interessenten, Kunden, Lieferanten, Dienstleistern, Mitarbeiter, Kooperationspartner und andere Geschäftsfreunde.
Wichtig: Auf die Form der Daten oder die Art des Datenträgers kommt es dabei nicht an. Vor allem geht es nicht nur um elektronische Daten, sondern auch um Geschäftsbriefe, Bewerbungsunterlagen, Listen und Auswertungen aller Art.
Tipp: DSGVO-konforme Musterverzeichnisse von Verarbeitungstätigkeiten einiger Branchen finden sich in den „Handreichungen für kleine Unternehmen und Vereine“. Die Vorlagen hat das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht.
Die Bestandsaufnahme von Verarbeitungstätigkeiten erstreckt sich nicht nur um die interne Datenverarbeitung. Die Bearbeitung rechtmäßig erhobener Daten mithilfe externer Dienstleister muss ebenfalls geregelt sein. „Das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ nennt sich Auftragsverarbeitung. Darüber musst du mit deinen Dienstleistern Auftragsverarbeitungsverträge (AVV) abschließen.
AVV mit invoiz
Auch hier bist du bei invoiz auf der sicheren Seite. Mit ein paar Mausklicks ergänzt und signierst du unseren DSGVO-konformen AVV-Entwurf. Dein Vertragspartner ist der invoiz-Betreiber „Buhl Data Service GmbH“. Auf der Signatur-Plattform „DocuSign“ gibst du im ersten Schritt deinen Namen und die geschäftliche E-Mailadresse ein:
Anschließend klickst du auf den Button „Signiervorgang beginnen“. Dann öffnet sich der Entwurf einer „Vereinbarung zur Auftragsverarbeitung“. Dort trägst du oben im Feld „- Auftraggeber –“ deine Namens- und Adressdaten ein:
Tipp: In der Icon-Leiste am oberen Fensterrand findest du neben der Druck-, Speicher- und Hilfefunktion auch einen Kommentar-Button. Falls du Fragen zur Vereinbarung hast, kannst du sie uns vor dem Unterzeichnen stellen. Unsere Mitarbeiter werden zeitnah darauf antworten.
Wenn alles klar ist, scrollst du nach unten bis zum Unterschrifts-Bereich. Dort klickst du …
- zuerst auf den gelben „Signieren“-Button,
- dann im Fenster „Signatur übernehmen“ auf den Button „Übernehmen und signieren“ und
- schließlich auf die Schaltfläche „Fertigstellen“ (am oberen Seitenrand):
Anschließend kannst du den von beiden Vertragspartnern unterschriebenen Verarbeitungsvertrag herunterladen, abspeichern und bei Bedarf ausdrucken:
Du siehst: DSGVO-konforme Datenschutz-Vereinbarungen müssen keine Raketenwissenschaft sein.
Die nächsten Schritte:
Du bist ein Kleinunternehmen und hast die Vorbereitung auf die DSGVO noch nicht abgeschlossen? Dann solltest du das möglichst bald nachholen:
- Als erstes fragst du am besten bei deinem Branchen- oder Berufsverband nach. Denn die konkreten Maßnahmen sind je nach Branche und Betriebsgröße verschieden. Viele Verbände bieten ihren Mitgliedern Datenschutz-Leitfäden, Muster und Vorlagen.
- Auch der Bundesdatenschutz-Beauftragte stellt auf seiner Website nützliche Kurzpapiere zum Datenschutzrecht bereit. Darunter Informationen zu den Themen
- Du brauchst mehr Informationen? Auf der Seite dsgvo-gesetz.de gibt es eine Gegenüberstellung von DSGVO und Bundesdatenschutzgesetz mit wechselseitigen Verweisen.
Noch Fragen?
Was in Sachen Bürokratie, Recht und Steuern sonst noch alles zu beachten ist? Guckst du hier:
- DSGVO (nicht nur für Kleinunternehmen): Warum du besser nicht auf Tauchstation gehst!
- invoiz: Rechnungssoftware mit GoBD-Anschluss
- Angebot schreiben: So geht’s!
- Rechnung schreiben: So geht’s!
- Teure Formfehler: Welche Folgen haben fehlerhafte Rechnungen?
- Rechnungssoftware: Nie wieder Rechnungen mit Word & Excel!
- Selbstständig machen? So meldest du dich beim Finanzamt an!
Am besten probierst du die invoiz-Demo gleich aus. Einfach mit E-Mailadresse und Passwort registrieren. Und sofort steht dir der volle Funktionsumfang kostenlos zur Verfügung.