Datenschutz ruiniert Klein- & Mittelständler, Vereine, etc.

Der entscheidene Satz, der ein Geschäftsmodell (und damit die Firma) so gut wie vernichtet hat:

„Die Konsequenz der durchgeführten (Datenbank-) Sperrung ist ein Verwendungsverbot.“

Das BDSG fordert von deutschen Klein- und Mittelständlern das Gleiche wie von Staaten. Europaweit gilt ab 25. Mai 2018 die Datenschutz-Grundverordnung  (DSGVO als pdf laden) sowie in Deutschland das neue Bundesdatenschutzgesetz (BDSG -> Link). Beide sind für öffentliche Stellen entwickelt worden, gelten aber auch für Unternehmen, Vereine, etc. Während die DSGVO Erleichterungen für Kleinstbetriebe sowie Klein- und Mittelständler vorsieht, ignoriert das BDSG diese.

Die Folgen können wehtun; sehr sogar.

Zum Beispiel, wenn ein Landesdatenschutzzentrum einen 1-Personen-Unternehmer schreibt, er dürfe seine Bestandsdaten nie mehr nutzen (O-Ton oben).

  • Lesen Sie unten weiter in 2 Teilen (zwei Reiter).
  • und/oder sichten & unterschreiben die Petition dazu -> externer Link
Fakten-Check: Entfallen die Erleichterungen für KMU in D?

Eigentlich wurde die EU-Datenschutz-Verordnung (DSGVO) für die Nutzung von Personendaten durch öffentliche Träger, sprich Behörden und Staaten (und mit ihnen verbundene Firmen) untereinander entwickelt. Aus der Praxis: Beim Arbeitsamt werden zum Beispiel die Daten der ehemaligen Kunden nach 3 Jahren komplett gelöscht. Es ist dann so, als wenn der ehemals Arbeitslose oder -suchende niemals ALG erhalten hätte.

Was geht das die 3,64 Millionen (Quelle) kleine und mittlere Unternehmen an?

Die DSGVO gilt erst einmal für ALLE, die Personendaten (also die Daten von Privatpersonen) vor allem digital verarbeiten – nicht nur für öffentliche Träger. Personenbezogene Daten verarbeitet natürlich jeder Betrieb, jeder Händler, jeder Verein, etc, der zum Beispiel Mitglieder verwaltet, etwas Online verkauft oder Angebote und Rechnungen schreibt.

Denn: Ohne persönliche Kunden-Daten geht das nicht.

Bezogen auf die geplanten Digitalisierungs-Vorhaben eigentlich aller Unternehmens-, Behörden- und Gesellschaftsbereiche ist schon erstaunlich, wie weit die Datenschutzvorgaben die Digitalisierung erschwert. Zurück zum Papier kann für kleine Unternehmer eigentlich nur die passende und bezahlbare Lösung sein …“, meint Braun-Speck.

Aber: Geschrieben steht in der DSGVO, dass es für KMU Erleichterungen gibt.

„… Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, … , die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. …“ (Quelle: Anlage, pdf u.a. Seite 40).

Als Einzelunternehmer auch in Form einer GmbH, ist man Kleinstunternehmer (weniger als 10 Mitarbeiter und weniger als 2 Mio. Umsatz, siehe pdf der KfW). KMU kennen solche Erleichterungen aus dem Steuer- sowie Arbeitsrecht.

D.h. eigentlich müssten die Datenschutz-Verordnung bzw. das -Gesetz eben doch nicht vollumfänglich auf kleine Betriebe, Vereine, etc anwendbar sein.

Aber diese Erleichterungen sind NICHT im neuen Bundes-Datenschutzgesetz (BDSG) zu finden!

In der deutschen Ausgabe steht in Absatz 1, Ziffer § 1 BDSG (neu) geschrieben, dass das Gesetz für ALLE datenverarbeitenden Stellen gilt, außer wenn es sich um persönliche oder familäre Tätigkeiten handelt. Eine Suche nach den Stichworten „Erleichterung(en)“ und „Kleinstbetriebe“ liefern 0 Ergebnisse.

Also gilt das BDSG abweichend von der DSGVO für JEDEN Selbständigen und jeder gemeinnützigen Institution, egal ob das eine freiberufliche Hebamme, ein Verein der Kinder fördert oder ein börsennotierter Konzern ist?

„Ist das Gerechtigkeit? Oder einfach nur eine KMU- und NPO*-Vernichtungsmaschinerie?“, fragt sich Braun-Speck.

(*NPO = Non-Profit-Organisation)

Allein wenn man die Check-Liste für Unternehmen vom ULD liest, bekommt Braun-Speck als Kleinstunternehmerin und Vorstand eines Vereins richtig Angst.

„Das ist nicht zu leisten! Die bestehenden technischen Lösungen erfüllen die Kriterien in der Regel nicht – oder enthält Ihre CRM-Software (Kunden- oder Mitglieder-Verwaltung) automatisierte Prozesse, um Daten zum Zeitpunkt X automatisch zu prüfen und zu löschen? Wer soll all die Unterlagen erstellen oder wie bezahlen?“, fragt sie.

Da die DSGVO Erleichterungen für KMU vorsieht, ist sie besser als das BDSG. Dabei hat EU-Recht Vorrang vor Bundesrecht – siehe hier, Auszug:

… Laut dem Grundsatz des Vorrangs hat das EU-Recht ein höheres Gewicht als das Recht der Mitgliedstaaten. Der Grundsatz des Vorrangs gilt für alle EU-Rechtsakte mit verbindlicher Wirkung. Die Mitgliedstaaten dürfen also keine nationale Rechtsvorschrift anwenden, die im Widerspruch zum EU-Recht steht. …“

Ein letzter Hoffnungsschimmer also für Klein- & Mittelstand sowie Non-Profit-Organisationen?!

Erlebnis: KMU wird gleichbehandelt wie Staat!

Viele Unternehmer sind sehr besorgt, wissen nicht, wie sie die Vorgaben umsetzen sollen, und sehen schon die Abmahnungen ins Haus flattern. Das ULD (das unabhängige Datenschutzzentrum in Schleswig-Holstein) handelt derzeit danach, dass eine 1-Personen-GmbH das Datenschutzgesetz bzw. die -verordnung durchaus vollumfänglich zu erfüllen hat – genauso wie ein Staat und die öffentlichen Behörden.

Susanne Braun-Speck aus Reinfeld, mit ihrer Agentur „tiefenschaerfe.de“ tätig als Web-Designerin und Marketing-Beraterin hat zum Beispiel eine 1-Personen-GmbH und muss sich seit Monaten mit dem ULD auseinandersetzen. Dies wegen ihres zweiten Geschäftsinhalt, der IT-Personalvermittlung und weil ein ebenfalls selbstständiger Berater beim ULD Beschwerde eingelegt hat.

„B-to-B gilt nicht? Dieser Berater ist genauso selbständiger Untenehmer wie ich, sprich: Er ist in diesem Zusammenhang keine Privatperson und stand seit vielen Jahren mit mir im geschäftlichen Kontakt. Ich verstehe nicht, wieso er hier nicht als Selbständiger behandelt wird! Anfangs forderte er die Löschung seiner Daten und infolge davon, die Vorlage eines Löschkonzeptes.“

Das Löschkonzept (Teil eines „Öffentliches Verfahrensverzeichnisses“) genügte dem ULD nicht! Dabei entspricht dieses Löschkonzept dem des OTTO-Versands (Link) und dem von XING (Link).

Ich als kleine Einzelunternehmerin habe zwar so ein „Papier“ wie die Großen – trotzdem reicht es nicht? Unfassbar!“ Seit Monaten wird Braun-Speck immer wieder vom ULD aufgefordert, irgendwas aufzuzeigen oder vorzulegen (das Löschkonzept an sich, Informationen darüber welche und wie Daten erhoben werden; Nachweise der Einwilligung durch den Berater, etc).

Es hat sie bisher rund 40 Stunden unbezahlte Zeit gekostet – ihr der Einzelunternehmerin UND alleinerziehenden Mutter, die es schon schwer genug hat, überhaupt über die Runden zu kommen. Andererseits hat das ULD nunmehr seit vielen Wochen, die Fragen von Braun-Speck nicht beantwortet. Die seit mehr als 20 Jahren selbständige Unternehmerin informierte sich entsprechend über die Neuerungen durch die DSGVO im Internet – daraus entstand dieser Artikel. Sie sieht keine Chance, dieser Verordnung aufgrund der fehlenden Erleichterungen für KMU im BDSG nachzukommen.

Muss die Unternehmerin einen Teilbereich ihrer Selbständigkeit wegen der Datenschutzvorgaben aufgeben?

Die, mit der Personalvermittlung, die unter jobhopper geführt? Einerseits wird der oben genannte Berater vom ULD so behandelt, als wäre er kein Unternehmer, sondern eine Privatperson (sprich: er ist in diesem Fall kein „Verbraucher“). Das ULD meint aber, seine Daten als selbständiger Berater wären Personendaten und nicht die eines Unternehmers. Dabei hat Braun-Speck seit Jahr und Tag ausschließlich Verträge im Business-to-Business-Umfeld (B2B). Sie bietet Privatpersonen überhaupt gar keine Dienstleistungen an!

Während der oben genannte Berater wie ein unmündiges Kind behandelt wird, dessen Daten geschützt werden müssen, wird Braun-Speck mit ihrer 1-Personen-GmbH einem Staat gleichgestellt. „Ich weiß nicht, wie ich DAS schaffen soll. Es ist unmöglich, all den Arbeitsaufwand und die Kosten zu erbringen. Denn Fakt ist:

„Die Anzahl der Formalien in Schriftform und die Prozesse sind unabhängig von der Anzahl der Datensätze – ob nun eine automatische Löschung zum Zeitpunkt x von Daten in einem EDV-gestützten System mit 1.000 Adressen oder 2 Millionen Adressen geschehen soll, ist völlig egal!“

Die IT-technischen Lösungen und die Rechtsberatung sind gleichermaßen aufwendig – und teuer.

Eine Excel-Tabelle, die vermutlich in den kleinsten Firmen für Adressen verwendet wird, gibt so eine Funktionalität beispielsweise überhaupt nicht her. Auch die meisten CRM-Systeme dürften so eine zeitgesteuerte Lösch-Funktion nicht haben. Deshalb hat Braun-Speck jetzt ihre alte Anwendung komplett sperren müssen. Als Alternative kommt nur eine automatisierte Online-Lösung infrage – denn hierfür gibt es bezahlbare Plugins zu kaufen. Nunmehr kommt sie nicht mehr an ihre alten Personendaten selbständiger IT-Fachkräfte – was einen enormen Schaden verursachen wird, da sie ihre zweite Dienstleistung, die Vermittlung von selbständigen IT-Fachkräften kaum noch nachkommen kann.

Zudem wird der Prozess der Datenerfassung auf der neuen Online-Lösung mit inkludierten Personal-Recruiting-Tools umständlich. Ein Double-Opt-in Verfahren ist bei Registrierung notwendig (wie auf Online-Shops), zum anderen kann die zeitgesteuerte, automatisierte Datenlöschung nur durch ein weiteres Plugin (mit zusätzlichem Arbeitsaufwand für Administrator und Nutzer) ermöglicht werden. Für Nutzer z.B. einer Jobbörse, Hotel- oder Flugbuchungs-Plattform, sowie Kunden von Online-Shops, etc ein umständlicher Prozess, der nervt. Benutzer-Freundlichkeit findet dabei keine Beachtung …

Wieviele deutsche Klein- und Mittelständler werden Pleite gehen, bis höchstrichterliche Entscheidungen dafür sorgen, dass auch in Deutschland die DSGVO-Erleichterungen für KMU gelten?“ fragt sich die Betroffene.

Denn die Fakten-Recherche und ihre eigenen Erlebnisse zeigten ihr auf, dass das Bundesdatenschutzgesetz die EU-Datenschutz-Verordnung (DSGVO) nicht richtig umsetzt. „KMU sollten sich zusammentun! Siehe unter dem neuen Twitter-Tag: #KmuAufschrei !“

Ein kleiner Tipp von tiefenschaerfe.de: Die Umstellung von Websites auf https/SSL aus Datenschutzgründen ist oft ein Muss. In der DSGVO heißt es sinngemäß, dass zumutbare Datenschutz-Vorkehrungen von jedermann zu leisten sind. Der Schutz von Daten für Websites mit Kontakt- und anderen Formularen (z.B. Bewerbungs-Formularen) sowie mit Verkaufsfunktionen (Shops, etc) erfolgt u.a. durch die Umstellung auf https/SSL und ist mit einer Stunde Arbeit entsprechend leistbar.

Hier ist eine Anleitung dafür: -> https://tiefenschaerfe.de/https-ssl-umstellung/


Quellen-Angaben:

9 Kommentare
  1. Seb
    Seb sagte:

    Sie sollten mal mit einem Rechtsanwalt sprechen. Zum einen ist in der DSGVO keine Rede von Bestandsdaten und wie mit diesen umzugehen ist zum anderen werden sie auf ihrer Seite ja sicherlich eine eindeutige Einwilligung der IT Unternehmen haben. Ansonsten verstoßen sie gerade auch schon gegen das BDSG!
    Es ist also keineswegs die Schuld der DSGVO (auf deren Basis kann zurzeit noch gar nichts passieren weil sie eben erst im Mai in Kraft tritt). Außerdem wird von kleinen Unternehmen gar nicht der gleiche Schitz verlangt wie von einem Konzern. Meiner Erfahrung nach sind die Lndesdarenschutzbeauftragten und ihre Mitarbeiter da schon froh wenn ein Unternehmen sich mit der Thematik auseinandergesetzt hat. Und wenn man dann ein Verarbeitungsverzeichnis hat ist das alles halb so wild. Das Verzeichnis kann man selbst erstellen (gibt ausreichend Vorlagen) oder eben von einem Dienstleister machen lassen dann liegt man da meiner Erfahrung nach bei 150,00 € – 600,00 € natürlich abhängig der Verarbeitungsvorgänge etc.

    Verbreiten sie also bitte nicht diese Panik die überall mit den Bußgeldhöhen etc. gemacht wird.

    Antworten
    • Susanne Braun-Speck
      Susanne Braun-Speck sagte:

      Erstens verteile ich keine Infos über Bußgelder, etc und schlussendlich stimmen leider manche Aussagen in Ihrem Text nicht.
      Es fängt schon mit den Bestandsdaten an! Zwar wird dieses Wort nicht verwendet, sondern es wird immer nur von „Personendaten“ oder „Daten“ gesprochen. Alle Daten, die die älter als 3 Jahre sind, sind natürlich in dem Sinne „Bestandsdaten“ auch wenn weder BDSG noch DSGVO sie so nennen. Solche Wortklauberei hilft nun wirklich niemanden!

      Frage zu Ihrem Text: Was bedeutet „Schitz?“ Dieses Wort habe ich noch nie gehört …

      Antworten
  2. Emi
    Emi sagte:

    Und? Wo KONKRET soll jetzt in der DSGVO etwas von „Erleichterungen“ für Klein. und Mittelbetriebe stehen? Kann es sein, dass sie das was falsch verstanden haben? Von wegen Erleichterung! Die DSGVO macht definitiv KEINE Ausnahmen für Klein und Mittelbetriebe! So wie Daten regelmäßig verarbeitet werden fällt man voll in diese unsinnige Verordnung rein! Und das betrifft praktisch jedes Unternehmen. Das Ganze ist der der größte Murks der je von der EU verbrochen wurde. Ich frage mich langsam wo der große Aufschrei bleibt? Dieses Denuziantengesetz schützt weder unser aller Daten besser, noch macht es Unternehmerisch Sinn. Na wenigstens haben die Abmahnanwälte wieder was zu tun. Wird höchste Zeit die EU zu verlassen, bevor wir noch endgültig den Bach runtergehen mit so dümmliche Verordnungen…

    Antworten
    • Susanne Braun-Speck
      Susanne Braun-Speck sagte:

      Doch die Erleichterungen stehen geschrieben und wurden mir auch vom Ministerium bestätigt (E-Mail / Brief).

      Allerdings setzen die Datenschutzzentren der Bundesländer diese Erleichterungen anscheinend (zumindest in SH) nicht um. Es ist nirgendwo erkennbar, wie genau diese Erleichterungen aussehen sollen. D.h. die Behörden haben wohl erst einmal viel Auslegungsfreiraum, bis über REchtstreitigkeiten (wo wir KMU nur bei verlieren können, alleine wegen des Zeit- und Kostenaufwands) Regeln entstanden sind.

      Siehe hier: https://dsgvo-gesetz.de/?s=kleinstunternehmen

      Dass es keinen Aufschrei gibt, wundert mich auch massiv. Lassen wir uns soviel gefallen? Einfach so und leben mit den Konsequenzen? Mündige Unternehmer? Wo sind die?

      Antworten
  3. Susanne
    Susanne sagte:

    Abschließende Post vom ULD (Datenschutzzentrum in SH) ist eingegangen:

    Zwar wird das Verfahren eingestellt und ich werde nun nicht verklagt. Aber: Entscheidend ist in dem o.g. Schreiben EIN Satz:

    „Die Konsequenz der von Ihnen durchgeführten Sperrung ist ein Verwendungsverbot.“

    Damit ist der ursprüngliche Geschäftsinhalt meiner GmbH (jobhopper.de), die Vermittlung von IT-Fachkräften faktisch nicht mehr durchführbar. Diesen Geschäftsinhalt werde ich nicht mehr betreiben können, da ich ohne Zugriff auf die Daten von zu vermittelten IT-Beratern schlichtweg die Dienstleistung nicht erbringen kann.

    Hintergrund zur o.g. Sperrung:

    Meine CRM Software sieht ( wie die meisten Kunden-Verwaltungsprogramme) keine automatisierte Löschung von Daten nach max. 3 Jahren vor. Das ULD forderte mich auf, all diese Daten einzeln zu überprüfen und die Daten von Personen (wohlbemerkt SELBSTändigen IT-Beratern (also Unternehmern), nicht in dem Sinne Privatpersonen) zu löschen. Aufgrund der großen Zahl an Daten (viele Tausend) kann ich das zeitlich und finanziell nicht leisten. Das würde Monate dauern, in denen ich als Alleinerziehende KEIN Geld verdienen würde.

    Der Forderung des ULD konnte ich nur durch komplette Sperrung der Daten nachkommen.

    Ich hatte erwartet, dass die antworten, dass das nun doch nicht sein müsste. Aber die tatsächliche Antwort lautet ja wie oben genannt.

    Der o.g. Geschäftsbereich ist damit vernichtet (und das, obwohl ich gerade Anfragen nach IT-Fachkräften von Lübecks größten Arbeitgeber bekommen habe!)

    Damit ist die Existenz der GmbH, ggf meine persönliche Existenz gefährdet, weil das, was ich seit ca. 1,5 Jahren noch mache (2. Geschäftsinhalt), noch nicht für genug Umsatz sorgt (WebDesign & Marketing-Beratung, tiefenschaerfe.de)

    Antworten
  4. Susanne Braun-Speck
    Susanne Braun-Speck sagte:

    Digitalisierungskonferenz – Bundesaußenminister S. Gabriel, endlich ein Politiker, der verstanden hat, dass der #Datenschutz laut #DSGVO + #BDSG notwendige #Digitalsierungsvorhaben unmöglich machen, twitter unter: #KmuAufschrei

    Zitat: „Der Datenschutz sei zwar wichtig, müsse aber an die Herausforderungen der neuen globalen Wirtschaft angepasst werden. Die Vielzahl an nationalen Regulierungen bremse das Wachstum europaweiter Technologiekonzerne.“

    Siehe: http://www.faz.net/aktuell/wirtschaft/netzkonferenz-dld/sigmar-gabriel-auf-dld-china-koennte-europa-technisch-abhaengen-15408740.html

    Antworten
  5. Susanne Braun-Speck
    Susanne Braun-Speck sagte:

    Instagram & Facebook sowie Whatsapp (siehe Artikel), Youtube & Google tauschen immer mehr Daten untereinander aus (Beispiel: Gerade gestern nahm ich Youtube-Kanal-Einstellungen für ein NGO-Projekt vor – wobei ein Google-Konto automatisch (ich hatte nicht die Wahl) erstellt wurde…

    Das „coolste“ ist doch, dass die Amerikaner sich vermutlich über uns totlachen und nur darauf warten, dass wir Europäer Digitalisierungs-Vorhaben und entsprechende Geschäftsmodelle schon im Ansatz vernichten!

    Idiotisch! Währenddessen nutzen Andere (s.o.) fleissig unsere Daten.

    Antworten
  6. Klaus W.
    Klaus W. sagte:

    So langsam reicht es!
    Als Kleinunternehmer informiert dich dein Datenschutzzentrum gerne – gegen Geld! Es ist sowieso unfassbar, dass die Erleichterungen der DSGVO nicht in D berücksichtigt werden.

    Aber das eine „Anstalt des öffentlichen Rechts“ mit Schulungen dazu (sofern man denn als KMU überhaupt die Zeit dazu hat) auch noch teuer bezahlen muss, geht garnicht.

    (Siehe z.B. Seite 11, 805 EUR netto, siehe: https://www.datenschutzzentrum.de/uploads/akademie/DSA-Programm.pdf

    Antworten

Trackbacks & Pingbacks

  1. […] an meinen selbst geschriebenen Artikel hier auf tiefenschaerfe.de zum Thema Datenschutz hat sich das Hamburger Abendblatt der Sache auch […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.