Häufig gehen kleine Unternehmen davon aus, dass sie von der DSGVO befreit sind, solange die Ernennung eines Datenschutzbeauftragten für sie nicht obligatorisch ist. Den brauchen Unternehmen nämlich nur, sofern sie mindestens einen der drei Punkte aus Artikel 37, Absatz 1 DSGVO erfüllen:
- Es handelt sich um eine Behörde/öffentliche Stelle – Ausnahme sind Gerichte, „soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln.
- Die Kerntätigkeit des Unternehmens besteht darin, regelmäßig und systematisch Personen zu überwachen und deren Daten auszuwerten.
- Die Kerntätigkeit des Unternehmens besteht darin, besondere Daten (nach Artikel 9 und 10 DSGVO) umfangreich zu verarbeiten.
Ergänzend zu Artikel 37 regelt in Deutschland das Bundesdatenschutzgesetz (BDSG) die Benennpflicht im nichtöffentlichen Bereich. In §39 BDSG heißt es sinngemäß: Sind im Unternehmen mehr als 20 Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt, muss auch hier ein Datenschutzbeauftragter bestellt werden.
Bei den meisten kleinen Unternehmen trifft jedoch keiner dieser Faktoren zu. Dennoch müssen sich auch kleine Unternehmen an die DSGVO halten. Ohne die Beratung eines kompetenten Datenschutzbeauftragten kann das schwierig werden – besonders, wenn das Unternehmen in einer kniffligen Situation steckt. Ich möchte Ihnen deshalb heute aufzeigen, worauf Sie beim Datenschutz grundlegend achten sollten – und was Sie tun können, wenn es doch mal brenzlig wird.
Diese Punkte müssen auch kleine Unternehmen laut DSGVO erfüllen
Die Webseite kleiner Unternehmen muss DSGVO-konform sein
Die Webseite ist das Aushängeschild der modernen Welt. Wer Kunden gewinnen will, kommt um einen Internetauftritt nicht mehr herum. Der sollte auch bei kleinen Unternehmen professionell sein – und natürlich DSGVO-konform! Schließlich ist das Internet wohl der Platz, an dem sich Menschen am meisten Gedanken über den Schutz ihrer persönlichen Daten machen. Für Sie bedeutet das: Weisen Sie Webseitenbesucher sichtbar darauf hin, welche Daten Sie wie und wozu verarbeiten – in Form des allseits bekannten Cookie-Banners. Bitte beachten Sie dabei, dass die Einwilligung nicht schon „vorgegeben“ sein darf. User müssen einzeln auswählen können, welche Daten sie mit Ihnen teilen möchten. Außerdem muss die Möglichkeit bestehen, der Einwilligung jederzeit zu widersprechen. Wenn Sie dazu noch etwas mehr erfahren möchten, empfehle ich Ihnen meinen weiterführenden Beitrag über Cookies.
Auf Ihre Webseite gehören darüber hinaus ein Impressum und eine Datenschutzerklärung. Wenn Sie als kleines Unternehmen keinen DSGVO-Experten im Haus haben, können Sie diese Erklärung auch mithilfe einer der zahlreichen Vorlagen aus dem Internet erstellen.
Regeln Sie den grundsätzlichen Datenschutz im Unternehmensalltag
Auch in Kleinunternehmen ist die DSGVO fest im Tagesgeschäft verankert. Schließlich fallen bei jeder Aktion Daten an: ein Kunde kauft ein Produkt und gibt seine Lieferadresse an, der andere teilt seine E-Mail-Adresse mit Ihnen, um sich etwas herunterzuladen, ein dritter hinterlegt seine Telefonnummer mit der Bitte um Rückruf. Ihre Mitarbeiter brauchen deshalb eine verbindliche Richtlinie und regelmäßige Schulungen zum Umgang mit Daten, zum Beispiel:
- Nicht achtlos Links in E-Mails klicken. Keine Daten einfach weiterleiten – im Zweifelsfall lieber noch einmal direkt nachfragen.
- Dokumente so entsorgen bzw. löschen, dass sie nicht wiederhergestellt oder in falsche Hände gelangen können.
- Private Geräte nicht dienstlich nutzen und umgekehrt.
- Im Homeoffice Unterlagen und Dokumente wegschließen.
- Gute Antiviren-Software nutzen, Zugänge und Geräte durch sichere Passwörter schützen.
So werden schon die größten Fehlerquellen für Datenschutzpannen ausgeschlossen. Dieser Aspekt der DSGVO ist auch für kleine Unternehmen äußerst relevant. Denn während eine erstmalige Datenpanne aus Unachtsamkeit nicht unbedingt verfolgt wird, können wiederholte oder schwere Pannen Bußgelder in Millionenhöhe nach sich ziehen. Und das muss einfach nicht sein. Ist einem Ihrer Mitarbeiter dennoch eine Panne unterlaufen, sollte für dieses Szenario schon ein Notfallplan vorliegen, um einer Datenschutzanzeige vorzubeugen.
Die DSGVO fordert von kleinen Unternehmen die Einhaltung sogenannter TOM
Wer sich nicht auskennt, kann sehr viel Geld in völlig unnötige IT-Infrastruktur und praxisferne Prozesse stecken. Für kleine Unternehmen, wo vielleicht sowieso schon nicht viel Budget verfügbar ist, kann die Einhaltung der DSGVO unter diesen Umständen teuer werden. Deshalb ist es wichtig, dass Sie sich vorher mit den geforderten technischen und organisatorischen Maßnahmen (TOM) auseinandersetzen und abschätzen, was zum Einhalten wirklich nötig ist. Ein Handwerksbetrieb, der einige Daten in Excel listet, braucht schließlich keine so umfassenden Sicherheitsmaßnahmen wie eine Arztpraxis.
Wichtige TOM sind neben der bereits erwähnten Sensibilisierung der Mitarbeiter u.a.:
- Das Sichern Ihres Firmengeländes
- Verschlüsselung von Daten
- Protokollierung der Datenschutzmaßnahmen
- Protokollierung der Datenzugriffe
- Einrichten einer Firewall
Last but not least: Schützen Sie Daten von Mitarbeitern und Bewerbern
Vor allem in Bewerbungsprozessen wird eine ganze Reihe sensibler Daten aller möglichen Menschen in Ihr Unternehmen übermittelt: Name, Adresse, der komplette Lebenslauf und das Geburtsdatum. Wenn kleine Unternehmen der DSGVO nachkommen möchten, sollten sie besonderen Wert auf den Schutz dieser Daten legen. Bewerber haben das Recht, jederzeit Auskunft über die Nutzung ihrer Daten einzufordern bzw. deren Löschung zu verlangen. Nur am Bewerbungsprozess beteiligte Mitarbeiter dürfen die Bewerbungsunterlagen einsehen. Haben Sie Bewerber „aussortiert“, sollten Sie deren Daten umgehend löschen – länger als ein halbes Jahr dürfen die nämlich nur mit ausdrücklicher Einwilligung gespeichert werden.
Aber auch die Daten Ihrer Mitarbeiter dürfen Sie natürlich nicht vernachlässigen. Schließlich werden hier noch sensiblere Daten gespeichert: Zum Beispiel die Bankdaten für die Lohnüberweisung oder die Sozialversicherungs- und Steueridentifikationsnummer. Im Krankheitsfall müssen außerdem Gesundheitsdaten verarbeitet werden. Dieses Thema ist jedoch so umfangreich, dass ich es in einem gesonderten Beitrag zu Datenschutz im Krankheitsfall behandle.
Fazit: Auch wenn es für kleine Unternehmen schwieriger ist – die DSGVO gilt
Wenn Ihr kleines Unternehmen nicht verpflichtet ist, einen Datenschutzbeauftragten einzustellen, müssen Sie sich selbst um das Einhalten der DSGVO kümmern. Neben den zahlreichen Aufgaben des Tagesgeschäfts kann das jedoch schnell zur Herausforderung werden. Wenn Sie möchten, unterstütze ich Sie dabei – schauen Sie sich doch dazu mal meine Lösung „Datenschutz365“ an!
