Ein Verstoß gegen den Datenschutz kann für Unternehmen teuer werden – sei es durch Reklamationen von Kunden, den Vertrauensverlust oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag komplex erscheinen, doch keine Sorge: sie ist keine unlösbare Herausforderung. In diesem anwendungsorientierten Guide, der speziell für mittelständische Unternehmen im DACH-Raum entwickelt wurde, zeigen wir Ihnen, wie Sie im Bereich Datenschutz kompetent werden.

Aktuell ist die Pflicht zur elektronischen Rechnung in aller Munde. Aber während jetzt neue gesetzliche Regularien – in diesem Fall in Bezug auf die Rechnungserstellung im Geschäftsverkehr zwischen Unternehmen – an Betriebe gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in allen Unternehmen umgesetzt: Die Rede ist von der Datenschutz-Grundverordnung (DSGVO).

Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum umgestaltet. Doch nach wie vor dürften sich viele – von KMU über Konzerne und Behörden bis hin zu Privatpersonen gleichermaßen – ausreichend fit fühlen in Sachen DSGVO-konformen Datenschutzes. Die Regeln sind komplex und undurchsichtig, die Anforderungen an Unternehmen immens und die drohenden Sanktionen bei Nichteinhaltung einschüchternd. So ist es nicht erstaunlich, dass eine kürzlich vom IT-Verband BITKOM veröffentlichte Studie zeigte, dass nur sieben von zehn Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt haben, weitere 28 Prozent lediglich teilweise. Link zur Studie

Auch sechs Jahre nach Inkrafttreten der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unklarheiten, was die Vorgaben der DSGVO betrifft. Zudem empfinden 9 von 10 Unternehmen den mit der DSGVO verbundenen Aufwand als übermäßig und plädieren sogar für eine Überarbeitung der Datenschutzaufsicht! Besonders kritisiert werden demnach die vielschichtigen und teils widersprüchlichen Auslegungen, die nicht nur Ressourcen binden, sondern auch die Innovationsfähigkeit einschränken würden.

Die Studie beleuchtet auch eine Facette, die in der jüngeren Entwicklung immer wichtiger wurde: den Einfluss von KI-Technologien auf den Datenschutz. Während fast 70 Prozent der Firmen die KI als potenzielle Hilfe zur Bewältigung von Herausforderungen im Datenschutz sehen, sind genauso viele der Meinung, dass KI den Datenschutz auch vor neue Herausforderungen stellt: Ob es um die Anonymisierung von Daten oder die Entwicklung compliance-konformer KI-Lösungen geht – der Balanceakt zwischen Innovation und Regelkonformität bleibt schwierig.

Ob mit KI wie auch ohne; die zentrale Frage bleibt: Können Mittelständler die DSGVO nicht nur als Hindernis betrachten, sondern auch als Strategievorteil für sich erschließen? Und wie lassen sich die vielschichtigen Anforderungen der DSGVO als KMU erfüllen? Dieser Leitfaden bietet speziell kleinen und mittelständischen Unternehmen eine Orientierungshilfe, um die Anforderungen der DSGVO zu verstehen und sie nachhaltig einhalten zu können.

Die DSGVO auf einen Blick

Auf den Punkt gebracht: Die DSGVO regelt den Umgang mit personenbezogenen Daten in der Europäischen Union. Ziel ist es, die Rechte der Bürger auf den Datenschutz zu stärken und den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu gewährleisten.

Für Unternehmen bedeutet das im Detail, dass jede Handhabung sogenannter personenbezogener Daten a) rechtmäßig, b) transparent und c) an einen spezifischen Zweck gebunden, erfolgen muss. Die Regelung gilt für alle Unternehmen, die innerhalb der EU tätig sind oder Daten mit Personenbezug von EU-Bürgern verarbeiten – egal, wo sie ihren Sitz haben.

Daten mit Personenbezug umfassen alle Informationen, die sich auf eine identifizierte oder bestimmbare Person beziehen. Dazu gehören unter anderem:

• Name
• Anschrift
• Mail-Adresse
• IP-Adresse(n)
• Kundennummer
• Standortdaten
• u.v.m.

Der Umgang mit solchen Daten ist an die strengen Vorgaben der DSGVO gebunden. Was genau sich daraus für ToDos für Unternehmen ergeben, werden wir im Weiteren näher betrachten. Aber vorab sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal auf Kurs gebracht, kann ich mich entspannen … Nein, vielmehr wird bei der Integration neuer Softwarelösungen das Thema DSGVO erneut relevant. Oder wissen Sie, dass ein Betrieb ab dem 20. Beschäftigten, der Zugriff auf personenbezogene Daten, gemäß DSGVO einen Data Protection Officer bestellen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen laufend beschäftigt.

Rechtmäßigkeit und Zweckbindung: So bleiben Sie konform

Die DSGVO legt eindeutig fest: Eine Bearbeitung persönlicher Informationen ist grundsätzlich nur dann zulässig, wenn sie auf einer gesetzlichen Basis beruht. Möglich sind die folgenden gesetzlichen Legitimationen:

• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – das trifft zum Beispiel zu, wenn eine Person bewusst der Verwendung ihrer E-Mail-Adresse für den Erhalt von Werbe-E-Mails zustimmt.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – das trifft zum Beispiel zu, wenn ein E-Commerce-Unternehmen die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erledigen und folglich den Vertrag zu erfüllen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen die Lohnabrechnungsdaten eines Mitarbeiters speichert und verarbeitet, um den Vorgaben des Steuerrechts nachzukommen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – dies trifft zum Beispiel zu, wenn ein Unternehmen Benutzerdaten der Website verarbeitet, um seine IT-Infrastruktur vor Cyberangriffen zu schützen.

In der gelebten Praxis ist die Erhebung einer Zustimmung oftmals mit Fragen verbunden, da hier bestimmte Bedingungen erfüllt sein müssen. Die Einwilligung muss nämlich, um DSGVO-konform zu sein, a) spezifisch, b) verständlich und c) ohne Zwang erfolgen. Unternehmen müssen also sicherstellen, dass die Dateninhaber klar verstehen, welchem Zweck die Zustimmung dient, und dass diese Entscheidung ohne Druck getroffen wird. Außerdem muss die Einwilligung rückgängig machbar sein, ohne Nachteile für die Person. Ein typisches Beispiel hierfür sind Consent-Banner bzw. Zustimmungsmanagement-Systeme für Websites, die Zustimmungen der Website-Besucher abfragen, beispielsweise was die Verarbeitung ihrer IP-Adresse angeht.

Neben der gesetzlichen Basis, die nötig ist, um Daten mit Personenbezug zu verarbeiten, verlangt das Prinzip der Minimierung von Daten, dass nur die für den jeweiligen wirklich zwingenden Zweck notwendigen Daten gesammelt werden. Beispielsweise darf ein Online-Shop im Bestellvorgang auch nur die Daten sammeln, die für die Abwicklung des Kaufprozesses erforderlich sind.

Was in der Praxis oftmals übersehen wird, ist der Fakt, dass die erhobenen Daten gemäß DSGVO lediglich für den ursprünglichen Zweck genutzt werden dürfen. Eine spätere Verwendung für andere Zwecke benötigt eine neue gesetzliche Basis, wie etwa eine erneute Einwilligung. Beispielsweise darf die Adresse eines Kunden, die für die Zustellung erhoben wurde, nicht ohne Zustimmung des Betreffenden für Marketingzwecke verwendet werden! E-Mails mit Werbung an alle Kunden zu verschicken, ist demnach unzulässig. Erst wenn der Kunde aktiv zustimmt (also seine Einwilligung erteilt hat), dass er Informationen per Mail erhalten will, darf man seine Daten auch dafür verwenden.

Was sind die technischen und organisatorischen Maßnahmen (TOMs)?

Für KMU ist es entscheidend, die Integrität personenbezogener Daten zu gewährleisten, um sowohl rechtlichen Vorgaben gerecht zu werden als auch das Vertrauen ihrer Kunden zu stärken. Die DSGVO fordert von Unternehmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) persönliche Daten zu sichern.

Unternehmen müssen demnach gewährleisten, dass ihre IT-Systeme die Sicherheit personenbezogener Daten garantieren. Dazu zählen beispielsweise folgende Maßnahmen:

• Verschlüsselung sensibler Daten
• Implementierung von Zugriffskontrollen
• Regelmäßige Sicherheitsupdates

Welche TOMs sinnvoll und notwendig zu ergreifen sind, ist davon abhängig, in welchem Geschäftszweig ein Unternehmen tätig ist. Wir versuchen trotzdem, ein paar konkrete, universell anwendbare Schritte zu nennen, die Sie unternehmen können und sollten:

1. Verschlüsselung sensibler Daten: Schützen Sie alle personenbezogenen Daten, die Sie speichern oder übermitteln (z. B. Kundeninformationen, Finanzinformationen). Dies verhindert, dass Dritte im Falle eines Datenvorfalls auf diese Daten zugreifen können. Nutzen Sie zudem gängige Kryptografie-Standards wie AES oder RSA.
2. Zugriffskontrollen implementieren: Nur befugte Angestellte sollten Zugriff auf persönliche Informationen haben. Setzen Sie rollenbasierte Zugriffskontrollen um, sodass Mitarbeiter nur die Daten sehen können, die sie für ihre Arbeit wirklich benötigen. Verwenden Sie darüber hinaus starke Passwörter und Mehrfaktor-Authentifizierung für den Zugang zu kritischen Systemen.
3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Software, Betriebssysteme und Schutzsysteme regelmäßig. Sicherheitslücken in nicht aktualisierten Systemen sind häufig ein Einfallstor für Angreifer. Vereinfachen Sie, wenn möglich, den Aktualisierungsprozess, um sicherzustellen, dass Sie keine kritischen Aktualisierungen übersehen.
4. Mitarbeiterschulungen und Sensibilisierung: Informieren Sie Ihre Teammitglieder regelmäßig für Datenschutzthemen. Weiterbildungen sollten konkrete Beispiele und Best Practices für den Umgang mit personenbezogenen Daten beinhalten. Sie sollten zudem sicherstellen, dass Ihre Mitarbeiter wissen, wie sie Datenschutzverletzungen identifizieren und berichten können und wer intern der Ansprechpartner rund um Datenschutzfragen ist.
5. Dokumentation der Maßnahmen: Führen Sie eine detaillierte Aufzeichnung aller TOMs, die Sie zum Schutz der Daten ergriffen haben. Diese Dokumentation hilft Ihnen, im Falle einer Prüfung zu belegen, dass Sie die Vorgaben des Datenschutzes erfüllen.

Die TOMs schützen nicht nur die Daten Ihrer Kunden und Mitarbeiter, sondern nützen Ihnen auch, das Risiko von Datenschutzverletzungen zu verkleinern. Infos zur Umsetzung von TOMs sind auf der offiziellen Website der Europäischen Kommission zur DSGVO zu finden unter https://commission.europa.eu/law/law-topic/data-protection_en.

DSGVO aus Kundensicht: Rechte und Pflichten verstehen

Die Datenschutz-Grundverordnung stärkt die Rechte der Bürger und gibt ihnen umfassende Kontrollmöglichkeiten über ihre Daten. Firmen müssen darauf vorbereitet sein, jene Rechte auch zu erfüllen. Gegenständlich geht es dabei um nachstehende Rechte:

• Auskunftsrecht und Datenportabilität: Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer Informationen zu verlangen. Dies umfasst die Art der Daten, den Zweck der Weiterverarbeitung sowie die Aufbewahrungsfrist. Zusätzlich ermöglicht die Übertragbarkeit von Daten den Individuen, ihre Daten in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter übertragen zu lassen. Seien Sie darauf vorbereitet, dass ein sogenanntes Auskunftsersuchen Sie erreicht, definieren Sie Verantwortlichkeiten und etablieren Sie Prozesse für einen solchen Fall fest. Aufgepasst: Unternehmen sind in der Verpflichtung, binnen eines Monats auf Informationsanfragen zu antworten!
• Recht auf Vergessenwerden: Das Recht auf Entfernung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Individuen, die Löschung ihrer persönlichen Informationen zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung rechtswidrig ist. Prüfen Sie, ob Ihre eingesetzten Software-Tools eine vollständige Entfernung oder Pseudonymisierung von Daten ermöglichen. Dabei müssen aber ggf. relevante Vorschriften zur Archivierung gemäß Abgabenordnung ebenfalls im Blick behalten werden.
• Einschränkungen und Widerspruch: Firmen müssen sicherstellen, dass sie Anfragen auf Einschränkung oder Widerspruch gegen die Verarbeitung zeitnah prüfen und durchführen können. Hier gilt es vor allem, Verantwortlichkeiten innerhalb des Unternehmens klar zu regeln.

Daten sicher weitergeben: Anforderungen an Dienstleister

Zahlreiche Unternehmen arbeiten mit Drittanbietern zusammen – sei es im Bereich Cloud-Dienste, Werbung oder IT-Support. In allen angesprochenen Fällen ist ein Auftragsverarbeitungsvertrag (AVV) nötig, um die Zuständigkeiten und Pflichten des Dienstleisters zu regeln. Vor allem dann, wenn der externe Dienstleister die persönlichen Informationen der eigenen Kunden ebenfalls bearbeitet, auf diese zugreifen kann etc.

Achtung beim Einsatz von Anbietern, die außerhalb der EU ansässig sind: Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU (= Übertragung in Drittländer) ist gemäß DSGVO nur unter strikten Auflagen zulässig. In der Praxis von Bedeutung ist dies zum Beispiel beim Gebrauch von Softwarelösungen und Diensten von Firmen aus den Vereinigten Staaten, wie beispielsweise MS, Google oder Amazon. Dabei muss sichergestellt werden, dass die Datenweitergabe auf einer der rechtlich zulässigen Grundlagen basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission anerkannten Datenschutzstandards.

Unternehmen müssen turnusmäßig die Compliance der datenschutzrechtlichen Anforderungen durch ihre Dienstleister überprüfen und im Falle von Änderungen in den Datenschutzvorschriften der USA gegebenenfalls neue Sicherheitsvorkehrungen ergreifen. Zusätzlich sollten in solchen Fällen die Datensubjekte über die Übermittlung ihrer persönlichen Informationen in außereuropäische Staaten informiert werden. Es rät sich, ein sogenanntes Verzeichnis der eingesetzten weiteren Auftragsverarbeiter öffentlich zur Verfügung zu stellen und alle AVV an zentraler Stelle zu dokumentieren.

Dokumentation und Nachweis der DSGVO-Konformität

Die DSGVO verpflichtet Unternehmen, die Einhaltung der datenschutzrechtlichen Anforderungen nachweisen zu können. Dies erfordert detaillierte Aufzeichnungen, unter anderem:

• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Nachweis über die Einwilligung der Betroffenen

Eine lückenhafte Dokumentation kann bei einer Überprüfung durch die Aufsichtsbehörden zu Schwierigkeiten führen, selbst wenn die eigentliche Datenbearbeitung korrekt passiert. Schauen wir uns also einmal näher an, was sich hinter den jeweiligen Punkten verbirgt:

Unternehmen müssen in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten alle Datenprozesse, bei denen persönliche Informationen betroffen sind, dokumentieren. Ein solches Register hilft, die Datenverarbeitung zu strukturieren und die Einhaltung der DSGVO zu belegen. Es sollte Informationen wie die Art der Informationen, die Verarbeitungsziele, die Datenempfänger und die Aufbewahrungsfrist enthalten und kann z.B. als Excel-Tabelle erstellt sein. Hier tauchen dann Datenbearbeitungsprozesse wie der Newsletter-Versand, die Mitarbeiterdatenverarbeitung im Rahmen der Lohnabrechnung oder die Bearbeitung von Kundendaten im Rahmen von Online-Käufe über einen Online-Shop auf und sind einzeln als Abläufe ausführlich beschrieben.

Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Einführung eines neuen Feedback-Systems plant, das detaillierte Daten über das Verhalten der Nutzer sammelt. Bevor es mit der Verarbeitung beginnt, müsste das Unternehmen eine DSFA durchführen, um potenzielle Risiken für die individuellen Schutzrechte der Datensubjekte zu bewerten und geeignete Strategien zum Umgang mit Risiken festzulegen. Dies ist nötig bei allen Datenoperationen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen.

In der Praxis am öftesten dürfte Unternehmen der Beleg für die Zustimmung der Betroffenen begegnen – sei es auf der Website in Form eines Cookie-Hinweises, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Mitarbeiter-Fotos von der letzten Unternehmensveranstaltung öffentlich zu teilen. Im Optimalfall werden alle Einwilligungen dieser Art digital gespeichert, einschließlich des Datums und der genauen Zustimmungsbeschreibung. Dabei kann ein CRM-Tool wie beispielsweise HubSpot CRM oder Salesforce CRM helfen. Ziel ist, dass Unternehmen jederzeit den Nachweis erbringen können, dass eine Person ihre Einwilligung zur Datennutzung freiwillig, präzise, informiert und eindeutig erteilt hat sowie im besten Fall auch, wann und „wo“ dies registriert wurde.

Fazit: Datenschutz als strategischer Vorteil

Die Nichteinhaltung der DSGVO kann erhebliche finanzielle Konsequenzen nach sich ziehen. Die Höhe der Strafzahlungen richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Mio. € oder vier Prozent des globalen Umsatzes betragen – je nachdem, welcher Betrag den größeren Wert darstellt. Für KMU ist es daher entscheidend, proaktiv zu handeln, um Gefahren zu reduzieren.

Die Umsetzung der DSGVO ist aber keine reine Pflichtaufgabe, sondern auch eine Chance, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu positionieren. Kunden und Unternehmenspartner legen zunehmend Wert auf Datenintegrität und Datensicherheit – insbesondere im DACH-Raum, wo die Aufmerksamkeit für dieses Thema besonders ausgeprägt ist. Indem Sie die DSGVO-Anforderungen erfüllen, schützen Sie ergo nicht nur Ihre Kunden und Mitarbeiter, sondern stärken auch Ihre Wettbewerbsfähigkeit und reduzieren Risiken.