Ein Datenschutzverstoß kann für Unternehmen kostspielig werden – sei es durch Kundenbeschwerden, den Verlust von Vertrauen oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag vielschichtig erscheinen, doch keine Sorge: sie ist keine unlösbare Herausforderung. In diesem praktischen Leitfaden, der speziell für mittelständische Unternehmen im deutschsprachigen Raum entwickelt wurde, zeigen wir Ihnen, wie Sie datenschutztechnisch fit werden.

Derzeit ist die E-Rechnungspflicht in aller Munde. Aber während nun neue rechtliche Vorschriften – in diesem Fall in Bezug auf die Rechnungserstellung im Geschäftsverkehr zwischen Unternehmen – an Unternehmen gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in sämtlichen Unternehmen angekommen: Die Rede ist von der Datenschutz-Grundverordnung (DSGVO).

Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum neu definiert. Doch nach wie vor dürften sich einige – von KMU über Konzerne und Behörden bis hin zu Privatpersonen gleichermaßen – ausreichend fit fühlen in Sachen DSGVO-konformen Datenschutzes. Die Regeln sind kompliziert und undurchsichtig, die Anforderungen an Unternehmen enorm und die drohenden Sanktionen bei Nichtbeachtung abschreckend. So ist es nicht verwunderlich, dass eine kürzlich vom IT-Verband BITKOM veröffentlichte Studie ergab, dass nur sieben von zehn Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) eingehalten haben, weitere 28 Prozent lediglich teilweise (Link zur Studie: https://www.bitkom.org/Presse/Presseinformation/Datenschutz-Aufwand-Unternehmen-nimmt-zu).

Auch sechs Jahre nach Einführung der DSGVO leiden dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unklarheiten, was die Bestimmungen der DSGVO betrifft. Zudem bewerten 9 von 10 Unternehmen den mit der DSGVO verbundenen Aufwand als zu hoch und fordern sogar für eine Reform der Regulierungsbehörden! Besonders bemängelt werden demnach die vielschichtigen und teils widersprüchlichen Auslegungen, die nicht nur Ressourcen binden, sondern auch Innovationspotenzial hemmen würden.

Die Studie beleuchtet auch eine Facette, die in der jüngeren Entwicklung immer wichtiger wurde: den Einfluss von KI-Technologien auf den Datenschutz. Während rund 70 Prozent der Firmen die KI als mögliche Unterstützung zur Bewältigung von Datenschutzherausforderungen sehen, sind ebenso viele der Meinung, dass KI den Datenschutz auch vor neue Herausforderungen stellt: Ob es um die Datenanonymisierung oder die Entwicklung compliance-konformer KI-Lösungen geht – der Spagat zwischen technologischem Fortschritt und Compliance bleibt anspruchsvoll.

Ob mit KI wie auch ohne; die Schlüsselfrage bleibt: Können KMU die DSGVO nicht nur als Hindernis betrachten, sondern auch als Strategievorteil für sich erschließen? Und wie lassen sich die vielschichtigen Anforderungen der DSGVO als KMU umsetzen? Dieser Leitfaden bietet speziell kleinen und mittelständischen Unternehmen eine Orientierungshilfe, um die DSGVO-Bestimmungen zu verstehen und sie nachhaltig erfolgreich umsetzen zu können.

Die DSGVO auf einen Blick

Auf den Punkt gebracht: Die DSGVO regelt den Umgang mit personenbezogenen Daten in der EU. Ziel ist es, die Rechte der Bürger auf den Datenschutz zu fördern und den uneingeschränkten Datenaustausch innerhalb des europäischen Binnenmarktes zu sichern.

Für Firmen bedeutet das im Detail, dass jede Handhabung sogenannter persönlicher Informationen a) rechtmäßig, b) transparent und c) an einen spezifischen Zweck gebunden, erfolgen muss. Die Verordnung gilt für alle Unternehmen, die in der EU tätig sind oder Daten mit Personenbezug von EU-Bürgern bearbeiten – egal, wo sie ihren Sitz haben.

Personenbezogene Daten umfassen alle Daten, die sich auf eine bekannte oder identifizierbare Person beziehen lassen. Dazu gehören unter anderem:

• Name
• Anschrift
• Mail-Adresse
• IP-Adresse(n)
• Kundennummer
• Standortdaten
• u.v.m.

Der Umgang mit solchen Daten ist an die strengen Vorgaben der DSGVO gebunden. Was exakt sich daraus für Pflichten für Unternehmen ableiten, werden wir im Weiteren näher betrachten. Aber vorab sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal implementiert, kann ich mich entspannen … Nein, eher wird bei der Integration neuer Softwarelösungen das Thema DSGVO erneut wichtig. Oder wissen Sie, dass ein Unternehmen ab dem 20. Mitarbeiter, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Data Protection Officer ernennen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen kontinuierlich begleitet.

Rechtlich abgesichert: Wann ist Datenverarbeitung erlaubt?

Die DSGVO legt eindeutig fest: Eine Verarbeitung von personenbezogenen Daten ist generell nur dann zulässig, wenn sie auf einer rechtlichen Grundlage beruht. Möglich sind die folgenden rechtlichen Grundlagen:

• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – das trifft zum Beispiel zu, wenn eine Person proaktiv der Benutzung ihrer E-Mail-Adresse für den Erhalt von Marketing-Newslettern zustimmt.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – das trifft zum Beispiel zu, wenn ein E-Commerce-Unternehmen die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erfüllen und folglich den Vertrag abzuwickeln.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Arbeitgeber die Gehaltsdaten eines Mitarbeiters speichert und verarbeitet, um den steuerrechtlichen Anforderungen nachzukommen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – dies trifft zum Beispiel zu, wenn ein Unternehmen Nutzerdaten der Website verarbeitet, um seine digitale Infrastruktur vor Cyberangriffen zu sichern.

In der gelebten Praxis ist die Erhebung einer Zustimmung oftmals mit Unsicherheiten verbunden, da hier bestimmte Bedingungen erfüllt sein müssen. Die Einwilligung muss nämlich, um DSGVO-konform zu sein, a) spezifisch, b) verständlich und c) freiwillig erfolgen. Unternehmen müssen also gewährleisten, dass die Dateninhaber klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung ohne Druck getroffen wird. Außerdem muss die Einwilligung rückgängig machbar sein, ohne Nachteile für die Person. Ein typisches Beispiel hierfür sind Consent-Banner bzw. Consent-Management-Tools für Websites, die Zustimmungen der Website-Besucher abfragen, beispielsweise was die Verarbeitung ihrer IP-Adresse angeht.

Neben der rechtlichen Grundlage, die nötig ist, um Daten mit Personenbezug überhaupt verarbeiten zu dürfen, verlangt das Prinzip der Minimierung von Daten, dass nur die für den jeweiligen wirklich zwingenden Zweck notwendigen Daten erhoben werden. Beispielsweise darf ein Online-Shop im Checkout auch nur die Daten sammeln, die für die Abwicklung des Kaufprozesses erforderlich sind.

Was in der realen Anwendung oftmals übersehen wird, ist die Tatsache, dass die erhobenen Daten gemäß DSGVO lediglich für den primären Zweck genutzt werden dürfen. Eine nachträgliche Nutzung für andere Zwecke benötigt eine neue rechtliche Grundlage, wie etwa eine neue Zustimmung. Beispielsweise darf die Adresse eines Kunden, die für die Zustellung gespeichert wurde, nicht ohne Einwilligung des Betreffenden für Marketingzwecke verwendet werden! Jedem Kunden Werbe-Newsletter zu senden, ist demnach nicht erlaubt. Erst wenn der Kunde aktiv zustimmt (also seine Einwilligung erteilt hat), dass er E-Mails mit Informationen erhalten will, darf man seine Daten auch dafür nutzen.

Die Bedeutung der technischen und organisatorischen Maßnahmen (TOMs)

Für KMU ist es wesentlich, die Integrität personenbezogener Daten zu sichern, um sowohl rechtlichen Vorgaben gerecht zu werden als auch das Vertrauen ihrer Kunden zu fördern. Die DSGVO verlangt von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) personenbezogene Daten zu sichern.

Betriebe müssen demnach gewährleisten, dass ihre IT-Systeme die Sicherheit personenbezogener Daten garantieren. Dazu gehören unter anderem folgende Vorkehrungen:

• Verschlüsselung sensibler Daten
• Implementierung von Zugriffskontrollen
• Regelmäßige Sicherheitsupdates

Welche technischen und organisatorischen Maßnahmen sinnvoll und erforderlich zu ergreifen sind, ist davon abhängig, in welchem Branchenbereich ein Betrieb unterwegs ist. Wir versuchen trotzdem, ein paar spezifische, universell anwendbare Schritte zu nennen, die Sie unternehmen können und sollten:

1. Verschlüsselung sensibler Daten: Schützen Sie alle personenbezogenen Daten, welche Sie speichern oder übermitteln (z. B. Kundeninformationen, Finanzinformationen). Dies verhindert, dass Dritte im Falle eines Datenvorfalls auf diese Daten zugreifen können. Nutzen Sie zudem gängige Kryptografie-Standards wie AES oder RSA.
2. Zugriffskontrollen implementieren: Nur autorisierte Angestellte sollten Zugriff auf persönliche Informationen haben. Setzen Sie rollenbasierte Zugriffskontrollen um, sodass Angestellte nur die Daten einsehen können, welche sie für ihre Arbeit tatsächlich benötigen. Verwenden Sie darüber hinaus sichere Kennwörter und Zwei-Faktor-Authentifizierung für den Zugang zu kritischen Systemen.
3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Programme, Systemplattformen und Sicherheitsprogramme regelmäßig. Schwachstellen in nicht aktualisierten Systemen sind häufig ein Einfallstor für Cyberkriminelle. Vereinfachen Sie, wenn möglich, den Aktualisierungsprozess, um sicherzustellen, dass Sie keine kritischen Aktualisierungen übersehen.
4. Mitarbeiterschulungen und Sensibilisierung: Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für Datenschutzthemen. Schulungen sollten praxisnahe Szenarien und bewährte Verfahren für den Umgang mit personenbezogenen Daten beinhalten. Sie sollten zudem sicherstellen, dass Ihre Angestellten wissen, wie sie Datenschutzverletzungen erkennen und berichten können und wer intern der Verantwortliche rund um Datenschutz-Themen ist.
5. Dokumentation der Maßnahmen: Führen Sie eine detaillierte Aufzeichnung aller TOMs, die Sie zum Schutz der Daten implementiert haben. Diese Dokumentation hilft Ihnen, im Falle einer Inspektion zu belegen, dass Sie die Datenschutzanforderungen erfüllen.

Die TOMs behüten nicht nur die Daten Ihrer Kunden und Mitarbeiter, sondern helfen Ihnen auch, die Gefahr von Datenschutzverletzungen zu minimieren. Infos zur Umsetzung von TOMs sind auf der offiziellen Website der Europäischen Kommission zur DSGVO zu finden unter https://commission.europa.eu/law/law-topic/data-protection_en.

Rechte der Betroffenen: Dies sagt die DSGVO

Die DSGVO stärkt die Rechte der Betroffenen und gibt ihnen weitreichende Kontrollmöglichkeiten über ihre persönlichen Informationen. Unternehmen müssen darauf vorbereitet sein, diese Rechte gleichermaßen zu erfüllen. Gegenständlich geht es dabei um folgende Rechte:

• Auskunftsrecht und Datenportabilität: Personen haben das Recht, Information über die Verarbeitung ihrer Daten zu verlangen. Dies umfasst die Art der Informationen, den Zweck der Verarbeitung sowie die Aufbewahrungsfrist. Zusätzlich ermöglicht die Übertragbarkeit von Daten den Betroffenen, ihre Daten in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter übertragen zu lassen. Seien Sie auf die Tatsache vorbereitet, dass ein sogenanntes Informationsbegehren Sie erreicht, klären Sie Verantwortlichkeiten und etablieren Sie Prozesse für einen solchen Fall fest. Aufgepasst: Unternehmen sind in der Verpflichtung, binnen eines Monats auf Auskunftsersuchen zu antworten!
• Recht auf Vergessenwerden: Das Recht auf Löschung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Löschung ihrer persönlichen Informationen zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung unrechtmäßig ist. Prüfen Sie, ob Ihre verwendeten Anwendungen eine endgültige Löschung oder Anonymisierung von Daten ermöglichen. Dabei müssen aber ggf. geltende gesetzliche Regelungen zur Aufbewahrungspflicht gemäß Abgabenordnung gleichfalls im Blick behalten werden.
• Einschränkungen und Widerspruch: Firmen müssen sicherstellen, dass sie Anfragen auf Einschränkung oder Widerspruch gegen die Verarbeitung umgehend prüfen und umsetzen können. Dabei gilt es vor allem, Verantwortlichkeiten innerhalb des Unternehmens klar zu organisieren.

Auftragsverarbeitung und Drittstaatenübermittlung

Viele Unternehmen arbeiten mit externen Dienstleistern zusammen – sei es im Bereich Cloud-Computing, Marketing oder IT-Unterstützung. In allen genannten Fällen ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, um die Verantwortlichkeiten und Aufgaben des Dienstleisters zu regeln. Vor allem dann, wenn der Drittanbieter die persönlichen Informationen der eigenen Kunden ebenfalls verarbeitet, auf diese zugreifen kann etc.

Vorsicht beim Einsatz von externen Dienstleistern, die außerhalb der Europäischen Union ansässig sind: Eine Datenübertragung in Länder außerhalb der EU (= Übertragung in Drittländer) ist gemäß DSGVO nur unter strikten Auflagen zulässig. In der Praxis von Bedeutung ist dies zum Beispiel beim Gebrauch von Softwarelösungen und Diensten von Unternehmen aus den USA, wie beispielsweise Microsoft, Google oder Amazon. Dabei muss sichergestellt werden, dass die Datenweitergabe auf einer der rechtlich zulässigen Grundlagen basiert, etwa durch den Abschluss sogenannter Standardvertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission genehmigten Datenschutzniveaus.

Unternehmen müssen regelmäßig die Einhaltung der datenschutzrechtlichen Anforderungen durch ihre Dienstleister überprüfen sowie im Falle von Änderungen in den Datenschutzvorschriften der USA gegebenenfalls neue Schutzmaßnahmen ergreifen. Außerdem sollten in solchen Fällen die betroffenen Personen über die Datenweitergabe ihrer persönlichen Informationen in außereuropäische Staaten informiert werden. Es empfiehlt sich, ein sogenanntes Register der genutzten Subdienstleister öffentlich zur Verfügung zu stellen und alle Auftragsverarbeitungsverträge an zentraler Stelle abzulegen.

So halten Sie die DSGVO-Dokumentationspflichten ein

Die Datenschutz-Grundverordnung verpflichtet Unternehmen, die Compliance der Datenschutzvorgaben belegen zu können. Dies erfordert detaillierte Aufzeichnungen, unter anderem:

• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Nachweis über die Einwilligung der Betroffenen

Eine lückenhafte Dokumentation kann bei einer Überprüfung durch die Datenschutzbehörden zu Schwierigkeiten führen, selbst wenn die eigentliche Datenverarbeitung korrekt erfolgt. Schauen wir uns also einmal genauer an, was sich hinter den einzelnen Punkten verbirgt:

Unternehmen müssen in einem sogenannten VVT alle Verarbeitungstätigkeiten, bei denen persönliche Informationen betroffen sind, dokumentieren. Ein solches Verzeichnis hilft, die Datenverarbeitung zu organisieren und die Compliance der Datenschutz-Grundverordnung zu belegen. Es sollte Angaben wie die Art der Informationen, die Zwecke der Verarbeitung, die Datenempfänger und die Aufbewahrungsfrist enthalten und kann z.B. als Excel-Tabelle erstellt sein. Hier tauchen dann Verarbeitungstätigkeiten wie der Versand von Marketing-E-Mails, die Mitarbeiterdatenverarbeitung im Rahmen der Lohnabrechnung oder die Bearbeitung von Kundendaten im Rahmen von Online-Käufe über einen Webshop auf und sind einzeln als Prozesse ausführlich beschrieben.

Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Implementierung eines neuen Feedback-Systems plant, das umfassende Informationen über das Verhalten der Nutzer sammelt. Bevor es mit der Datenverarbeitung beginnt, müsste das Unternehmen eine Analyse durchführen, um potenzielle Gefahren für die Rechte und Freiheiten der betroffenen Personen zu analysieren und geeignete Strategien zum Umgang mit Risiken festzulegen. Dies ist nötig bei allen Datenoperationen, die ein erhöhtes Gefahrenpotenzial für die Grundrechte der betroffenen Personen darstellen.

In der Praxis am öftesten dürfte Firmen der Beleg für die Zustimmung der Nutzer begegnen – sei es auf der Internetseite in Form eines Cookie-Banners, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Mitarbeiter-Fotos von der letzten Firmenfeier öffentlich zu teilen. Im Optimalfall werden alle Zustimmungen dieser Art elektronisch erfasst, einschließlich des Datums und der genauen Formulierung der Einwilligung. Dabei kann ein Kundenmanagement-System wie beispielsweise HubSpot oder Salesforce CRM helfen. Ziel ist, dass Unternehmen jederzeit den Beweis erbringen können, dass eine betroffene Person ihre Zustimmung zur Verarbeitung ihrer Daten ohne Zwang, präzise, informiert und unmissverständlich erteilt hat sowie im besten Fall auch, wann und „wo“ dies erfolgt ist.

Fazit: Datenschutz als strategischer Vorteil

Die Missachtung der DSGVO kann erhebliche monetäre Folgen nach sich ziehen. Die Höhe der Strafzahlungen richtet sich nach dem Schweregrad der Regelverletzung und kann bis zu 20 Mio. € oder vier Prozent des globalen Umsatzes betragen – je nachdem, welcher Betrag den größeren Wert darstellt. Für KMU ist es daher entscheidend, vorsorglich Maßnahmen zu ergreifen, um Gefahren zu reduzieren.

Die Umsetzung der DSGVO ist aber keine reine Pflichtaufgabe, sondern auch eine Chance, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu präsentieren. Kunden und Geschäftspartner legen zunehmend Wert auf Datenintegrität und Datensicherheit – insbesondere im deutschsprachigen Raum, wo die Sensibilität für dieses Thema besonders ausgeprägt ist. Indem Sie die datenschutzrechtlichen Vorgaben erfüllen, schützen Sie ergo nicht nur Ihre Kunden und Teammitglieder, sondern verbessern auch Ihre Wettbewerbsfähigkeit und minimieren Gefahren.

In diesem Artikel können wir aufgrund der Vielfältigkeit des Themas logischerweise viele Aspekte nur oberflächlich behandeln. Als IT-Experten unterstützen wir Sie aber mit Vergnügen dabei, die DSGVO als Wettbewerbsvorteil zu nutzen und sich konform aufzustellen. Kontaktieren Sie uns, wir freuen uns darauf, von Ihnen zu lesen.