In welchem Umfang sind Kleinunternehmer in der Logistik von den Auflagen betroffen, die die Datenschutzgrundverordnung (DSGVO) vorschreibt?

Hans Markus Wulf: Die DSGVO gilt für alle Unternehmen – unabhängig von der Größe. Zurücklehnen kann sich da eigentlich keiner, denn heute ist ja alles digitalisiert und es gibt praktisch keinen Unternehmer, der keine Kunden- oder Mitarbeiterdaten auf dem Rechner hat. Selbst Einzelunternehmer ohne Angestellte müssen die neuen rechtlichen Vorschriften umsetzen, wenn sie personenbezogene Daten verarbeiten – wie etwa Kundennamen, Mailadressen und andere Kontaktdaten oder Kontonummern. Lediglich wenn es um den Datenschutzbeauftragten geht, wird zwischen großen und kleinen Betrieben unterschieden: Erst bei Unternehmen, in denen regelmäßig zehn oder mehr Mitarbeiter personenbezogene Daten bearbeiten oder speichern – also zum Beispiel einen eigenen Outlook-Account nutzen – muss ein Datenschutzbeauftragter benannt werden.

Wie muss der Datenschutz von Kleinunternehmen, die als Dienstleister für große Kurier-, Paket und Expressdienste arbeiten, mit dem ihrer regelmäßigen Auftraggeber und Partnerunternehmen abgestimmt werden?

Hans Markus Wulf: Der Versender und der Empfänger eines Pakets haben als Verkäufer und Kunde einen Vertrag. Der Verkäufer darf Daten an ein Transportunternehmen als Dienstleister weitergeben, um seinen Teil des Vertrages zu erfüllen. Das Transportunternehmen dient damit nur als verlängerter Arm. In diesem Fall ist die Übertragung der Daten, die erforderlich sind, um den Auftrag zu erfüllen – also Name, Adresse und vielleicht noch die Telefonnummer des Empfängers – relativ unproblematisch. Das muss dem Kunden zwar mitgeteilt werden, aber nur wenn mehr Daten weitergegeben werden sollen, als für die Transportunternehmen nötig, braucht es die Einwilligung des Kunden. Gleiches gilt grundsätzlich auch, wenn die Adressdaten des Empfängers von einem großen Logistikunternehmen an ein Partnerunternehmen weitergegeben werden, das die Auslieferung übernimmt. Da hat sich die Rechtslage mit der DSGVO nicht geändert.

Welche neuen Anforderungen stellt die DSGVO an Unternehmen?

Hans Markus Wulf: Jedes Unternehmen muss künftig genau wissen, wo personenbezogene Daten liegen, welche Provider bei der Speicherung oder beim Versand eingesetzt werden, welche Software zur Bearbeitung genutzt wird und an wen die Daten übermittelt werden oder wer von außen Zugriff auf die Systeme hat – etwa zur Fernwartung. Man muss dafür gerüstet sein, Datenschutzvorfälle schnell zu erkennen, wenn etwa Sicherheitslücken von Kriminellen ausgenutzt werden oder ein Mitarbeiter sein Notebook im Bahnabteil vergisst. Und es muss Prozesse geben, um diese Vorfälle schnell zu melden und gegebenenfalls die Betroffenen zu informieren. Dafür braucht es einige Vorbereitung, mit einer Datenschutzerklärung auf der Webseite und der Änderung der Verträge mit Dienstleistern ist es auch für kleine Unternehmen nicht getan.

Maßnahmen mit höchster Priorität

Wie können sich kleine Unternehmen mit knappen Ressourcen auf das ab dem 25. Mai 2018 geltende neue Datenschutzrecht vorbereiten?

Hans Markus Wulf: Die DSGVO ist ein ziemlich großes Paket und gerade kleinere Unternehmen mit begrenzten Kapazitäten sollten sich überlegen, welche Schritte sie zuerst angehen. Folgende Maßnahmen haben erste Priorität:

1. Den Onlineauftritt absichern – weil der von den Datenschutzbehörden und Abmahnern als erstes in Augenschein genommen wird; hierbei insbesondere auf den seit einigen Wochen zwingend notwendigen Opt-In für Cookies sowie auf Plug-Ins und Trackingtools achten – also die Zustimmung der Besucher einer Website zum Einsatz dieser Werkzeuge.
2. Ein ordentliches Verarbeitungsverzeichnis anlegen, in dem alle Systeme erfasst sind, mit denen Daten verarbeitet und gespeichert werden.
3. Verträge mit Dienstleistern und Kunden an die neue Rechtslage anpassen und eine Übersicht erstellen, an wen und zu welchem Zweck Daten übermittelt werden.
4. Systeme für die Meldung von Datenschutzvorfällen einführen.
5. Eine Datenschutzfolgeabschätzung etablieren, mit der geprüft werden kann, ob die Einführung neuer Systeme datenschutzrelevant ist und rechtskonform eingesetzt werden kann.
6. Vorgehensweise zum Beantworten von Anfragen Betroffener entwickeln, die zum Beispiel Auskunft, Berichtigung oder Löschung ihrer Daten verlangen.

Danach solle man sich dann mit weiteren Themen, wie den Mitarbeiterdaten, der IT-Sicherheit oder der Videoüberwachung beschäftigten

Was sind die Aufgaben eines Datenschutzbeauftragten?

Hans Markus Wulf: Mit dem neuen Gesetz ändern sich die Anforderungen an den Datenschutzbeauftragten. Während es bisher seine Aufgabe war, die datenschutzrechtlichen eigenständig anzugehen und umzusetzen, reduziert sich seine Rolle nun ab dem 25. Mai 2018 überwiegend auf die Bereiche Kontrolle und Beratung. Außerdem soll er Mitarbeiter für den Datenschutz sensibilisieren und schulen sowie mit Datenschutzbehörden kooperieren – etwa, um zur Aufklärung beizutragen, wenn es eine Beschwerde gegeben hat.

Wer kann die Aufgaben eines Datenschutzbeauftragten wahrnehmen?

Hans Markus Wulf: Der Datenschutzbeauftragte wird von der Geschäftsführung ernannt, darf aber selbst nicht Mitglied der Geschäftsführung sein, um Interessenskonflikte zu vermeiden. Wenn ein Mitarbeiter als interner Datenschutzbeauftragter diese Aufgabe übernehmen soll, wird er geschult, damit er über die nötigen technischen Kenntnisse verfügt und die Rechtslage genau kennt. Es ist aber auch möglich, einen externen Datenschutzbeauftragten zu beauftragen, der unabhängig ist und über die nötigen Fachkenntnisse verfügt.

Wie lassen sich Kosten und Aufwand der Umsetzung der neuen DSGVO-Regeln für kleine Unternehmen überschaubar halten?

Hans Markus Wulf: Die Umsetzung muss immer im Unternehmen stattfinden – aber sachkundigen Rat kann man sich von außen holen. Mit einem externen Datenschutzbeauftragten spart man nicht nur die Kosten für die Schulung und Freistellung eines Mitarbeiters für diese Aufgabe. Man hat damit auch einen sachkundigen Berater an seiner Seite, der schon bei Vorbereitung auf die DSGVO helfen kann. Das wird vor allem für viele Kleinunternehmer die günstigere Alternative sein. Die monatlichen Kosten dürften für kleine Betriebe bei etwa 300 Euro beginnen, bei mittelgroßen Unternehmen wächst der Umfang der Aufgaben, damit kann das Honorar für den externen Datenschutzbeauftragten bei großen Unternehmen auf mehrere Tausend Euro monatlich steigen.

Drohende Strafen bei Verstößen

Welche Strafen drohen Kleinunternehmern, die gegen die DSGVO verstoßen?

Hans Markus Wulf: Für alle Unternehmen gilt grundsätzlich das gleiche Strafmaß: Bei schwerwiegenden Verstößen kann eine Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängt werden – je nachdem, welche Summe höher ist. Bei geringeren Verstößen drohen Strafen von maximal 10 Millionen Euro oder zwei Prozent des Umsatzes. Auch wenn Strafen in maximaler Höhe nur selten verhängt werden dürften, dürften sie künftig insgesamt deutlich höher ausfallen. Nach altem Recht lag die Obergrenze bei 300.000 Euro und die Datenschutzbehörden sahen sich eher in der Rolle des Beraters. In Zukunft sind sie angehalten, Bußgelder festzusetzen und werden sich dabei am Strafmaß in anderen EU-Ländern orientieren. Wer sich mit der DSGVO noch nicht beschäftigt hat oder wissentlich gegen die neuen Regelungen verstößt, wird auch als Kleinunternehmer mit härteren Strafen rechnen müssen. Und es werde sicher mehr Strafen verhängt als bisher.

Wie dicht und regelmäßig werden die Kontrollen sein?

Hans Markus Wulf: Die Zahl der Mitarbeiter der Datenschutzbehörden bleibt auch mit der Einführung des neuen Rechts begrenzt. Aber sie werden auf Hinweise reagieren müssen. Außerdem sind Unternehmen künftig grundsätzlich verpflichtet, Datenschutzvorfälle selbst binnen 72 Stunden nach Bekanntwerden bei der Datenschutzbehörde zu melden, sonst drohen hohe Strafen. Und dann hat man die Datenschützer schnell im Haus, die Nachfragen stellen. Das wird die Kontrolldichte sicher erhöhen.

Vielen Dank für das Gespräch!