Ich ver­ar­beite gar keine per­so­nen­be­zo­ge­nen Daten

Wer als Unter­neh­mer glaubt, gar keine per­so­nen­be­zo­ge­nen Daten zu ver­ar­bei­ten, und die Vor­schrif­ten der DSGVO des­halb nicht ein­hal­ten zu müs­sen, liegt falsch.

Für wen gilt die DSGVO eigent­lich?

Grund­sätz­lich von der DSGVO betrof­fen sind sämt­li­che Unter­neh­men oder Ein­rich­tun­gen, die im Rah­men ihrer Tätig­keit per­so­nen­be­zo­gene Daten, etwa von Kun­den oder Lie­fe­ran­ten, erhe­ben und somit ver­ar­bei­ten. Dabei spielt es keine Rolle, ob es sich dabei um ein Ein­zel­un­ter­neh­men, einen Klein­tier­züch­ter­ver­ein oder einen Kon­zern han­delt. Selbst dann, wenn ein Unter­neh­men außer­halb der EU tätig ist und vor dort aus Waren oder Dienst­leis­tun­gen anbie­tet, unab­hän­gig ob gegen Bezah­lung oder unent­gelt­lich.

„… und wenn ich gar keine per­so­nen­be­zo­ge­nen Daten ver­ar­beite?

Unter­neh­men aller Grö­ßen­ord­nun­gen sind im Netz mit eige­nen Web­sites ver­tre­ten. Ent­spre­chend müs­sen sie sich mit den Vor­ga­ben der Daten­schutz­grund­ver­ord­nung im Zusam­men­wir­ken mit dem Thema ePri­vacy sowie den deut­schen Daten­schutz­vor­schrif­ten beschäf­ti­gen. Selbst für den Fall, dass keine per­so­nen­be­zo­ge­nen Daten über die Web­site abge­fragt wer­den, wird die IP-Adresse des Benut­zers mit Zeit­punkt des Besuchs, dem Inter­net­pro­vi­der und den besuch­ten Sei­ten gespei­chert – und alleine die­ser Vor­gang zählt bereits zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Aber auch außer­halb des Inter­nets wer­den per­so­nen­be­zo­ge­nen Daten in vie­len Berei­chen und Abtei­lun­gen Ihres Unter­neh­mens ver­ab­rei­tet, egal ob zum Bei­spiel im Ein­kauf (Lie­fe­ran­ten­da­ten), der Buch­hal­tung (Kun­den- und Lie­fe­ran­ten­da­ten) oder der Per­so­nal­ab­tei­lung (Mit­ar­bei­ter- und Bewer­ber­da­ten).

Was ver­steht die DSGVO unter per­so­nen­be­zo­ge­nen Daten?

Um die Frage zu beant­wor­ten, reicht ein Blick in § 4 Abs. 1, in dem es um Begriffs­be­stim­mun­gen geht, die inner­halb der DSGVO zur Anwen­dung kom­men. Danach sind per­so­nen­be­zo­gene Daten alle Infor­ma­tio­nen, die sich auf eine soge­nannte „betrof­fene Per­son“ bezie­hen. Und zwar auf eine iden­ti­fi­zierte oder iden­ti­fi­zier­bare natür­li­che Per­son. Iden­ti­fi­zier­bar bedeu­tet die Mög­lich­keit einer direk­ten oder indi­rek­ten Zuord­nung über eine Ken­nung wie Name, Stand­ort­da­ten oder von Merk­ma­len, die eine Iden­ti­fi­zie­rung über phy­si­sche, phy­sio­lo­gi­sche, gene­ti­sche, psy­chi­sche, wirt­schaft­li­che, kul­tu­relle oder eine soziale Iden­ti­tät zulas­sen.

Die Juris­ten haben einen guten Job gemacht und gleich auch noch den Begriff „Ver­ar­bei­tung“ fest­ge­schrie­ben. Ihre Defi­ni­tion von Ver­ar­bei­tun­gen beschreibt alle auto­ma­ti­sier­ten Ver­fah­ren und Vor­gänge sowie sol­che Vor­gangs­rei­hen, die im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten auf­tau­chen. Dar­un­ter fal­len die Begriffe des Erfas­sens, der Orga­ni­sa­tion, das Ord­nen, die Spei­che­rung, die Anpas­sung oder Ver­än­de­rung, des Aus­le­sen und Abfra­gen, die Ver­wen­dung, die Offen­le­gung per­sön­li­cher Daten durch Über­mitt­lung, Ver­brei­tung oder eine andere Form der Bereit­stel­lung der Daten, einen Abgleich oder eine Ver­knüp­fung, die Ein­schrän­kung, die Löschung oder die Ver­nich­tung per­so­nen­be­zo­ge­ner Daten oder ent­spre­chen­den Medien, kurz sämt­li­cher Spei­cher­me­dien.

Sank­tio­nen bei Nicht­er­fül­lung der DSGVO-Vor­ga­ben

Erfül­len Sie die für Sie gel­ten­den Vor­ga­ben der DSGVO nicht, kön­nen Sie sich gegen­über einer Auf­sichts­be­hörde nicht damit her­aus­re­den, keine per­so­nen­be­zo­ge­nen Daten zu ver­ar­bei­ten. Wurde ein Ver­stoß bereits vor der Rechts­gül­tig­keit der Grund­ver­ord­nung fest­ge­stellt, droh­ten Buß­gel­der in Höhe von bis zu 300.000 Euro. Diese Grenz­werte haben sich weit nach oben ver­scho­ben auf bis zu 20 Mil­lio­nen Euro, bezie­hungs­weise auf bis zu 4 Pro­zent des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes Ihres Unter­neh­men, je nach­dem, wel­cher Betrag höher aus­fällt. Auf jeden Fall ver­fah­ren Auf­sichts­be­hör­den bei der Fest­le­gung von Buß­gel­dern nach dem Anspruch, dass Buß­gel­der im Ein­zel­fall wirk­sam, ver­hält­nis­mä­ßig und abschre­ckend sind.

Buß­geld­fest­for­de­run­gen seit 25. Mai 2018

Wer glaubt, dass Auf­sichts­be­hör­den nicht aktiv seien Daten­schutz­ver­stöße fest­zu­stel­len bezie­hungs­weise mit Buß­gel­dern zu sank­tio­nie­ren, der täuscht sich. Nach einem Jahr wur­den deutsch­land­weit über 100 Buß­geld­for­de­run­gen mit einer Gesamt­summe von fast 500.000 Euro öffent­lich kom­mu­ni­ziert. Im Ein­zel­nen wur­den aus­ge­spro­chen:

  • Baden-Würt­tem­berg: 7 Buß­geld­ver­fah­ren, ins­ge­samt ein­ge­for­dert: 203.000 Euro
  • Rhein­land-Pfalz: 9 Buß­geld­ver­fah­ren, ins­ge­samt ein­ge­for­dert: 124.000 Euro
  • Ber­lin: 18 Buß­geld­ver­fah­ren, ins­ge­samt ein­ge­for­dert: 105.600 Euro
  • Ham­burg: 3 Buß­geld­ver­fah­ren, ins­ge­samt ein­ge­for­dert: 25.500 Euro
  • Nord­rhein-West­fa­len: 36 Buß­geld­ver­fah­ren, ein­ge­for­dert ins­ge­samt: 15.600 Euro
  • Saar­land: 3 Buß­geld­ver­fah­ren, ins­ge­samt ein­ge­for­dert: 590 Euro
  • Sachen-Anhalt: 1 Buß­geld­ver­fah­ren, ein­ge­for­dert: 2.000 Euro
  • Thü­rin­gen: 23 Buß­geld­ver­fah­ren, wobei die ein­ge­for­derte Summe nicht bekannt ist

Es han­delt sich hier­bei jedoch ledig­lich um eine Auf­lis­tung der öffent­lich kom­mu­ni­zier­ten Buß­gel­der. Die Auf­zäh­lun­gen dürfte bei­wei­tem nicht kom­plett sein.

Fazit:

Die DSGVO ein­fach zu igno­rie­ren und die Auf­fas­sung zu ver­tre­ten, sie könne nicht für klei­nere Unter­neh­men gemacht sein, ist der fal­sche Ansatz. Trotz aller Vor­ur­teile und Irr­tü­mern geht es im Rah­men der Daten­ver­ar­bei­tung um den Schutz natür­li­cher Per­so­nen, eine Grund­ver­pflich­tung, die jedem Unter­neh­men zugu­te­kom­men dürfte, dass Wert auf treue Kun­den legt. Ent­spre­chend soll­ten Sie sich ver­ab­schie­den unter ande­rem von dem Hin­weis, Sie wür­den ja gar keine per­so­nen­be­zo­ge­nen Daten von Kun­den oder ande­ren Stel­len ver­ar­bei­ten.

DSGVO Kontakt - Telefon Rückruf

OK

Vielen Dank für Ihre Nachricht, wir melden uns bei Ihnen.