Ihr IT-Systemhaus TTG Daten- und Bürosysteme GmbH für Unternehmen aus Nordthüringen und Südniedersachsen

KONTAKT

Sicher und konform: Ein DSGVO-Leitfaden für den Mittelstand

Inhaltsverzeichnis

Gerade für kleine und mittelständische Unternehmen ist die Datenschutz-Grundverordnung (DSGVO) oft ein Thema mit Fragezeichen. Aber keine Sorge: Mit dem richtigen Know-how kannst Du die DSGVO nicht nur rechtssicher umsetzen, sondern sogar als Vorteil nutzen. In diesem Leitfaden zeige ich Dir, wie Du als Mittelständler pragmatisch, effizient und ohne Bürokratie-Wahnsinn datenschutzkonform arbeitest.

Ein Datenschutzverstoß kann für Unternehmen kostspielig werden – sei es durch Kundenbeschwerden, den Vertrauensverlust oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag komplex erscheinen, doch keine Sorge: sie ist keine unlösbare Herausforderung. In diesem praktischen Leitfaden, der speziell für mittelständische Unternehmen im deutschsprachigen Raum entwickelt wurde, zeigen wir Ihnen, wie Sie datenschutztechnisch fit werden.

Aktuell ist die E-Rechnungspflicht in aller Munde. Aber während nun neue gesetzliche Regularien – in diesem Fall in Bezug auf die Rechnungserstellung im B2B-Bereich – an Unternehmen gestellt werden, sind andere, länger bestehende Vorgaben noch längst nicht in allen Unternehmen umgesetzt: Die Rede ist von der Datenschutz-Grundverordnung (DSGVO).

 

Welche Daten unter die DSGVO fallen – Beispiele aus dem Unternehmensalltag

Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum umgestaltet. Doch nach wie vor dürften sich viele – von KMU über Großunternehmen und öffentliche Einrichtungen bis hin zu Einzelpersonen gleichermaßen – ausreichend kompetent fühlen in Sachen DSGVO-konformen Datenschutzes. Die Regeln sind komplex und undurchsichtig, die Anforderungen an Unternehmen enorm und die drohenden Sanktionen bei Nichteinhaltung abschreckend. So ist es nicht verwunderlich, dass eine kürzlich vom IT-Verband BITKOM veröffentlichte Studie zeigte, dass nur sieben von zehn Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) eingehalten haben, weitere 28 Prozent lediglich teilweise (Link zur Studie).

Auch sechs Jahre nach Einführung der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unsicherheiten, was die Bestimmungen der DSGVO betrifft. Zudem bewerten 9 von 10 Unternehmen den mit der DSGVO verbundenen Aufwand als übermäßig und plädieren sogar für eine Reform der Regulierungsbehörden! Besonders kritisiert werden demnach die vielschichtigen und teils widersprüchlichen Auslegungen, die nicht nur Ressourcen binden, sondern auch die Innovationsfähigkeit einschränken würden.

Die Studie untersucht auch eine Facette, die in der Vergangenheit immer wichtiger wurde: den Einfluss von KI-Technologien auf den Datenschutz. Während fast 70 Prozent der Unternehmen die KI als potenzielle Hilfe zur Bewältigung von Herausforderungen im Datenschutz sehen, sind ebenso viele der Ansicht, dass KI den Datenschutz auch vor bisher unbekannte Hürden stellt: Ob es um die Datenanonymisierung oder die Entwicklung compliance-konformer KI-Lösungen geht – der Spagat zwischen technologischem Fortschritt und Compliance bleibt schwierig.

Ob mit KI oder ohne; die Schlüsselfrage bleibt: Können Mittelständler die DSGVO nicht nur als Hindernis betrachten, sondern auch als Wettbewerbsvorteil für sich erschließen? Und wie lassen sich die komplexen DSGVO-Anforderungen als KMU umsetzen? Dieser Ratgeber bietet speziell kleinen und mittelständischen Unternehmen eine praktische Anleitung, um die Anforderungen der DSGVO zu begreifen und sie nachhaltig erfolgreich umsetzen zu können.

1. DSGVO im Mittelstand einfach erklärt: Die wichtigsten Grundlagen

Auf den Punkt gebracht: Die DSGVO regelt den Umgang mit personenbezogenen Daten in der EU. Ziel ist es, die Bürgerrechte auf den Datenschutz zu fördern und den uneingeschränkten Datenaustausch innerhalb des Binnenmarkts zu gewährleisten.

Für Firmen bedeutet das im Detail, dass jede Handhabung sogenannter personenbezogener Daten a) rechtmäßig, b) transparent und c) zweckgebunden erfolgen muss. Die Verordnung gilt für alle Unternehmen, die in der EU tätig sind oder Daten mit Personenbezug von EU-Bürgern verarbeiten – unabhängig davon, wo sie ihren Sitz haben.

Daten mit Personenbezug umfassen alle Daten, die sich auf eine identifizierte oder bestimmbare Person beziehen lassen. Dazu gehören unter anderem:

  • Name
  • Anschrift
  • Mail-Adresse
  • IP-Adresse(n)
  • Kundennummer
  • Standortdaten
  • u.v.m.
Ein Richterhammer auf einem Laptop, daneben eine Waage und digitale Dokumente – Symbolbild für die rechtlichen Anforderungen der DSGVO an die Datenverarbeitung im Unternehmenskontext.

Die Verarbeitung solcher Informationen ist an die klaren Regelungen der DSGVO gebunden. Was genau sich daraus für Pflichten für Unternehmen ableiten, werden wir im Weiteren beleuchten. Aber vorab sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal implementiert, kann ich mich entspannen … Nein, vielmehr wird bei der Integration neuer Softwarelösungen das Thema DSGVO erneut relevant. Oder wissen Sie, dass ein Unternehmen ab dem 20. Mitarbeiter, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Data Protection Officer ernennen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen laufend beschäftigt.


2. DSGVO umsetzen im Mittelstand: Wann ist Datenverarbeitung erlaubt?

Die DSGVO legt eindeutig fest: Eine Verarbeitung von personenbezogenen Daten ist generell nur dann zulässig, wenn sie auf einer rechtlichen Grundlage beruht. Möglich sind die folgenden gesetzlichen Legitimationen:

  • Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – dies trifft zum Beispiel zu, wenn eine Person bewusst der Benutzung ihrer E-Mail-Adresse für den Erhalt von Marketing-Newslettern zustimmt.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – dies trifft zum Beispiel zu, wenn ein Online-Shop die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erfüllen und folglich den Vertrag abzuwickeln.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen die Lohnabrechnungsdaten eines Mitarbeiters speichert und verarbeitet, um den steuerrechtlichen Anforderungen nachzukommen.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen Benutzerdaten der Website verarbeitet, um seine digitale Infrastruktur vor Angriffen durch Hacker zu sichern.

 

Einwilligung richtig einholen – so funktioniert DSGVO-konformer Datenschutz

In der gelebten Praxis ist die Erhebung einer Zustimmung oftmals mit Fragen verbunden, da hier bestimmte Bedingungen erfüllt sein müssen. Die Genehmigung muss nämlich, um DSGVO-konform zu sein, a) spezifisch, b) verständlich und c) freiwillig erfolgen. Firmen müssen also gewährleisten, dass die betroffenen Personen klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung freiwillig getroffen wird. Zudem muss die Einwilligung jederzeit widerrufbar sein, ohne Nachteile für die Person. Ein typisches Exempel hierfür sind Consent-Banner bzw. Consent-Management-Tools für Websites, die Einwilligungen der Website-Besucher abfragen, beispielsweise was die Erhebung der IP-Adressen angeht.

Neben der gesetzlichen Basis, die nötig ist, um personenbezogene Daten zu verarbeiten, verlangt das Prinzip der Minimierung von Daten, dass alleinig die für den konkreten, unvermeidbaren Zweck notwendigen Daten gesammelt werden. Beispielsweise darf ein E-Commerce-Anbieter im Bestellvorgang auch nur die Daten erfassen, die für die Bestellung nötig sind.

Was in der Praxis oftmals übersehen wird, ist die Tatsache, dass die gesammelten Informationen gemäß DSGVO lediglich für den ursprünglichen Zweck verwendet werden dürfen. Eine nachträgliche Nutzung für andere Zwecke benötigt eine neue gesetzliche Basis, wie etwa eine erneute Einwilligung. Beispielsweise darf die Adresse eines Kunden, die für die Lieferung erhoben wurde, nicht ohne Zustimmung des Kunden für Marketingzwecke genutzt werden! E-Mails mit Werbung an alle Kunden zu verschicken, ist demnach nicht erlaubt. Erst wenn der Kunde aktiv zustimmt (also seine ausdrückliche Zustimmung gegeben hat), dass er E-Mails mit Informationen empfangen möchte, darf man seine Daten auch dafür nutzen.


3. Technische Maßnahmen richtig umsetzen – DSGVO-Compliance für KMU

Ein Geschäftsmann unterzeichnet ein Dokument, während digitale Symbole für Datenschutz, Cloud und Dokumentenmanagement eingeblendet sind – Symbolbild für strukturierte DSGVO-Dokumentation im

Für KMU ist es wesentlich, die Sicherheit personenbezogener Daten zu sichern, um sowohl gesetzlichen Anforderungen gerecht zu werden als auch das Vertrauen ihrer Kunden zu stärken. Die DSGVO verlangt von Unternehmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (vor allem) persönliche Daten zu schützen.

Unternehmen müssen demnach gewährleisten, dass ihre IT-Systeme den Schutz privater Daten garantieren. Dazu gehören beispielsweise folgende Maßnahmen:

  • Verschlüsselung sensibler Daten
  • Implementierung von Zugriffskontrollen
  • Regelmäßige Sicherheitsupdates


Sensibilisierung & Dokumentation – die oft unterschätzten Bausteine

Wenn Du die DSGVO umsetzen willst – speziell im Mittelstand –, solltest Du mit den technischen und organisatorischen Maßnahmen (TOMs) beginnen.

Welche TOMs sinnvoll und erforderlich zu ergreifen sind, ist davon abhängig, in welchem Branchenbereich ein Unternehmen tätig ist. Wir versuchen trotzdem, ein paar spezifische, universell anwendbare Schritte zu nennen, die Sie ergreifen können und sollten:

  1. Verschlüsselung sensibler Daten: Schützen Sie alle personenbezogenen Daten, die Sie speichern oder übermitteln (z. B. Kundendaten, finanzielle Daten). Dies unterbindet, dass Dritte im Falle eines Datenvorfalls auf diese Daten zugreifen können. Nutzen Sie zudem gängige Verschlüsselungsstandards wie AES oder RSA.
  2. Zugriffskontrollen implementieren: Nur befugte Mitarbeiter sollten Zugriff auf persönliche Informationen haben. Setzen Sie rollenbasierte Zugriffsbeschränkungen um, sodass Mitarbeiter nur die Daten sehen können, welche sie für ihre Arbeit wirklich benötigen. Verwenden Sie darüber hinaus sichere Kennwörter und Zwei-Faktor-Authentifizierung für den Zugang zu sensiblen Systemen.
  3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Software, Systemplattformen und Sicherheitsprogramme regelmäßig. Sicherheitslücken in nicht aktualisierten Systemen sind häufig ein Angriffspunkt für Angreifer. Automatisieren Sie, wenn möglich, den Aktualisierungsprozess, um sicherzustellen, dass Sie keine kritischen Aktualisierungen übersehen.
  4. Mitarbeiterschulungen und Sensibilisierung: Informieren Sie Ihre Mitarbeiter regelmäßig für Datenschutzthemen. Weiterbildungen sollten praxisnahe Szenarien und bewährte Verfahren für den Umgang mit personenbezogenen Daten beinhalten. Sie sollten zudem sicherstellen, dass Ihre Angestellten wissen, wie sie Datenschutzverletzungen identifizieren und melden können und wer intern der Ansprechpartner rund um Datenschutzfragen ist.
  5. Dokumentation der Maßnahmen: Führen Sie eine detaillierte Aufzeichnung aller TOMs, die Sie zum Schutz der Daten ergriffen haben. Diese Dokumentation hilft Ihnen, im Falle einer Prüfung nachzuweisen, dass Sie die Datenschutzanforderungen erfüllen.

Die TOMs schützen nicht bloß die Daten Ihrer Kunden und Mitarbeiter, sondern nützen Ihnen auch, die Gefahr von Datenschutzverletzungen zu minimieren. Details zur Umsetzung von TOMs sind auf der offiziellen Website der Europäischen Kommission zur DSGVO zu finden.


4. Datenschutzrechte umsetzen im Mittelstand: Was Betroffene fordern dürfen

Die DSGVO stärkt die Rechte der Betroffenen und gibt ihnen weitreichende Kontrollmöglichkeiten über ihre persönlichen Informationen. Unternehmen müssen demnach darauf vorbereitet sein, diese Rechte auch zu erfüllen. Konkret geht es dabei um folgende Rechte:

  • Auskunftsrecht und Datenportabilität: Betroffene haben das Recht, Information über die Verarbeitung ihrer Daten zu verlangen. Dies umfasst die Art der Informationen, den Zweck der Verarbeitung sowie die Speicherdauer. Zusätzlich ermöglicht die Datenportabilität den Betroffenen, ihre Daten in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter übertragen zu lassen. Seien Sie darauf vorbereitet, dass ein sogenanntes Informationsbegehren Sie erreicht, definieren Sie Verantwortlichkeiten und legen Sie Prozesse für einen solchen Fall fest. Achtung: Unternehmen sind verpflichtet, binnen 30 Tagen auf Informationsanfragen zu antworten!
  • Recht auf Vergessenwerden: Das Recht auf Entfernung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Entfernung ihrer persönlichen Informationen zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung rechtswidrig ist. Prüfen Sie, ob Ihre verwendeten Anwendungen eine endgültige Löschung oder Pseudonymisierung von Informationen ermöglichen. Dabei müssen aber ggf. relevante Vorschriften zur Aufbewahrungspflicht gemäß Abgabenordnung gleichfalls im Blick behalten werden.
  • Einschränkungen und Widerspruch: Firmen müssen sicherstellen, dass sie Begehren auf Einschränkung oder Widerspruch gegen die Verarbeitung zeitnah prüfen und umsetzen können. Hier gilt es vor allem, Zuständigkeiten innerhalb des Unternehmens klar zu regeln.
Nahaufnahme eines Business-Laptops mit abstrakten Datenschutz-Icons wie einem Schutzschild, Nutzergruppen, Diagrammen und Weltkugel – Symbol für integriertes Datenschutzmanagement im digitalen Mittelstand.


5. Auftragsverarbeitung & DSGVO im Mittelstand: Was beim Einsatz von Dienstleistern gilt

Zahlreiche Unternehmen arbeiten mit externen Dienstleistern zusammen – sei es im Bereich Cloud-Computing, Marketing oder IT-Unterstützung. In allen genannten Fällen ist ein Auftragsverarbeitungsvertrag (AVV) nötig, um die Zuständigkeiten und Aufgaben des Dienstleisters zu steuern. Vor allem dann, wenn der Drittanbieter die persönlichen Informationen der eigenen Kunden ebenfalls verarbeitet, auf diese zugreifen kann etc.

Vorsicht beim Einsatz von externen Dienstleistern, die außerhalb der EU ansässig sind: Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU (= Übertragung in Drittländer) ist gemäß Datenschutz-Grundverordnung nur unter strengen Auflagen zulässig. In der Praxis von Bedeutung ist dies zum Beispiel beim Gebrauch von Tools und Diensten von Unternehmen aus den USA, wie beispielsweise MS, Google oder Amazon. Hier muss sichergestellt werden, dass die Datenweitergabe auf einer der rechtlich zulässigen Grundlagen basiert, etwa durch den Abschluss sogenannter Standardvertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission genehmigten Datenschutzniveaus.

Unternehmen müssen regelmäßig die Einhaltung der Datenschutzvorgaben durch ihre Auftragsverarbeiter überprüfen und im Falle von Änderungen in den Datenschutzvorschriften der USA gegebenenfalls neue Sicherheitsvorkehrungen ergreifen. Zusätzlich sollten in solchen Fällen die Datensubjekte über die Datenweitergabe ihrer persönlichen Informationen in außereuropäische Staaten informiert werden. Es rät sich, ein sogenanntes Register der eingesetzten weiteren Auftragsverarbeiter öffentlich zur Verfügung zu stellen und alle AVV an zentraler Stelle abzulegen.


6. DSGVO-Dokumentation für KMU: So bleibst Du auf der sicheren Seite

Die Datenschutz-Grundverordnung verpflichtet Unternehmen, die Compliance der Datenschutzvorgaben belegen zu können. Dies erfordert umfassende Aufzeichnungen, unter anderem:

  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
  • Nachweis über die Einwilligung der Betroffenen

Eine lückenhafte Dokumentation kann bei einer Prüfung durch die Datenschutzbehörden zu Problemen führen, selbst wenn die eigentliche Datenverarbeitung korrekt passiert. Schauen wir uns deshalb einmal genauer an, was sich hinter den einzelnen Punkten verbirgt:

Unternehmen müssen in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten alle Verarbeitungstätigkeiten, bei denen persönliche Informationen betroffen sind, erfassen. Ein solches Register hilft, die Datenverarbeitung zu strukturieren und die Einhaltung der DSGVO nachzuweisen. Es sollte Informationen wie die Art der Informationen, die Zwecke der Verarbeitung, die Datenempfänger und die Aufbewahrungsfrist enthalten und kann z.B. als Excel-Tabelle angelegt sein. Hier tauchen dann Verarbeitungstätigkeiten wie der Versand von Marketing-E-Mails, die Datenverwaltung von Angestellten im Rahmen der Gehaltsberechnung oder die Bearbeitung von Kundendaten im Rahmen von Bestellungen über einen Online-Shop auf und sind einzeln als Prozesse ausführlich beschrieben.

 

Datenschutz-Folgenabschätzung & Einwilligungsnachweise richtig umsetzen

Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Einführung eines neuen Kundenbewertungssystems plant, das detaillierte Daten über das Verhalten der Anwender sammelt. Bevor es mit der Verarbeitung beginnt, müsste das Unternehmen eine DSFA durchführen, um potenzielle Risiken für die individuellen Schutzrechte der Datensubjekte zu bewerten und geeignete Strategien zum Risikomanagement festzulegen. Dies ist nötig bei allen Datenoperationen, die ein erhöhtes Gefahrenpotenzial für die Grundrechte der Individuen darstellen.

In der Praxis am öftesten dürfte Unternehmen der Nachweis über die Einwilligung der Nutzer begegnen – sei es auf der Website in Form eines Cookie-Hinweises, bei der Anmeldung zum Newsletter oder wenn es darum geht, Mitarbeiter-Fotos von der letzten Firmenfeier öffentlich zu teilen. Im Optimalfall werden alle Einwilligungen dieser Art elektronisch erfasst, einschließlich des Zeitpunktes und der genauen Zustimmungsbeschreibung. Dabei kann ein Kundenmanagement-System wie beispielsweise HubSpot CRM oder Salesforce CRM helfen. Ziel ist, dass Unternehmen jederzeit den Nachweis erbringen können, dass eine betroffene Person ihre Zustimmung zur Datennutzung ohne Zwang, präzise, informiert und unmissverständlich erteilt hat sowie im besten Fall auch, wann und „wo“ dies registriert wurde.


7. Fazit: DSGVO-Compliance als Differenzierungsmerkmal

Wer die DSGVO umsetzen will – gerade im Mittelstand – sollte die Chance nutzen, Datenschutz als Vertrauensfaktor zu positionieren.

Die Nichteinhaltung der DSGVO kann erhebliche monetäre Folgen nach sich ziehen. Die Höhe der Strafzahlungen richtet sich nach dem Schweregrad der Regelverletzung und kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Für KMU ist es daher entscheidend, vorsorglich Maßnahmen zu ergreifen, um Gefahren zu reduzieren.

Die Einhaltung der Datenschutz-Grundverordnung ist aber keine reine Pflichtaufgabe, sondern auch eine Chance, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu präsentieren. Klienten und Unternehmenspartner legen zunehmend Wert auf Datenschutz und Datensicherheit – insbesondere im deutschsprachigen Raum, wo die Sensibilität für dieses Thema besonders ausgeprägt ist. Indem Sie die DSGVO-Anforderungen erfüllen, schützen Sie ergo nicht nur Ihre Klienten und Teammitglieder, sondern stärken auch Ihre Wettbewerbsfähigkeit und reduzieren Gefahren.

In diesem Artikel können wir aufgrund der Vielfältigkeit des Themas natürlich viele Aspekte nur oberflächlich behandeln. Als Technologieberater unterstützen wir Sie aber mit Vergnügen dabei, die DSGVO als strategischen Vorteil zu nutzen und sich rechtskonform aufzustellen. Sprechen Sie uns gerne an, wir freuen uns darauf, von Ihnen zu hören.

Kontaktieren Sie uns noch heute

Jetzt Kontakt aufnehmen

Lassen Sie sich zur passenden Software beraten

Ihr IT-Dienstleister in Eichsfeld und Umgebung

  • TTG Daten- und Bürosysteme GmbH
    Neue Str. 13
    37351 Dingelstädt
  • 036075/5262-0
  • ttg@ttg-gmbh.de
  • Geschäftszeiten:
    Montag – Donnerstag 7.00 – 12.00 Uhr, 12.30 – 16.00 Uhr
    Freitag 7.00 – 12.00 Uhr, 12.30 – 14.45 Uhr

IT-Leistungen

Unternehmen

Rechtliches

Martin Trappe – IT-Sicherheitsexperte für den Mittelstand bei TTG GmbH

Bekannt aus dem TV

Interview ansehen

Folgen Sie uns auf Facebook Instagram LinkedIn

Facebook Instagram
Preview Image ProvenExpert.com entsperren ProvenExpert.com immer entsperren Mehr Informationen