Die DSGVO gilt grundsätzlich für alle Unternehmen jeder Branche, Größe, Gesellschaftsform, die in irgend einer Weise personenbezogene Daten verarbeiten und speichern. Darunter fallen auch kleine mittelständische Unternehmen, Handwerksbetriebe und Vereine.

Eine Datenverarbeitung findet bereits statt wenn sie Termine mit Kunden notieren. Kontaktdaten von Kunden (wie Adresse, E-Mail-Adresse oder Telefonnummer) oder Personalinformationen erfassen und speichern sind ebenfalls Verwaltungsvorgänge, die eine Verarbeitung van personenbezogene Daten betreffen und somit unter der DS-GVO fallen.

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Es drohen harte Strafen!
Wie hoch ein DSGVO Bußgeld ist, entscheiden die Landesbeauftragten der Datenschutzbehörden im Einzelfall. Der Bußgeldrahmen ist sehr hoch und in Art. 83 DS-GVO festgehalten. Im wesentlichen gibt es zwei Kategorien;

1: Verletzt ein Unternehmen seine Compliance-Pflichten oder bestimmte Vorschriften der DS-GVO, ist ein Bußgeld von bis zu 10 Millionen Euro möglich. Die Aufsichtsbehörden verhängen alternativ ein Bußgeld von bis zu zwei Prozent des weltweiten Jahresumsatzes.

2: Missachtet ein Unternehmen eine Anweisung einer Aufsichtsbehörde, sind die Geldbußen doppelt so hoch. DS-GVO Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes sind auch in anderen Situationen möglich.

Die Aufsichtsbehörde verhängt immer den höheren Betrag!

Wenn in einen Unternehmen, Organisation oder Verein höchstens 19 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, dann besteht oftmals keine Pflicht einen Datenschutzbeauftragten (DSB) zu benennen / bestellen.

Sofern keine besonders schutzwürdige Daten verarbeitet werden, sind Verarbeitungsverantwortliche von kleine und mittelständische Unternehmen, Handwerker und Vereine selbst für die Einhaltung der Datenschutzvorschriften verantwortlich. Diese Unternehmen können auf freiwillige Basis einen externer oder interner Datenschutzbeauftragen bestellen. Sie können sich aber auch durch einen Sachkündigen (DPO) unterstützen lassen.

Ausnahme von dieser Regel sind die Unternehmen die besonders schutzwürdige Daten verarbeiten. Dies können z.B. Altenheime und Kinderheime sein. Auch kleine Unternehmen die personenbezogene Daten verarbeiten die einer Datenschutz-Folgeabschätzung unterliegen oder für Zwecke der Markt- oder Meinungsforschung Daten (personenbezogen oder anonymisiert) übermitteln, müssen einen DSB benennen / bestellen. Diese unternehmen müssen ab den ersten Mitarbeiter einen Datenschutzbeauftragten benennen / bestellen.

Ab 20 Personen müssen Unternehmen, Organisationen und Vereine auf jeden Fall einen externer oder interner Datenschutzbeauftragten benennen / bestellen.