"Warum wird das Thema Datenschutz verkompliziert, wenn es doch so einfach und auch einfach umzusetzen ist?"
Zu unserer Beratungspraxis gehört es nicht, Dinge unnötig zu verkomplizieren. Die Vorgaben der DSGVO sind praktisch aber nicht immer einfach umzusetzen – um ein weiterhin aktuelles Beispiel zu bemühen: Schrems II. Für viele Unternehmen ist es alles andere als einfach, von einem Tag auf den anderen internationale Datentransfers zu verändern oder sogar zu unterlassen, zumal es noch immer keine einheitliche, klaren Vorgaben gibt, sondern weiterhin viele (insbesondere einzelfallbezogene) Unsicherheiten im Raum stehen.
Dieser Ansicht sind übrigens nicht nur wir, sondern auch das Europäische Parlament. Die EU-Abgeordneten haben daher am 20. Mai 2021 eine Entschließung erlassen, in der sie die Europäische Kommission dazu auffordern, ihre bisherigen Versäumnisse in Bezug auf den Abschluss von Angemessenheitsbeschlüssen (wie bspw. dem Privacy Shield) zu revidieren und „die ordnungsgemäße Durchsetzung des EU-Datenschutzrechts nicht nach Beschwerden einzelner Bürger dem Gerichtshof der Europäischen Union zu überlassen“.
"Welche sind die Top-3-Bereiche, in denen gerade Kleinunternehmen besonders auf den Datenschutz achten sollten?"
A: Obwohl Unternehmen generell darauf achten sollten sich vollständig datenschutzkonform aufzustellen, gibt es bestimmte Bereiche, bei denen Datenschutzverletzungen besonders risikoreich sein können.
Top 1: Außenauftritt / Internetauftritt
Wer seinen Außenauftritt, d. h. insbesondere seine Website nicht DSGVO-konform aufstellt, ist Zielscheibe von Abmahnungen von Wettbewerbern und Klagen von Verbraucherschutzverbänden. Der Cookie-Banner und die Datenschutzerklärung müssen DSGVO-konform sein.
Top 2: Verarbeitung sensibler Daten (Gesundheitsdaten, Daten von Kindern)
Wer besondere Kategorien personenbezogener Daten verarbeitet, z. B. Gesundheitsdaten oder Daten von Kindern, sollte hierbei besonders sorgfältig sein. Kommt es zu einem Datenschutzverstoß, lassen Aufsichtsbehörden in solchen Fällen selten Milde walten. Etwa dürfen Kliniken externe Auftragsverarbeiter (z. B. Software zur Verarbeitung von Patientendaten) nur unter strengen Voraussetzungen einsetzen.
Top 3: Marketing
Der Versand von elektronischer Werbung, insbesondere E-Mail-Newslettern, bedarf grundsätzlich einer Einwilligung der potenziellen Kunden. Zudem muss die Einwilligung wirksam eingeholt worden sein. Um beim Beispiel des E-Mail-Newsletters zu bleiben: Newsletter-Abonnenten müssen ausreichend informiert werden. Hierzu gehört insbesondere eine Information dazu, welchen Inhalt der Newsletter abdeckt, ob Unterauftragnehmer eingesetzt werden und dass die Einwilligung jederzeit widerrufen werden kann. Wurde die Einwilligung nicht wirksam eingeholt und ist das Marketing zu aufdringlich, kann es schon vorkommen, dass die Abonnenten sich an eine Aufsichtsbehörde wenden.
"Gibt es eine Checkliste zum Thema Datenschutz an der sich bspw. KMU orientieren können?“
Die Websites einiger Aufsichtsbehörden und der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) können gerade Jungunternehmen und Start-ups helfen, sich zu orientieren.