Ein Verstoß gegen den Datenschutz kann für Unternehmen kostspielig werden – sei es durch Kundenbeschwerden, den Verlust von Vertrauen oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag vielschichtig erscheinen, doch keine Sorge: sie ist keine unlösbare Herausforderung. In diesem praktischen Leitfaden, der speziell für mittelständische Unternehmen im DACH-Raum entwickelt wurde, zeigen wir Ihnen, wie Sie datenschutztechnisch fit werden.
Derzeit ist die Pflicht zur elektronischen Rechnung in aller Munde. Aber während nun neue rechtliche Vorschriften – in diesem Fall in Bezug auf die Rechnungserstellung im Geschäftsverkehr zwischen Unternehmen – an Betriebe gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in sämtlichen Unternehmen umgesetzt: Die Sprache ist von der Datenschutz-Grundverordnung (DSGVO).
Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum umgestaltet. Doch nach wie vor dürften sich viele – von kleinen Unternehmen über Konzerne und öffentliche Einrichtungen bis hin zu Privatpersonen gleichermaßen – ausreichend fit fühlen in Sachen Datenschutz gemäß DSGVO. Die Regeln sind komplex und verwirrend, die Anforderungen an Unternehmen enorm und die drohenden Strafen bei Nichtbeachtung abschreckend. So ist es nicht erstaunlich, dass eine kürzlich vom IT-Verband BITKOM veröffentlichte Studie ergab, dass nur 7 von 10 Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt haben, weitere 28 Prozent lediglich teilweise (Link zur Studie: https://www.bitkom.org/Presse/Presseinformation/Datenschutz-Aufwand-Unternehmen-nimmt-zu).
Auch sechs Jahre nach Einführung der DSGVO leiden dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unsicherheiten, was die Vorgaben der DSGVO betrifft. Zudem bewerten 9 von 10 Unternehmen den mit der DSGVO verbundenen Aufwand als übermäßig und plädieren sogar für eine Überarbeitung der Regulierungsbehörden! Besonders kritisiert werden demnach die komplexen und teilweise inkonsistenten Interpretationen, die nicht nur Ressourcen binden, sondern auch Innovationspotenzial hemmen würden.
Die Studie beleuchtet auch eine Facette, die in der jüngeren Entwicklung immer wichtiger wurde: den Einfluss künstlicher Intelligenz (KI) auf den Datenschutz. Während fast 70 Prozent der Firmen die KI als potenzielle Hilfe zur Bewältigung von Datenschutzherausforderungen sehen, sind ebenso viele der Meinung, dass KI den Datenschutz auch vor neue Herausforderungen stellt: Ob es um die Anonymisierung von Daten oder die Entwicklung rechtssicherer KI-Anwendungen geht – der Balanceakt zwischen technologischem Fortschritt und Compliance bleibt anspruchsvoll.
Ob mit KI wie auch ohne; die zentrale Frage bleibt: Können Mittelständler die DSGVO nicht nur als Hürde betrachten, sondern auch als Strategievorteil für sich erschließen? Und wie lassen sich die vielschichtigen Anforderungen der DSGVO als KMU umsetzen? Dieser Leitfaden bietet speziell kleinen und mittelständischen Unternehmen eine praktische Anleitung, um die Anforderungen der DSGVO zu verstehen und sie dauerhaft erfolgreich umsetzen zu können.
Die DSGVO auf einen Blick
Auf den Punkt gebracht: Die DSGVO regelt den Umgang mit personenbezogenen Daten in der EU. Ziel ist es, die Bürgerrechte auf den Schutz ihrer Daten zu fördern und den freien Datenverkehr innerhalb des Binnenmarkts zu gewährleisten.
Für Firmen bedeutet das im Detail, dass jede Verarbeitung sogenannter persönlicher Informationen a) rechtmäßig, b) transparent und c) an einen spezifischen Zweck gebunden, erfolgen muss. Die Verordnung gilt für alle Unternehmen, die in der EU tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten – unabhängig davon, wo sie ihren Sitz haben.
Daten mit Personenbezug umfassen alle Informationen, die sich auf eine identifizierte oder bestimmbare Person beziehen. Dazu zählen unter anderem:
• Name
• Anschrift
• Mail-Adresse
• IP-Adresse(n)
• Kundennummer
• Standortdaten
• u.v.m.
Die Verarbeitung solcher Informationen ist an die klaren Regelungen der DSGVO gebunden. Was genau sich daraus für ToDos für Unternehmen ergeben, werden wir im Weiteren näher betrachten. Aber vorweg sei noch gesagt, dass in Sachen DSGVO keinesfalls gilt: Einmal auf Kurs gebracht, kann ich mich zurücklehnen … Nein, vielmehr wird bei der Integration neuer Softwarelösungen das Thema DSGVO erneut wichtig. Oder wissen Sie, dass ein Unternehmen ab dem 20. Mitarbeiter, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Datenschutzbeauftragten bestellen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen kontinuierlich begleitet.
Die Spielregeln der DSGVO: Erlaubte Datenverarbeitung
Die DSGVO legt eindeutig fest: Eine Bearbeitung persönlicher Informationen ist grundsätzlich nur dann zulässig, wenn sie auf einer rechtlichen Grundlage beruht. Möglich sind die folgenden rechtlichen Grundlagen:
• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – das trifft zum Beispiel zu, wenn eine Person bewusst der Verwendung ihrer E-Mail-Adresse für den Erhalt von Marketing-Newslettern einwilligt.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – dies trifft zum Beispiel zu, wenn ein Online-Shop die Zahlungsdaten eines Kunden verwendet, um eine Bestellung zu erfüllen und folglich den Vertrag abzuwickeln.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen die Gehaltsdaten eines Mitarbeiters verarbeitet, um den Vorgaben des Steuerrechts nachzukommen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen Benutzerdaten der Website verwendet, um seine IT-Infrastruktur vor Cyberangriffen zu sichern.
In der Praxis ist die Einholung einer Einwilligung oftmals mit Fragen verbunden, da hier bestimmte Bedingungen gegeben sein müssen. Die Einwilligung muss nämlich, um DSGVO-konform zu sein, a) spezifisch, b) verständlich und c) freiwillig erfolgen. Unternehmen müssen also sicherstellen, dass die betroffenen Personen klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung ohne Druck getroffen wird. Außerdem muss die Einwilligung rückgängig machbar sein, ohne negative Folgen für die Person. Ein typisches Beispiel hierfür sind Cookie-Banner bzw. Zustimmungsmanagement-Systeme für Websites, die Einwilligungen der Website-Besucher abfragen, beispielsweise was die Verarbeitung ihrer IP-Adresse angeht.
Neben der rechtlichen Grundlage, welche nötig ist, um Daten mit Personenbezug zu verarbeiten, verlangt das Prinzip der Minimierung von Daten, dass alleinig die für den jeweiligen wirklich zwingenden Zweck notwendigen Daten gesammelt werden. Beispielsweise darf ein E-Commerce-Anbieter im Checkout auch nur die Daten sammeln, die für die Bestellung erforderlich sind.
Was in der Praxis oftmals übersehen wird, ist die Tatsache, dass die erhobenen Daten gemäß DSGVO nur für den primären Zweck genutzt werden dürfen. Eine nachträgliche Nutzung für andere Zwecke erfordert eine neue rechtliche Grundlage, wie etwa eine neue Zustimmung. Beispielsweise darf die Adresse eines Kunden, die für die Lieferung erhoben wurde, nicht ohne Zustimmung des Betreffenden für Marketingzwecke verwendet werden! Jedem Kunden Werbe-Newsletter zu senden, ist demnach nicht erlaubt. Erst wenn der Kunde aktiv zustimmt (also seine Einwilligung erteilt hat), dass er Informationen per Mail erhalten will, darf man seine Daten auch dafür nutzen.
TOMs nach DSGVO: Schutz für Unternehmen und Kunden
Für KMU ist es wesentlich, die Sicherheit personenbezogener Daten zu gewährleisten, um sowohl rechtlichen Vorgaben gerecht zu werden sowie das Vertrauen ihrer Kunden zu fördern. Die DSGVO verlangt von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) personenbezogene Daten zu sichern.
Unternehmen müssen folglich gewährleisten, dass ihre IT-Systeme den Schutz personenbezogener Daten garantieren. Dazu gehören beispielsweise folgende Vorkehrungen:
• Verschlüsselung sensibler Daten
• Implementierung von Zugriffskontrollen
• Regelmäßige Sicherheitsupdates
Welche TOMs sinnvoll und erforderlich zu ergreifen sind, ist davon abhängig, in welchem Branchenbereich ein Betrieb tätig ist. Wir versuchen trotzdem, ein paar spezifische, universell anwendbare Schritte zu nennen, die Sie unternehmen können und sollten:
- Verschlüsselung sensibler Daten: Schützen Sie alle persönlichen Informationen, die Sie speichern oder übermitteln (z. B. Kundendaten, finanzielle Daten). Dies unterbindet, dass Dritte im Falle eines Datenlecks auf diese Daten zugreifen können. Nutzen Sie zudem gängige Verschlüsselungsstandards wie AES oder RSA.
- Zugriffskontrollen implementieren: Nur autorisierte Angestellte sollten Zugriff auf personenbezogene Daten haben. Setzen Sie rollenbasierte Zugriffsbeschränkungen um, sodass Mitarbeiter nur die Daten sehen können, die sie für ihre Arbeit tatsächlich benötigen. Verwenden Sie darüber hinaus starke Passwörter und Mehrfaktor-Authentifizierung für den Zugang zu kritischen Systemen.
- Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Programme, Systemplattformen und Sicherheitsprogramme regelmäßig. Schwachstellen in veralteten Systemen sind häufig ein Angriffspunkt für Cyberkriminelle. Vereinfachen Sie, wenn möglich, den Aktualisierungsprozess, um sicherzustellen, dass Sie keine wichtigen Patches übersehen.
- Mitarbeiterschulungen und Sensibilisierung: Sensibilisieren Sie Ihre Teammitglieder regelmäßig für Datenschutzthemen. Weiterbildungen sollten konkrete Beispiele und bewährte Verfahren für den Umgang mit personenbezogenen Daten beinhalten. Sie sollten zudem sicherstellen, dass Ihre Mitarbeiter wissen, wie sie Datenschutzverletzungen identifizieren und melden können und wer intern der Verantwortliche rund um Datenschutzfragen ist.
- Dokumentation der Maßnahmen: Führen Sie eine detaillierte Aufzeichnung aller technischen und organisatorischen Maßnahmen, die Sie zum Schutz der Daten ergriffen haben. Diese Dokumentation hilft Ihnen, im Falle einer Inspektion zu belegen, dass Sie die Vorgaben des Datenschutzes erfüllen.
Die TOMs behüten nicht nur die Daten Ihrer Kunden und Mitarbeiter, sondern helfen Ihnen auch, das Risiko von Datenschutzverletzungen zu verkleinern. Details zur Umsetzung von TOMs sind auf der offiziellen Website der Europäischen Kommission zur DSGVO zu finden unter https://commission.europa.eu/law/law-topic/data-protection_en.
Recht auf Vergessenwerden, Löschung und mehr: Die Rechte der Betroffenen
Die Datenschutz-Grundverordnung stärkt die Rechte der Bürger und gibt ihnen umfassende Kontrollmöglichkeiten über ihre Daten. Firmen müssen darauf vorbereitet sein, jene Rechte gleichermaßen zu erfüllen. Konkret geht es dabei um folgende Rechte:
• Auskunftsrecht und Datenportabilität: Betroffene haben das Recht, Information über die Verarbeitung ihrer Informationen zu verlangen. Dies umfasst die Art der Daten, den Zweck der Weiterverarbeitung sowie die Speicherdauer. Zusätzlich ermöglicht die Übertragbarkeit von Daten den Individuen, ihre Informationen in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter weiterzuleiten. Seien Sie auf die Tatsache vorbereitet, dass ein sogenanntes Informationsbegehren Sie erreicht, klären Sie Verantwortlichkeiten und etablieren Sie Prozesse für einen solchen Fall fest. Achtung: Unternehmen sind verpflichtet, binnen eines Monats auf Informationsanfragen zu antworten!
• Recht auf Vergessenwerden: Das Recht auf Löschung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Entfernung ihrer persönlichen Informationen zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung unrechtmäßig ist. Prüfen Sie, ob Ihre eingesetzten Software-Tools eine endgültige Löschung oder Pseudonymisierung von Informationen ermöglichen. Dabei müssen aber ggf. relevante Vorschriften zur Archivierung gemäß Abgabenordnung gleichfalls im Blick behalten werden.
• Einschränkungen und Widerspruch: Firmen müssen sicherstellen, dass sie Anfragen auf Einschränkung oder Einspruch gegen die Verarbeitung umgehend prüfen und umsetzen können. Dabei gilt es vor allem, Zuständigkeiten innerhalb des Unternehmens klar zu organisieren.
Grenzenlos sicher: Datenübermittlung (in Drittstaaten) DSGVO-konform gestalten
Viele Unternehmen arbeiten mit Drittanbietern zusammen – sei es im Bereich Cloud-Dienste, Werbung oder IT-Support. In allen genannten Fällen ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, um die Verantwortlichkeiten und Pflichten des Dienstleisters zu regeln. Vor allem dann, wenn der externe Dienstleister die personenbezogenen Daten der eigenen Kunden ebenfalls verarbeitet, auf diese Zugriff hat etc.
Achtung beim Einsatz von externen Dienstleistern, die außerhalb der Europäischen Union ansässig sind: Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU (= Übertragung in Drittländer) ist gemäß DSGVO nur unter strikten Auflagen zulässig. In der Praxis von Bedeutung ist dies zum Beispiel beim Gebrauch von Tools und Services von Unternehmen aus den Vereinigten Staaten, wie beispielsweise Microsoft, Google oder Amazon. Dabei muss sichergestellt werden, dass die Datenweitergabe auf einer der gesetzeskonformen Methoden basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission anerkannten Datenschutzstandards.
Unternehmen müssen turnusmäßig die Compliance der Datenschutzvorgaben durch ihre Dienstleister überprüfen und im Falle von Änderungen in den US-amerikanischen Datenschutzgesetzen gegebenenfalls neue Schutzmaßnahmen ergreifen. Zusätzlich sollten in solchen Fällen die betroffenen Personen über die Übermittlung ihrer persönlichen Informationen in Drittländer informiert werden. Es empfiehlt sich, ein sogenanntes Verzeichnis der eingesetzten weiteren Auftragsverarbeiter öffentlich zur Verfügung zu stellen und alle Auftragsverarbeitungsverträge an zentraler Stelle abzulegen.
Dokumentation leicht gemacht: DSGVO-Vorgaben im Alltag umsetzen
Die Datenschutz-Grundverordnung verpflichtet Unternehmen, die Einhaltung der Datenschutzvorgaben belegen zu können. Dies erfordert umfassende Dokumentationen, unter anderem:
• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Nachweis über die Einwilligung der Betroffenen
Eine unvollständige Aufzeichnung kann bei einer Prüfung durch die Datenschutzbehörden zu Problemen führen, selbst wenn die eigentliche Datenbearbeitung korrekt passiert. Schauen wir uns deshalb einmal genauer an, was sich hinter den jeweiligen Punkten verbirgt:
Unternehmen müssen in einem sogenannten VVT alle Datenprozesse, bei denen personenbezogene Daten betroffen sind, dokumentieren. Ein solches Verzeichnis hilft, die Datenoperationen zu organisieren und die Einhaltung der DSGVO nachzuweisen. Es sollte Informationen wie die Art der Informationen, die Zwecke der Verarbeitung, die Datenempfänger und die Speicherdauer enthalten und kann z.B. als Excel-Tabelle angelegt sein. Hier tauchen dann Datenbearbeitungsprozesse wie der Versand von Marketing-E-Mails, die Datenverwaltung von Angestellten im Rahmen der Gehaltsberechnung oder die Kundendatenverarbeitung im Rahmen von Bestellungen über einen Online-Shop auf und sind einzeln als Abläufe detailliert beschrieben.
Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Einführung eines neuen Feedback-Systems plant, das umfassende Informationen über das Verhalten der Nutzer sammelt. Bevor es mit der Datenverarbeitung beginnt, müsste das Unternehmen eine DSFA durchführen, um potenzielle Risiken für die individuellen Schutzrechte der Datensubjekte zu bewerten und geeignete Maßnahmen zum Umgang mit Risiken festzulegen. Das ist nötig bei allen Datenoperationen, die ein erhöhtes Gefahrenpotenzial für die Rechte und Freiheiten der betroffenen Personen darstellen.
In der Praxis am häufigsten dürfte Firmen der Nachweis über die Einwilligung der Betroffenen begegnen – sei es auf der Website in Form eines Cookie-Banners, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Mitarbeiter-Fotos von der letzten Firmenfeier öffentlich zu teilen. Im Optimalfall werden alle Einwilligungen dieser Art digital gespeichert, einschließlich des Zeitpunktes und der genauen Zustimmungsbeschreibung. Dabei kann ein CRM-Tool wie beispielsweise HubSpot oder Salesforce helfen. Ziel ist, dass Unternehmen jederzeit den Nachweis erbringen können, dass eine Person ihre Zustimmung zur Verarbeitung ihrer Daten ohne Zwang, präzise, aufgeklärt und unmissverständlich erteilt hat sowie im besten Fall auch, wann und „wo“ dies registriert wurde.
Fazit: DSGVO-Compliance als Differenzierungsmerkmal
Die Missachtung der Datenschutz-Grundverordnung kann erhebliche finanzielle Konsequenzen nach sich ziehen. Die Höhe der Strafzahlungen richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Für Mittelständler ist es daher entscheidend, vorsorglich Maßnahmen zu ergreifen, um Gefahren zu reduzieren.
Die Einhaltung der Datenschutz-Grundverordnung ist aber keine reine Pflichtaufgabe, sondern auch eine Chance, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu positionieren. Kunden und Geschäftspartner legen zunehmend Wert auf Datenschutz und Sicherheitsstandards – insbesondere im DACH-Raum, wo die Aufmerksamkeit für dieses Thema hoch ist. Indem Sie die datenschutzrechtlichen Vorgaben erfüllen, sichern Sie ergo nicht nur Ihre Klienten und Teammitglieder, sondern stärken auch Ihre Marktposition und reduzieren Gefahren.
In diesem Artikel können wir aufgrund der Vielfältigkeit des Themas natürlich viele Aspekte nur oberflächlich behandeln. Als IT-Experten unterstützen wir Sie aber gerne dabei, die Datenschutz-Grundverordnung als Wettbewerbsvorteil zu nutzen und sich rechtskonform aufzustellen. Sprechen Sie uns gerne an, wir freuen uns darauf, von Ihnen zu lesen.
