Die General Data Protection Regulation (GDPR) ist ein Gesetz, das auf der ganzen Welt gehört wird, obwohl es sich um ein Gesetz der Europäischen Union (EU) handelt. Das liegt daran, dass das Gesetz regelt, wie Daten von EU-Bürgern gesammelt, gespeichert und verwendet werden dürfen von jedem Unternehmen oder jeder Organisation der Welt, darunter Verlage und Website-Betreiber. Dennoch gibt es viele Fragen darüber, inwieweit - oder ob überhaupt - das Gesetz für kleine und mittlere Unternehmen (SMBs) gilt.
Beantworten wir also eine beliebte Frage: "Gilt die GDPR auch für kleine Unternehmen?" Die Antwort ist "Ja". Kleine bis mittelständische Unternehmen sind unter dem gleichen Teleskop wie große Unternehmen, wenn es um GDPR geht.
Dennoch scheint es einige Fehlinformationen oder Missverständnisse bei Kleinunternehmern bezüglich ihrer Compliance zu geben. A Studie 2019 zeigte, dass etwa die Hälfte der kleinen Unternehmen in Europa nicht konform mit der GDPR waren - ein Jahr nachdem das Gesetz in Kraft getreten ist. KMUs außerhalb der EU tappen möglicherweise noch mehr im Dunkeln, was das Gesetz angeht, weil sie nicht glauben, dass das europäische Gesetz sie betreffen kann.
Wenn Sie personenbezogene Daten von Menschen in der EU sammeln, fallen Sie in den Geltungsbereich der GDPR. Um sicherzustellen, dass Ihr Unternehmen konform ist, haben wir diesen Leitfaden für Einsteiger in die GDPR für kleine Unternehmen zusammengestellt.
GDPR für SMBs: Die Grundlagen
Ihr KMU mag im großen Rahmen wie eine kleine Kartoffel erscheinen, aber die Datenschutzgrundverordnung gilt trotzdem. Es gibt zwar eine Art Ausnahmeregelung für Unternehmen mit weniger als 250 Mitarbeitern, aber sie lässt KMUs nicht völlig vom Haken.
Was diese Ausnahme bewirkt, ist die Einschränkung der Anforderung unter Artikel 30 dass Sie Aufzeichnungen über Ihre Datenverarbeitungstätigkeiten führen müssen. Dies gilt für Organisationen mit weniger als 250 Mitarbeitern, es sei denn:
"...die Verarbeitung, die er vornimmt, wahrscheinlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung besondere Kategorien von Daten gemäß Artikel 9 Absatz 1 oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 umfasst."
Mit anderen Worten: Wenn Ihre Datenverarbeitung für EU-Bürger häufig vorkommt, die Rechte oder Freiheiten von Personen gefährden könnte oder in einen besondere Datenkategorie, die in Artikel 9 aufgeführt istmüssen Sie trotzdem Aufzeichnungen führen.
Darüber hinaus muss Ihr KMU möglicherweise keinen Datenschutzbeauftragten (DSB) ernennen, wie es größere Unternehmen, die Daten in großem Umfang sammeln, tun. Sie können mehr über diese Anforderung erfahren in Artikel 37.
Konform werden
Es gibt keine vollständige Befreiung von der DSGVO für kleine Unternehmen, daher müssen Sie andere Bereiche des Gesetzes einhalten, wenn Sie Daten von EU-Personen sammeln. Selbst wenn Sie einen kleinen Blog mit Besuchern aus der EU besitzen, könnte dies auf Sie zutreffen.
Sicherstellung der Einhaltung von dem Moment an, in dem Sie Ihre Website in Betrieb nehmen, kann Ihnen später eine Menge Kopfschmerzen ersparen. Und wenn Sie einmal konform sind, müssen Sie sicherstellen, dass Sie es auch bleiben.
Bei der GDPR bedeutet Compliance vor allem Zustimmung. Sie müssen die Zustimmung der Benutzer einholen, bevor Sie Aktivitäten durchführen, die ihre Daten verwenden, wie Sammeln von Cookies auf Ihrer Website oder Hinzufügen zu einer E-Mail-Liste. Bieten Sie Transparenz in der Art und Weise, wie Sie Daten sammeln, durch eine detaillierte Datenschutz- und Cookie-Richtlinie ist ebenfalls ein Muss.
Um die Zustimmung Ihrer Besucher zu erhalten, verwenden Sie den ShareThis Plattform für Zustimmungsmanagement. Das Tool ermöglicht Transparenz, so dass Ihre Besucher entscheiden können, welche Informationen sie gerne von Ihnen sammeln lassen möchten.
Regelmäßige Revisionen
Wenn Ihr Unternehmen wächst, kann sich die DSGVO anders auf Sie auswirken, insbesondere wenn Ihr Unternehmen mehr als 250 Mitarbeiter einstellt. Es ist entscheidend, Ihr Unternehmen und seine Compliance durch regelmäßige Audits kontinuierlich zu überwachen, da sich die Art und Weise, wie Sie Daten sammeln und verarbeiten, weiterentwickeln kann.
Neben der Prüfung Ihres Datenerfassungsprozesses müssen Sie auch die Datenerfassungsprozesse von Dienstleistungen Dritter die Sie verwenden. Diese sammeln alle auf unterschiedliche Weise Daten, und es liegt an Ihnen, dafür zu sorgen, dass Ihre Kunden und Website-Besucher wissen, wie es funktioniert. Seien Sie sicher, dass Aktualisieren Sie Ihre Datenschutzrichtlinie wenn Sie Änderungen an der Art und Weise vornehmen, wie Sie oder Ihre Drittdienste Daten erfassen.
Hilfe heranziehen
GDPR kann für Unternehmen jeder Größe verwirrend sein, aber KMUs sind besonders im Nachteil, wenn sie nicht bereits mit einem juristischen Team zusammenarbeiten, das sie bei der Einhaltung des Gesetzes beraten kann. Die Hilfe von Rechtsexperten kann Ihr Unternehmen auf den richtigen Weg zur GDPR-Compliance bringen.
GDPR bringt eine saftige Geldstrafe mit sich, wenn Sie dabei erwischt werden, nicht konform zu sein. Und die Risiken sind für KMUs ohne den hohen Umsatz größerer Unternehmen größer. Derzeit liegen die Bußgelder bei 2-4 % des Jahresumsatzes Ihres Unternehmens oder bei 10-20 Millionen Euro, je nachdem, was höher ist.
Gehen Sie auf Nummer sicher und nehmen Sie die Hilfe eines Anwalts in Anspruch, der sich mit GDPR auskennt. Rufen Sie ein paar von ihnen an und nutzen Sie eine kostenlose Beratung, bevor Sie sich für den besten Anwalt für Ihr Unternehmen entscheiden.
Erleichtern Sie sich das Einholen der Zustimmung von Website-Besuchern mit dem ShareThis Plattform für Zustimmungsmanagement. Jetzt kostenlos loslegen.
