DSGVO-Umsetzung leicht gemacht: Tipps für den Mittelstand

Ein Verstoß gegen den Datenschutz kann für Unternehmen teuer werden – sei es durch Kundenbeschwerden, den Verlust von Vertrauen oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag komplex erscheinen, doch keine Sorge: sie ist keine unüberwindbare Aufgabe. In diesem praktischen Leitfaden, der speziell für mittelständische Unternehmen im deutschsprachigen Raum entwickelt wurde, zeigen wir Ihnen, wie Sie im Bereich Datenschutz kompetent werden.

Aktuell ist die Pflicht zur elektronischen Rechnung in aller Munde. Aber während nun neue rechtliche Vorschriften – in diesem Fall in Bezug auf die Rechnungserstellung im B2B-Bereich – an Unternehmen gestellt werden, sind andere, länger bestehende Vorgaben noch längst nicht in allen Unternehmen angekommen: Die Rede ist von der Datenschutz-Grundverordnung (DSGVO).

Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum umgestaltet. Doch nach wie vor dürften sich einige – von KMU über Konzerne und Behörden bis hin zu Einzelpersonen gleichermaßen – ausreichend fit fühlen in Sachen Datenschutz gemäß DSGVO. Die Regeln sind kompliziert und verwirrend, die Anforderungen an Unternehmen immens und die drohenden Sanktionen bei Nichteinhaltung einschüchternd. So ist es nicht verwunderlich, dass eine kürzlich vom IT-Verband BITKOM veröffentlichte Studie ergab, dass nur 7 von 10 Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt haben, weitere 28 Prozent lediglich partiell (Quellenangabe zur Studie: https://www.bitkom.org/Presse/Presseinformation/Datenschutz-Aufwand-Unternehmen-nimmt-zu).

Auch sechs Jahre nach Einführung der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unklarheiten, was die Bestimmungen der DSGVO betrifft. Zudem bewerten neun von zehn Unternehmen den mit der DSGVO verbundenen Bürokratieaufwand als übermäßig und plädieren sogar für eine Reform der Regulierungsbehörden! Besonders bemängelt werden demnach die vielschichtigen und teils widersprüchlichen Auslegungen, die nicht nur Ressourcen binden, sondern auch Innovationspotenzial hemmen würden.

Die Studie untersucht auch eine Facette, die in der jüngeren Entwicklung immer wichtiger wurde: den Einfluss künstlicher Intelligenz (KI) auf den Datenschutz. Während fast 70 Prozent der Firmen die KI als potenzielle Hilfe zur Bewältigung von Datenschutzherausforderungen sehen, sind ebenso viele der Meinung, dass KI den Datenschutz auch vor bisher unbekannte Hürden stellt: Ob es um die Anonymisierung von Daten oder die Entwicklung rechtssicherer KI-Anwendungen geht – der Balanceakt zwischen technologischem Fortschritt und Regelkonformität bleibt schwierig.

Ob mit KI oder ohne; die zentrale Frage bleibt: Können Mittelständler die DSGVO nicht nur als Hürde betrachten, sondern auch als Strategievorteil für sich nutzen? Und wie lassen sich die komplexen DSGVO-Anforderungen als KMU erfüllen? Dieser Leitfaden bietet speziell kleinen und mittelständischen Unternehmen eine Orientierungshilfe, um die Anforderungen der DSGVO zu verstehen und sie dauerhaft erfolgreich umsetzen zu können.

Die DSGVO auf einen Blick

Auf den Punkt gebracht: Die DSGVO definiert den Umgang mit persönlichen Informationen in der EU. Ziel ist es, die Bürgerrechte auf den Datenschutz zu stärken und den freien Datenverkehr innerhalb des Binnenmarkts zu gewährleisten.

Für Unternehmen bedeutet das konkret, dass jede Verarbeitung sogenannter personenbezogener Daten a) rechtmäßig, b) transparent und c) zweckgebunden erfolgen muss. Die Regelung gilt für alle Unternehmen, die innerhalb der EU tätig sind oder Daten mit Personenbezug von EU-Bürgern verarbeiten – unabhängig davon, wo sie ihren Sitz haben.

Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen unter anderem:

• Vorname & Nachname
• Anschrift
• Mail-Adresse
• IP-Adresse(n)
• Kundennummer
• Standortdaten
• u.v.m.

Der Umgang mit solchen Daten ist an die strengen Vorgaben der DSGVO gebunden. Was genau sich daraus für ToDos für Unternehmen ergeben, werden wir im Weiteren beleuchten. Aber vorab sei noch gesagt, dass in Sachen DSGVO keinesfalls gilt: Einmal implementiert, kann ich mich entspannen … Nein, eher wird bei der Einführung jedes neuen Software-Tools das Thema DSGVO erneut wichtig. Oder wussten Sie, dass ein Betrieb ab dem 20. Beschäftigten, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Datenschutzbeauftragten bestellen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen kontinuierlich begleitet.

Rechtmäßigkeit der Datenverarbeitung

Die DSGVO besagt ganz klar: Eine Bearbeitung persönlicher Informationen ist generell nur dann zulässig, wenn sie auf einer rechtlichen Grundlage beruht. Möglich sind die folgenden gesetzlichen Legitimationen:

• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – dies trifft zum Beispiel zu, wenn eine Person proaktiv der Benutzung ihrer E-Mail-Adresse für den Erhalt von Werbe-E-Mails zustimmt.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – das trifft zum Beispiel zu, wenn ein Online-Shop die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erledigen und somit den Vertrag zu erfüllen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – dies trifft zum Beispiel zu, wenn ein Arbeitgeber die Gehaltsdaten eines Mitarbeiters speichert und verarbeitet, um den steuerrechtlichen Anforderungen nachzukommen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen Nutzerdaten der Website verwendet, um seine IT-Infrastruktur vor Cyberangriffen zu sichern.

In der gelebten Praxis ist die Erhebung einer Zustimmung oftmals mit Unsicherheiten verbunden, da hier bestimmte Bedingungen erfüllt sein müssen. Die Genehmigung muss nämlich, um DSGVO-konform zu sein, a) konkret, b) informiert und c) ohne Zwang erfolgen. Firmen müssen also sicherstellen, dass die Dateninhaber klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung freiwillig getroffen wird. Zudem muss die Einwilligung jederzeit widerrufbar sein, ohne negative Folgen für die Person. Ein typisches Exempel hierfür sind Consent-Banner bzw. Zustimmungsmanagement-Systeme für Websites, die Einwilligungen der betroffenen Personen abfragen, beispielsweise was die Erhebung der IP-Adressen angeht.

Neben der gesetzlichen Basis, die nötig ist, um personenbezogene Daten überhaupt verarbeiten zu dürfen, verlangt der Grundsatz der Datenminimierung, dass alleinig die für den konkreten, unvermeidbaren Zweck essentiellen Informationen gesammelt werden. Beispielsweise darf ein E-Commerce-Anbieter im Checkout auch nur die Daten erfassen, die für die Bestellung nötig sind.

Was in der Praxis oftmals missachtet wird, ist die Tatsache, dass die erhobenen Daten gemäß DSGVO nur für den primären Zweck verwendet werden dürfen. Eine spätere Verwendung für andere Zwecke erfordert eine neue rechtliche Grundlage, wie etwa eine erneute Einwilligung. Beispielsweise darf die Adresse eines Kunden, die für die Zustellung gespeichert wurde, nicht ohne Einwilligung des Betreffenden für Marketingzwecke genutzt werden! Jedem Kunden Werbe-Newsletter zu senden, ist demnach nicht erlaubt. Erst wenn der Kunde proaktiv einen Haken gesetzt hat (also seine ausdrückliche Zustimmung gegeben hat), dass er E-Mails mit Informationen erhalten will, darf man seine Daten auch dafür verwenden.

TOMs nach DSGVO: Schutz für Unternehmen und Kunden

Für KMU ist es entscheidend, die Integrität personenbezogener Daten zu gewährleisten, um sowohl gesetzlichen Vorgaben gerecht zu werden als auch das Vertrauen ihrer Kunden zu stärken. Die DSGVO fordert von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (vor allem) personenbezogene Daten zu sichern.

Betriebe müssen demnach sicherstellen, dass ihre IT-Systeme den Schutz privater Daten gewährleisten. Dazu zählen beispielsweise folgende Vorkehrungen:

• Verschlüsselung sensibler Daten
• Implementierung von Zugriffskontrollen
• Regelmäßige Sicherheitsupdates

Welche TOMs sinnvoll und notwendig zu ergreifen sind, ist davon abhängig, in welchem Geschäftszweig ein Betrieb tätig ist. Wir versuchen trotzdem, ein paar spezifische, universell anwendbare Schritte zu nennen, die Sie ergreifen können und sollten:

1. Verschlüsselung sensibler Daten: Verschlüsseln Sie alle persönlichen Informationen, welche Sie speichern oder übermitteln (z. B. Kundeninformationen, finanzielle Daten). Dies unterbindet, dass Dritte im Falle eines Datenlecks auf diese Daten zugreifen können. Nutzen Sie zudem anerkannte Kryptografie-Standards wie AES oder RSA.
2. Zugriffskontrollen implementieren: Nur autorisierte Mitarbeiter sollten Zugriff auf personenbezogene Daten haben. Setzen Sie rollenbasierte Zugriffskontrollen um, sodass Angestellte nur die Daten sehen können, die sie für ihre Arbeit tatsächlich benötigen. Verwenden Sie darüber hinaus sichere Kennwörter und Zwei-Faktor-Authentifizierung für den Zugang zu kritischen Systemen.
3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Programme, Betriebssysteme und Sicherheitsprogramme regelmäßig. Schwachstellen in nicht aktualisierten Systemen sind häufig ein Einfallstor für Angreifer. Vereinfachen Sie, wenn möglich, den Update-Prozess, um sicherzustellen, dass Sie keine kritischen Aktualisierungen übersehen.
4. Mitarbeiterschulungen und Sensibilisierung: Informieren Sie Ihre Mitarbeiter regelmäßig für Datenschutzthemen. Schulungen sollten konkrete Beispiele und bewährte Verfahren für den Umgang mit persönlichen Informationen beinhalten. Sie sollten zudem sicherstellen, dass Ihre Angestellten wissen, wie sie Verstöße gegen den Datenschutz identifizieren und berichten können und wer intern der Ansprechpartner rund um Datenschutzfragen ist.
5. Dokumentation der Maßnahmen: Führen Sie eine detaillierte Aufzeichnung aller TOMs, die Sie zum Schutz der Daten implementiert haben. Diese Dokumentation hilft Ihnen, im Falle einer Prüfung nachzuweisen, dass Sie die Datenschutzanforderungen erfüllen.

Die TOMs behüten nicht bloß die Daten Ihrer Kunden und Mitarbeiter, sondern nützen Ihnen auch, das Risiko von Datenschutzverletzungen zu minimieren. Infos zur Umsetzung von TOMs sind auf der öffentlichen Website der Europäischen Kommission zur DSGVO zu sehen unter https://commission.europa.eu/law/law-topic/data-protection_en.

Auskunft, Löschung und mehr: Die Rechte Ihrer Kunden

Die DSGVO stärkt die Rechte der Bürger und gibt ihnen weitreichende Kontrollmöglichkeiten über ihre persönlichen Informationen. Firmen müssen demnach darauf vorbereitet sein, diese Rechte auch zu erfüllen. Konkret geht es dabei um folgende Rechte:

• Auskunftsrecht und Datenportabilität: Personen haben das Recht, Information über die Verarbeitung ihrer Informationen zu verlangen. Dies umfasst die Art der Daten, den Zweck der Weiterverarbeitung sowie die Aufbewahrungsfrist. Zusätzlich ermöglicht die Datenportabilität den Betroffenen, ihre Daten in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter übertragen zu lassen. Seien Sie auf die Tatsache vorbereitet, dass ein sogenanntes Auskunftsersuchen Sie erreicht, klären Sie Verantwortlichkeiten und etablieren Sie Prozesse für einen solchen Fall fest. Aufgepasst: Unternehmen sind verpflichtet, binnen eines Monats auf Informationsanfragen zu antworten!
• Recht auf Vergessenwerden: Das Recht auf Löschung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Entfernung ihrer Daten zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung unrechtmäßig ist. Prüfen Sie, ob Ihre eingesetzten Software-Tools eine endgültige Löschung oder Anonymisierung von Daten ermöglichen. Dabei müssen aber ggf. geltende gesetzliche Regelungen zur Archivierung gemäß Abgabenordnung gleichfalls im Blick behalten werden.
• Einschränkungen und Widerspruch: Firmen müssen sicherstellen, dass sie Anfragen auf Einschränkung oder Widerspruch gegen die Verarbeitung umgehend prüfen und durchführen können. Dabei gilt es vor allem, Verantwortlichkeiten innerhalb des Unternehmens klar zu organisieren.

Auftragsverarbeitung und Drittstaatenübermittlung

Zahlreiche Unternehmen arbeiten mit externen Dienstleistern zusammen – sei es im Bereich Cloud-Dienste, Werbung oder IT-Support. In allen genannten Fällen ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, um die Zuständigkeiten und Pflichten des Dienstleisters zu steuern. Vor allem dann, wenn der externe Dienstleister die persönlichen Informationen der eigenen Kunden ebenfalls verarbeitet, auf diese Zugriff hat etc.

Vorsicht beim Einsatz von Anbietern, die außerhalb der EU ansässig sind: Eine Datenübertragung in Länder außerhalb der EU (= Übertragung in Drittländer) ist gemäß DSGVO nur unter strikten Auflagen zulässig. In der Praxis relevant ist dies zum Beispiel beim Gebrauch von Tools und Diensten von Firmen aus den Vereinigten Staaten, wie beispielsweise Microsoft, Google oder Amazon. Hier muss sichergestellt werden, dass die Datenweitergabe auf einer der gesetzeskonformen Methoden basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission anerkannten Datenschutzstandards.

Unternehmen müssen turnusmäßig die Compliance der datenschutzrechtlichen Anforderungen durch ihre Dienstleister überprüfen sowie im Falle von Änderungen in den Datenschutzvorschriften der USA gegebenenfalls neue Schutzmaßnahmen ergreifen. Außerdem sollten in solchen Fällen die Datensubjekte über die Datenweitergabe ihrer Daten in außereuropäische Staaten informiert werden. Es empfiehlt sich, ein sogenanntes Register der genutzten Subdienstleister öffentlich zur Verfügung zu stellen und alle AVV an zentraler Stelle zu dokumentieren.

Alles auf Papier: Dokumentationspflichten der DSGVO

Die DSGVO verpflichtet Unternehmen, die Einhaltung der datenschutzrechtlichen Anforderungen belegen zu können. Dies erfordert detaillierte Dokumentationen, unter anderem:

• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Nachweis über die Einwilligung der Betroffenen

Eine lückenhafte Dokumentation kann bei einer Prüfung durch die Datenschutzbehörden zu Problemen führen, selbst wenn die eigentliche Datenbearbeitung korrekt erfolgt. Schauen wir uns also einmal genauer an, was sich hinter den einzelnen Punkten verbirgt:

Unternehmen müssen in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten betroffen sind, erfassen. Ein solches Verzeichnis hilft, die Datenoperationen zu strukturieren und die Einhaltung der Datenschutz-Grundverordnung nachzuweisen. Es sollte Informationen wie die Art der Daten, die Zwecke der Verarbeitung, die Datenempfänger und die Aufbewahrungsfrist enthalten und kann z.B. als Excel-Tabelle erstellt sein. Hier tauchen dann Datenbearbeitungsprozesse wie der Versand von Marketing-E-Mails, die Mitarbeiterdatenverarbeitung im Rahmen der Lohnabrechnung oder die Kundendatenverarbeitung im Rahmen von Bestellungen über einen Webshop auf und sind einzeln als Prozesse detailliert beschrieben.

Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Implementierung eines neuen Kundenbewertungssystems plant, das detaillierte Daten über das Verhalten der Nutzer sammelt. Bevor es mit der Verarbeitung beginnt, müsste das Unternehmen eine DSFA durchführen, um potenzielle Risiken für die individuellen Schutzrechte der Datensubjekte zu bewerten und geeignete Maßnahmen zum Umgang mit Risiken festzulegen. Dies ist nötig bei allen Datenoperationen, die ein hohes Risiko für die Rechte und Freiheiten der Individuen darstellen.

In der Praxis am öftesten dürfte Unternehmen der Beleg für die Zustimmung der Betroffenen begegnen – sei es auf der Website in Form eines Cookie-Hinweises, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Fotos von Angestellten von der letzten Firmenfeier öffentlich zu teilen. Im Optimalfall werden alle Zustimmungen dieser Art elektronisch erfasst, einschließlich des Datums und der genauen Formulierung der Einwilligung. Dabei kann ein CRM-Tool wie beispielsweise HubSpot CRM oder Salesforce CRM helfen. Ziel ist, dass Unternehmen jederzeit den Nachweis erbringen können, dass eine Person ihre Zustimmung zur Datennutzung ohne Zwang, präzise, aufgeklärt und unmissverständlich erteilt hat sowie im besten Fall auch, wann und „wo“ dies erfolgt ist.

Fazit: DSGVO-Compliance als Differenzierungsmerkmal

Die Nichteinhaltung der DSGVO kann erhebliche finanzielle Konsequenzen nach sich ziehen. Die Höhe der Bußgelder richtet sich nach dem Schweregrad der Regelverletzung und kann bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Für Mittelständler ist es daher entscheidend, vorsorglich Maßnahmen zu ergreifen, um Risiken zu reduzieren.

Die Umsetzung der DSGVO ist aber keine reine Pflichtaufgabe, sondern auch eine Gelegenheit, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu positionieren. Klienten und Geschäftspartner legen zunehmend Wert auf Datenschutz und Datensicherheit – insbesondere im DACH-Raum, wo die Sensibilität für dieses Thema besonders ausgeprägt ist. Indem Sie die datenschutzrechtlichen Vorgaben erfüllen, sichern Sie ergo nicht nur Ihre Klienten und Mitarbeiter, sondern verbessern auch Ihre Wettbewerbsfähigkeit und reduzieren Risiken.

In diesem Artikel können wir aufgrund der Vielfältigkeit des Themas natürlich viele Aspekte nur oberflächlich behandeln. Als IT-Experten unterstützen wir Sie aber mit Vergnügen dabei, die Datenschutz-Grundverordnung als Wettbewerbsvorteil zu nutzen und sich rechtskonform aufzustellen. Kontaktieren Sie uns, wir freuen uns darauf, von Ihnen zu lesen.