Datenschutz im Mittelstand

Die Datenschutz-Grundverordnung, kurz DSGVO, definiert Regeln zur Verarbeitung personenbezogener Daten. Obwohl diese Regelungen für alle Unternehmen eine Rolle spielen, ist Datenschutz in mittelständischen Unternehmen noch nicht zu Genüge angekommen. Doch weder hohe Bußgelder noch negative Presse bei Verstößen gegen das Datenschutzrecht kann sich ein Unternehmen leisten. Wenn Datenschutz im Mittelstand auch für Sie bislang noch ein unsicheres Gebiet darstellt, wird es höchste Zeit, sich strukturiert mit den Anforderungen auseinanderzusetzen. Zunächst klären wir, wo für gewöhnlich die Hindernisse liegen und zeigen fünf Schritte auf, wie sich KMU und DSGVO unter einen Hut bringen lassen.

Herausforderungen beim Thema Datenschutz für KMU

Egal, ob es um die Zusammenarbeit mit Mitarbeitern oder Partnern geht oder schlichtweg um den Kontakt mit Kunden. Permanent befinden sich Unternehmen in Situationen, in welchen sie mit personenbezogenen Daten in Berührung kommen. Entsprechend der DSGVO müssen diese geschützt werden. Das gilt für kleine, mittlere und auch große Unternehmen gleichermaßen.

Vor allem in kleinen und mittelständischen Unternehmen ist die Umsetzung der datenschutzrechtlichen Vorgaben mit Schwierigkeiten verbunden und weist deutliche Schwächen auf. Ein Mangel an Zeit und fehlendes Wissen rund um die Thematik „Datenschutz und KMU“ sind die Hauptursache dafür. Bei einer schlanken Unternehmensstruktur fehlen schlichtweg die Mitarbeiter, welche die Anforderungen in praktische Maßnahmen umsetzen können. Der Knackpunkt dabei ist, dass sich KMU genauso an die DSGVO halten müssen wie große Unternehmen. Spätestens die Prüfungen durch Datenschutzaufsichtsbehörden und mögliche Sanktionen bei Nichteinhaltung der Datenschutzgesetze machen aktives Handeln erforderlich. Doch lassen Sie es gar nicht soweit kommen. Bauen Sie die richtigen Strukturen gleich von Beginn an auf und prüfen Sie regelmäßig, ob Ihre Maßnahmen noch auf dem aktuellen Stand sind.

Datenschutz für mittelständische Unternehmen: Darauf sollten Sie achten

Wenn es um den Schutz personenbezogener Daten geht, gibt es in Unternehmen zahlreiche Fälle, in denen die DSGVO berücksichtigt werden muss. Im Folgenden fassen wir die fünf wichtigsten Bereiche zusammen und geben Ihnen Tipps, wie Sie die ersten Schritte meistern:

Websites & Onlineshops absichern

Eine Website oder sogar einen Onlineshop für den Verkauf von Produkten hat in der heutigen digitalen Zeit so gut wie jedes Unternehmen. Bei kleinen Unternehmen ist die Website meist nur eine Visitenkarte. Sie wurde einmal erstellt und dann nicht mehr angefasst. In der Zwischenzeit hat sich im rechtlichen Kontext einiges verändert. Welche Rolle für Sie auch immer Ihre eigene Website spielt: Die datenschutzrechtlichen Vorgaben  erfordern in jedem Fall einen verantwortungsbewussten Umgang mit den Daten Ihrer Website-Besucher.

Erste Schritte: Machen Sie sich ein Bild darüber, welche Verarbeitungen von personenbezogenen Daten auf Ihrer Website ablaufen und welche Partner ebenso über Ihre Website-Daten verfügen können, wie zum Beispiel Ihr Hosting-Anbieter. Statten Sie Ihre Website mit einer aktualisierten Datenschutzerklärung aus, die über die Verwendung der Daten Auskunft gibt und binden Sie einen Cookie-Banner ein. 

Dokumentationspflichten: Ja oder nein?

Dokumentationspflichten beinhalten das Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Die DSGVO definiert in Art. 30 (5) eine Ausnahme für Unternehmen mit Beschäftigten unter 250 Mitarbeiter, wenn personenbezogene Daten nur gelegentlich verarbeitet werden. Praktisch gilt diese Ausnahme daher kaum, denn allein die monatliche Lohnabrechnung sprengt bereits den theoretischen Rahmen.

Erste Schritte: Werden Sie sich darüber im Klaren, welche Daten in Ihrem Unternehmen zu Ihren Mitarbeitern und Kunden erfasst werden. Dokumentieren Sie alle Prozesse und schaffen Sie Transparenz. Wenn diese noch nicht den aktuellen gesetzlichen Vorgaben entspricht, dann optimieren Sie die Art der Datenverarbeitung und planen Sie mitunter prozessuale und technische Änderungen in Ihrer Infrastruktur ein.

Auftragsverarbeitungsverträge mit Ihren Partnern schließen

Innerhalb der vorherigen zwei Punkte haben wir bereits die Zusammenarbeit mit Ihren Partnern und Dienstleistern angesprochen. Sofern diese mit personenbezogenen Daten aus Ihrem Unternehmen in Ihrem Auftrag arbeiten, wird ein sogenannter AV-Vertrag, also ein Auftragsverarbeitungsvertrag relevant. Dieser enthält unter anderem Anweisungen zur Datenverarbeitung und -speicherung und klärt auch Haftungsfragen bei möglichen Datenschutzverstößen.

Erste Schritte: Listen Sie alle Schnittstellen zu Ihren Partnern und Dienstleistern auf. Werden Sie sich über den Datenaustausch beziehungsweise die Beauftragung der Datenverarbeitung bewusst. Verfassen Sie anschließend mit jedem Auftragsverarbeiter einen datenschutzkonformen AV-Vertrag.

Datenschutzbeauftragten bestellen

Ein Datenschutzbeauftragter überwacht unabhängig die Einhaltung der Vorgaben zum Schutz personenbezogener Daten. Die Frage, ob ein Datenschutzbeauftragter gebraucht wird oder nicht, stellt sich nur für kleine Unternehmen. Ab einer Unternehmensgröße von mindestens 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, lautet die Antwort “Ja”. Das heißt also, dass ein Datenschutzbeauftragter im Mittelstand in der Regel erforderlich ist. Daneben gibt es noch einige Ausnahmeregelungen, die auch kleine Betriebe tangieren und verpflichten können.

Erste Schritte: Egal, wie groß Ihr Unternehmen ist: Prüfen Sie in jedem Fall, ob Sie dazu verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Wenn es für Ihr Unternehmen aktuell nicht erforderlich ist, behalten Sie regelmäßig die Parameter im Blick, die bislang für eine Erleichterung sorgen. Das Blatt kann sich schnell wenden und eine Benennung erforderlich machen. Ob Sie einen internen Mitarbeiter dazu einsetzen oder sich durch einen externen Experten beraten lassen, ist ganz Ihre Entscheidung.

Datenschutzrechtliche Schulungen für Ihre Mitarbeiter

So gut wie jeder in Ihrem Unternehmen kommt mit personenbezogenen Daten in Berührung oder ist Teil der gesamten Prozesslandschaft. Aus dem Grund ist es unerlässlich, aktuelles Wissen verfügbar zu machen, sodass jeder einen positiven Beitrag zur Einhaltung der gesetzlichen Regelungen leisten kann. Art. 32 DSGVO fordert sogar indirekt dazu auf: Um die Sicherheit der Datenverarbeitung zu gewährleisten, ist die Umsetzung von technischen und organisatorischen Maßnahmen erforderlich. Ohne eine Weiterbildung auf dem Gebiet sind diese Anforderungen kaum zu erfüllen.

Erste Schritte: Planen Sie eine Schulung für Ihre Mitarbeiter zum Thema „Basiswissen im Datenschutz“ ein. Statt diesen Termin einfach hinter sich zu bringen, fragen Sie sich, wie Sie in dem Seminar Begeisterung entfachen können. So motivieren Sie Ihr Team, gemeinsam hinter den Maßnahmen zu stehen und für das Gelingen in Ihrem Unternehmen beizutragen. 

Jetzt kennen Sie die fünf Eckpfeiler, wie Sie Ihr Unternehmen datenschutzkonform gestalten. Im Idealfall arbeiten Sie von nun an mit auserwählten Kollegen im Team zusammen, um Maßnahmen zu entwickeln und umzusetzen. Für Schulungen und besondere Fragestellung empfehlen wir Ihnen, auf externe Unterstützung zurückzugreifen. So wird Datenschutz im Mittelstand auch für Ihre Firma schon bald zur Selbstverständlichkeit.