Firmen und Vereine betroffen – Was die neue Datenschutzverordnung der EU bedeutet
Was ist die Europäischen Grundverordnung zum Datenschutz (DSGVO)?
Der europäische Datenschutz ist bisher ein Flickenteppich. Mit der neuen Europäischen Datenschutzgrundverordnung soll das Recht EU-weit auf einen einheitlichen Stand gebracht werden. Die EU-Kommission erhofft sich so mehr Kontrolle der Bürger über ihre Daten und gleiche Wettbewerbsbedingungen für alle Unternehmen, die in der EU tätig sind.
Für wen gilt die Verordnung?
Die DSGVO gilt also für Großkonzerne wie Facebook und Google aber eben auch für kleine Handwerksbetriebe.
Es herrscht der Irrtum vor, dass wenn weniger als 10 Arbeitnehmer beschäftigt werden, hier nichts zu unternehmen ist. Auch hier müssen dem Arbeitgeber schriftliche Einwilligungserklärungen der Arbeitnehmer zur personenbezogenen Datenverarbeitung vorliegen.
Entsprechende Mustervereinbarungen hierüber können in unserem Büro angefordert werden.
Ausgenommen sind nur Privatpersonen, wenn diese Daten für persönliche oder familiäre Zwecke verwenden. Auch für Journalisten, die für ihre Berichterstattung personenbezogene Daten erheben oder nutzen, wird es ähnlich wie bislang Ausnahmen geben.
Was sind personenbezogene Daten?
Die juristische Definition ist kompliziert. Praktisch zählen dazu Name, Geburtsdatum oder E-Mail-Adresse. Auch Angaben wie IP-Adresse, Steuernummer, Autokennzeichen oder Kontoverbindung gelten aber als personenbezogene Daten.
Was ändert sich für Bürger?
Noch umfassender als bisher müssen Bürger darüber informiert werden, welche Daten in welcher Form über sie gespeichert sind – und wie diese verwendet werden. Neu eingeführt wird mit der DSGVO beispielsweise auch ein „Recht auf Vergessen werden“, das Bürger in bestimmten Fällen einfordern können, und dass strenge Datenschutzeinstellungen in Zukunft der Standard sein müssen. Das „Recht auf Datenübertragbarkeit“ sichert Verbrauchern insbesondere bei digitalen Diensten wie Apps die Möglichkeit, ihre Daten von einem Anbieter zum nächsten mitzunehmen.
Was ändert sich für Unternehmen?
Wichtig sind die verschärften Dokumentations- und Rechenschaftspflichten: Hat etwa ein Nutzer oder Kunde seine ausdrückliche Zustimmung dazu gegeben, dass seine Daten gespeichert und verwendet werden dürfen? In diesem Fall muss das ein Betrieb nachweisen können. Wie personenbezogene Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt werden, müssen Unternehmen mit der DSGVO in einem „Verzeichnis von Verarbeitungstätigkeiten“ festhalten. Nötig ist dieses zum Beispiel, wenn ein Betrieb Personalakten elektronisch verwaltet oder eine Kundendatei führt. Über die Anforderungen, etwa an die technische Umsetzung, herrscht noch an vielen Stellen Unklarheit. Künftig ist es zudem noch wichtiger, Daten nur zweckgebunden zu verwenden: Hat ein Kunde etwa seine E-Mail-Adresse nur für einen Newsletter zur Verfügung gestellt, darf diese auch nur dafür verwendet werden und nicht für andere Zwecke.
Gibt es eine Übergangsfrist beim Inkrafttreten der Verordnung?
Ja, die gibt es – allerdings läuft sie bereits seit knapp zwei Jahren. Ab dem 25. Mai gilt die DSGVO für alle.
Wer kontrolliert die Umsetzung?
Im Regelfall ist dafür die NRW-Landesdatenschutzbeauftragte zuständig – „in enger Zusammenarbeit mit den anderen Behörden“, erklärt ein Sprecher. Tätig werde die Behörde, wenn sie einen Hinweis erhalte, beispielsweise durch die Beschwerde eines Betroffenen. „Wir werden aber wie bisher auch Stichproben durchführen.“
Was droht bei einem Verstoß?
Alle Datenschutzbehörden in den EU-Staaten können bei einem Verstoß gegen die neue DSGVO hohe Geldbußen verhängen. Vorgesehen sind Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens – je nachdem was höher ist. Gerade am Anfang wollen die Landesdatenschützer jedoch vor allem beratend tätig sein. „Wenn sich Unternehmen aber beratungsresistent zeigen, werden wir auch Bußgelder verhängen“, bekräftigt ein Sprecher. Übrigens: Passiert in einem Unternehmen eine Datenpanne und gibt es dadurch ein Risiko für Betroffene, muss der Vorfall innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.
Droht jetzt eine Abmahnwelle?
Die DSGVO räumt Nutzern auch die Möglichkeit ein, zivilrechtlich Schadensersatz bei einem Unternehmen geltend zu machen, wenn es gegen die neuen Regeln verstößt. „Wie hoch dieser Schadensersatz sein könnte, wissen wir aber nicht“, sagt Thomas Schwenke, Rechtsanwalt für Datenschutz. Er kann sich trotzdem vorstellen, dass „Abmahnanwälte“ die neue Rechtslage „austesten“ könnten. „Betroffen sein dürften hierbei vor allem kleine und mittelständische Unternehmen, da sich diese rechtlich eher nicht zur Wehr setzen.“ Wichtig ist aus Schwenkes Sicht deshalb:
- eine aktuelle und stimmige Datenschutzerklärung auf der Unternehmenswebsite,
- der konforme Einsatz von Analyse-Tools wie Google Analytics und
- der Versand von Newslettern nur nach ausdrücklicher Zustimmung.
„Die Fassade muss stimmen“, sagt der Anwalt.
Wie gut sind die Unternehmen vorbereitet?
„Bei Kleinstbetrieben ist die Unsicherheit groß“, sagt Manfred Steinritz, Geschäftsführer der Handwerkskammer Düsseldorf und berichtet von etwa 1000 Anmeldungen zu DSGVO-Infoveranstaltungen. Er warnt aber vor Panikmache. Ähnlich sieht es Günter Friedel, Rechtsreferent bei der Industrie- und Handelskammer, und warnt vor Aktionismus: „Es ist schade, dass Berater jetzt meinen, mit der Angst der Betriebe Geschäfte machen zu können.“ Unternehmen müssten jetzt vor allem überprüfen, ob für alle Daten die nötigen Einwilligungserklärungen der Betroffenen vorliegen – und ob die Daten überhaupt gebraucht werden. Rechtsanwalt Schwenke empfiehlt gleichzeitig allen, die sich bisher über den Datenschutz keine Gedanken gemacht haben, spätestens jetzt in einen „erregten Zustand der datenschutzrechtlichen Betriebsamkeit“ zu verfallen.
Wenden Sie sich also daher dringend an Ihre IHK und klären Sie für Ihr Unternehmen ab, welche Maßnahmen Sie treffen müssen.
Der Inhalt dieses Newsletters wurde in Anlehnung eines Artikels der Rheinischen Post aus dem April 2018 erstellt.
Langenfeld, den 23.04.2018
Mit freundlichen Grüßen
Heinz Höller – Walburga Trusch
Steuerberater
Wichtig für alle GmbH-Geschäftsführer !
Sehr geehrte Damen und Herren,
Sind Sie Gesellschafter und gleichzeitig Geschäftsführer einer GmbH ?
Beziehen Sie bisher Ihr Gehalt, ohne dass hiervon Rentenversicherungsbeiträge einbehalten werden ?
Dann sollten Sie die verschärfte Rechtsprechung hierzu beachten.
Das Bundessozialgericht sagt ganz aktuell; Geschäftsführer ohne Mehrheit der Stimmanteile oder wasserdichte Sperrminorität sind abhängig beschäftigt.
Ein Anwalt sollte daher dringend die Verträge aktualisieren.
Für GmbH-Geschäftsführer wird es immer schwieriger, der Zwangsmitgliedschaft in der gesetzlichen Rentenversicherung zu entgehen. Schon in den vergangenen Jahren hatten sie – wie zahlreiche Selbständige – zunehmend Probleme, im Statusfeststellungsverfahren der Deutschen Rentenversicherung (DRV) als versicherungsfrei eingestuft zu werden. Und auch das Bundessozialgericht (BSG) fällt seit längerem ein Urteil nach dem anderen, das den Abschied aus der Rentenversicherungspflicht massiv erschwert, wenn nicht gar unmöglich macht – zuletzt vor wenigen Tagen. Die obersten Sozialrichter urteilten: Geschäftsführer einer GmbH sind regelmäßig sozialversicherungspflichtig (Az.: B 12 KR 13/17 R und Az.: B 12 R 5/16 R), und sie hätten grundsätzlich als regulär abhängig Beschäftigte zu gelten. Eine nicht abhängige – und damit nicht sozialversicherungspflichtige – Beschäftigung liegt nach dieser Auffassung nur bei Mehrheitsgesellschaftern vor.
Geschäftsführenden Gesellschaftern droht Rentenpflicht
Im ersten Fall verfügte der klagende Geschäftsführer lediglich über einen Anteil von 45,6 Prozent am Stammkapital. Eine mit seinem Bruder als weiterem Gesellschafter der GmbH getroffene „Stimmbindungsabrede“ änderte an der Annahme von Sozialversicherungspflicht ebenso wenig etwas wie das Angebot des Mitgesellschafters, dem Kläger weitere Anteile zu verkaufen. Im zweiten vom BSG beurteilten Fall hielt der klagende Geschäftsführer nur 12 Prozent am Stammkapital. In beiden Fällen betonten die Richter, zur Beurteilung der Sozialversicherungspflicht komme es nicht darauf an, ob ein GmbH-Geschäftsführer weitreichende Befugnisse im Außenverhältnis habe und ihm viele Freiheiten hinsichtlich seiner Tätigkeit eingeräumt würden, etwa bei den Arbeitszeiten. Entscheidend für seinen Status sei vielmehr der Grad seiner rechtlich durchsetzbaren Einflussmöglichkeiten auf die Beschlüsse der Gesellschafterversammlung.
Über 50 Prozent Stimmrecht sprechen für eine Befreiung
Entscheidend bleibt also der Grad der Einflussmöglichkeit auf Beschlüsse der Gesellschafterversammlung. Doch die Richter verschärften die Anforderungen. Ein geschäftsführender Gesellschafter ist für sie nur dann nicht abhängig beschäftigt, wenn er die Rechtsmacht hat, durch Einflussnahme auf die Gesellschafterversammlung die Geschicke der Gesellschaft zu bestimmen. Das wiederum sei regelmäßig nur dann der Fall, wenn er mehr als 50 Prozent der Anteile am Stammkapital hält, also der Mehrheitsgesellschafter ist.
Für den Fall, dass jemand weniger oder genau 50 Prozent der Gesellschaftsanteile besitzt, lassen die obersten Sozialrichter ein Hintertürchen. Auch solche geschäftsführenden Gesellschafter können als sozialversicherungsfrei durchgehen, aber ausnahmsweise nur dann, wenn sie kraft ausdrücklicher Regelungen im Gesellschaftsvertrag oder der Gesellschafts-Satzung über eine umfassende „echte“/qualifizierte Sperrminorität verfügen. Sie müssen also faktisch in der Lage sein, ihnen nicht genehme Weisungen der Gesellschafterversammlung zu verhindern.
Nur eine echte Sperrminorität bietet einen Ausweg
Geschäftsführende Gesellschafter einer GmbH sollten angesichts dieser Urteile noch einmal mit dem Anwalt klären, ob ihre Verträge den neuen Anforderungen genügen – und mit dem Steuerberater mögliche Folgen bestehender Vertragskonditionen prüfen. Dringend geboten ist dies vor allem bei Gesellschaftern, die nicht mehr als 50 Prozent der Stimmrechtsanteile halten. Denn Feinheiten im Vertrag oder der Gesellschaftssatzung können darüber entscheiden, ob die DRV bei einer Betriebsprüfung oder einem Statusfeststellungsverfahren zu dem Schluss kommt, der GmbH-Geschäftsführer sei doch versicherungspflichtig. In diesem Fall drohen enorme Nachzahlungen. Schon bei der üblichen Verjährungsfrist von vier Jahren kommen rasch hohe Beträge zusammen. Unterstellt die Rentenversicherung bei einer Prüfung dann auch noch, Beiträge seien vorsätzlich vorenthalten worden, verlängert sich die Verjährungsfrist sogar auf 30 Jahre.
Nehmen Sie im Zweifelsfall mit uns Kontakt auf, damit wir gemeinsam das weitere Vorgehen festlegen können.
Heinz Höller – Walburga Trusch
Steuerberater