Allseits bekannt ist, dass am 25. Mai 2018 in der Europäischen Union der Hammer fiel, indem die für alle EU-Mitgliedsstaaten geltende DSGVO aktiv und somit rechtsgültig wurde. Seither werden Unternehmen strenger zur Brust genommen, wenn es um den Schutz von Kundendaten jeglicher Art geht. Die Strafen, die bei Nichtbeachtung drohen, können empfindlich hoch sein. Für ein Start-up bedeutet dies unter Umständen das Aus, bevor der unternehmerische Betrieb überhaupt ins Rollen gekommen ist. Was es mit den Informationspflichten zur DSGVO auf sich hat und warum eine strikte Einhaltung insbesondere für Gründer unabdingbar ist, erklärt der nachfolgende Querschnitt.
Schon ein minimaler Lapsus bei den DSGVO Informationspflichten kann weitreichende Folgen haben
Beispielweise gehörte das Fintech-Start-up N26 zu den ersten DSGVO-Strafempfängern. Schuld daran war eine schwarze Liste von alter Kundschaft, welche in gut gemeinter Vorsorge zur Geldwäscheprävention gepflegt wurde. Hier erfahren Sie die Hintergründe, zum damals verhängten Bußgeld in Höhe ca. 50.000 Euro.
Vielen Unternehmen geht es so, dass man vom Erfolg gekrönt, wichtige Basics erstmal zur Seite schiebt, oder aufkommende Fälle, eventuell nur aktionistisch regelt. Ob das bei N26 der Fall war, können wir nicht beurteilen. Jedoch erhielt das Unternehmen ein Jahr später, weitere DSGVO-Vorstoßvorwürfe, jedoch in einem anderen Kontakt. Details erfahren Sie in diesem Artikel.
Unser Tipp: Nutzen Sie die Gründungsphase, in der die Auftragslage und der Lieferdruck noch nicht vorhanden sind, um sich ein sicheres DSGVO-Fundament zu gießen, um auf Erfolgskurs nicht durch gesetzlichen Pflichten und den damit verbundenen Bürokratismus ausgebremst zu werden.
Worum geht es bei den EU-einheitlichen DSGVO Informationspflichten?
Die DSGVO regelt EU-weit all jene Vorgaben, die bei der Verarbeitung von personenbezogenen Daten zu berücksichtigen sind. Bürger der Europäischen Union sollen so noch besser als bis zum damaligen Stichtag geschützt werden und mehr Rechte im Hinblick auf ihre persönlichen Daten erhalten. Während zuvor die Regelungen auf diesem Gebiet innerhalb der EU noch recht schwammig waren, sind Unternehmen und Behörden nun zu umfangreichen Datenschutz-Maßnahmen verpflichtet.
Dieser Artikel fokussiert sich darauf, dass sie ihre Kunden detailliert über die Verarbeitung von Daten informieren müssen. Das Unternehmen ist dabei in der Bringschuld, was bedeutet, dass die Information ohne Aufforderung an Kunden gegeben werden muss. Dabei ist es völlig gleich, ob es sich bei dem Unternehmen um einen kleinen Handwerksbetrieb oder einen großen Konzern handelt. Demzufolge sind auch Start-ups – gleich welcher Branche – unmittelbar mit den Herausforderungen der DSGVO konfrontiert.
Was sind die personenbezogenen Daten, um die es bei den DSGVO Informationspflichten geht?
Es handelt sich dabei um die relevanten Daten, die im unmittelbaren Zusammenhang mit der natürlichen Person stehen.
Dies sind unter anderem:
– Personendaten allgemeiner Art (wie z. B. Name, Geburtsdatum und -ort, Anschrift, Telefonnummer, E-Mail-Adresse)
– körperliche Eigenschaften (wie z. B. Geschlecht, Augen- und Haarfarbe)
– Bankdaten (wie z. B. IBAN, BIC, Kreditkartendaten, Kontostände)
– Online-Daten (wie z. B. IP-Adresse, Daten zum aktuellen Standort – sogenanntes „Tracking“
Die DSGVO Informationspflichten werden nach den Regelungen vom 25. Mai 2018 um Dokumentationspflichten sowie Meldepflichten ergänzt.
Tipp: Umfangreiche Artikel hinsichtlich der DSGVO in der Praxis, mit den damit verbundenen Tipps, erhalten Sie in unserem DSGVO-Wegweiser.
Wie können Start-ups ihren Informationspflichten zur DSGVO nachkommen?
Ein Start-up, welches erstmalig seine Website erarbeitet, muss dabei sehr viele Formalitäten beachten. Wenn Sie beispielsweise einen Onlineshop betreiben oder personenbezogene Daten auf Ihrer Website bzw. in digitalen Diensten verarbeiten, sind Sie verpflichtet, diese Information in die Datenschutzerklärung auf Ihrer Website aufzunehmen. Darüber hinaus ist es nach den Artikeln 13 und 14 der DSGVO obligatorisch, sowohl den Namen, als auch die Kontaktdaten der für die Datenerhebung verantwortlichen Person bekannt zu geben.
Um sich keinen Lapsus in Sachen DSGVO Informationspflichten zu erlauben, kann es hilfreich sein, einen Datenschutzbeauftragten extern zu engagieren. Sollte dies der Fall sein, müssen auch dessen Kontaktdaten auf Ihrer Website ausgewiesen werden. Darüber hinaus sind die Art der erhobenen Daten, der Datenerhebungszweck samt Rechtsgrundlage sowie die Speicherdauer der Daten zu nennen.
Ebenso müssen Unternehmen den Kunden darüber informieren, dass er ein Recht hat, der Datenverarbeitung zu widersprechen, Auskünfte einzuholen, seine Daten berichtigen oder löschen zu lassen. Der Widerspruch muss über die Website oder die für die Datensammlung relevante Plattform realisierbar sein, noch bevor die Daten überhaupt durch das Unternehmen erhoben werden.
Welche Formulare sind im Hinblick auf die DSGVO Informationspflichten für Unternehmen wichtig?
Mustervorlagen für Mitteilungen an Ihre Kunden helfen dabei, in der Formulierung von Informationen präzise Aussagen zu treffen und keine Lücken entstehen zu lassen. So kann beispielsweise mit einem Musteranschreiben für Auskunftsanfragen sichergestellt werden, dass alle erforderlichen Daten integriert sind.
Tipp: Ohne sich registrieren zu müssen, können Sie Mustervorlagen in diesen DSGVO-Tipps direkt downloaden: DSGVO-Informationspflichten-Mustervorlagen
Aber auch das Verarbeitungsverzeichnis spielt für das vollständige Einhalten aller Regularien eine signifikante Rolle. Bei einer Überprüfung muss es für eine Datenschutzbehörde sofort ersichtlich sein können, ob das Unternehmen konform mit den rechtlichen Grundsätzen arbeitet. Die Form eines solchen Verarbeitungsverzeichnisses kann grundsätzlich frei gewählt werden. Jedoch müssen die festgelegten Pflichtangaben in diesem Verzeichnis enthalten sein. Dazu zählen unter anderem die Kontaktdaten des Unternehmens und – wenn vorhanden – die des Datenschutzbeauftragten. Die Geschäftsprozesse müssen analysiert und beschrieben werden, so dass die Verarbeitungsvorgänge des Unternehmens ersichtlich sind. So gilt es auch, organisatorische sowie technische Maßnahmen wie beispielsweise die IT-Sicherheit darzustellen. Darüber hinaus ist die Datenschutzerklärung zur Veröffentlichung auf der Website für jedes Unternehmen verpflichtend.
Warum haben die DSGVO Informationspflichten vor allem für Gründer eine große Bedeutung?
Gründer werden vor allem am Anfang ihres Unternehmertums vor sehr viele Herausforderungen gestellt. Diese gilt es, zur gleichen Zeit zu bewerkstelligen. Bei diesem Arbeitspensum kann es schnell passieren, dass die ein oder andere Informationspflicht durchrutscht. Doch auch wenn es sich lediglich um einen scheinbar kleinen Verstoß handelt, können die Strafen, auch für Start-ups teuer zu stehen kommen. Da es wie in der Hundewelt keinen Welpenschutz gibt, kann mit den geeigneten Maßnahmen und einem DSGVO-Konzept, viel Ärger und den damit verbundenen Zeitverlust, frühzeitig gegengesteuert werden. Für Start-ups gilt es, die DSGVO Informationspflichten zu 100 % zu berücksichtigen, um teure Strafzahlungen zu vermeiden. Mustervorlagen greifen Unternehmern hierbei ein Stück weit unter die Arme.
Kommentar hinterlassen zu "DSGVO Informationspflichten"