Ein Verstoß gegen den Datenschutz kann für Unternehmen kostspielig werden – sei es durch Kundenbeschwerden, den Verlust von Vertrauen oder erhebliche Bußgelder. Die Datenschutz-Grundverordnung (DSGVO) mag vielschichtig erscheinen, doch keine Sorge: sie ist keine unlösbare Herausforderung. In diesem anwendungsorientierten Guide, der speziell für mittelständische Unternehmen im deutschsprachigen Raum entwickelt wurde, zeigen wir Ihnen, wie Sie datenschutztechnisch fit werden.

Derzeit ist die E-Rechnungspflicht in aller Munde. Aber während nun neue rechtliche Vorschriften – in diesem Fall in Bezug auf die Rechnungserstellung im B2B-Bereich – an Unternehmen gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in sämtlichen Unternehmen umgesetzt: Die Sprache ist von der Datenschutz-Grundverordnung (DSGVO).

Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum neu definiert. Doch nach wie vor dürften sich einige – von KMU über Großunternehmen und Behörden bis hin zu Einzelpersonen gleichermaßen – ausreichend kompetent fühlen in Sachen DSGVO-konformen Datenschutzes. Die Regeln sind kompliziert und undurchsichtig, die Anforderungen an Unternehmen immens und die drohenden Sanktionen bei Nichteinhaltung abschreckend. Da ist es nicht verwunderlich, dass eine kürzlich vom Branchenverband BITKOM veröffentlichte Studie zeigte, dass nur 7 von 10 Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt haben, weitere 28 Prozent lediglich teilweise (Link zur Studie: https://www.bitkom.org/Presse/Presseinformation/Datenschutz-Aufwand-Unternehmen-nimmt-zu).

Auch sechs Jahre nach Einführung der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unklarheiten, was die Vorgaben der DSGVO betrifft. Zudem empfinden neun von zehn Unternehmen den mit der DSGVO verbundenen Aufwand als zu hoch und plädieren sogar für eine Überarbeitung der Datenschutzaufsicht! Besonders bemängelt werden demnach die vielschichtigen und teils widersprüchlichen Auslegungen, die nicht nur Kapazitäten beanspruchen, sondern auch Innovationspotenzial hemmen würden.

Die Studie untersucht auch eine Facette, die in der Vergangenheit immer wichtiger wurde: den Einfluss von KI-Technologien auf den Datenschutz. Während fast 70 Prozent der Unternehmen die KI als mögliche Unterstützung zur Bewältigung von Herausforderungen im Datenschutz sehen, sind genauso viele der Meinung, dass KI den Datenschutz auch vor neue Herausforderungen stellt: Ob es um die Datenanonymisierung oder die Entwicklung rechtssicherer KI-Anwendungen geht – der Spagat zwischen technologischem Fortschritt und Compliance bleibt schwierig.

Ob mit KI wie auch ohne; die Schlüsselfrage bleibt: Können Mittelständler die DSGVO nicht nur als Hindernis betrachten, sondern ebenso als Strategievorteil für sich erschließen? Und wie lassen sich die vielschichtigen Anforderungen der DSGVO als KMU erfüllen? Dieser Leitfaden bietet speziell KMUs eine praktische Anleitung, um die Anforderungen der DSGVO zu verstehen und sie dauerhaft erfolgreich umsetzen zu können.

Datenschutz einfach erklärt: Die Basis der DSGVO

Auf den Punkt gebracht: Die DSGVO definiert den Umgang mit persönlichen Informationen in der EU. Ziel ist es, die Bürgerrechte auf den Schutz ihrer Daten zu stärken und den uneingeschränkten Datenaustausch innerhalb des europäischen Binnenmarktes zu gewährleisten.

Für Firmen bedeutet das konkret, dass jede Verarbeitung sogenannter personenbezogener Daten a) rechtmäßig, b) transparent und c) zweckgebunden erfolgen muss. Die Regelung gilt für alle Unternehmen, die innerhalb der EU tätig sind oder Daten mit Personenbezug von EU-Bürgern bearbeiten – unabhängig davon, wo sie ihren Sitz haben.

Daten mit Personenbezug umfassen alle Informationen, die sich auf eine bekannte oder identifizierbare Person beziehen. Dazu zählen unter anderem:

• Name
• Anschrift
• Mail-Adresse
• IP-Adresse(n)
• Kundennummer
• Standortdaten
• u.v.m.

Die Verarbeitung solcher Informationen ist an die klaren Regelungen der DSGVO gebunden. Was exakt sich daraus für ToDos für Unternehmen ableiten, werden wir im Weiteren beleuchten. Aber vorab sei noch gesagt, dass in Sachen DSGVO keinesfalls gilt: Einmal auf Kurs gebracht, kann ich mich zurücklehnen … Nein, eher wird bei der Einführung jedes neuen Software-Tools das Thema DSGVO erneut wichtig. Oder wussten Sie, dass ein Unternehmen ab dem 20. Beschäftigten, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Data Protection Officer ernennen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen laufend beschäftigt.

Rechtmäßigkeit und Zweckbindung: So bleiben Sie konform

Die DSGVO besagt ganz klar: Eine Verarbeitung von personenbezogenen Daten ist grundsätzlich nur dann erlaubt, wenn sie auf einer gesetzlichen Basis beruht. Möglich sind die folgenden rechtlichen Grundlagen:

• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – das trifft zum Beispiel zu, wenn eine Person bewusst der Benutzung ihrer E-Mail-Adresse für den Erhalt von Werbe-E-Mails zustimmt.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – dies trifft zum Beispiel zu, wenn ein Online-Shop die Zahlungsdaten eines Kunden verwendet, um eine Bestellung zu erledigen und somit den Kaufvertrag abzuwickeln.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Arbeitgeber die Gehaltsdaten eines Mitarbeiters verarbeitet, um den steuerrechtlichen Anforderungen nachzukommen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen Nutzerdaten der Website verwendet, um seine digitale Infrastruktur vor Angriffen durch Hacker zu sichern.

In der gelebten Praxis ist die Einholung einer Einwilligung oftmals mit Fragen verbunden, da hier bestimmte Bedingungen gegeben sein müssen. Die Genehmigung muss nämlich, um DSGVO-konform zu sein, a) spezifisch, b) verständlich und c) freiwillig erfolgen. Unternehmen müssen also sicherstellen, dass die Dateninhaber klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung freiwillig getroffen wird. Zudem muss die Einwilligung jederzeit widerrufbar sein, ohne Nachteile für die Person. Ein typisches Exempel hierfür sind Consent-Banner bzw. Zustimmungsmanagement-Systeme für Websites, die Zustimmungen der betroffenen Personen einholen, beispielsweise was die Erhebung der IP-Adressen angeht.

Neben der rechtlichen Grundlage, die nötig ist, um Daten mit Personenbezug überhaupt verarbeiten zu dürfen, verlangt das Prinzip der Minimierung von Daten, dass nur die für den konkreten, unvermeidbaren Zweck essentiellen Informationen erhoben werden. Beispielsweise darf ein E-Commerce-Anbieter im Checkout auch nur die Daten erfassen, die für die Abwicklung des Kaufprozesses nötig sind.

Was in der realen Anwendung oftmals übersehen wird, ist die Tatsache, dass die erhobenen Daten gemäß DSGVO nur für den ursprünglichen Zweck genutzt werden dürfen. Eine nachträgliche Nutzung für andere Zwecke erfordert eine neue rechtliche Grundlage, wie etwa eine erneute Einwilligung. Beispielsweise darf die Kundenanschrift, die für die Lieferung erhoben wurde, nicht ohne Zustimmung des Betreffenden für Marketingzwecke verwendet werden! E-Mails mit Werbung an alle Kunden zu verschicken, ist demnach nicht erlaubt. Erst wenn der Kunde proaktiv einen Haken gesetzt hat (also seine Einwilligung erteilt hat), dass er Informationen per Mail erhalten will, darf man seine Daten auch dafür verwenden.

Die Bedeutung der technischen und organisatorischen Maßnahmen (TOMs)

Für KMU ist es entscheidend, die Sicherheit personenbezogener Daten zu sichern, um sowohl gesetzlichen Anforderungen gerecht zu werden sowie das Vertrauen ihrer Kunden zu fördern. Die DSGVO verlangt von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) persönliche Daten zu schützen.

Unternehmen müssen folglich gewährleisten, dass ihre IT-Systeme die Sicherheit personenbezogener Daten gewährleisten. Dazu gehören beispielsweise folgende Vorkehrungen:

• Verschlüsselung sensibler Daten
• Implementierung von Zugriffskontrollen
• Regelmäßige Sicherheitsupdates

Welche technischen und organisatorischen Maßnahmen sinnvoll und erforderlich zu ergreifen sind, ist davon abhängig, in welchem Geschäftszweig ein Betrieb tätig ist. Wir versuchen trotzdem, ein paar spezifische, allgemeingültige Schritte zu nennen, die Sie ergreifen können und sollten:

1. Verschlüsselung sensibler Daten: Schützen Sie alle personenbezogenen Daten, die Sie speichern oder übermitteln (z. B. Kundendaten, finanzielle Daten). Dies unterbindet, dass Dritte im Falle eines Datenvorfalls auf diese Daten zugreifen können. Nutzen Sie zudem anerkannte Verschlüsselungsstandards wie AES oder RSA.
2. Zugriffskontrollen implementieren: Nur befugte Angestellte sollten Zugriff auf persönliche Informationen haben. Setzen Sie rollenbasierte Zugriffskontrollen um, sodass Mitarbeiter nur die Daten sehen können, welche sie für ihre Arbeit tatsächlich benötigen. Verwenden Sie darüber hinaus sichere Kennwörter und Mehrfaktor-Authentifizierung für den Zugang zu sensiblen Systemen.
3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Programme, Systemplattformen und Sicherheitsprogramme regelmäßig. Schwachstellen in veralteten Systemen sind häufig ein Angriffspunkt für Angreifer. Vereinfachen Sie, wenn möglich, den Update-Prozess, um sicherzustellen, dass Sie keine wichtigen Patches übersehen.
4. Mitarbeiterschulungen und Sensibilisierung: Informieren Sie Ihre Mitarbeiter regelmäßig für Datenschutzthemen. Schulungen sollten konkrete Beispiele und Best Practices für den Umgang mit personenbezogenen Daten beinhalten. Sie sollten zudem sicherstellen, dass Ihre Mitarbeiter wissen, wie sie Datenschutzverletzungen erkennen und berichten können und wer intern der Ansprechpartner rund um Datenschutzfragen ist.
5. Dokumentation der Maßnahmen: Führen Sie eine detaillierte Aufzeichnung aller TOMs, die Sie zum Schutz der Daten ergriffen haben. Diese Aufzeichnung hilft Ihnen, im Falle einer Prüfung zu belegen, dass Sie die Datenschutzanforderungen erfüllen.

Die TOMs behüten nicht bloß die Daten Ihrer Kunden und Mitarbeiter, sondern nützen Ihnen auch, das Risiko von Datenschutzverletzungen zu minimieren. Details zur Umsetzung von TOMs sind auf der öffentlichen Website der Europäischen Kommission zur DSGVO zu sehen unter https://commission.europa.eu/law/law-topic/data-protection_en.

Die Macht der Verbraucher: Betroffenenrechte nach der DSGVO

Die DSGVO stärkt die Rechte der Betroffenen und gibt ihnen umfassende Kontrollmöglichkeiten über ihre persönlichen Informationen. Firmen müssen demnach darauf vorbereitet sein, jene Rechte auch zu erfüllen. Konkret geht es dabei um nachstehende Rechte:

• Auskunftsrecht und Datenportabilität: Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer Informationen zu verlangen. Dies umfasst die Art der Informationen, den Zweck der Verarbeitung sowie die Aufbewahrungsfrist. Zusätzlich ermöglicht die Datenportabilität den Betroffenen, ihre Informationen in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter übertragen zu lassen. Seien Sie auf die Tatsache vorbereitet, dass ein sogenanntes Informationsbegehren Sie erreicht, klären Sie Verantwortlichkeiten und legen Sie Prozesse für einen solchen Fall fest. Aufgepasst: Unternehmen sind verpflichtet, binnen eines Monats auf Informationsanfragen zu antworten!
• Recht auf Vergessenwerden: Das Recht auf Entfernung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Löschung ihrer persönlichen Informationen zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung rechtswidrig ist. Prüfen Sie, ob Ihre eingesetzten Software-Tools eine vollständige Entfernung oder Anonymisierung von Informationen ermöglichen. Dabei müssen aber ggf. relevante Vorschriften zur Archivierung gemäß Abgabenordnung ebenfalls im Blick behalten werden.
• Einschränkungen und Widerspruch: Firmen müssen sicherstellen, dass sie Begehren auf Einschränkung oder Einspruch gegen die Verarbeitung umgehend prüfen und durchführen können. Hier gilt es vor allem, Verantwortlichkeiten innerhalb des Unternehmens klar zu regeln.

Auftragsverarbeitung leicht gemacht: Verträge und Verantwortung

Zahlreiche Unternehmen arbeiten mit Drittanbietern zusammen – sei es im Bereich Cloud-Dienste, Marketing oder IT-Unterstützung. In allen genannten Fällen ist ein Auftragsverarbeitungsvertrag (AVV) nötig, um die Verantwortlichkeiten und Pflichten des Dienstleisters zu steuern. Vor allem dann, wenn der Drittanbieter die personenbezogenen Daten der eigenen Kunden ebenfalls verarbeitet, auf diese zugreifen kann etc.

Achtung beim Einsatz von Anbietern, die außerhalb der Europäischen Union ansässig sind: Eine Datenübertragung in Länder außerhalb der EU (= Übertragung in Drittländer) ist gemäß Datenschutz-Grundverordnung nur unter strikten Auflagen zulässig. In der Praxis relevant ist dies zum Beispiel beim Gebrauch von Tools und Diensten von Unternehmen aus den Vereinigten Staaten, wie beispielsweise Microsoft, Google oder Amazon. Dabei muss sichergestellt werden, dass die Übermittlung auf einer der gesetzeskonformen Methoden basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission anerkannten Datenschutzstandards.

Unternehmen müssen turnusmäßig die Einhaltung der Datenschutzvorgaben durch ihre Auftragsverarbeiter überprüfen und im Falle von Änderungen in den Datenschutzvorschriften der USA gegebenenfalls neue Sicherheitsvorkehrungen ergreifen. Außerdem sollten in solchen Fällen die betroffenen Personen über die Übermittlung ihrer Daten in außereuropäische Staaten informiert werden. Es empfiehlt sich, ein sogenanntes Register der eingesetzten weiteren Auftragsverarbeiter öffentlich zur Verfügung zu stellen und alle AVV an zentraler Stelle abzulegen.

Nachweispflichten meistern: So zeigen Sie Ihre DSGVO-Compliance

Die DSGVO verpflichtet Unternehmen, die Compliance der Datenschutzvorgaben nachweisen zu können. Dies erfordert umfassende Aufzeichnungen, unter anderem:

• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Nachweis über die Einwilligung der Betroffenen

Eine unvollständige Aufzeichnung kann bei einer Prüfung durch die Datenschutzbehörden zu Problemen führen, selbst wenn die eigentliche Datenbearbeitung korrekt erfolgt. Schauen wir uns deshalb einmal näher an, was sich hinter den einzelnen Punkten verbirgt:

Unternehmen müssen in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten alle Datenprozesse, bei denen persönliche Informationen betroffen sind, dokumentieren. Ein solches Verzeichnis hilft, die Datenoperationen zu strukturieren und die Compliance der DSGVO nachzuweisen. Es sollte Informationen wie die Art der Informationen, die Verarbeitungsziele, die Empfänger und die Speicherdauer enthalten und kann z.B. als Excel-Tabelle angelegt sein. Hier tauchen dann Verarbeitungstätigkeiten wie der Versand von Marketing-E-Mails, die Mitarbeiterdatenverarbeitung im Rahmen der Gehaltsberechnung oder die Kundendatenverarbeitung im Rahmen von Bestellungen über einen Webshop auf und sind einzeln als Prozesse detailliert beschrieben.

Ein Beispiel für eine Risikobewertung im Datenschutz wäre, wenn ein Unternehmen die Implementierung eines neuen Kundenbewertungssystems plant, das umfassende Informationen über das Verhalten der Anwender sammelt. Bevor es mit der Verarbeitung beginnt, müsste das Unternehmen eine DSFA durchführen, um potenzielle Gefahren für die individuellen Schutzrechte der Datensubjekte zu analysieren und geeignete Maßnahmen zum Risikomanagement festzulegen. Das ist nötig bei allen Datenoperationen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen.

In der Praxis am häufigsten dürfte Firmen der Beleg für die Zustimmung der Betroffenen begegnen – sei es auf der Website in Form eines Cookie-Banners, bei der Anmeldung zum Newsletter oder wenn es darum geht, Mitarbeiter-Fotos von der letzten Unternehmensveranstaltung öffentlich zu teilen. Im Optimalfall werden alle Zustimmungen dieser Art digital gespeichert, einschließlich des Zeitpunktes und der genauen Formulierung der Einwilligung. Dabei kann ein CRM-Tool wie beispielsweise HubSpot CRM oder Salesforce helfen. Ziel ist, dass Unternehmen jederzeit den Beweis erbringen können, dass eine betroffene Person ihre Zustimmung zur Verarbeitung ihrer Daten freiwillig, präzise, aufgeklärt und eindeutig erteilt hat sowie im besten Fall auch, wann und „wo“ dies erfolgt ist.

Zusammenfassung: Datenschutz als Wettbewerbsvorteil?

Die Nichteinhaltung der DSGVO kann erhebliche finanzielle Konsequenzen nach sich ziehen. Die Höhe der Strafzahlungen richtet sich nach dem Schweregrad der Regelverletzung und kann bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes betragen – je nachdem, welcher Betrag höher ist. Für Mittelständler ist es daher entscheidend, proaktiv zu handeln, um Risiken zu minimieren.

Die Umsetzung der DSGVO ist aber keine reine gesetzliche Verpflichtung, sondern auch eine Chance, sich als zuverlässiges und verantwortungsbewusstes Unternehmen zu positionieren. Klienten und Unternehmenspartner legen zunehmend Wert auf Datenschutz und Datensicherheit – insbesondere im deutschsprachigen Raum, wo die Sensibilität für dieses Thema besonders ausgeprägt ist. Indem Sie die datenschutzrechtlichen Vorgaben erfüllen, sichern Sie ergo nicht nur Ihre Klienten und Mitarbeiter, sondern verbessern auch Ihre Wettbewerbsfähigkeit und reduzieren Risiken.

In diesem Artikel können wir aufgrund der Komplexität des Themas natürlich viele Aspekte nur anreißen. Als IT-Experten unterstützen wir Sie aber mit Vergnügen dabei, die DSGVO als Wettbewerbsvorteil zu nutzen und sich konform aufzustellen. Kontaktieren Sie uns, wir freuen uns darauf, von Ihnen zu hören.