Ein Datenschutzverstoß kann für Unternehmen teuer werden – sei es durch Reklamationen von Kunden, den Verlust von Vertrauen oder erhebliche Bußgelder.
Die Datenschutz-Grundverordnung (DSGVO) mag komplex erscheinen, doch keine Sorge: sie ist keine unlösbare Herausforderung.
In diesem praktischen Leitfaden, der speziell für mittelständische Unternehmen im DACH-Raum entwickelt wurde, zeigen wir Ihnen, wie Sie im Bereich Datenschutz kompetent werden.
Aktuelle Situation
Derzeit ist die Pflicht zur elektronischen Rechnung in aller Munde.
Während neue gesetzliche Regularien – in diesem Fall in Bezug auf die Rechnungserstellung im B2B-Bereich – an Unternehmen gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in allen Unternehmen angekommen: Die Rede ist von der Datenschutz-Grundverordnung (DSGVO).
Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum umgestaltet. Doch nach wie vor dürften sich einige – von kleinen Unternehmen über Großunternehmen und öffentliche Einrichtungen bis hin zu Privatpersonen gleichermaßen – ausreichend kompetent fühlen in Sachen DSGVO-konformen Datenschutzes.
Die Regeln sind komplex und verwirrend, die Anforderungen an Unternehmen immens und die drohenden Sanktionen bei Nichtbeachtung einschüchternd.
So ist es nicht verwunderlich, dass eine kürzlich vom Branchenverband BITKOM veröffentlichte Studie zeigte, dass nur 7 von 10 Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) eingehalten haben.
Weitere 28 Prozent haben die DSGVO lediglich partiell eingehalten (Quelle).
Auch sechs Jahre nach Inkrafttreten der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unsicherheiten, was die Vorgaben der DSGVO betrifft.
Zudem bewerten neun von zehn Unternehmen den mit der DSGVO verbundenen Bürokratieaufwand als übermäßig und plädieren sogar für eine Reform der Regulierungsbehörden.
Besonders kritisiert werden demnach die komplexen und teilweise inkonsistenten Interpretationen, die nicht nur Kapazitäten beanspruchen, sondern auch Innovationspotenzial hemmen würden.
Die Studie untersucht auch eine Facette, die in der jüngeren Entwicklung immer wichtiger wurde: den Einfluss von KI-Technologien auf den Datenschutz.
Während fast 70 Prozent der Unternehmen die KI als potenzielle Hilfe zur Bewältigung von Datenschutzherausforderungen sehen, sind genauso viele der Meinung, dass KI den Datenschutz auch vor neue Herausforderungen stellt.
Ob es um die Anonymisierung von Daten oder die Entwicklung rechtssicherer KI-Anwendungen geht – der Balanceakt zwischen Innovation und Regelkonformität bleibt schwierig.
Ob mit KI oder ohne; die zentrale Frage bleibt: Können Mittelständler die DSGVO nicht nur als Hürde betrachten, sondern auch als Strategievorteil für sich nutzen?
Und wie lassen sich die komplexen DSGVO-Anforderungen als KMU umsetzen?
Dieser Leitfaden bietet speziell kleinen und mittelständischen Unternehmen eine Orientierungshilfe, um die Anforderungen der DSGVO zu verstehen und sie nachhaltig erfolgreich umsetzen zu können.
Die DSGVO auf einen Blick
Auf den Punkt gebracht: Die DSGVO definiert den Umgang mit personenbezogenen Informationen in der Europäischen Union. Ziel ist es, die Rechte der Bürger auf den Datenschutz zu stärken und den uneingeschränkten Datenaustausch innerhalb des europäischen Binnenmarktes zu sichern.
Für Firmen bedeutet das konkret, dass jede Verarbeitung sogenannter persönlicher Informationen a) rechtmäßig, b) nachvollziehbar und c) zweckgebunden erfolgen muss.
Die Verordnung gilt für alle Unternehmen, die innerhalb der EU tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten – egal, wo sie ihren Sitz haben.
Daten mit Personenbezug umfassen alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen lassen. Dazu zählen unter anderem:
- Name
- Anschrift
- Mail-Adresse
- IP-Adresse(n)
- Kundennummer
- Standortdaten
- u.v.m.
Der Umgang mit solchen Daten ist an die klaren Regelungen der DSGVO gebunden. Was exakt sich daraus für Pflichten für Unternehmen ableiten, werden wir im Weiteren beleuchten.
Aber vorweg sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal implementiert, kann ich mich entspannen …
Nein, eher wird bei der Integration neuer Softwarelösungen das Thema DSGVO erneut relevant.
Oder wissen Sie, dass ein Unternehmen ab dem 20. Beschäftigten, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Datenschutzbeauftragten ernennen muss?
Das Thema DSGVO ist also etwas, das ein Unternehmen kontinuierlich begleitet.
Rechtlich abgesichert: Wann ist Datenverarbeitung erlaubt?
Die DSGVO besagt ganz klar: Eine Verarbeitung von personenbezogenen Daten ist grundsätzlich nur dann zulässig, wenn sie auf einer rechtlichen Grundlage beruht.
Möglich sind die folgenden gesetzlichen Legitimationen:
- Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – dies trifft zum Beispiel zu, wenn eine Person bewusst der Verwendung ihrer E-Mail-Adresse für den Erhalt von Marketing-Newslettern einwilligt.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – dies trifft zum Beispiel zu, wenn ein E-Commerce-Unternehmen die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erfüllen und somit den Kaufvertrag zu erfüllen.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – dies trifft zum Beispiel zu, wenn ein Unternehmen die Lohnabrechnungsdaten eines Mitarbeiters speichert und verarbeitet, um den Vorgaben des Steuerrechts nachzukommen.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen Nutzerdaten der Website verwendet, um seine digitale Infrastruktur vor Cyberangriffen zu schützen.
In der gelebten Praxis ist die Erhebung einer Zustimmung oftmals mit Unsicherheiten verbunden, da hier bestimmte Anforderungen gegeben sein müssen.
Die Einwilligung muss nämlich, um DSGVO-konform zu sein, a) konkret, b) informiert und c) ohne Zwang erfolgen.
Firmen müssen also gewährleisten, dass die Dateninhaber klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung freiwillig getroffen wird.
Zudem muss die Einwilligung rückgängig machbar sein, ohne negative Folgen für die Person.
Ein typisches Beispiel hierfür sind Cookie-Banner bzw. Consent-Management-Tools für Websites, die Zustimmungen der betroffenen Personen einholen, beispielsweise was die Erhebung der IP-Adressen angeht.
Neben der rechtlichen Grundlage, welche nötig ist, um personenbezogene Daten überhaupt verarbeiten zu dürfen, verlangt das Prinzip der Minimierung von Daten, dass nur die für den jeweiligen wirklich zwingenden Zweck essentiellen Informationen erhoben werden.
Beispielsweise darf ein Online-Shop im Bestellvorgang auch nur die Daten erfassen, die für die Bestellung nötig sind.
Was in der Praxis oftmals missachtet wird, ist der Fakt, dass die gesammelten Informationen gemäß DSGVO lediglich für den ursprünglichen Zweck verwendet werden dürfen.
Eine nachträgliche Nutzung für andere Zwecke benötigt eine neue rechtliche Grundlage, wie etwa eine neue Zustimmung.
Beispielsweise darf die Adresse eines Kunden, die für die Zustellung gespeichert wurde, nicht ohne Einwilligung des Betreffenden für Werbemaßnahmen genutzt werden!
Jedem Kunden Werbe-Newsletter zu senden, ist demnach unzulässig.
Erst wenn der Kunde proaktiv einen Haken gesetzt hat (also seine ausdrückliche Zustimmung gegeben hat), dass er E-Mails mit Informationen erhalten will, darf man seine Daten auch dafür verwenden.
TOMs im Überblick: So sichern Sie Ihre Daten
Für KMU ist es entscheidend, die Integrität personenbezogener Daten zu gewährleisten, um sowohl rechtlichen Anforderungen gerecht zu werden als auch das Vertrauen ihrer Kunden zu fördern.
Die DSGVO verlangt von Unternehmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) persönliche Daten zu sichern.
Unternehmen müssen demnach sicherstellen, dass ihre IT-Systeme die Sicherheit privater Daten garantieren. Dazu gehören unter anderem folgende Vorkehrungen:
- Verschlüsselung sensibler Daten
- Implementierung von Zugriffskontrollen
- Regelmäßige Sicherheitsupdates
Welche technischen und organisatorischen Maßnahmen sinnvoll und erforderlich sind, ist davon abhängig, in welchem Branchenbereich ein Betrieb unterwegs ist.
Wir versuchen trotzdem, ein paar konkrete, universell anwendbare Schritte zu nennen, die Sie ergreifen können und sollten:
- Verschlüsselung sensibler Daten: Verschlüsseln Sie alle personenbezogenen Daten, die Sie speichern oder übermitteln (z. B. Kundeninformationen, finanzielle Daten). Dies unterbindet, dass Dritte im Falle eines Datenvorfalls auf diese Daten zugreifen können. Nutzen Sie zudem anerkannte Verschlüsselungsstandards wie AES oder RSA.
- Zugriffskontrollen implementieren: Nur befugte Angestellte sollten Zugriff auf persönliche Informationen haben. Setzen Sie rollenbasierte Zugriffsbeschränkungen um, sodass Angestellte nur die Daten sehen können, welche sie für ihre Arbeit tatsächlich benötigen. Verwenden Sie zudem starke Passwörter und Zwei-Faktor-Authentifizierung für den Zugang zu kritischen Systemen.
- Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Programme, Betriebssysteme und Schutzsysteme regelmäßig. Sicherheitslücken in veralteten Systemen sind häufig ein Angriffspunkt für Angreifer. Vereinfachen Sie, wenn möglich, den Update-Prozess, um sicherzustellen, dass Sie keine wichtigen Patches übersehen.
- Mitarbeiterschulungen und Sensibilisierung: Informieren Sie Ihre Mitarbeiter zyklisch über Datenschutzthemen. Schulungen sollten konkrete Beispiele und Best Practices für den Umgang mit persönlichen Informationen beinhalten. Sie sollten außerdem sicherstellen, dass Ihre Angestellten wissen, wie sie Verstöße gegen den Datenschutz erkennen und berichten können und wer intern der Verantwortliche rund um Datenschutzfragen ist.
- Dokumentation der Maßnahmen: Führen Sie eine detaillierte Aufzeichnung aller TOMs, die Sie zum Schutz der Daten ergriffen haben. Diese Dokumentation hilft Ihnen, im Falle einer Inspektion nachzuweisen, dass Sie die Datenschutzanforderungen erfüllen.
Die TOMs schützen nicht bloß die Daten Ihrer Kunden und Mitarbeiter, sondern nützen Ihnen auch, das Risiko von Datenschutzverletzungen zu minimieren. Infos zur Umsetzung von TOMs sind auf der öffentlichen Website der Europäischen Kommission zur DSGVO zu sehen unter Link.
DSGVO aus Kundensicht: Rechte und Pflichten verstehen
Die DSGVO stärkt die Rechte der Bürger und gibt ihnen umfassende Kontrollmöglichkeiten über ihre persönlichen Informationen.
Unternehmen müssen demnach darauf vorbereitet sein, jene Rechte auch zu erfüllen. Konkret geht es dabei um nachstehende Rechte:
- Auskunftsrecht und Datenportabilität: Personen haben das Recht, Information über die Verarbeitung ihrer Daten zu verlangen. Dies umfasst die Art der Daten, den Zweck der Weiterverarbeitung sowie die Aufbewahrungsfrist. Zusätzlich ermöglicht die Übertragbarkeit von Daten den Individuen, ihre Daten in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter weiterzuleiten. Seien Sie darauf vorbereitet, dass ein sogenanntes Auskunftsersuchen Sie erreicht, klären Sie Verantwortlichkeiten und legen Sie Prozesse für einen solchen Fall fest.
Achtung: Unternehmen sind verpflichtet, binnen 30 Tagen auf Informationsanfragen zu antworten!
- Recht auf Vergessenwerden: Das Recht auf Löschung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Entfernung ihrer persönlichen Informationen zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung rechtswidrig ist. Prüfen Sie, ob Ihre eingesetzten Software-Tools eine endgültige Löschung oder Anonymisierung von Informationen ermöglichen. Dabei müssen aber ggf. relevante Vorschriften zur Aufbewahrungspflicht gemäß Abgabenordnung gleichfalls im Blick behalten werden.
- Einschränkungen und Widerspruch: Firmen müssen sicherstellen, dass sie Begehren auf Einschränkung oder Einspruch gegen die Verarbeitung umgehend prüfen und umsetzen können. Dabei gilt es vor allem, Verantwortlichkeiten innerhalb des Unternehmens klar zu regeln.
Daten sicher weitergeben: Anforderungen an Dienstleister
Zahlreiche Unternehmen arbeiten mit externen Dienstleistern zusammen – sei es im Bereich Cloud-Dienste, Marketing oder IT-Unterstützung. In allen genannten Fällen ist ein Auftragsverarbeitungsvertrag (AVV) nötig, um die Verantwortlichkeiten und Pflichten des Dienstleisters zu steuern.
Vor allem dann, wenn der Drittanbieter die personenbezogenen Daten der eigenen Kunden ebenfalls verarbeitet, auf diese zugreifen kann etc.
Achtung beim Einsatz von externen Dienstleistern, die außerhalb der Europäischen Union ansässig sind: Eine Datenübertragung in Länder außerhalb der EU (= Drittlandübermittlung) ist gemäß Datenschutz-Grundverordnung nur unter strengen Auflagen zulässig.
In der Praxis von Bedeutung ist dies zum Beispiel beim Einsatz von Tools und Services von Unternehmen aus den USA, wie beispielsweise Microsoft, Google oder Amazon. Dabei muss sichergestellt werden, dass die Übermittlung auf einer der gesetzeskonformen Methoden basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission genehmigten Datenschutzniveaus.
Unternehmen müssen turnusmäßig die Einhaltung der Datenschutzvorgaben durch ihre Dienstleister überprüfen sowie im Falle von Modifikationen in den Datenschutzvorschriften der USA gegebenenfalls neue Schutzmaßnahmen ergreifen.
Außerdem sollten in solchen Fällen die betroffenen Personen über die Datenweitergabe in Drittländer informiert werden. Es empfiehlt sich, ein sogenanntes Register der eingesetzten weiteren Auftragsverarbeiter öffentlich zur Verfügung zu stellen und alle AVV an zentraler Stelle abzulegen.
So halten Sie die DSGVO-Dokumentationspflichten ein
Die DSGVO verpflichtet Unternehmen, die Compliance der Datenschutzvorgaben nachweisen zu können.
Dies erfordert detaillierte Dokumentationen, unter anderem:
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
- Nachweis über die Einwilligung der Betroffenen
Eine lückenhafte Dokumentation kann bei einer Überprüfung durch die Datenschutzbehörden zu Schwierigkeiten führen, selbst wenn die eigentliche Datenverarbeitung korrekt erfolgt.
Schauen wir uns deshalb einmal genauer an, was sich hinter den einzelnen Punkten verbirgt:
Unternehmen müssen in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten alle Datenprozesse erfassen, bei denen personenbezogene Daten betroffen sind.
Ein solches Verzeichnis hilft, die Datenoperationen zu organisieren und die Compliance der DSGVO nachzuweisen. Es sollte Informationen wie die Art der Daten, die Zwecke der Verarbeitung, die Datenempfänger und die Aufbewahrungsfrist enthalten und kann z.B. als Excel-Tabelle erstellt sein.
Hier tauchen dann Datenbearbeitungsprozesse wie der Newsletter-Versand, die Mitarbeiterdatenverarbeitung im Rahmen der Lohnabrechnung oder die Bearbeitung von Kundendaten im Rahmen von Bestellungen über einen Online-Shop auf und sind einzeln als Prozesse ausführlich beschrieben.
Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Einführung eines neuen Feedback-Systems plant, das detaillierte Daten über das Verhalten der Nutzer sammelt.
Bevor es mit der Verarbeitung beginnt, müsste das Unternehmen eine Analyse durchführen, um potenzielle Gefahren für die Rechte und Freiheiten der Datensubjekte zu bewerten und geeignete Maßnahmen zum Risikomanagement festzulegen. Dies ist nötig bei allen Verarbeitungen, die ein hohes Risiko für die Grundrechte der Individuen darstellen.
In der Praxis am öftesten dürfte Unternehmen der Nachweis über die Einwilligung der Betroffenen begegnen – sei es auf der Website in Form eines Cookie-Banners, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Fotos von Angestellten von der letzten Unternehmensveranstaltung öffentlich zu teilen.
Im Optimalfall werden alle Zustimmungen dieser Art digital gespeichert, einschließlich des Zeitpunktes und der genauen Formulierung der Einwilligung. Dabei kann ein CRM-Tool wie beispielsweise HubSpot CRM oder Salesforce helfen.
Ziel ist, dass Unternehmen jederzeit den Beweis erbringen können, dass eine Person ihre Einwilligung zur Verarbeitung ihrer Daten freiwillig, präzise, aufgeklärt und eindeutig erteilt hat sowie im besten Fall auch, wann und „wo“ dies erfolgt ist.
Fazit: DSGVO-Compliance als Wettbewerbsvorteil
Die Missachtung der Datenschutz-Grundverordnung kann erhebliche monetäre Folgen nach sich ziehen.
Die Höhe der Strafzahlungen richtet sich nach dem Schweregrad der Regelverletzung und kann bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes betragen – je nachdem, welcher Betrag den größeren Wert darstellt.
Für Mittelständler ist es daher entscheidend, proaktiv zu handeln, um Gefahren zu minimieren.
Die Einhaltung der Datenschutz-Grundverordnung ist aber keine reine gesetzliche Verpflichtung, sondern auch eine Gelegenheit, sich als zuverlässiges und verantwortungsbewusstes Unternehmen zu präsentieren.
Klienten und Unternehmenspartner legen zunehmend Wert auf Datenschutz und Datensicherheit – insbesondere im deutschsprachigen Raum, wo die Aufmerksamkeit für dieses Thema hoch ist.
Indem Sie die DSGVO-Anforderungen erfüllen, sichern Sie ergo nicht nur Ihre Klienten und Teammitglieder, sondern verbessern auch Ihre Wettbewerbsfähigkeit und minimieren Gefahren.
In diesem Artikel können wir aufgrund der Komplexität des Themas natürlich viele Aspekte nur oberflächlich behandeln.
Als IT-Experten unterstützen wir Sie aber mit Vergnügen dabei, die Datenschutz-Grundverordnung als strategischen Vorteil zu nutzen und sich konform aufzustellen.
Sprechen Sie uns gerne an, wir freuen uns darauf, von Ihnen zu lesen.
