Datenschutz im Mittelstand

Letztes Update:
15
.
03
.
2022
Lesezeit:
0
Min
Genauso wie große Unternehmen müssen sich auch kleine und mittelständische Unternehmen (KMU) an die datenschutzrechtlichen Vorgaben der DSGVO halten. Was logisch klingt, ist in der Praxis mit einigen Herausforderungen verbunden, wenn es an die Umsetzung geht. Damit Sie gleich zu Beginn über die typischen Hürden Bescheid wissen, fassen wir diese und auch die wesentlichen Anforderungen zum Datenschutz im Mittelstand für Sie zusammen.
Datenschutz im Mittelstand
Die wichtigsten Erkenntnisse
  • KMU müssen DSGVO-Vorgaben genauso wie große Unternehmen umsetzen.
  • Hauptprobleme: Zeitmangel und fehlendes Datenschutzwissen in KMU.
  • Websites und Onlineshops müssen datenschutzkonform abgesichert werden.
  • Auftragsverarbeitungsverträge mit Partnern sind essenziell.
  • Datenschutzbeauftragter ab 20 Mitarbeitern verpflichtend.

Die Datenschutz-Grundverordnung, kurz DSGVO, definiert Regeln zur Verarbeitung personenbezogener Daten. Obwohl diese Regelungen für alle Unternehmen eine Rolle spielen, ist Datenschutz in mittelständischen Unternehmen noch nicht zu Genüge angekommen. Doch weder hohe Bußgelder noch negative Presse bei Verstößen gegen das Datenschutzrecht kann sich ein Unternehmen leisten. Wenn Datenschutz im Mittelstand auch für Sie bislang noch ein unsicheres Gebiet darstellt, wird es höchste Zeit, sich strukturiert mit den Anforderungen auseinanderzusetzen. Zunächst klären wir, wo für gewöhnlich die Hindernisse liegen und zeigen fünf Schritte auf, wie sich KMU und DSGVO unter einen Hut bringen lassen.

Herausforderungen beim Thema Datenschutz für KMU

Egal, ob es um die Zusammenarbeit mit Mitarbeitern oder Partnern geht oder schlichtweg um den Kontakt mit Kunden. Permanent befinden sich Unternehmen in Situationen, in welchen sie mit personenbezogenen Daten in Berührung kommen. Entsprechend der DSGVO müssen diese geschützt werden. Das gilt für kleine, mittlere und auch große Unternehmen gleichermaßen.

Vor allem in kleinen und mittelständischen Unternehmen ist die Umsetzung der datenschutzrechtlichen Vorgaben mit Schwierigkeiten verbunden und weist deutliche Schwächen auf. Ein Mangel an Zeit und fehlendes Wissen rund um die Thematik „Datenschutz und KMU“ sind die Hauptursache dafür. Bei einer schlanken Unternehmensstruktur fehlen schlichtweg die Mitarbeiter, welche die Anforderungen in praktische Maßnahmen umsetzen können. Der Knackpunkt dabei ist, dass sich KMU genauso an die DSGVO halten müssen wie große Unternehmen. Spätestens die Prüfungen durch Datenschutzaufsichtsbehörden und mögliche Sanktionen bei Nichteinhaltung der Datenschutzgesetze machen aktives Handeln erforderlich. Doch lassen Sie es gar nicht soweit kommen. Bauen Sie die richtigen Strukturen gleich von Beginn an auf und prüfen Sie regelmäßig, ob Ihre Maßnahmen noch auf dem aktuellen Stand sind.

Datenschutz für mittelständische Unternehmen: Darauf sollten Sie achten

Wenn es um den Schutz personenbezogener Daten geht, gibt es in Unternehmen zahlreiche Fälle, in denen die DSGVO berücksichtigt werden muss. Im Folgenden fassen wir die fünf wichtigsten Bereiche zusammen und geben Ihnen Tipps, wie Sie die ersten Schritte meistern:

Websites & Onlineshops absichern

Eine Website oder sogar einen Onlineshop für den Verkauf von Produkten hat in der heutigen digitalen Zeit so gut wie jedes Unternehmen. Bei kleinen Unternehmen ist die Website meist nur eine Visitenkarte. Sie wurde einmal erstellt und dann nicht mehr angefasst. In der Zwischenzeit hat sich im rechtlichen Kontext einiges verändert. Welche Rolle für Sie auch immer Ihre eigene Website spielt: Die datenschutzrechtlichen Vorgaben  erfordern in jedem Fall einen verantwortungsbewussten Umgang mit den Daten Ihrer Website-Besucher.

Erste Schritte: Machen Sie sich ein Bild darüber, welche Verarbeitungen von personenbezogenen Daten auf Ihrer Website ablaufen und welche Partner ebenso über Ihre Website-Daten verfügen können, wie zum Beispiel Ihr Hosting-Anbieter. Statten Sie Ihre Website mit einer aktualisierten Datenschutzerklärung aus, die über die Verwendung der Daten Auskunft gibt und binden Sie einen Cookie-Banner ein. 

Dokumentationspflichten: Ja oder nein?

Dokumentationspflichten beinhalten das Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Die DSGVO definiert in Art. 30 (5) eine Ausnahme für Unternehmen mit Beschäftigten unter 250 Mitarbeiter, wenn personenbezogene Daten nur gelegentlich verarbeitet werden. Praktisch gilt diese Ausnahme daher kaum, denn allein die monatliche Lohnabrechnung sprengt bereits den theoretischen Rahmen.

Erste Schritte: Werden Sie sich darüber im Klaren, welche Daten in Ihrem Unternehmen zu Ihren Mitarbeitern und Kunden erfasst werden. Dokumentieren Sie alle Prozesse und schaffen Sie Transparenz. Wenn diese noch nicht den aktuellen gesetzlichen Vorgaben entspricht, dann optimieren Sie die Art der Datenverarbeitung und planen Sie mitunter prozessuale und technische Änderungen in Ihrer Infrastruktur ein.

Auftragsverarbeitungsverträge mit Ihren Partnern schließen

Innerhalb der vorherigen zwei Punkte haben wir bereits die Zusammenarbeit mit Ihren Partnern und Dienstleistern angesprochen. Sofern diese mit personenbezogenen Daten aus Ihrem Unternehmen in Ihrem Auftrag arbeiten, wird ein sogenannter AV-Vertrag, also ein Auftragsverarbeitungsvertrag relevant. Dieser enthält unter anderem Anweisungen zur Datenverarbeitung und -speicherung und klärt auch Haftungsfragen bei möglichen Datenschutzverstößen.

Erste Schritte: Listen Sie alle Schnittstellen zu Ihren Partnern und Dienstleistern auf. Werden Sie sich über den Datenaustausch beziehungsweise die Beauftragung der Datenverarbeitung bewusst. Verfassen Sie anschließend mit jedem Auftragsverarbeiter einen datenschutzkonformen AV-Vertrag.

Datenschutzbeauftragten bestellen

Ein Datenschutzbeauftragter überwacht unabhängig die Einhaltung der Vorgaben zum Schutz personenbezogener Daten. Die Frage, ob ein Datenschutzbeauftragter gebraucht wird oder nicht, stellt sich nur für kleine Unternehmen. Ab einer Unternehmensgröße von mindestens 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, lautet die Antwort “Ja”. Das heißt also, dass ein Datenschutzbeauftragter im Mittelstand in der Regel erforderlich ist. Daneben gibt es noch einige Ausnahmeregelungen, die auch kleine Betriebe tangieren und verpflichten können.

Erste Schritte: Egal, wie groß Ihr Unternehmen ist: Prüfen Sie in jedem Fall, ob Sie dazu verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Wenn es für Ihr Unternehmen aktuell nicht erforderlich ist, behalten Sie regelmäßig die Parameter im Blick, die bislang für eine Erleichterung sorgen. Das Blatt kann sich schnell wenden und eine Benennung erforderlich machen. Ob Sie einen internen Mitarbeiter dazu einsetzen oder sich durch einen externen Experten beraten lassen, ist ganz Ihre Entscheidung.

Datenschutzrechtliche Schulungen für Ihre Mitarbeiter

So gut wie jeder in Ihrem Unternehmen kommt mit personenbezogenen Daten in Berührung oder ist Teil der gesamten Prozesslandschaft. Aus dem Grund ist es unerlässlich, aktuelles Wissen verfügbar zu machen, sodass jeder einen positiven Beitrag zur Einhaltung der gesetzlichen Regelungen leisten kann. Art. 32 DSGVO fordert sogar indirekt dazu auf: Um die Sicherheit der Datenverarbeitung zu gewährleisten, ist die Umsetzung von technischen und organisatorischen Maßnahmen erforderlich. Ohne eine Weiterbildung auf dem Gebiet sind diese Anforderungen kaum zu erfüllen.

Erste Schritte: Planen Sie eine Schulung für Ihre Mitarbeiter zum Thema „Basiswissen im Datenschutz“ ein. Statt diesen Termin einfach hinter sich zu bringen, fragen Sie sich, wie Sie in dem Seminar Begeisterung entfachen können. So motivieren Sie Ihr Team, gemeinsam hinter den Maßnahmen zu stehen und für das Gelingen in Ihrem Unternehmen beizutragen. 


Jetzt kennen Sie die fünf Eckpfeiler, wie Sie Ihr Unternehmen datenschutzkonform gestalten. Im Idealfall arbeiten Sie von nun an mit auserwählten Kollegen im Team zusammen, um Maßnahmen zu entwickeln und umzusetzen. Für Schulungen und besondere Fragestellung empfehlen wir Ihnen, auf externe Unterstützung zurückzugreifen. So wird Datenschutz im Mittelstand auch für Ihre Firma schon bald zur Selbstverständlichkeit.
 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!