Datenschutz ruiniert Klein- & Mittelständler, Vereine, etc.

Das BDSG fordert von deutschen Klein- und Mittelständlern das Gleiche wie von Staaten. Europaweit gilt ab 25. Mai 2018 die Datenschutz-Grundverordnung  (DSGVO als pdf laden) sowie in Deutschland das neue Bundesdatenschutzgesetz (BDSG -> Link). Beide sind für öffentliche Stellen entwickelt worden, gelten aber auch für Unternehmen, Vereine, etc. Während die DSGVO Erleichterungen für Kleinstbetriebe sowie Klein- und Mittelständler vorsieht, ignoriert das BDSG diese. 


  • Diskutieren unter dem neuen Twitter-Tag: #KmuAufschrei
  • Unten weiterlesen in 2 Teilen (zwei Reiter beachten)
Fakten-Check: Entfallen die Erleichterungen für KMU in D?

Eigentlich wurde die EU-Datenschutz-Verordnung (DSGVO) für die Nutzung von Personendaten durch öffentliche Träger, sprich Behörden und Staaten (und mit ihnen verbundene Firmen) untereinander entwickelt. Aus der Praxis: Beim Arbeitsamt werden zum Beispiel die Daten der ehemaligen Kunden nach 3 Jahren komplett gelöscht. Es ist dann so, als wenn der ehemals Arbeitslose oder -suchende niemals ALG erhalten hätte.

Was geht das die 3,64 Millionen (Quelle) kleine und mittlere Unternehmen an?

Die DSGVO gilt erst einmal für ALLE, die Personendaten (also die Daten von Privatpersonen) vor allem digital verarbeiten – nicht nur für öffentliche Träger. Personenbezogene Daten verarbeitet natürlich jeder Betrieb, jeder Händler, jeder Verein, etc, der zum Beispiel Mitglieder verwaltet, etwas Online verkauft oder Angebote und Rechnungen schreibt.

Denn: Ohne persönliche Kunden-Daten geht das nicht.

Bezogen auf die geplanten Digitalisierungs-Vorhaben eigentlich aller Unternehmens-, Behörden- und Gesellschaftsbereiche ist schon erstaunlich, wie weit die Datenschutzvorgaben die Digitalisierung erschwert. Zurück zum Papier kann für kleine Unternehmer eigentlich nur die passende und bezahlbare Lösung sein …“, meint Braun-Speck.

Aber: Geschrieben steht in der DSGVO, dass es für KMU Erleichterungen gibt.

„… Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, … , die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. …“ (Quelle: Anlage, pdf u.a. Seite 40).

Als Einzelunternehmer auch in Form einer GmbH, ist man Kleinstunternehmer (weniger als 10 Mitarbeiter und weniger als 2 Mio. Umsatz, siehe pdf der KfW). KMU kennen solche Erleichterungen aus dem Steuer- sowie Arbeitsrecht.

D.h. eigentlich müssten die Datenschutz-Verordnung bzw. das -Gesetz eben doch nicht vollumfänglich auf kleine Betriebe, Vereine, etc anwendbar sein.

Aber diese Erleichterungen sind NICHT im neuen Bundes-Datenschutzgesetz (BDSG) zu finden!

In der deutschen Ausgabe steht in Absatz 1, Ziffer § 1 BDSG (neu) geschrieben, dass das Gesetz für ALLE datenverarbeitenden Stellen gilt, außer wenn es sich um persönliche oder familäre Tätigkeiten handelt. Eine Suche nach den Stichworten „Erleichterung(en)“ und „Kleinstbetriebe“ liefern 0 Ergebnisse.

Also gilt das BDSG abweichend von der DSGVO für JEDEN Selbständigen und jeder gemeinnützigen Institution, egal ob das eine freiberufliche Hebamme, ein Verein der Kinder fördert oder ein börsennotierter Konzern ist?

„Ist das Gerechtigkeit? Oder einfach nur eine KMU- und NGO*-Vernichtungsmaschinerie?“, fragt sich Braun-Speck.

(*NGO = Non-Profit-Organisation)

Allein wenn man die Check-Liste für Unternehmen vom ULD liest, bekommt Braun-Speck als Kleinstunternehmerin und Vorstand eines Vereins richtig Angst.

„Das ist nicht zu leisten! Die bestehenden technischen Lösungen erfüllen die Kriterien in der Regel nicht – oder enthält Ihre CRM-Software (Kunden- oder Mitglieder-Verwaltung) automatisierte Prozesse, um Daten zum Zeitpunkt X automatisch zu prüfen und zu löschen? Wer soll all die Unterlagen erstellen oder wie bezahlen?“, fragt sie.

Da die DSGVO Erleichterungen für KMU vorsieht, ist sie besser als das BDSG. Dabei hat EU-Recht Vorrang vor Bundesrecht – siehe hier, Auszug:

… Laut dem Grundsatz des Vorrangs hat das EU-Recht ein höheres Gewicht als das Recht der Mitgliedstaaten. Der Grundsatz des Vorrangs gilt für alle EU-Rechtsakte mit verbindlicher Wirkung. Die Mitgliedstaaten dürfen also keine nationale Rechtsvorschrift anwenden, die im Widerspruch zum EU-Recht steht. …“

Ein letzter Hoffnungsschimmer also für Klein- & Mittelstand sowie Non-Profit-Organisationen?!

Erlebnis: KMU wird gleichbehandelt wie Staat!

Viele Unternehmer sind sehr besorgt, wissen nicht, wie sie die Vorgaben umsetzen sollen, und sehen schon die Abmahnungen ins Haus flattern. Das ULD (das unabhängige Datenschutzzentrum in Schleswig-Holstein) handelt derzeit danach, dass eine 1-Personen-GmbH das Datenschutzgesetz bzw. die -verordnung durchaus vollumfänglich zu erfüllen hat – genauso wie ein Staat und die öffentlichen Behörden.

Susanne Braun-Speck aus Reinfeld, mit ihrer Agentur „tiefenschaerfe.de“ tätig als Web-Designerin und Marketing-Beraterin hat zum Beispiel eine 1-Personen-GmbH und muss sich seit Monaten mit dem ULD auseinandersetzen. Dies wegen ihres zweiten Geschäftsinhalt, der IT-Personalvermittlung und weil ein ebenfalls selbstständiger Berater beim ULD Beschwerde eingelegt hat.

„B-to-B gilt nicht? Dieser Berater ist genauso selbständiger Untenehmer wie ich, sprich: Er ist in diesem Zusammenhang keine Privatperson und stand seit vielen Jahren mit mir im geschäftlichen Kontakt. Ich verstehe nicht, wieso er hier nicht als Selbständiger behandelt wird! Anfangs forderte er die Löschung seiner Daten und infolge davon, die Vorlage eines Löschkonzeptes.“

Das Löschkonzept (Teil eines „Öffentliches Verfahrensverzeichnisses“) genügte dem ULD nicht! Dabei entspricht dieses Löschkonzept dem des OTTO-Versands (Link) und dem von XING (Link).

Ich als kleine Einzelunternehmerin habe zwar so ein „Papier“ wie die Großen – trotzdem reicht es nicht? Unfassbar!“ Seit Monaten wird Braun-Speck immer wieder vom ULD aufgefordert, irgendwas aufzuzeigen oder vorzulegen (das Löschkonzept an sich, Informationen darüber welche und wie Daten erhoben werden; Nachweise der Einwilligung durch den Berater, etc).

Es hat sie bisher rund 40 Stunden unbezahlte Zeit gekostet – ihr der Einzelunternehmerin UND alleinerziehenden Mutter, die es schon schwer genug hat, überhaupt über die Runden zu kommen. Andererseits hat das ULD nunmehr seit vielen Wochen, die Fragen von Braun-Speck nicht beantwortet. Die seit mehr als 20 Jahren selbständige Unternehmerin informierte sich entsprechend über die Neuerungen durch die DSGVO im Internet – daraus entstand dieser Artikel. Sie sieht keine Chance, dieser Verordnung aufgrund der fehlenden Erleichterungen für KMU im BDSG nachzukommen.

Muss die Unternehmerin einen Teilbereich ihrer Selbständigkeit wegen der Datenschutzvorgaben aufgeben?

Die, mit der Personalvermittlung, die unter jobhopper geführt? Einerseits wird der oben genannte Berater vom ULD so behandelt, als wäre er kein Unternehmer, sondern eine Privatperson (sprich: er ist in diesem Fall kein „Verbraucher“). Das ULD meint aber, seine Daten als selbständiger Berater wären Personendaten und nicht die eines Unternehmers. Dabei hat Braun-Speck seit Jahr und Tag ausschließlich Verträge im Business-to-Business-Umfeld (B2B). Sie bietet Privatpersonen überhaupt gar keine Dienstleistungen an!

Während der oben genannte Berater wie ein unmündiges Kind behandelt wird, dessen Daten geschützt werden müssen, wird Braun-Speck mit ihrer 1-Personen-GmbH einem Staat gleichgestellt. „Ich weiß nicht, wie ich DAS schaffen soll. Es ist unmöglich, all den Arbeitsaufwand und die Kosten zu erbringen. Denn Fakt ist:

„Die Anzahl der Formalien in Schriftform und die Prozesse sind unabhängig von der Anzahl der Datensätze – ob nun eine automatische Löschung zum Zeitpunkt x von Daten in einem EDV-gestützten System mit 1.000 Adressen oder 2 Millionen Adressen geschehen soll, ist völlig egal!“

Die IT-technischen Lösungen und die Rechtsberatung sind gleichermaßen aufwendig – und teuer.

Eine Excel-Tabelle, die vermutlich in den kleinsten Firmen für Adressen verwendet wird, gibt so eine Funktionalität beispielsweise überhaupt nicht her. Auch die meisten CRM-Systeme dürften so eine zeitgesteuerte Lösch-Funktion nicht haben. Deshalb hat Braun-Speck jetzt ihre alte Anwendung komplett sperren müssen. Als Alternative kommt nur eine automatisierte Online-Lösung infrage – denn hierfür gibt es bezahlbare Plugins zu kaufen. Nunmehr kommt sie nicht mehr an ihre alten Personendaten selbständiger IT-Fachkräfte – was einen enormen Schaden verursachen wird, da sie ihre zweite Dienstleistung, die Vermittlung von selbständigen IT-Fachkräften kaum noch nachkommen kann.

Zudem wird der Prozess der Datenerfassung auf der neuen Online-Lösung mit inkludierten Personal-Recruiting-Tools umständlich. Ein Double-Opt-in Verfahren ist bei Registrierung notwendig (wie auf Online-Shops), zum anderen kann die zeitgesteuerte, automatisierte Datenlöschung nur durch ein weiteres Plugin (mit zusätzlichem Arbeitsaufwand für Administrator und Nutzer) ermöglicht werden. Für Nutzer z.B. einer Jobbörse, Hotel- oder Flugbuchungs-Plattform, sowie Kunden von Online-Shops, etc ein umständlicher Prozess, der nervt. Benutzer-Freundlichkeit findet dabei keine Beachtung …

Wieviele deutsche Klein- und Mittelständler werden Pleite gehen, bis höchstrichterliche Entscheidungen dafür sorgen, dass auch in Deutschland die DSGVO-Erleichterungen für KMU gelten?“ fragt sich die Betroffene.

Denn die Fakten-Recherche und ihre eigenen Erlebnisse zeigten ihr auf, dass das Bundesdatenschutzgesetz die EU-Datenschutz-Verordnung (DSGVO) nicht richtig umsetzt. „KMU sollten sich zusammentun! Siehe unter dem neuen Twitter-Tag: #KmuAufschrei !“

Ein kleiner Tipp von tiefenschaerfe.de: Die Umstellung von Websites auf https/SSL aus Datenschutzgründen ist oft ein Muss. In der DSGVO heißt es sinngemäß, dass zumutbare Datenschutz-Vorkehrungen von jedermann zu leisten sind. Der Schutz von Daten für Websites mit Kontakt- und anderen Formularen (z.B. Bewerbungs-Formularen) sowie mit Verkaufsfunktionen (Shops, etc) erfolgt u.a. durch die Umstellung auf https/SSL und ist mit einer Stunde Arbeit entsprechend leistbar.

Hier ist eine Anleitung dafür: -> https://tiefenschaerfe.de/https-ssl-umstellung/


Quellen-Angaben:

5 Kommentare
  1. Susanne
    Susanne sagte:

    Abschließende Post vom ULD (Datenschutzzentrum in SH) ist eingegangen:

    Zwar wird das Verfahren eingestellt und ich werde nun nicht verklagt. Aber: Entscheidend ist in dem o.g. Schreiben EIN Satz:

    „Die Konsequenz der von Ihnen durchgeführten Sperrung ist ein Verwendungsverbot.“

    Damit ist der ursprüngliche Geschäftsinhalt meiner GmbH (jobhopper.de), die Vermittlung von IT-Fachkräften faktisch nicht mehr durchführbar. Diesen Geschäftsinhalt werde ich nicht mehr betreiben können, da ich ohne Zugriff auf die Daten von zu vermittelten IT-Beratern schlichtweg die Dienstleistung nicht erbringen kann.

    Hintergrund zur o.g. Sperrung:

    Meine CRM Software sieht ( wie die meisten Kunden-Verwaltungsprogramme) keine automatisierte Löschung von Daten nach max. 3 Jahren vor. Das ULD forderte mich auf, all diese Daten einzeln zu überprüfen und die Daten von Personen (wohlbemerkt SELBSTändigen IT-Beratern (also Unternehmern), nicht in dem Sinne Privatpersonen) zu löschen. Aufgrund der großen Zahl an Daten (viele Tausend) kann ich das zeitlich und finanziell nicht leisten. Das würde Monate dauern, in denen ich als Alleinerziehende KEIN Geld verdienen würde.

    Der Forderung des ULD konnte ich nur durch komplette Sperrung der Daten nachkommen.

    Ich hatte erwartet, dass die antworten, dass das nun doch nicht sein müsste. Aber die tatsächliche Antwort lautet ja wie oben genannt.

    Der o.g. Geschäftsbereich ist damit vernichtet (und das, obwohl ich gerade Anfragen nach IT-Fachkräften von Lübecks größten Arbeitgeber bekommen habe!)

    Damit ist die Existenz der GmbH, ggf meine persönliche Existenz gefährdet, weil das, was ich seit ca. 1,5 Jahren noch mache (2. Geschäftsinhalt), noch nicht für genug Umsatz sorgt (WebDesign & Marketing-Beratung, tiefenschaerfe.de)

    Antworten
  2. Susanne Braun-Speck
    Susanne Braun-Speck sagte:

    Digitalisierungskonferenz – Bundesaußenminister S. Gabriel, endlich ein Politiker, der verstanden hat, dass der #Datenschutz laut #DSGVO + #BDSG notwendige #Digitalsierungsvorhaben unmöglich machen, twitter unter: #KmuAufschrei

    Zitat: „Der Datenschutz sei zwar wichtig, müsse aber an die Herausforderungen der neuen globalen Wirtschaft angepasst werden. Die Vielzahl an nationalen Regulierungen bremse das Wachstum europaweiter Technologiekonzerne.“

    Siehe: http://www.faz.net/aktuell/wirtschaft/netzkonferenz-dld/sigmar-gabriel-auf-dld-china-koennte-europa-technisch-abhaengen-15408740.html

    Antworten
  3. Susanne Braun-Speck
    Susanne Braun-Speck sagte:

    Instagram & Facebook sowie Whatsapp (siehe Artikel), Youtube & Google tauschen immer mehr Daten untereinander aus (Beispiel: Gerade gestern nahm ich Youtube-Kanal-Einstellungen für ein NGO-Projekt vor – wobei ein Google-Konto automatisch (ich hatte nicht die Wahl) erstellt wurde…

    Das „coolste“ ist doch, dass die Amerikaner sich vermutlich über uns totlachen und nur darauf warten, dass wir Europäer Digitalisierungs-Vorhaben und entsprechende Geschäftsmodelle schon im Ansatz vernichten!

    Idiotisch! Währenddessen nutzen Andere (s.o.) fleissig unsere Daten.

    Antworten
  4. Klaus W.
    Klaus W. sagte:

    So langsam reicht es!
    Als Kleinunternehmer informiert dich dein Datenschutzzentrum gerne – gegen Geld! Es ist sowieso unfassbar, dass die Erleichterungen der DSGVO nicht in D berücksichtigt werden.

    Aber das eine „Anstalt des öffentlichen Rechts“ mit Schulungen dazu (sofern man denn als KMU überhaupt die Zeit dazu hat) auch noch teuer bezahlen muss, geht garnicht.

    (Siehe z.B. Seite 11, 805 EUR netto, siehe: https://www.datenschutzzentrum.de/uploads/akademie/DSA-Programm.pdf

    Antworten

Trackbacks & Pingbacks

  1. […] an meinen selbst geschriebenen Artikel hier auf tiefenschaerfe.de zum Thema Datenschutz hat sich das Hamburger Abendblatt der Sache auch […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.