Datenschutz für B2B: Das sollten Sie 2022 zur DSGVO wissen

Verstöße gegen die Europäische Datenschutz-Grundverordnung werden streng bestraft. Die neue DSGVO gilt seit dem 25. Mai 2018 einheitlich in der gesamten Europäischen Union. Das bisher geltende Datenschutzrecht wird dadurch in vielen Bereichen ersetzt.

Wenn Sie als B2B-Unternehmen wissen möchten, welche aktuellen Vorschriften für Sie gelten, finden Sie hier die Antworten.

Inhaltsverzeichnis

• DSGVO für Unternehmen: Ziele und Geltungsbereich
• Für wen gilt die DSGVO?
• Datenschutz bei Kundendaten: Diese Informationen gelten als "personenbezogen"
• Was ändert sich für Unternehmen?
• Wann und wozu muss ein Datenschutzbeauftragter benannt werden?
• DSGVO und Marketing
• B2B Datenschutz
• Datenschutz im Vertrieb
• Fazit

DSGVO für Unternehmen: Ziele und Geltungsbereich

Die EU-DSGVO hat das Ziel, die Datensicherheit in der Europäischen Union zu vereinheitlichen und zu verbessern. Auch wenn im digitalen Binnenmarkt eine Harmonisierung angestrebt wird, gibt es Gestaltungsspielräume zwischen den Ländern. Daher ist eine hundertprozentige Einheitlichkeit auch in Zukunft nicht gegeben.

Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt grundsätzlich für alle Webseiten-Betreiber, Unternehmen und Händler und auch Behörden mit Sitz oder Niederlassung in der EU. Die Ansicht, nur große Unternehmen unterlägen der EU-Norm, ist falsch, denn sie gilt auch für kleine und mittlere Unternehmen (KMU), die mit personenbezogenen Daten zu tun haben. Damit gilt sie faktisch für alle in der EU ansässigen Unternehmen.

Außerdem findet sie Anwendung bei Unternehmen aus Drittländern, die mit der Verarbeitung personenbezogener Daten von EU-Bürgern zu tun haben, so beispielsweise auch US-Social-Media-Betreiber.

Doch was genau sind personenbezogene Daten?

Datenschutz bei Kundendaten: Diese Informationen gelten als "personenbezogen"

Die sogenannten "personenbezogenen Daten" sind der Hauptgegenstand der Datenschutzgrundverordnung. Dazu gehören alle Informationen, anhand derer eine natürliche Person (im Gegensatz zu einer juristischen Person) identifiziert werden könnte. Die Möglichkeit der Identifikation genügt hier bereits.

Sobald also Daten einer Person zugeordnet werden können (auch indirekt, aus dem Kontext) greift das Datenschutzrecht.

Im Folgenden finden Sie eine Liste von Beispielen für personenbezogene Daten:

• Name

• Adresse

• Telefonnummer

• E-Mail-Adresse

• Geburtsdatum

• Bankverbindung

• Autokennzeichen

• IP-Adresse

• ​Standortdaten

• Cookies, die personenbezogene Informationen verarbeiten

• Einkommen und Ausbildung

• Kauf- Surf- und Klickverhalten

• Surfhistorie, etwa laut Google Analytics

• ​Bewegung und Aufenthaltsorte einer Person

EU Datenschutz Grundverordnung: Was ändert sich für Unternehmen?

Obwohl in Deutschland bereits ein recht ausgeprägter Datenschutz bestanden hatte, hat die Datenschutzgrundverordnung viele der bisherigen deutschen Datenschutz-Vorschriften über den Haufen geworfen.

Das Bundesdatenschutzgesetz gilt seit Inkrafttreten der EU-DSGVO also nur noch zum Teil und wird laufend weiter angepasst. Bestimmte Bereiche des Datenschutzes sind verschärft worden. Dazu gehören Bußgelder, Informationspflichten und die Einschränkung der Verarbeitung personenbezogener Daten:

• Verstöße gegen die EU-DSGVO können mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes des Konzerns vom Vorjahr geahndet werden.

• Alle Unternehmen, die eine Webseite betreiben, müssen ihre Datenschutzerklärung der DSGVO anpassen. Damit die Erklärung DSGVO-konform formuliert wird, ist häufig die Unterstützung von spezialisierten Anwälten angezeigt.

• Die Informationspflichten unterliegen bestimmten Standards: Die Datenschutzerklärung muss präzise alle notwendigen Informationen beinhalten, sie muss Transparenz herstellen, verständlich und in klarer Sprache formuliert sein sowie die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten benennen

• Besondere Informationspflichten gelten laut DSGVO für speziell an Kinder adressierte Seiten.

• Es besteht ein echtes Kopplungsverbot. Download-Angebote wie E-Books oder Checklisten dürfen nicht mehr an die Einwilligung zur Verarbeitung personenbezogener Daten gekoppelt werden.

• Erstmals gibt es in Art. 17 der DSGVO für Verbraucher ein "Recht auf Vergessenwerden", wenn beispielsweise der Zweck der Datenverarbeitung weggefallen ist oder die Einwilligung widerrufen wurde.

• Bestimmte Unternehmen müssen ein internes Verfahrensverzeichnis führen, aus dem die Verarbeitungstätigkeiten hervorgehen. Es muss auf Verlangen der Datenschutzbehörde vorgelegt werden.

• Die DSGVO sieht ein Recht auf Datenübermittlung, beispielsweise beim Wechsel zu einem neuen Anbieter, vor. Nutzer haben nun die Möglichkeit, ihre Daten mitzunehmen. Als Unternehmen müssen Sie deshalb auf die Datenübertragbarkeit achten.

DSGVO: Wann und wozu muss ein Datenschutzbeauftragter benannt werden?

Die Datenschutzgrundverordnung schreibt die Bestellung oder Benennung eines Datenschutzbeauftragten verpflichtend vor, wenn mindestens eine der drei folgenden Voraussetzungen vorliegt:

1. Ihr Unternehmen verarbeitet besondere Kategorien von Daten, wie etwa genetische, biometrische, strafrechtlich relevante oder Daten über politische Überzeugungen.

2. Mehr als neun Personen sind mit der automatisierten Verarbeitung personenbezogener Daten befasst.

3. Die Kerntätigkeit der Firma besteht in der Verarbeitung von Daten, die "die umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen" erforderlich machen.

Der Datenschutzbeauftragte hat die Aufgabe, die Verantwortlichen hinsichtlich Ihrer Pflichten im Zusammenhang mit der DSGVO zu beraten und die Durchführung und Einhaltung der Verordnung zu überwachen. Er ist gleichzeitig Anlaufstelle für die jeweilige Aufsichtsbehörde. Eine vorgeschriebene Ausbildung oder Zertifizierung gibt es für ihn nicht.

DSGVO und Marketing: Knackpunkt ist die ausdrückliche Einwilligung

Die Einwilligung von Konsumentinnen und Konsumenten zur Nutzung ihrer Daten zu Werbezwecken ist ein wichtiges Thema für Unternehmen und Händler. Die wichtigsten Regelungen und Unterschiede haben wir für Sie zusammengefasst.

• Im B2C-Bereich verbietet das UWG, als Ergänzung der DSGVO, die sogenannte Kaltaquise komplett. Als Unternehmen dürfen Sie also keinen Privatkunden ohne dessen Einwilligung kontaktieren. Sie benötigen ein freiwillig erteiltes, zweckgebundenes Opt-In.

• Lassen Sie Sich das Opt-In am besten schriftlich geben, etwa über ein Opt-In-Kästchen. Sie müssen zudem nachweisen können, dass die Einwilligung wirklich erteilt wurde. Dokumentation ist im Rahmen der DSGVO Pflicht.

• Neu ist, dass der Widerruf genauso einfach sein muss, wie die Erteilung der Einwilligung.

• Sie sind immer noch sehr häufig zu sehen: Vorangekreuzte Kästchen, das sogenannte Opt-Out, das der User deaktivieren muss, gelten grundsätzlich nicht als ausreichend für eine Einwilligung.

• Alte Einwilligungen, aus der Zeit vor der Gesetzesnovelle, gelten weiter.

• Die Verarbeitung der Daten von Minderjährigen unter 16 Jahren ist in Deutschland nur mit Zustimmung der Erziehungsberechtigten gestattet. Andere EU-Mitgliedsstaaten können laut EU-DSGVO eine niedrigere Altersgrenze vorsehen, jedoch nicht unter 13 Jahren.

B2B Datenschutz: Die mutmaßliche Einwilligung reicht aus

Grundsätzlich gelten für das Business-to-Business-Feld die gleichen gesetzlichen Datenschutz-Vorschriften wie für den B2C-Bereich. Einen wichtigen Unterschied macht der Gesetzgeber jedoch mit Blick auf die Neukundengewinnung.

Im B2B-Bereich gibt es ein "Schlupfloch" hinsichtlich der ausdrücklichen Einwilligung des Beworbenen. Wenn Sie die Einwilligung von potentiellen Geschäftspartnern "voraussetzen" (gesetzlicher Wortlaut) können, ist auch das Kontaktieren bislang unbekannter Unternehmen nicht verboten.

Datenschutz im Vertrieb: Auftraggeber und Auftragnehmer sind nun gemeinsam verantwortlich für die Einhaltung der DSGVO

Die Auftragsdatenverarbeitung (ADV) ist das „tägliche Brot“ des Vertriebs. Sie heißt laut DSGVO jetzt nur noch "Auftragsverarbeitung" (AV). Für sie gelten nun einheitliche EU-Anforderungen. Konkret gemeint ist mit "AV" die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch einen Auftragnehmer.

Dazu gehören:

• Callcenter

• externer Newsletter-Provider

• Cloud Computing

• externe Marketingagenturen

• externe Rechenzentren

Neu ist nach der EU-DSGVO, dass der Auftragnehmer jetzt mitverantwortlich für die Einhaltung des Datenschutzes ist. Vorher war der Auftraggeber primär in der Pflicht.

Der Verarbeiter muss beispielsweise ein Verzeichnis zu den Verarbeitungskategorien der Daten führen und technische und organisatorische Maßnahmen für die Datensicherheit ergreifen.

Fazit: Die DSGVO ersetzt viele Länderbestimmungen

Die EU-Datenschutzgrundverordnung hat eine ganze Reihe von Neuerungen mitgebracht, die die nationalen Rechtsnormen zum großen Teil ersetzt haben. Da empfindliche Bußgelder für Verstöße gegen die DSGVO winken, tun Sie als Unternehmer gut daran, Ihr Unternehmen DSGVO-sicher aufzustellen. Für die sichere Verarbeitung von Kundendaten empfiehlt sich in diesem Kontext beispielsweise eine CRM-Software, die den geforderten Sicherheitsstandards entspricht.