Ständig neue Urteile und unzählige Vorgaben, die teils unpräzise formuliert sind, teils gar nicht mit der Praxis vereinbar scheinen: Der Datenschutz stellt Unternehmen auch Jahre nach der Einführung der DSGVO vor Herausforderungen. Doch es nützt nichts – der Datenschutz muss umgesetzt werden, denn die drohenden Bußgelder tun in jeder Kasse weh. Gerade für KMU mit nur wenigen Mitarbeitern stellt sich aber die Frage: Wie sollen wir den Datenschutz umsetzen, wenn
a) kaum Zeit vorhanden ist, sich als Geschäftsführer auch noch damit auseinanderzusetzen und die Einhaltung der Vorgaben regelmäßig zu prüfen – oder wenigstens einen Mitarbeiter auszubilden und zu beauftragen? Schließlich ist es allein mit der DSGVO nicht getan.
b) kein Geld vorhanden ist, um einen Datenschutzbeauftragten zu benennen, der sich der Sache annimmt? Bis zur Grenze von 20 Mitarbeitern ist dieser ja noch nicht verpflichtend.
Als Datenschutzexperte weiß ich, wie belastend das Thema Datenschutz für Geschäftsführer von KMU sein kann. Mit diesem Beitrag möchte ich Ihnen deshalb helfen, das Thema sinnvoll, simpel und pragmatisch anzupacken. Sie finden hier die wichtigsten To-Do’s für den Start sowie einen Tipp, um den Datenschutz ohne viel Aufwand dauerhaft sicherzustellen. Für den schnellen Überblick empfehle ich Ihnen ergänzend mein Buch „30 Minuten – DSGVO richtig umsetzen“.
Grundsätzlich gefragt: Gibt es beim Datenschutz Ausnahmen für KMU?
DSGVO, BDSG, TTDSG … – die verschiedenen Datenschutz-Vorgaben in Deutschland bedeuten vor allem eins: Vorgaben, Vorgaben, Vorgaben. Als Geschäftsführer im Mittelstand, der schon genug auf dem Schreibtisch liegen hat und der nicht mal eben Mitarbeiter für diese Aufgabe freistellen kann, fragt man sich dann: Wurden beim Erstellen der Gesetze kleinere Betriebe mit wenig Ressourcen berücksichtigt? Gibt es für uns Ausnahmen, die das Ganze erleichtern?
Hier muss ich Ihnen leider die Hoffnung nehmen – der Datenschutz gilt in vollem Umfang für jedes Unternehmen. Einzige Ausnahme: Die Pflicht zur Ernennung eines Datenschutzbeauftragten greift erst, wenn 20 oder mehr Mitarbeiter regelmäßig personenbezogene Daten verarbeiten. Davor steht Ihnen die Ernennung frei, dennoch muss sich jemand aus Ihrem Unternehmen darum kümmern.
In der Theorie räumt zudem Art. 30 Abs. 5 DSGVO einigen Unternehmen Freiräume ein:
„Die in den Absätzen 1 und 2 genannten Pflichten [Anm: Verzeichnis der Verarbeitungstätigkeiten] gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien“
In der Praxis ist das aber nicht umsetzbar. Denn allein schon, wenn Sie Ihren Mitarbeitern regelmäßig Lohn auszahlen, regelmäßig neue Kunden akquirieren oder einfach nur eine Webseite mit Tracking betreiben, erfassen und verarbeiten Sie personenbezogene Daten „nicht nur gelegentlich“.
Es hilft also nur eines: Ärmel hochkrempeln und anpacken. Folgend die wichtigsten Datenschutz-To-do’s für KMU.
Datenschutz mit Verstand – So finden Sie einen externen Datenschutzexperten, der Sie professionell und praxisorientiert berät : Achim Barth im Interview bei Hamburg 1 „Gut beraten“
Datenschutz im Mittelstand: Das ist zu tun
Webseite datenschutzkonform gestalten
Die Webseite ist das digitale Aushängeschild. Hier fallen Datenschutz-Verstöße am einfachsten und am schnellsten auf. Und schlimmer: Finden neugierige Aufsichtsbehörden oder Abmahn-Anwälte hier einen Fehler, können sie davon ausgehen, dass der Datenschutz auch im Rest des Unternehmens nicht mit Priorität gehandhabt wird. Deshalb gilt: Auch wenn die Webseite von KMU mitunter nicht so umfangreich ist – fangen Sie hier an, den Datenschutz zu prüfen.
- Cookie Consent: Sobald Sie auf Ihrer Webseite Daten erfassen, die über rein funktionale Cookies hinausgehen, brauchen Sie das allseits beliebte Cookie-Banner. Achten Sie unbedingt darauf, dass hier keine Vorauswahl getroffen ist und dass Sie Besucher nicht mit einem „Mit dem Besuch der Webseite erklären Sie sich mit Cookies einverstanden“ abspeisen. Jedes Häkchen für jede Funktion und jeden Verarbeiter muss der Besucher aktiv, freiwillig und informiert setzen.
- Datenschutzerklärung und Impressum: Beide muss der Besucher schnell auffinden. Verlinken Sie sie am besten direkt im Footer, sodass sie mit einem Klick aufgerufen werden können. Besondere Acht sollten Sie auf die Aktualität und Individualität Ihrer Datenschutzerklärung legen. Verarbeitungstätigkeiten, Zwecke, Umfang, Rechtsgrundlage etc. müssen auf Ihr Unternehmen abgestimmt sein. Alle Drittanbieter, Dienstleister und Plugins, auf die Sie aktuell zurückgreifen, müssen aufgeführt sein. Ich rate Ihnen deshalb dringend davon ab, ohne Weiteres eine fertige Datenschutzerklärung aus dem Internet zu nutzen.
- Verschlüsselung: Die HTTPS-Verschlüsselung bzw. das SSL-Zertifikat ist aktueller Stand der Technik. Sie sorgt dafür, dass Dritte die Daten von Webseitenbesuchern nicht einfach abgreifen können.
- Falls Sie Leadgenerierung über herunterladbare Inhalte betreiben oder die Eintragung zu einem Newsletter anbieten: Die angegebene E-Mail-Adresse muss über einen Double-Opt-In bestätigt werden!
Datenverarbeitung dokumentieren
Datenschutz muss transparent sein – sowohl gegenüber den Betroffenen als auch den Aufsichtsbehörden. Während betroffene Personen die Datenverarbeitung durch die Datenschutzerklärung bzw. durch eine individuelle Anfrage einsehen können, will die Aufsichtsbehörde eine genaue Aufschlüsselung. Das erledigen Sie mithilfe des Verarbeitungsverzeichnisses, in dem Sie sämtliche Prozesse aufführen, durch die personenbezogene Daten von Ihrer Seite verarbeitet werden.
In das Verarbeitungsverzeichnis gehört:
- Name des Datenschutzbeauftragten – falls Sie einen ernannt haben
- Name und Kontaktdaten des Verantwortlichen des Verfahrens
- Zweck der Datenaufnahme und -verarbeitung – siehe Artikel 6 DSGVO
- Betroffene Personen der Datenerhebung – Wessen Daten sind das?
- Auflistung der erhobenen Daten – Welche Daten sind das?
- Zugriff auf diese Daten – Wer hat Zugriff? Handelt es sich dabei um internen oder externen Zugriff? Und erfolgt der externe Zugriff innerhalb der EU oder außerhalb?
- Evtl. Art und Rechtmäßigkeit der Übermittlung an das Drittland – EU-Land oder Nicht-EU-Land
- Rechtsgrundlage der Verarbeitung – Liegt eine Einwilligung der Betroffenen vor? Besteht mit der Datenverarbeitung ein hohes Risiko für Rechte und Freiheiten der Betroffenen?
- Löschfristen der erhobenen Daten – Wann werden Daten, falls vorgesehen, gelöscht?
- Technische und organisatorische Maßnahmen zur Datenschutzgewährung – IT-Sicherheitsmaßnahmen, Zugangskontrollen etc.
Lassen Sie Daten durch Dritte verarbeiten, benötigen Sie eine Auftragsverarbeitungsvereinbarung, die folgende Punkte beinhaltet:
- Name und Kontaktdaten des Datenschutz-Verantwortlichen und des Daten-Verarbeitenden
- Weisungsbefugnisse und Verpflichtungen im Rahmen der Datenerhebung/-verarbeitung
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Technische und organisatorische Datenschutz-Maßnahmen
- Dokumentationsplan der Datenverarbeitung
- Frage nach der Beauftragung von Subunternehmen und Regelung der Datenverarbeitung durch die Subunternehmen
- Umgang mit Meldungen von Verstößen durch Betroffene
- Umgang mit Datenschutz-Verstößen, die vom Auftraggeber ausgehen
- Umgang mit den personenbezogenen Daten nach Beendigung der Zusammenarbeit
- Kontrollmöglichkeiten und Duldungspflichten vonseiten des Auftraggebers
- Falls Daten in Drittländer übermittelt werden: Auflistung der Länder, Gewährleistung des Datenschutzes auf einem Niveau, das den DSGVO-Anforderungen entspricht
Details zu diesen Dokumentationen in meinen Beiträgen „Verarbeitungsverzeichnis gemäß DSGVO“ und „Rechtslage Auftragsverarbeitungsvereinbarung“!
Mitarbeiter auch in KMU im Datenschutz schulen
Schulen Sie Ihre Mitarbeiter im Datenschutz – und das regelmäßig! Die DSGVO verpflichtet Sie sogar implizit dazu. Sinnvolle Schulungen sind:
- Eine grundlegende Einweisung in den Datenschutz
- Regelmäßige Schulungen, um das Wissen zu festigen oder bezüglicher neuer Regelungen aufzufrischen
- Spezifische Schulungen zu Datenschutz-Themen Ihrer Branche
In meinem Beitrag „Worauf kommt es bei der Mitarbeiterschulung an?“ habe ich Ihnen alle Informationen zusammengetragen, die Datenschutzverantwortliche in KMU kennen sollten. Fordern Sie sich auch gerne das Buch „30 Minuten – DSGVO richtig umsetzen“ an und stellen Sie es Ihren Leuten zur Verfügung, um schnell und einfach ein grundlegendes Verständnis für Datenschutz zu schaffen.
Notfallplan bereithalten
Trotz Schulung kann es passieren, dass Ihnen oder einem Ihrer Mitarbeiter eine Datenschutzpanne geschieht – zum Beispiel, weil ein USB-Stick mit Kunden- oder Auftragsdaten verloren wurde. Für solche Datenschutz-Vorfälle sollten KMU einen Notfallplan bzw. ein Notfallkonzept bereithalten, den alle Mitarbeiter kennen und schnell einsehen können. Der Notfallplan klärt folgende Fragen:
- Wer ist zu kontaktieren und wie erreicht man diese Person(en)?
- Was ist in den nächsten 72 Stunden zu tun – was davon sofort und was später in Zusammenarbeit mit dem Datenschutzverantwortlichen bzw. -beauftragten?
- Dokumentation des Vorfalls
- Folgeabschätzung
- Maßnahmen treffen, um den Schaden einzugrenzen bzw. zu beheben
- Kontaktieren der betroffenen Personen, falls notwendig
- Meldung an die Aufsichtsbehörden, falls notwendig
Entscheidungshilfen zur Meldung und Antworten zum genauen Aufbau der Meldung in meinem Beitrag „Datenschutzpanne – was ist zu tun?“.
Datenschutzmanagementsystem unterstützt auch KMU im Datenschutz
Grundsätzlich rate ich alle Unternehmen, auch KMU, den generellen Datenschutz mit einem Datenschutzmanagementsystem abzusichern. Das ist keine Software oder ein Tool, sondern vielmehr ein umfassendes Konzept mit sämtlichen Maßnahmen und Zielen des Datenschutzes.
Ein solches Konzept schafft ein grundlegendes Bewusstsein für Datenschutz und hilft, dass Datenschutz nicht mehr als ein vom Arbeitsalltag abgekoppeltes Thema gesehen wird – sondern als Angelegenheit, die genau wie die Kaffeepause oder das Fahrtenbuch dazugehört. Das Datenschutzmanagementsystem bezieht jeden ein. Vom Chef bis zum Azubi. Fünf Aspekte werden dabei geregelt:
- allgemeines Bewusstsein für Datenschutz bzw. eine Datenschutz-Kultur
- Kontrollsystem
- gründliches Risikomanagement inkl. Datenschutz-Folgenabschätzung
- Organisation des Datenschutzes
- Zielsetzung des Datenschutzes
Vertiefen Sie dieses Thema im Beitrag „Was ist ein Datenschutzmanagementsystem?“.
Mein Fazit: Datenschutz in KMU ist eine Herausforderung – aber machbar
Es gibt viel zu tun, um den regelkonformen Datenschutz zu gewährleisten. KMU sollten angesichts der Datenschutz-Anforderungen aber keinesfalls den Kopf in den Sand stecken. „Augen zu und durch“, lautet hier die Devise. Dieser Beitrag hat Ihnen einen ersten Überblick verschafft – mit individuellen Datenschutz-Paketen je nach Mitarbeiterzahl unterstütze ich Sie langfristig gerne dabei, diese Aufgabe pragmatisch, unkompliziert und vor allem korrekt zu erledigen.