Datenschutz richtig angehen: Der DSGVO-Guide für den Mittelstand

- IT Ehlert GmbH -

Ein Verstoß gegen den Datenschutz kann für Unternehmen kostspielig werden – sei es durch Kundenbeschwerden, den Vertrauensverlust oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag vielschichtig erscheinen, doch keine Sorge: sie ist keine unüberwindbare Aufgabe. In diesem anwendungsorientierten Guide, der speziell für mittelständische Unternehmen im deutschsprachigen Raum entwickelt wurde, zeigen wir Ihnen, wie Sie datenschutztechnisch fit werden.

Aktuell ist die Pflicht zur elektronischen Rechnung in aller Munde.

Aber während nun neue rechtliche Vorschriften – in diesem Fall in Bezug auf die Rechnungserstellung im B2B-Bereich – an Betriebe gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in allen Unternehmen angekommen: Die Sprache ist von der Datenschutz-Grundverordnung (DSGVO).

Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum neu definiert. Doch nach wie vor dürften sich viele – von KMU über Großunternehmen und Behörden bis hin zu Privatpersonen gleichermaßen – ausreichend fit fühlen in Sachen Datenschutz gemäß DSGVO. Die Regeln sind komplex und verwirrend, die Anforderungen an Unternehmen immens und die drohenden Sanktionen bei Nichteinhaltung abschreckend. Da ist es nicht verwunderlich, dass eine kürzlich vom IT-Verband BITKOM veröffentlichte Studie ergab, dass nur sieben von zehn Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt haben, weitere 28 Prozent lediglich teilweise.

(Quellenangabe zur Studie: https://www.bitkom.org/Presse/Presseinformation/Datenschutz-Aufwand-Unternehmen-nimmt-zu).

Auch sechs Jahre nach Inkrafttreten der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unsicherheiten, was die Vorgaben der DSGVO betrifft. Zudem empfinden neun von zehn Unternehmen den mit der DSGVO verbundenen Aufwand als zu hoch und fordern sogar für eine Überarbeitung der Regulierungsbehörden! Besonders kritisiert werden demnach die vielschichtigen und teils widersprüchlichen Auslegungen, die nicht nur Ressourcen binden, sondern auch Innovationspotenzial hemmen würden.

Die Studie untersucht auch eine Facette, die in der jüngeren Entwicklung immer wichtiger wurde: den Einfluss von KI-Technologien auf den Datenschutz. Während fast 70 Prozent der Firmen die KI als mögliche Unterstützung zur Bewältigung von Datenschutzherausforderungen sehen, sind ebenso viele der Ansicht, dass KI den Datenschutz auch vor neue Herausforderungen stellt: Ob es um die Anonymisierung von Daten oder die Entwicklung rechtssicherer KI-Anwendungen geht – der Balanceakt zwischen Innovation und Regelkonformität bleibt anspruchsvoll.

Ob mit KI wie auch ohne; die Schlüsselfrage bleibt: Können Mittelständler die DSGVO nicht nur als Hindernis betrachten, sondern ebenso als Wettbewerbsvorteil für sich erschließen? Und wie lassen sich die vielschichtigen Anforderungen der DSGVO als KMU erfüllen? Dieser Ratgeber bietet speziell KMUs eine praktische Anleitung, um die Anforderungen der DSGVO zu verstehen und sie nachhaltig erfolgreich umsetzen zu können.

DSGVO-Grundlagen für den Mittelstand: Was Sie wissen müssen

Auf den Punkt gebracht: Die DSGVO regelt den Umgang mit personenbezogenen Daten in der EU. Ziel ist es, die Bürgerrechte auf den Schutz ihrer Daten zu stärken und den freien Datenverkehr innerhalb des Binnenmarkts zu sichern.

Für Firmen bedeutet das im Detail, dass jede Verarbeitung sogenannter personenbezogener Daten a) rechtmäßig, b) transparent und c) zweckgebunden erfolgen muss. Die Regelung gilt für alle Unternehmen, die innerhalb der EU tätig sind oder personenbezogene Daten von EU-Bürgern bearbeiten – egal, wo sie ihren Sitz haben.

Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Dazu gehören unter anderem:

Die Verarbeitung solcher Informationen ist an die klaren Regelungen der DSGVO gebunden. Was exakt sich daraus für ToDos für Unternehmen ergeben, werden wir im Weiteren näher betrachten. Aber vorweg sei noch gesagt, dass in Sachen DSGVO keinesfalls gilt: Einmal auf Kurs gebracht, kann ich mich entspannen … Nein, vielmehr wird bei der Einführung jedes neuen Software-Tools das Thema DSGVO erneut relevant. Oder wussten Sie, dass ein Unternehmen ab dem 20. Mitarbeiter, der Zugriff auf personenbezogene Daten, gemäß DSGVO einen Data Protection Officer bestellen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen kontinuierlich begleitet.

Rechtmäßigkeit der Datenverarbeitung

Die DSGVO legt eindeutig fest: Eine Bearbeitung persönlicher Informationen ist grundsätzlich nur dann zulässig, wenn sie auf einer gesetzlichen Basis beruht. Möglich sind die folgenden rechtlichen Grundlagen:

Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – das trifft zum Beispiel zu, wenn eine Person proaktiv der Verwendung ihrer E-Mail-Adresse für den Erhalt von Marketing-Newslettern zustimmt.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – das trifft zum Beispiel zu, wenn ein E-Commerce-Unternehmen die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erfüllen und somit den Kaufvertrag abzuwickeln.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Arbeitgeber die Gehaltsdaten eines Mitarbeiters speichert und verarbeitet, um den steuerrechtlichen Anforderungen nachzukommen.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen Nutzerdaten der Website verwendet, um seine IT-Infrastruktur vor Cyberangriffen zu schützen.

In der Praxis ist die Erhebung einer Zustimmung oftmals mit Fragen verbunden, da hier bestimmte Bedingungen gegeben sein müssen. Die Einwilligung muss nämlich, um DSGVO-konform zu sein, a) spezifisch, b) verständlich und c) ohne Zwang erfolgen. Unternehmen müssen also gewährleisten, dass die betroffenen Personen klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung ohne Druck getroffen wird. Außerdem muss die Einwilligung rückgängig machbar sein, ohne negative Folgen für die Person. Ein typisches Beispiel hierfür sind Consent-Banner bzw. Zustimmungsmanagement-Systeme für Websites, die Zustimmungen der betroffenen Personen einholen, beispielsweise was die Erhebung der IP-Adressen angeht.

Neben der rechtlichen Grundlage, die nötig ist, um personenbezogene Daten zu verarbeiten, verlangt der Grundsatz der Datenminimierung, dass nur die für den jeweiligen wirklich zwingenden Zweck essentiellen Informationen erhoben werden. Beispielsweise darf ein Online-Shop im Checkout auch nur die Daten sammeln, die für die Abwicklung des Kaufprozesses erforderlich sind.

Was in der realen Anwendung oftmals missachtet wird, ist die Tatsache, dass die gesammelten Informationen gemäß DSGVO nur für den ursprünglichen Zweck genutzt werden dürfen. Eine spätere Verwendung für andere Zwecke erfordert eine neue gesetzliche Basis, wie etwa eine erneute Einwilligung. Beispielsweise darf die Adresse eines Kunden, die für die Zustellung erhoben wurde, nicht ohne Einwilligung des Kunden für Marketingzwecke verwendet werden! Jedem Kunden Werbe-Newsletter zu senden, ist demnach unzulässig. Erst wenn der Kunde aktiv zustimmt (also seine ausdrückliche Zustimmung gegeben hat), dass er E-Mails mit Informationen empfangen möchte, darf man seine Daten auch dafür nutzen.

Was sind die technischen und organisatorischen Maßnahmen (TOMs)?

Für KMU ist es entscheidend, die Integrität personenbezogener Daten zu gewährleisten, um sowohl rechtlichen Anforderungen gerecht zu werden als auch das Vertrauen ihrer Kunden zu fördern. Die DSGVO verlangt von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (vor allem) personenbezogene Daten zu sichern.

Unternehmen müssen demnach sicherstellen, dass ihre IT-Systeme den Schutz privater Daten gewährleisten.

Dazu gehören beispielsweise folgende Vorkehrungen:

Welche TOMs sinnvoll und erforderlich zu ergreifen sind, ist davon abhängig, in welchem Branchenbereich ein Unternehmen unterwegs ist. Wir versuchen trotzdem, ein paar spezifische, allgemeingültige Schritte zu nennen, die Sie unternehmen können und sollten:

Verschlüsselung sensibler Daten:
Verschlüsseln Sie alle personenbezogenen Daten, die Sie speichern oder übermitteln (z. B. Kundendaten, finanzielle Daten). Dies unterbindet, dass Dritte im Falle eines Datenvorfalls auf diese Daten zugreifen können. Nutzen Sie zudem anerkannte Kryptografie-Standards wie AES oder RSA.
Zugriffskontrollen implementieren:
Nur autorisierte Mitarbeiter sollten Zugriff auf personenbezogene Daten haben. Setzen Sie rollenbasierte Zugriffsbeschränkungen um, sodass Angestellte nur die Daten sehen können, welche sie für ihre Arbeit wirklich benötigen. Verwenden Sie darüber hinaus starke Passwörter und Zwei-Faktor-Authentifizierung für den Zugang zu sensiblen Systemen.
Regelmäßige Sicherheitsupdates durchführen:
Aktualisieren Sie Ihre Software, Betriebssysteme und Schutzsysteme regelmäßig. Sicherheitslücken in veralteten Systemen sind häufig ein Einfallstor für Angreifer. Automatisieren Sie, wenn möglich, den Update-Prozess, um sicherzustellen, dass Sie keine kritischen Aktualisierungen übersehen.
Mitarbeiterschulungen und Sensibilisierung:
Sensibilisieren Sie Ihre Mitarbeiter zyklisch für Datenschutzthemen. Schulungen sollten konkrete Beispiele und Best Practices für den Umgang mit personenbezogenen Daten beinhalten. Sie sollten zudem sicherstellen, dass Ihre Mitarbeiter wissen, wie sie Datenschutzverletzungen identifizieren und melden können und wer intern der Verantwortliche rund um Datenschutzfragen ist.
Dokumentation der Maßnahmen:
Führen Sie eine detaillierte Aufzeichnung aller technischen und organisatorischen Maßnahmen, die Sie zum Schutz der Daten ergriffen haben. Diese Aufzeichnung hilft Ihnen, im Falle einer Inspektion nachzuweisen, dass Sie die Vorgaben des Datenschutzes erfüllen.

Die TOMs schützen nicht nur die Daten Ihrer Kunden und Mitarbeiter, sondern helfen Ihnen auch, das Risiko von Datenschutzverletzungen zu minimieren. Infos zur Umsetzung von TOMs sind auf der öffentlichen Website der Europäischen Kommission zur DSGVO zu sehen unter https://commission.europa.eu/law/law-topic/data-protection_en.

Auskunft, Löschung und mehr: Die Rechte Ihrer Kunden

Die DSGVO stärkt die Rechte der Betroffenen und gibt ihnen umfassende Kontrollmöglichkeiten über ihre Daten. Unternehmen müssen darauf vorbereitet sein, diese Rechte gleichermaßen zu erfüllen.

Konkret geht es dabei um nachstehende Rechte:

Auskunftsrecht und Datenportabilität:
Personen haben das Recht, Auskunft über die Verarbeitung ihrer Informationen zu verlangen. Dies umfasst die Art der Informationen, den Zweck der Verarbeitung sowie die Aufbewahrungsfrist. Zusätzlich ermöglicht die Übertragbarkeit von Daten den Individuen, ihre Daten in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter übertragen zu lassen. Seien Sie auf die Tatsache vorbereitet, dass ein sogenanntes Auskunftsersuchen Sie erreicht, klären Sie Verantwortlichkeiten und etablieren Sie Prozesse für einen solchen Fall fest. Aufgepasst: Unternehmen sind in der Verpflichtung, binnen 30 Tagen auf Auskunftsersuchen zu antworten!
Recht auf Vergessenwerden:
Das Recht auf Löschung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Löschung ihrer Daten zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung unrechtmäßig ist. Prüfen Sie, ob Ihre verwendeten Anwendungen eine endgültige Löschung oder Pseudonymisierung von Informationen ermöglichen. Dabei müssen aber ggf. relevante Vorschriften zur Archivierung gemäß Abgabenordnung ebenfalls im Blick behalten werden.
Einschränkungen und Widerspruch:
Firmen müssen sicherstellen, dass sie Anfragen auf Einschränkung oder Widerspruch gegen die Verarbeitung umgehend prüfen und durchführen können. Dabei gilt es vor allem, Verantwortlichkeiten innerhalb des Unternehmens klar zu organisieren.

Auftragsverarbeitung und Drittstaatenübermittlung

Viele Unternehmen arbeiten mit externen Dienstleistern zusammen – sei es im Bereich Cloud-Computing, Werbung oder IT-Support. In allen angesprochenen Fällen ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, um die Zuständigkeiten und Pflichten des Dienstleisters zu regeln. Vor allem dann, wenn der Drittanbieter die persönlichen Informationen der eigenen Kunden ebenfalls verarbeitet, auf diese Zugriff hat etc.

Achtung beim Einsatz von externen Dienstleistern, die außerhalb der Europäischen Union ansässig sind: Eine Datenübertragung in Länder außerhalb der EU (= Übertragung in Drittländer) ist gemäß DSGVO nur unter strengen Auflagen zulässig. In der Praxis von Bedeutung ist dies zum Beispiel beim Gebrauch von Softwarelösungen und Services von Firmen aus den USA, wie beispielsweise MS, Google oder Amazon. Dabei muss sichergestellt werden, dass die Übermittlung auf einer der rechtlich zulässigen Grundlagen basiert, etwa durch den Abschluss sogenannter Standardvertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission anerkannten Datenschutzstandards.

Unternehmen müssen regelmäßig die Compliance der datenschutzrechtlichen Anforderungen durch ihre Auftragsverarbeiter überprüfen sowie im Falle von Modifikationen in den US-amerikanischen Datenschutzgesetzen gegebenenfalls neue Sicherheitsvorkehrungen ergreifen. Zusätzlich sollten in solchen Fällen die Datensubjekte über die Datenweitergabe ihrer Daten in außereuropäische Staaten informiert werden. Es empfiehlt sich, ein sogenanntes Verzeichnis der eingesetzten weiteren Auftragsverarbeiter öffentlich zur Verfügung zu stellen und alle Auftragsverarbeitungsverträge an zentraler Stelle abzulegen.

Dokumentation und Nachweis der DSGVO-Konformität

Die Datenschutz-Grundverordnung verpflichtet Unternehmen, die Compliance der datenschutzrechtlichen Anforderungen belegen zu können. Dies erfordert umfassende Aufzeichnungen, unter anderem:

Eine lückenhafte Dokumentation kann bei einer Überprüfung durch die Aufsichtsbehörden zu Problemen führen, selbst wenn die eigentliche Datenbearbeitung korrekt passiert. Schauen wir uns deshalb einmal näher an, was sich hinter den jeweiligen Punkten verbirgt:

Unternehmen müssen in einem sogenannten VVT alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten betroffen sind, erfassen.
Ein solches Verzeichnis hilft, die Datenoperationen zu strukturieren und die Einhaltung der DSGVO nachzuweisen. Es sollte Informationen wie die Art der Daten, die Zwecke der Verarbeitung, die Datenempfänger und die Speicherdauer enthalten und kann z.B. als Excel-Tabelle erstellt sein. Hier tauchen dann Datenbearbeitungsprozesse wie der Versand von Marketing-E-Mails, die Mitarbeiterdatenverarbeitung im Rahmen der Gehaltsberechnung oder die Kundendatenverarbeitung im Rahmen von Bestellungen über einen Online-Shop auf und sind einzeln als Prozesse detailliert beschrieben.

Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Einführung eines neuen Feedback-Systems plant, das umfassende Informationen über das Verhalten der Nutzer sammelt. Bevor es mit der Datenverarbeitung beginnt, müsste das Unternehmen eine Analyse durchführen, um potenzielle Gefahren für die individuellen Schutzrechte der Datensubjekte zu bewerten und geeignete Strategien zum Risikomanagement festzulegen. Das ist nötig bei allen Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der Individuen darstellen.

In der Praxis am häufigsten dürfte Unternehmen der Nachweis über die Einwilligung der Nutzer begegnen – sei es auf der Internetseite in Form eines Cookie-Banners, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Fotos von Angestellten von der letzten Unternehmensveranstaltung öffentlich zu teilen. Im Optimalfall werden alle Einwilligungen dieser Art digital gespeichert, einschließlich des Datums und der genauen Zustimmungsbeschreibung. Dabei kann ein Kundenmanagement-System wie beispielsweise HubSpot CRM oder Salesforce helfen. Ziel ist, dass Unternehmen jederzeit den Beweis erbringen können, dass eine betroffene Person ihre Zustimmung zur Datennutzung ohne Zwang, spezifisch, aufgeklärt und eindeutig erteilt hat sowie im besten Fall auch, wann und „wo“ dies registriert wurde.

Fazit:
Datenschutz als strategischer Vorteil

Die Missachtung der Datenschutz-Grundverordnung kann erhebliche monetäre Folgen nach sich ziehen. Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes betragen – je nachdem, welcher Betrag den größeren Wert darstellt. Für KMU ist es daher entscheidend, proaktiv zu handeln, um Risiken zu minimieren.

Die Umsetzung der DSGVO ist aber keine reine gesetzliche Verpflichtung, sondern auch eine Gelegenheit, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu positionieren. Kunden und Geschäftspartner legen zunehmend Wert auf Datenintegrität und Sicherheitsstandards – insbesondere im DACH-Raum, wo die Sensibilität für dieses Thema besonders ausgeprägt ist. Indem Sie die datenschutzrechtlichen Vorgaben erfüllen, schützen Sie ergo nicht nur Ihre Kunden und Teammitglieder, sondern verbessern auch Ihre Wettbewerbsfähigkeit und minimieren Risiken.

In diesem Artikel können wir aufgrund der Komplexität des Themas natürlich viele Aspekte nur anreißen. Als IT-Experten unterstützen wir Sie aber gerne dabei, die DSGVO als strategischen Vorteil zu nutzen und sich rechtskonform aufzustellen.