Zugleich soll für alle Unternehmen eine Wettbewerbsgleichheit geschaffen werden. Was die DSGVO für KMU bedeutet und welche Schritte nun eingeleitet werden müssen, verdeutlicht die Europäische Kommission in einer anschaulichen Infografik. Wir haben mit dem Rechtsanwalt Christoph Curvers zu den Auswirkungen der DSGVO auf KMU gesprochen.

Nicht wenige KMU sehen die DSGVO als lästiges Übel – schließlich müssen sie sich nun wohl oder übel mit den neuen Regelungen auseinandersetzen. Inwiefern aber profitieren kleine und mittelständische Unternehmen von den neuen Datenschutzvorschriften?

Tatsächlich stellt das Inkrafttreten der DSGVO für kleine und mittelständische Unternehmen einen beträchtlichen Aufwand dar, dem kein eigener, unmittelbarer Nutzen gegenübersteht. Man kann dem Ganzen aber Positives abgewinnen, indem man es als Möglichkeit begreift, einmal die Gesamtheit der Prozesse strukturiert zu durchleuchten, zu dokumentieren und dabei Rationalisierungspotenziale aufzudecken. Außerdem kann man sich, und das ist in dieser Form neu, einem datenschutzspezifischen Zertifizierungsverfahren unterziehen (Art. 42 DSGVO) und mit einem entsprechenden Siegel oder Prüfzeichen werben. Dies sagt zwar am Ende nur aus, dass sich das Unternehmen an Recht und Gesetz hält, aber man muss sich auch über Kleinigkeiten freuen können.

Natürlich bestehen in Deutschland bereits vor dem Inkrafttreten der DSGVO strenge Vorschriften hinsichtlich des Datenschutzes. Was also müssen KMU jetzt konkret anders machen?

Die Unterschiede sind vielfältig und sprengen hier deutlich den Rahmen – selbst die kompakteste Synopse, die ich kenne, umfasst 20 eng beschriebene Seiten. Ein zentraler Unterschied ist sicher die drastische Ausweitung des Anwendungsbereichs: Waren in der Vergangenheit beispielsweise Unternehmensnetzwerke weitgehend ausgenommen, da keine personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) verarbeitet wurden, so stellt die DSGVO in Art. 4 auf „Identifier“ ab, und dazu zählen auch Datentypen wie IP-Adressen oder Cookies.

Quelle: Microsite der Europäischen Komission

Eine andere Änderung, von der wohl fast jeder schon gehört hat, betrifft die Erweiterung des Sanktionsrahmens in Art. 83 Abs. 5 DSGVO, nach dem ein Unternehmensverstoß gegen die Verordnung mit Geldbußen in Höhe von 20 Millionen Euro oder 4 % des Konzernumsatzes geahndet werden kann, je nachdem, welcher Betrag höher ist. Zwar sind diese „Mondpreise“ dazu gedacht, auch Großkonzerne zu beeindrucken und so zur Gesetzestreue zu zwingen, stellen aber in der Praxis wohl für KMU die größere Gefahr dar: Wo geringere Ertragskraft mit geringerem Problembewusstsein zusammentrifft, kann es schnell eng und im Zweifel auch existenzgefährdend werden.

Um ein Beispiel für einen Verstoß zu nennen, der ein beträchtliches Bußgeld nach sich ziehen kann: Wer auf dem Firmenhandy zeitgleich über einen Exchange Client Outlook und WhatsApp nutzt, verstößt gegen die DSGVO. Immerhin gehört WhatsApp zu Facebook und überträgt personenbezogene Daten direkt in die USA.

Hinzu kommt, dass Art. 82 DSGVO bei Verstößen einen Anspruch auf Ersatz des erlittenen immateriellen Schadens kennt – das ist in dieser Form neu, und es muss sich noch zeigen, wie die in dieser Hinsicht traditionell zurückhaltend urteilenden deutschen Gerichte diese Norm anwenden werden.

Spürbare Erleichterungen hingegen gibt es so gut wie keine – und das ist auch nicht der Zweck der Verordnung. Zu erwähnen wäre vielleicht der Wegfall des grundsätzlichen Schriftformerfordernisses des § 4a BDSG: Für eine Einwilligung zur Datennutzung genügt nach DSGVO eine unmissverständliche Willensäußerung oder sonstige eindeutig zustimmende Handlung. Wie man diese beweiskräftig dokumentiert, ohne doch wieder zur Schriftform zu finden, steht auf einem anderen Blatt.

Worauf müssen KMU bei der Umsetzung der DSGVO besonders achten? Wo lauern Fallstricke?

Der größte Fallstrick wäre es, das Thema auf die leichte Schulter zu nehmen oder sogar zu ignorieren. Unternehmen, die sich der Bedeutung des Themas bewusst sind und die ein effektives Datenschutzmanagementsystem einführen, haben schon den wichtigsten Schritt getan. Denn ein zentrales Novum der DSGVO ist die Beweislastumkehr. Mussten früher Behörden oder Wettbewerber einen Verstoß gegen Datenschutzbestimmungen nachweisen, ist es heute umgekehrt: Jedes Unternehmen muss nachweisen, alle Datenschutzbestimmungen einzuhalten – was die Behörden anlassbezogen, aber auch im Rahmen einer Routineüberprüfung kontrollieren können und werden.

Benötigen jetzt alle KMU einen Datenschutzbeauftragten?

Anders als das Bundesdatenschutzgesetz stellt die DSGVO nicht auf eine bestimmte Größe von Betrieb oder Belegschaft ab, sondern auf die Art der genutzten Daten: Wer personenbezogene Daten verarbeitet, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, benötigt einen Datenschutzbeauftragten. Gleiches gilt für die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 DSGVO) oder Daten zu Aspekten wie strafrechtlichen Verurteilungen (Art. 10 DSGVO).

Quotation mark

KMU können die DSGVO als Möglichkeit nutzen, einmal die Gesamtheit der Prozesse strukturiert zu dokumentieren und Rationalisierungspotenziale aufzudecken.

Gibt es nationale Sonderregelungen innerhalb der EU, die KMU beachten müssen, die Mitarbeiter in verschiedenen Ländern beschäftigen?

Das DSGVO sieht Öffnungsklauseln für nationale Besonderheiten vor, die von allen EU-Staaten in unterschiedlichem Umfang bereits genutzt wurden oder ggf. noch genutzt werden. Welche das im Einzelnen sind, kann nur ein nationaler Experte sinnvoll beantworten. Sofern KMU die in der DSGVO erstmals geschaffene Möglichkeit nutzen, einen länderübergreifenden Konzernbeauftragten zu bestellen, so muss sich dieser auch mit den nationalen Besonderheiten vertraut machen.

Gerade im Online-Handel setzen viele KMU auf Analyse- und Trackingtools, von denen einige personenbezogene Daten auch ins Ausland übermitteln. Ein prominentes Beispiel ist Google Analytics. Worauf muss bei der Verwendung entsprechender Tools geachtet werden?

Was im Einzelfall zu tun ist, hängt jeweils vom konkreten Tool und den dabei genutzten Daten ab. In Ihrem Beispiel Google Analytics gibt es eine Einigung zwischen dem Hamburgischen Datenschutzbeauftragten und Google hinsichtlich einer datenschutzkonformen Nutzung, die grob gesagt auf die folgenden Elemente setzt:

  • einen Vertrag mit Google über die Auftrags(daten)verarbeitung,
  • die Einbindung einer IP-Anonymisierung auf der Unternehmenswebsite,
  • eine Anpassung der eigenen Datenschutzerklärung und
  • das Setzen eines Opt-out-Cookies sowie einer Verlinkung auf ein entsprechendes Browser-PlugIn.

Was geschieht, wenn trotz aller Vorsichtsmaßnahmen personenbezogene Daten in die Hände Dritter gelangen sollten – beispielsweise infolge eines Hackerangriffs? Wie müssen KMU in einem solchen Fall vorgehen? Wann und wo sind entsprechende Datenpannen zu melden?

Die hierbei greifenden Pflichten zählt Art. 33 DSGVO auf: Binnen 72 Stunden ist jede Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden, also dem jeweiligen Landesbeauftragten für den Datenschutz. Dabei ist die Verletzung nach Art und Umfang zu beschreiben, zu den wahrscheinlichen Folgen Stellung zu nehmen, die eigenen Maßnahmen zur Schadensbegrenzung sind darzulegen und natürlich ist die verantwortliche Stelle im Unternehmen als Ansprechpartner zu benennen.

Wer trägt die Verantwortung für die Datensicherheit, wenn ein Unternehmen Daten in der Cloud speichert – der Cloud-Provider, der Security-Provider oder das Unternehmen selbst?

Die DSGVO definiert den Begriff „Verantwortlicher“ als diejenige natürliche oder juristische Person, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Damit ist immer das Unternehmen selbst in erster Linie verantwortlich. Allerdings hat das Unternehmen gemäß Art. 82 Abs. 2 DSGVO die Möglichkeit, nachzuweisen, dass es in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist – das ist neu, und das ist fraglos ein Vorteil gegenüber der früheren Regelung.

An wen können sich Unternehmen wenden, die Klärungsbedarf hinsichtlich einzelner Bestimmungen der DSGVO haben oder Hilfe bei der Umsetzung benötigen?

Geeignete Ansprechpartner sind im Datenschutzrecht erfahrene Rechtsanwälte sowie spezialisierte Beratungsfirmen, die in der Regel auch den gesamten Einführungsprozess begleiten und geeignete Softwaretools zur Verfügung stellen können.

Herr Curvers, vielen Dank für das Gespräch!