Fast drei Monate sind mittlerweile vergangen, seitdem die DSGVO für alle Unternehmen EU-weit verbindlich gilt. Kurz vor und nach dem Stichtag am 25. Mai 2018 herrschte große Verunsicherung – vor allem bei Freelancern, kleinen und mittelständischen Unternehmen. Doch was hat sich seither verändert? Kam die befürchtete Abmahnwelle wirklich? Wir fassen die wichtigsten Fakten der DSGVO für Sie zusammen und zeigen Ihnen, wie Sie Ihre letzten Sicherheitslücken schließen können.
Worum geht es überhaupt in dem seit Mai geltenden Datenschutzgesetz?
Vorrangiges Ziel ist ein besserer Schutz personenbezogener Daten. Dazu gehören u. a.:
- E-Mail-Adresse, Name, Anschrift, Rufnummer
- Kontodaten
- Metadaten (Standort, Suchmaschinenverlauf, IP-Adressen usw.)
- Sonstige Informationen (Gesundheitszustand, Religionszugehörigkeit, sexuelle Orientierung, Vertragsdaten, Anfragen über Formulare usw.)
Um diese Daten zu schützen, haben Sie als Unternehmen diverse Pflichten:
- Sie müssen ein Verzeichnis darüber führen, welche personenbezogenen Daten Sie aus welchen Gründen speichern.
- Das sog. „Recht auf Vergessenwerden“ bestimmt, dass Sie auf Anfrage sämtliche Daten einer Person löschen müssen, sofern diese nicht steuerrechtlich relevant sind.
- Wenn Ihr Betrieb aus zehn oder mehr Mitarbeitern besteht, sind Sie verpflichtet, einen Datenschutzbeauftragten zu ernennen.
- Die Datenschutzrichtlinien auf Ihrer Internetseite müssen gut sichtbar sein. Vor einer Datenspeicherung müssen Ihre Website-Besucher dieser aktiv zustimmen.
- Es besteht eine Meldepflicht, wenn personenbezogene Informationen in Ihrer Firma verloren gehen.
- Sie dürfen Personendaten nur so lange speichern, wie dies notwendig ist – beispielsweise bis eine Kundenbestellung abgeschlossen ist.
Ausnahmen gelten nur, wenn andere Gesetze dies verlangen (z. B. das EStG). Für detailliertere Infos sollten Sie die ausführliche EU-Richtlinie (als PDF-Datei) direkt zurate ziehen.
Welche Strafen drohen Ihnen?
Im offiziellen Gesetz ist die Höhe der Sanktionen nur sehr vage formuliert. Bußgelder könnten bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes betragen. Bisher sind kaum Verfahren bekannt, die als verlässliche Referenzen dienen könnten. Die Strafen sollen jedoch eine abschreckende Wirkung haben. Daher müssen Sie auch als Klein- oder Einzelunternehmer bei Verstößen mit Sanktionen im mittleren bis hohen vierstelligen Euro-Bereich rechnen.
Generell können die Aufsichtsbehörden der einzelnen Bundesländer, (konkurrierende) Unternehmen sowie Privatpersonen mit einer Abmahnung gegen Sie vorgehen, sofern Datenschutzlücken vorhanden sind. In einem solchen Fall wird Ihnen ein Verstoß gegen die DSGVO vorgeworfen (z. B. ein fehlendes SSL-Zertifikat beim Kontaktformular) sowie eine Schadensersatzforderung (oder ein Bußgeld) verlangt. Eine Unterlassungsaufforderung muss ebenfalls enthalten sein. Ein solches Schreiben sollten Sie nicht ignorieren. Wenden Sie sich im Zweifel direkt an einen Fachanwalt. Wenn Sie bereits eine Abmahnung erhalten haben, kann dieser Artikel auf chip.de für Sie hilfreich sein.
Was geschah seit dem 25. Mai 2018?
Zahlreiche Unternehmen haben vorübergehend (oder dauerhaft) Ihren Internetauftritt stillgelegt. Das Schlagwort „DSGVO-Shutdown“ kursierte in weiten Teilen des Webs. Mittlerweile sind einige Seiten wieder erreichbar, jedoch nicht alle. Die Angst vor einer Abmahnung war vermutlich die Ursache. Doch waren diese Befürchtungen berechtigt? Zum Teil ja, zum Teil nein. Manche Vorwürfe waren durchaus begründet, anderen konnte man die Absicht der „Geldmacherei“ nur zu deutlich ansehen. So forderte der Berliner Rechtsanwalt Sandhage beispielsweise wegen einer kleinen Sicherheitslücke für seinen Mandanten ein Schmerzensgeld von über 12.500 Euro – aufgrund des entstandenen immateriellen Schadens. Ob dieser wirklich zustande kam und wie sich dieser nachweisen lässt, blieb in dem Anschreiben ungeklärt. In der Politik (v. a. CDU/CSU) wird wegen solcher Fälle derzeit darüber diskutiert, ob ein vorübergehendes Abmahnverbot sinnvoll sei. Denn die DSGVO-Rechtslage ist in vielen Punkten nicht eindeutig. Wie es nach der Sommerpause weitergeht, ist noch völlig offen. In Sachen DSGVO ist das letzte Wort vermutlich noch lange nicht gesprochen, weshalb Sie sich darüber auf dem Laufenden halten sollten.
Wie Sie Ihr Unternehmen DSGVO-konform machen
In diesem Gratis-DSGVO-E-Book finden Sie alle relevanten Informationen zur seit Mai geltenden EU-Richtlinie. Darin enthalten ist außerdem ein von Datenschutzexperten entwickelter 6-Punkte-Maßnahmenplan. Auch wenn Sie der Meinung sind, dass Ihr Unternehmen bereits alle relevanten Datenschutzrichtlinien korrekt umgesetzt hat, lohnt sich ein Check-up, ob Sie dabei auch nichts übersehen haben. Wenn Sie anschließend noch Zweifel haben, ist eine Vorabprüfung Ihres Betriebs durch einen Fachanwalt sinnvoll. Das kommt Ihnen wesentlich günstiger als ein späterer Rechtsstreit.