Datenschutz für kleine Unternehmen und Existenzgründer

Nachfolgend soll an einem, praktischen Beispiel des Muster-Unternehmens “Homedreams”, Inhaberin: Miranda Mustera, Geschäftszweig: Einzelhandel; Mitarbeitende: vier (ab zwanzig Mitarbeitenden: Bestellung eines betrieblichen Datenschutzbeauftragten) dargestellt werden, welche Anforderungen sich aus dem Datenschutz ergeben. Will jemand ein Unternehmen gründen, das Kontakt zu Endkunden hat, gelten datenschutzrechtlich die gleichen Anforderungen.

Rechtsgrundlage für Ihre Datenverarbeitung

Anbahnung und Durchführung von Verträgen

Wenn Frau Mustera ihren Kunden etwas verkaufen will oder eine Dienstleistung erbringen will, handelt es sich um die Anbahnung beziehungsweise Erfüllung eines Vertragsverhältnisses. Hierzu benötigt sie entsprechende Angaben ihrer Kunden (wie Name, Anschrift, Telefonnummer, vielleicht auch darüberhinausgehende Angaben wie das Geburtsdatum, Kontodaten, Fotos).
Für die Grunddaten zur Abwicklung des Vertrags benötigt Frau Mustera keine gesonderte Einwilligung ihrer Kunden, für darüber hinausgehende Daten und Zwecke aber schon. So sind z. B. das Geburtsdatum für Glückwunschbriefe, das Erfassen von Kaufinteressen, Teilnahme(interesse) an Kursen, Kontodaten und Fotos von Kunden/Teilnehmenden hingegen nicht erforderlich für die Erfüllung des Vertrags. Falls der Vertrag erfüllt ist und es keine gesetzlichen Gründe für seine Aufbewahrung mehr gibt (zum Beispiel steuerliche oder handelsrechtliche Gründe), müssen die Daten gelöscht werden.

Einwilligung

In bestimmten Fällen kann die Rechtsgrundlage auch eine Einwilligung sein (häufiger Fall: die Einwilligung, künftig Werbe-E-Mails zu erhalten). Frau Mustera kann eine elektronische Einwilligung einholen, darf aber keine voreingestellte Einwilligung in Form eines Häkchens verwenden. Zudem muss sie ihre Kunden darüber informieren, zu welchem Zweck sie diese Daten verarbeiten will.
Sie muss die Einwilligung dokumentieren. In der Einwilligungserklärung muss Frau Mustera auf die jederzeitige Widerrufbarkeit dieser Einwilligung hinweisen.
Bei der Einholung der Einwilligung muss sie nicht nur die datenschutzrechtlichen Anforderungen erfüllen, sondern auch bei einer Einwilligung zur Werbung das Gesetz gegen unlauteren Wettbewerb (UWG) beachten.
Bitte merken Sie sich: Die personenbezogenen Daten, die für eine Vertragsanbahnung oder -durchführung wirklich erforderlich sind, dürfen Sie auch ohne Einwilligung erfassen, da hier der Vertrag eine ausreichende Rechtsgrundlage bildet. Sie brauchen als nicht für jede Datenverarbeitung eine separate Einwilligung einzuholen. Sie sollten nach obligatorischen Daten (erforderlich für den Vertrag) und freiwilligen Daten (Einwilligung) trennen.

Informationspflichten

Sie müssen über Zweck und Umfang der Datenverarbeitung informieren. Diese Informationspflichten müssen zum Zeitpunkt der Erhebung der Daten gegenüber dem – zukünftigen – Kunden erfüllt werden. Mitzuteilen sind:
  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (sofern erforderlich)
  • Welche Kategorien von Daten für welche Zwecke verarbeitet werden (z. B. Daten wie Name, Anschrift und Kontaktdaten werden zur Anbahnung und Durchführung von Vertragsverhältnissen erfasst)
  • Die Rechtsgrundlagen der Datenverarbeitung (Anbahnung oder Durchführung von Verträgen, Einwilligung, berechtigtes Interesse; die möglichen Rechtsgrundlagen sind in Art. 6 Abs. 1 DSGVO aufgeführt; in der Regel ist Art. 6 Abs. 1 (b) einschlägig, wonach Daten zur Anbahnung und Durchführung von Vertragsverhältnissen erhoben und verarbeitet werden dürfen)
  • Wenn Sie die Datenverarbeitung auf Grundlage berechtigter Interessen stützen (das betrifft vor allem technisch notwendige Cookies, wie Cookies für Warenkorbfunktion, das Merken von Logins oder Spracheinstellungen), dann müssen auch die Interessen benannt werden, z. B. um die Nutzung der Website zu vereinfachen, indem der Browser auch nach einem Seitenwechsel wiedererkannt wird. Marketingmaßnahmen wie z. B. Google Analytics oder Facebook Pixel sollten auf die Einwilligung gestützt werden.
  • Die Empfänger oder Kategorien von Empfängern der Daten (z. B. Weiterleitung von Kundenname und Anschrift an Paketversender)
  • Die Absicht der Übermittlung von personenbezogenen Daten in ein Drittland/internationale Organisation (“Drittland” meint Staaten außerhalb der EU)
  • Hinweise zur Dauer der Datenspeicherung, oder falls dies nicht möglich ist, die Kriterien für die Festlegung der Dauer (in der Regel solange gesetzliche Aufbewahrungsfristen bestehen, z. B. handelsrechtlich, steuerrechtlich max. zehn Jahre, oder eine andere Dauer, soweit Sie einen Grund angeben können, warum die Daten aufbewahrt werden müssen, z. B. solange Verjährungsfristen im BGB laufen)
  • Hinweise auf die Rechte der Nutzer, das heißt auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerrufsrecht bei Einwilligungen, Beschwerderecht bei Aufsichtsbehörden
  • Wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Widerrufsrechts (z. B. zu bei einer getätigten Einwilligung zu Werbezwecken)
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche Folgen die Nichtbereitstellung hätte
  • Ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Falls die Daten nicht bei der betroffenen Person erhoben wurden, muss die Quelle angegeben werden, aus der die Daten stammen.
Für die Nutzer ihrer Internetseite muss Frau Mustera bekannt geben, ob und welche Cookies sie verwendet und ob sie die Nutzer der Seiten trackt. Dabei hat sie die Vorgaben für Cookies (Information über Art und Zweck der Cookies und ggf. die Einwilligung über ein Cookie-Banner) zu beachten. Nutzt sie hierfür einen Dienstleister, muss sie dazu eine Vereinbarung über die Auftragsverarbeitung schließen. Hat der Dienstleister seinen Sitz in einem Drittland, z. B. den USA, muss sie prüfen, ob die Weitergabe der Daten über weitere datenschutzrechtliche Mechanismen, wie EU-Standardvertragsklauseln abgesichert ist. Dabei handelt es sich um eine datenschutzrechtliche Muster-Vereinbarung zwischen der übermittelnden Stelle personenbezogener Daten und dem Empfänger der Daten zur Angemessenheit des europäischen Datenschutzniveaus. Mehr zum Hintergrund von Datenübermittlungen ins nicht-europäische Ausland erfahren Sie in unserem Artikel zum Datentransfer in Drittstaaten.
Die genannten Informationen sind über die firmeneigene Homepage in der Datenschutzerklärung mitzuteilen. Die Datenschutzerklärung ist auf der Website mit eigenem Link vorzuhalten. Sie sind nicht ins Impressum oder in AGBs aufzunehmen.
Bei einer persönlichen Kontaktaufnahme, wenn dabei personenbezogene Daten erhoben werden (z. B. Vertragsabschluss in den eigenen Geschäftsräumen), sollten die Informationen sichtbar in den Geschäftsräumen aushängen oder ausgehändigt werden.

Dienstleister und Auftragsverarbeitung

Hier muss sich Frau Mustera vorab die Fragen stellen, wo sie ihre Daten verarbeitet und auf welchen Servern (eigene oder bei einem Dritten)?
  • Die Daten können auf ihrem eigenen Server oder auf dem Server eines Dritten verarbeitet werden. Bei letzterem muss sie eine schriftliche (oder elektronische) Vereinbarung über die Auftragsverarbeitung schließen, denn der IT-Dienstleister darf die Daten nur nach ihrer Weisung verarbeiten. Liegen die Daten auf ihrem eigenen Server, nutzt sie aber eine Cloud-Anwendung, muss sie klären, ob die Daten in Deutschland, in Europa oder in den USA gespeichert sind. Im letzten Fall handelt es sich um einen Datentransfer in Drittländer, so dass Sie hierfür eine besondere Grundlage benötigen, wenn die Daten in die USA übermittelt werden.
  • Frau Mustera hat einen Internetauftritt, der von einer Webdesignagentur gestaltet wird. Hat die Webdesignagentur Zugriff auf die personenbezogenen Daten, die ihre Interessenten/Kunden dort angeben? Falls ja, muss sie auch hier eine Vereinbarung über die Auftragsverarbeitung schließen.
  • Frau Mustera lässt ihre Buchführung, insbesondere auch die Gehaltsabrechnungen ihrer Mitarbeitenden, über einen Steuerberater oder ein Lohnbüro abwickeln. Hierfür muss sie einen entsprechenden Dienstvertrag und eine Auftragsverarbeitung abschließen.
  • Miranda Mustera schaltet ein Inkassounternehmen ein, um säumige Kunden zur Zahlung auffordern zu lassen. Hierfür benötigt sie ebenfalls einen Dienstvertrag. Sie muss ihre Kunden zudem darauf aufmerksam machen, dass sie im Falle ausstehender Zahlungen ein Inkassounternehmen mit der Wahrnehmung ihrer Interessen beauftragt.
  • Frau Mustera nutzt einen elektronischen Bezahldienst, mit dem sie auch einen Dienstvertrag schließen muss.
Exkurs zum Onlineauftritt: Neben dem Datenschutz gibt es noch weitere gesetzliche Pflichten, die im Internet einzuhalten sind. Nach dem Digitale-Dienste-Gesetz (DDG) ist Frau Mustera verpflichtet, ein sogenanntes Impressum auf der Webseite bereitzustellen. Hierbei ist anzugeben: Geschäftsbezeichnung, Vorname, Name, Anschrift, ggf. Rechtsform, E-Mail-Adresse, Telefonnummer, Umsatzsteuer-Identifikationsnummer usw. Bei mehr als zehn Beschäftigten ist zusätzlich anzugeben, inwieweit die Bereitschaft oder Verpflichtung besteht, an einem Verfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§§ 36, 37 Verbraucherstreitbeilegungsgesetz). Hierfür ist auf die EU-Online-Streitbeilegungsplattform zu verlinken: https://ec.europa.eu/consumers/odr/ (und zwar als „klickbarer Link“) und anzugeben, ob man zur außergerichtlichen Streitbeilegung verpflichtet ist oder sich freiwillig dazu bereit erklärt. Diese Informationen sollten im Impressum und in den AGB (sofern vorhanden) stehen.
Für Unternehmen, die nicht verpflichtet und nicht bereit sind, an einem Streitbeilegungsverfahren teilzunehmen, ließe sich beispielhaft formulieren:
"Online-Schlichtung gemäß Art. 14 Abs. 1 ODR-VO und § 36 VSBG: Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit, die Sie unter https://ec.europa.eu/consumers/odr/ finden. Zur Teilnahme an einem Streitbeilegungsverfahren vor einer Vebraucherschlichtungsstelle sind wir nicht verpflichtet und grundsätzlich nicht bereit."
Achtung! Zum 20. Juli 2025 wird die Plattform eingestellt. Hier besteht Handlungsbedarf.

Lieferanten

Miranda Mustera hat Lieferanten, von denen sie ebenfalls Daten, wie Name, Anschrift, Telefonnummer, Produktangebot, Ansprechpartner, URL der Homepage und E-Mail-Adressen gespeichert hat. Diese Angaben fallen entweder unter das Vertragsverhältnis oder sie benötigt für bestimmte Angaben ebenfalls die Einwilligung der Person zur Speicherung ihrer Daten unter Angabe des Zweckes der Speicherung.

Mitarbeitende

Wenn Frau Mustera Mitarbeitende beschäftigt, muss sie diese auf die Vertraulichkeit von Daten verpflichten (auf das Berufsgeheimnis ist zu verpflichten, soweit solche Daten verarbeitet werden, die unter ein Berufsgeheimnis fallen) und sie auf den Datenschutz hinweisen bzw. sie angemessen schulen und dies dokumentieren. Sie hat ihre Mitarbeitenden darüber zu informieren, welche Daten und zu welchem Zweck sie diese verarbeitet. Sollte sie ihren Mitarbeitenden die private Nutzung von E-Mails und des Internets in der Arbeitszeit erlauben, sollte sie vereinbaren, welchen Umfang diese Nutzung umfassen darf und dass die Nutzung bestimmte Inhalte nicht betreffen darf. Die Gestattung kann Frau Mustera mit einer Einwilligung verbinden, dass die Mitarbeitenden ihre Kontrollen gestatten, damit weder Inhalt noch Umfang der Nutzung gegen Gesetze und die arbeitsrechtlichen Pflichten verstoßen. Diese Einwilligung muss in Schriftform erfolgen.

Weitere Anforderungen im Datenschutz

Miranda Mustera muss ihre Verfahren in einem sogenannten Verzeichnis für die Verarbeitungstätigkeiten mit folgenden Angaben dokumentieren
  • Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggfs. des gemeinsam Verantwortlichen sowie des etwaigen Datenschutzbeauftragten
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Kategorie der betroffenen Personen und personenbezogenen Daten
  • Kategorie von Empfängern der Daten
  • Übermittlung in Drittstaaten
  • Löschfristen
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung
Sie muss sicherstellen, dass sie innerhalb eines Monats ein Auskunftsersuchen beantworten kann, wenn jemand erfahren möchte (meistens ein Kunde), welche Daten über ihn gespeichert sind.
Außerdem muss sie im Umgang mit eventuellen Datenverstößen aufpassen: Datenverstöße sind innerhalb von 72 Stunden der Aufsicht zu melden. Die Person deren Daten betroffen sind, ist unverzüglich über den Datenverstoß zu informieren.
Frau Mustera muss ein Löschkonzept vorhalten (geregelt für: sechs Jahre Geschäftsbriefe, zehn Jahre steuerrelevante Unterlagen, sechs Monate Bewerbungsunterlagen). Alle anderen Daten und Dokumente mit personenbezogenen Daten müssen gelöscht bzw. vernichtet werden, wenn sie nicht mehr benötigt werden (Datensätze löschen, Datenträger zerstören, Papierunterlagen mit personenbezogenen Daten schreddern).
Vor Versendung eines Newsletters oder Werbe-E-Mails hat sie die Einwilligung der Adressaten einzuholen. Elektronisch versendete Werbung ist nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ohne vorherige ausdrückliche und nachweisbare Einwilligung des Empfängers grundsätzlich unzulässig. Dies gilt auch, wenn der Empfänger ein gewerblicher Kunde ist. Mehr zum rechtlichen Rahmen in diesem Zusammenhang erfahren Sie in unserem Artikel zur Werbung.

Technisch-organisatorische Maßnahmen

Sie betreffen die Frage, wie sicher die Informationssicherheit ist (IT, Sicherheit im Büro/Ge-schäft); auch dies muss dokumentiert werden. Miranda Mustera muss insbesondere mit ihrem Steuerberater klären, wie die sensiblen Daten ihrer Mitarbeiter (Gesundheitsdaten, Religionszugehörigkeit) gut geschützt sind. Hierzu müssen bestimmte Maßnahmen ergriffen werden (neu: Risikobewertung/Datenschutz-Folgenabschätzung). Eine Übermittlung per E‑Mail ohne weitere Sicherheitsmaßnahmen ist datenschutzrechtlich nicht zulässig. Nachstehende Punkte geben einen groben Anhaltspunkt für solche Maßnahmen:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1.1 Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
1.2 Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
2.2 Eingabekontrolle/Verarbeitungskontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
2.3 Dokumentationskontrolle
Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.
2.4 Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
3.1 Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
3.2 Belastbarkeit (Widerstandsfähigkeit/ Resilienz von Systemen/ Diensten)
Maßnahmen die gewährleisten, dass technische Systeme, bei Störungen bzw. Teil-Ausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden.
Frau Mustera muss ihre Daten so sichern, dass sie sie bei einem eventuellen Verlust wiederherstellen kann.
Bei der Einholung der Einwilligung muss sie nicht nur die datenschutzrechtlichen Anforderungen erfüllen, sondern auch bei einer Einwilligung zur Werbung das Gesetz gegen unlauteren Wettbewerb (UWG) beachten.

Weitere Informationen und Muster

www.ds-kleinunternehmen.de – Schritt-für-Schritt-Anleitungen
Die Stiftung Datenschutz wurde 2013 von der Bundesregierung gegründet.
www.gdd.de – Gesellschaft für Datenschutz und Datensicherheit mit Mustern z. B. zu einem Vertrag über die Auftragsverarbeitung
www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/DSGVO_Kurzpapiere.html?cms_submit=Senden&cms_templateQueryString=kurzpapier - Kurzpapier der Datenschutzaufsichtsbehörden zu bestimmten Aspekten der DSGVO
Eine Handreichung der Bayerischen Landesdatenschutzaufsicht für Kleinunternehmen und Vereine zu der EU-Datenschutz-Grundverordnung finden Sie hier.
Weitere Informationen mit Praxishilfen und häufig gestellten Fragen (FAQs) finden Sie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg,
www.baden-wuerttemberg.datenschutz.de/praxishilfen
www.baden-wuerttemberg.datenschutz.de/faqs
Stand: Mai 2024