Die DSGVO in KMU und Verein

Datenschutz

von Daniela Hörnicke

Die Datenschutzgrundverordnung (DSGVO) wirft auch nach 16 Monaten „Betrieb“ noch viele Fragen, vor allem bei Verantwortlichen in kleinen Unternehmen und Vereinen, auf. Oft bestehen Unsicherheiten hinsichtlich der Muss- und Soll-Anforderungen und Aufgaben. Wir beantworten in diesem Beitrag die sechs wichtigsten Fragen für KMU und Vereine.

Was gilt es in jedem Fall zu beachten?

  • Es gilt verschiedene Dokumentationspflichten zu erfüllen, um den Nachweispflichten aus Art. 5 DSGVO nachzukommen. Hierzu gehören z.B. Verarbeitungsübersichten und AV-Verträge.
  • Kunden- und Mitgliederlisten dürfen nicht offen einsehbar aufbewahrt werden, sondern müssen verschlossen bzw. auf gesicherten Systemen gespeichert werden, Art. 5 Abs. 1 lit. f DSGVO.
  • Auf die Webseite gehört eine aktuelle und vollständige Datenschutzerklärung, um den Informationspflichten aus Art. 12 DSGVO nachzukommen.

Wann muss eine Verarbeitungsübersicht geführt werden?

Gemäß Art. 30 Abs. 5 DSGVO muss jedes Unternehmen, welches nicht nur gelegentlich personenbezogene Daten verarbeitet, ein Verzeichnis führen. Die genannte Ausnahme bezüglich der Mitarbeiteranzahl von 250 greift also faktisch schon nicht mehr, sobald Beschäftigtendaten oder Kunden-/Mitgliederdaten verarbeitet werden, da dies regelmäßig geschieht.

Muss ich meine Kunden/Mitglieder über die Verarbeitung informieren?

Neukunden/-mitglieder müssen gem. Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung der Daten informiert werden. Bereits vor dem 25.05.18 bestehende Vertrags-/Mitgliedsverhältnisse sind von dieser Pflicht aber nicht betroffen. Idealerweise finden sich die Informationen in Ihrer Verarbeitungsübersicht und können so einfach erteilt werden.

Wann muss ich Daten löschen?

Personenbezogene Daten sind gem. Art. 17 DSGVO zu löschen, sobald der Verarbeitungszweck entfällt. Dementgegen stehen aber oft gesetzliche Aufbewahrungsfristen, die eine Archivierung für einen definierten Zeitraum fordern. Ist dieser aber abgelaufen, greift die Löschpflicht. Denken Sie auch an eine sichere Archivierung, um die Daten während der Aufbewahrung angemessen zu schützen.

Wie hoch fallen Sanktionen aus?

Die Höhe orientiert sich an der Schwere des Datenschutzverstoßes und kann ein Maximum von 10 bzw. 20 Mio. Euro erreichen. Adressat ist die Unternehmensleitung bzw. der Verein. Unter Umständen kann auch eine persönliche Haftung des Vorstands oder einzelner Mitglieder in Betracht kommen.

Was ist auf der Webseite zu beachten?

Eine Datenschutzerklärung, die die Art der Verarbeitung und die genutzten Dienste auflistet und erläutert soll mit max. 2 Klicks erreichbar sein, Pflichtfelder in Kontaktformularen auf ein Minimum begrenzt sein. Mitglieder- oder Kundenlisten dürfen nur mit Einwilligung der betroffenen Person(en) veröffentlich werden.

Gleiches gilt für Fotos. Welche Besonderheiten es dort sonst noch zu beachten gilt erfahren Sie in unserem nächsten Beitrag in 14 Tagen.

Zurück