„Jetzt auch das noch.“. So oder so ähnlich klingen die ersten Lebenszeichen eines Unternehmers, wenn er realisiert, dass auch er zu den Verpflichteten der Datenschutzgrundverordnung (DSGVO) gehört.
Tatsächlich ist dies kein mittelprächtiger Witz, sondern eine Realität, die mit Datum vom 25. Mai 2018 (Artikel 99 DSGVO) jedes Unternehmen verpflichtet, entsprechende Maßnahmen umzusetzen, zu leben und zu dokumentieren.
Jedes Unternehmen meint tatsächlich, dass auch Ein-Personen-Unternehmen vom Thema betroffen sind. Dies klingt zunächst etwas seltsam, ist aber vom Gesetzgeber (hier ist es das Europäische Parlament und der Rat, die die Verordnung 2016/679 mit dem Datum vom 27. April 2016 rechtswirksam veröffentlicht haben) so gewollt.
„Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.“ sagt die Verordnung als Beginn einer längeren Begründung in der ersten Erläuterung von insgesamt 173 Erläuterungen (der Gesetztestext beginnt erst danach mit den 99 Artikeln). Vereinfacht zusammengefasst, bedeutet dies, dass ein Grundrecht nicht erst gilt, wenn ein Unternehmen eine relevante Größe erreicht hat.
Zwar erlaubt die Verordnung in dem Artikelgesetz eine Angemessenheit von Mitteln für die Umsetzung der DSGVO, aber an der grundsätzlichen Notwendigkeit der Umsetzung durch ein kleines Unternehmen ändert sich leider nichts.
Eine zusätzliche Brisanz erfährt das Thema durch das Kapitel VIII Rechtsbehelfe, Haftung und Sanktionen in der DSGVO, dass ab dem Artikel 77 mit einem Höhepunkt in Artikel 83 die Maßnahmen beschreibt, die bei Nichtdurchführung der geforderten Umsetzung der DSGVO drohen. Hier werden Geldbußen bis zu Mio 20 EUR oder bis zu 4% des weltweiten Jahresumsatzes formuliert, dies in Abhängigkeit des Verstoßes. In den Artikeln 83 und 84 wird jeweils im ersten Absatz die Ernsthaftigkeit der beschriebenen Mittel mit den Passagen „wirksam, verhältnismäßig und abschreckend“ erläutert. Für ein in Deutschland geltendes Gesetz eine selten klare Formulierung.
Nun kann das Unternehmen, die Meinung vertreten: „Meine Strategie lautet: ich verhalte mich ruhig, mache mich unsichtbar, verhalte mich gutwillig und warte ab“. Dies als erweiterte Variante des 3-Affen-Theorems (nichts Sehen, nichts Hören und nichts Sagen). Eine Strategie, die in der Vergangenheit mehrfach erprobt und für gut befunden wurde.
Für die DSGVO könnte dies die falsche Strategie sein. Zentrales Thema der DSGVO sind die personenbezogenen Daten, die einem Grundrecht entsprechen und geschützt werden sollen. Und dies nicht nur unabhängig von der Größe des Unternehmens sondern auch von der Anzahl der personenbezogenen Daten.
Ob es sich um einen Datensatz einer einzelnen Person oder um die Datensätze der Bevölkerung einer Großstadt handelt, ist den Erstellern der DSGVO egal. Jede Person hat das Recht das Unternehmen zu befragen, ob es Daten von dieser Person besitzt, warum diese Daten sich im Besitz befinden und wie diese lauten. Gibt es Daten, können weitere Rechte resultieren, die z.B. das Löschen und das Ändern der Daten zur Folge haben. Werden entsprechende Anfragen nicht qualifiziert beantwortet oder sogar ignoriert, kann die Person die zuständigen Landesbeautragten für den Datenschutz (LfD) des zuständigen Bundeslandes für den Datenschutz informieren. Die LfD haben zwischenzeitig ihre Ressourcen ausgebaut und komplexe Internetseiten erstellt, die entsprechende Mitteilungen an die Ämter mit Online-Fragebögen vorbereitet anbieten.
Dies ist ein Einfallstor, das jedem Unternehmen unplanbar Probleme bereiten wird, wenn die Ignorierung dieses Themas die einzige Strategie darstellt.
Unbestreitbar ist die DSGVO ein Reizthema, weil es die Unternehmensführung zusätzlich erschwert und Kosten verursachen wird. Das aktive Bearbeiten des Themas kann aber auch die Chance bieten, ein zeitgemäßes Unternehmen zu werden und Dinge mit zu erledigen, die schon lange auf Erledigung warten. Häufig sind dies digitale Themen in Verbindung mit IT-Themen rund um Sicherheit und Organisation.
Die Frage bleibt: wie kann in einem kleinen Unternehmen ein so sperriges Thema, wie die DSGVO, zur Umsetzung kommen. Und eine weitere Frage stellt sich ebenso: Wie hoch sind die Kosten für die DSGVO?
T/G/R hat für sich selber und für andere Unternehmen ein Konzept erarbeitet, wie in einem kleinen Unternehmen die DSGVO sinnvoll und angemessen umgesetzt werden kann.
Zwei gute Nachrichten am Ende:
Das Thema Unternehmensberatung in Sachen DSGVO ist im Rahmen der BAFA förderfähig.
Die DSGVO hat einen prominenten Unterzeichner: eine von zwei unterzeichnenden Vertretern der EU ist der damalige Präsident des europäischen Parlamentes Martin Schulz.
Ein Gedanke zu „DSGVO und kleine Unternehmen“
Gut zu wissen, dass die DSGVO sogar für Ein-Personen-Unternehmen gilt! Das finde ich wichtig und gerecht. Ich habe seit Kurzem mein eigenes Unternehmen gegründet und soll auf jeden Fall mehr über das Thema erfahren. Am besten werde ich mich beraten lassen. Danke für den Beitrag!