„Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ – so der schon mammutgleiche Titel des nicht minder umfangreichen und höchstkomplizierten Gesetzeswerks, welches als EU-DSGVO einer Menge Menschen schlaflose Nächte beschert. Mit diesem Artikel möchten wir an den ersten DSGVO-Ratgeber anknüpfen. Dazu entwirren wir die Gesetze auf das Wesentliche und zeigen Gründern unter Einbeziehung ihrer Business-Realitäten, was sie nun tun müssen.

Wozu dient die DSGVO und welches sind ihre tragenden Säulen? Mit diesen beiden Fragen soll die Erklärung eingeläutet werden.

Eigentlich ist es ganz einfach: Die DSGVO soll eine zeitgemäße und EU-einheitliche Maßnahme sein, damit die Daten von Personen geschützt werden. „Daten“ kann dabei alles über den Namen, die IP-Adresse, Verhaltensmuster im Internet sein. Und man kann sich als Gründer (und sowieso jeder, der irgendwie mit personenbezogenen Daten umgeht) folgendes merken: Die DSGVO ist ein sogenanntes Verbotsprinzip. Es gilt folgender Merksatz:

Unter der DSGVO ist im Umgang mit personenbezogenen Daten alles verboten, zu dem die Person, der die Daten gehören, nicht ihre ausdrückliche Einverständniserklärung gegeben hat

Einfaches Beispiel: Man möchte eine Bewerberrunde starten und bekommt dazu eine ganze Reihe von Unterlagen, die randvoll mit personenbezogenen Daten sind. Dann muss man nicht nur dokumentieren, sondern jedem Bewerber mitteilen:

• Wer verantwortlich ist
• Wofür die Daten verwendet werden
• Wer auf diese Daten zugreifen kann
• Wie lange die Daten gespeichert werden

(Beinahe) ähnlich sieht es bei allen anderen nur denkbaren Kategorien aus. Genauer gesagt hat die EU dies für die DSGV in sieben Grundsätzen festgelegt:

1. Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten
2. Artikel 6: Rechtmäßigkeit der Verarbeitung (Grenzen, die erst erfüllt sein müssen, um die Verarbeitung rechtmäßig zu machen)
3. Artikel 7: Bedingungen für die Einwilligung
4. Artikel 8: Bedingungen für die Einwilligung eines Kindes
5. Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten (Biometrische Daten, sowie ferner solche, aus denen ethnische Zugehörigkeit, Religion, Überzeugungen und Weltanschauungen hervorgehen)
6. Artikel 10: Verarbeitung personenbezogener Daten über Verurteilungen und Straftaten
7. Artikel 11: Verarbeitung, die für eine Identifizierung nicht erforderlich ist (was mit Daten zu tun ist, bei denen kein Personenbezug notwendig ist)

Alles weitere, das in dem 88-seitigen Dokument noch erwähnt wird, dient „nur“ zur genaueren Definition dieser Grundsätze.

Allerdings ändert das natürlich nichts an der Tatsache, dass es einem nun Handlungsbedarf auferlegt. Wer es noch nicht getan hat sollte sich definitiv sputen, denn das Gesetz gilt schon seit Ende Mai und es drohen, zumindest theoretisch, schon jetzt Strafen, die sich in Höhe von zwei bis vier Prozent des -e-mweltweiten Jahresumsatzes bewegen bzw. bis zu 20 Millionen Euro.

Das Problem am DSGVO ist, dass nicht nur das Gesetz selbst üppig ist, sondern auch medial enorm viel Staub darum aufgewirbelt wurde. Schon titelte Deutschlands meistverkaufte Tageszeitung in gewohnt reißerischen Lettern mit „DSGVO-Chaos“. Dabei geht es eigentlich nur um zwei Kategorien von Daten:

• Nur für Daten von Privatpersonen, also Natürlichen Personen. Die DSGVO gilt nicht für Juristische Personen.
• Nur für Unternehmen, die in der EU ansässig sind sowie ferner außereuropäischen Unternehmen, die entweder in der EU Niederlassungen haben oder aber die Daten Natürlicher Personen mit Wohnsitz in der EU verarbeiten.

Beispiel 1: Ihr Unternehmen sitzt in Düsseldorf und Sie verkaufen Bürosoftware ausschließlich im B2B-Bereich. In ihrem gesamten Kundenstamm finden sich keine Natürlichen Personen. Die DSGVO findet keine Anwendung, sofern es keine einzelnen Natürlichen Personen in diesen Unternehmen zuordbare Kontaktdaten gibt.

Beispiel 2: Ihr Unternehmen sitzt in Bogota, Sie verkaufen Brettspiele und zu ihrem Kundenstamm gehören auch Privatpersonen aus Deutschland, Frankreich und Polen. Die DSGVO findet Anwendung.

Beispiel 3: Ihr Unternehmen sitzt in Antalya, Sie entwickeln Urlaubsbilder, auch von EU-Bürgern. Die DSGVO findet keine Anwendung, sofern die Fotos ausschließlich vor Ort entwickelt und keine weiteren personenbezogenen Daten erhoben werden. 

Zu den großen Themen, welche die DSGVO-Nachrichtenlage bestimmen, gehörte auch, dass Unternehmen einen Datenschutzbeauftragten bestimmen müssen. Ja, aber an den meisten Gründern dürfte dieser Teil des Gesetzes vorbeigehen. Er findet nämlich nur dann Anwendung, wenn im Unternehmen zehn oder mehr Mitarbeiter regelmäßig mit personenbezogenen Daten arbeiten. Wessen Unternehmen gar nicht auf diese Mitarbeiterzahl kommt, der kann Geschäftsführer und Datenschutzbeauftragten in Personalunion auf sich vereinigen. 

Bei sehr vielen Natürlichen Personen quellen derzeit die E-Mail-Eingangsordner regelrecht über, weil jeder Onlineshop, bei dem sie jemals etwas bestellt haben, eine erneute Einwilligung für Newsletter und andere regelmäßige Erinnerungen einfordert. Kann man machen, muss man aber nicht unbedingt. Denn Kampagnen in Zeiten der DSGVO benötigen nur in einem Fall eine erneute Zustimmung: Wenn die Empfänger dem Newsletter in der Vergangenheit zwar zugestimmt oder sich freiwillig angemeldet haben, aber kein Nachweis mehr vorhanden ist. Haben die Kunden schon per Double-Opt-In zugestimmt und ist der Nachweis vorhanden bzw. wurde nie die Newsletter-Zustimmung eingeholt, braucht bzw. sollte keine Einwilligung ersucht werden.

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen […]“, so sagt es Artikel 30. Er ist es, der viele Firmenchefs ins Schwitzen bringt: Muss jetzt wirklich über alles ein Verarbeitungsverzeichnis geführt werden? Für Gründer zunächst mal NEIN. Denn das Gesetz bezieht sich erst mal nur auf Unternehmen mit mehr als 250 Angestellten. Für kleinere Firmen gilt die Pflicht nur unter der Prämisse:

• dass die Daten denen aus Artikeln 9 und 10 entsprechen
  und/oder
• dass die Daten Hinweise auf die Person hinter dem Profil geben

Bedeutet also im Klartext: Jeder, der auch nur eine normale Kundendatenbank besitzt, muss nachweisen. Doch in dem Fall muss man nicht das Rad neu erfinden. Es gibt von offizieller Seite auch Mustervorlagen, an die man sich halten kann. Das gilt auch für inhouse-Daten. Etwa die Mitarbeiterdaten.

Kern der DSGVO ist es, typischen „Datenkraken“ ihr Tun zu erschweren. Leider trifft das naturgemäß auch kleinere Unternehmen. Es ist also in jedem Fall nun erforderlich, aufs Genaueste zu prüfen, welche Daten man überhaupt erhebt und für wie lange. Summa summarum folgendes:

• Der Kunde muss darüber informiert werden, welche Daten warum erhoben werden und wie lange sie gespeichert werden
• Der Kunde muss auf Wunsch jederzeit in seine Daten Einsicht haben können und ferner erfahren dürfen, was mit den Daten geschieht
• Der Kunde hat das Recht, der Verarbeitung zu widersprechen, die Datenlöschung sowie Berichtigung zu beantragen

Zudem muss alles in einem DSGVO-konformen Prozesshandbuch dokumentiert werden. Falls es im Unternehmen eingekaufte Adresslisten ohne Zustimmung gibt: weg damit. Für die Zukunft gilt, es sollten nur noch solche Daten erhoben werden, die für die Durchführung des Auftrags unabdingbar sind, auch wenn das so manche liebgewonnenen Marketing-Maßnahmen erschwert bis verunmöglicht.

Es ist kaum möglich, ein solches Monument-Dokument wie die DSGVO auf einige wenige Verhaltensmuster einzudampfen und trotzdem alle Eventualitäten zu berücksichtigen. Dennoch können Gründer sich an folgendem orientieren:

• Minimierung der erhobenen Daten
• Informationen darüber geben, was mit den Daten angestellt wird
• Einverständnis für jede Datenverwendung einholen
• Zeitliche Begrenzung der Speicherungsdauer auf das absolut Notwendige
• Möglichst häufig anonymisieren
• Außenstehende und Dritte nicht vergessen
• Untergebene für die Notwendigkeiten sensibilisieren
• Sachkundige mit ins Boot holen

Oder kurz als besser merkbares Akronym: MIEZMAUS.

Die DSGVO ist ein sehr umfangreiches Machwerk, welches von keinem Gründer ignoriert werden kann. Wenn man sich aber mal durch den Paragraphendschungel gekämpft hat, fällt einem schnell auf, dass es ein logisches Konstrukt mit recht genauen Handlungsanweisungen ist, auch wenn diese längst nicht „mal eben“ durchgearbeitet werden können.