Datenschutz bei KMU: Die wichtigsten To Do’s

Auch mehr als drei Jahre nach ihrem Inkrafttreten am 25. Mai 2018 sorgt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union immer noch für Diskussionen – insbesondere im Hinblick auf den erheblichen Umsetzungsaufwand, den die darin enthaltenen Bestimmungen zur Verarbeitung von personenbezogenen Daten für die Adressaten des Rechtsaktes bedeuten. Bei Letzteren handelt es sich nämlich nicht nur um große internationale Unternehmen (wie mitunter fälschlich angenommen wird), sondern auch um öffentliche und private Akteure im weitesten Sinne – von eng gefassten Ausnahmen einmal abgesehen.

 

Somit sind auch kleine und mittlere Unternehmen (KMU) sowie Selbstständige klar von Anwendungsbereich der DSGVO umfasst, wie auch die EU-Kommission unmissverständlich bestätigt. Verglichen mit großen Unternehmen oder Behörden, die über eigene Rechtsabteilungen verfügen, fällt es Kleinunternehmern aufgrund begrenzter Ressourcen häufig schwerer, im europäischen und nationalstaatlichen „Paragraphendschungel“ den Überblick zu behalten. Eine gute Hilfestellung zum Thema Datenschutz bei KMU bieten einschlägige Ratgeberliteratur sowie spezielle DSGVO-Vorlagen – zum Einstieg haben wir die wichtigsten „To-Dos“ für Sie zusammengefasst.

Was sind personenbezogene Daten und was bedeutet eigentlich „Verarbeitung“?

Als ersten Schritt macht es Sinn, sich auch als juristischer Laie so gut als möglich mit den grundlegenden Regelungsinhalten und der Terminologie der DSGVO vertraut zu machen – beginnend mit dem durch die Verordnung geschützten Rechtsgut, den personenbezogenen Daten. Dabei handelt es sich im Wesentlichen um all jene Daten, die einer bereits bekannten oder identifizierbaren, in der Regel natürlichen Person zugeordnet werden können. Als Beispiele lassen sich elementare Informationen wie Name, Anschrift, Telefonnummer oder E-Mail ebenso anführen wie Fotos, Kennnummern, Gesundheitsdaten und ähnliche Aspekte – und dies nicht nur in Bezug auf Kunden, sondern auch auf Mitarbeiter und Geschäftspartner (z. B. Lieferanten).

 

Sobald derartige Daten nicht nur zu privaten oder familiären Zwecken verarbeitet werden, greift jedenfalls die DSGVO. Der Begriff der „Verarbeitung“ ist ebenfalls breit zu verstehen: Schon die reine Ermittlung oder Speicherung personenbezogener Daten gilt als solche; dasselbe trifft beispielsweise für deren Systematisierung, Einschaunahme oder Veröffentlichung zu. In der Praxis bedeutet das, dass bereits alltägliche geschäftliche Handlungen wie das Nutzen von Kundendaten zur Erstellung einer Rechnung als Verarbeitung anzusehen sind und somit DSGVO-konform durchgeführt werden müssen.

Datenschutz für KMU: Was gebietet die DSGVO?

Welche konkreten Pflichten normiert die DSGVO nun im Hinblick auf den Datenschutz bei KMU? Zunächst einmal ist festzuhalten, dass die Verordnung nicht das gesamte zuvor existierende Datenschutzrecht vollständig transformiert, sondern in vielen Punkten bestehende Prinzipien bekräftigt beziehungsweise verschärft. Das Prinzip, dass personenbezogene Daten nur auf Basis einer entsprechenden Rechtsgrundlage verarbeitet werden dürfen, war etwa schon vorher bekannt – allerdings stellen die Bestimmungen der DSGVO künftig höhere Anforderungen an die dafür einzuholenden Einwilligungen (zum Beispiel muss ein Hinweis auf Widerrufbarkeit enthalten sein und die Zwecke der zukünftigen Verarbeitung der Daten müssen genau aufgeschlüsselt werden).

Darüber hinaus ergibt sich aus der Verordnung für KMUs eine zum Teil massive Ausweitung des administrativen Aufwandes, der mit der Dokumentation der Einhaltung von Datenschutzverpflichtungen verbunden ist. Hierzu zählt die in den meisten Fällen obligate Einrichtung eines Verarbeitungsverzeichnisses, das genaue Angaben zu jedem vorgenommenen Verarbeitungsakt enthalten muss (Zweck, Rechtsgrundlage, Kategorie von Daten und Personen, Name des Verarbeiters, Löschfristen, etc.). Auch die Bestellung eines betrieblichen Datenschutzbeauftragten ist für zahlreiche mittelständische Unternehmen nach der DSGVO unumgänglich.

Neuerungen bei Informations- und Schutzpflichten

Datenschutzverzeichnis und -beauftragter sind aber nur die plakativsten Neuerungen im Bereich Datenschutz für KMU, die durch die DSGVO in Gang gesetzt wurden. Auch technisch-organisatorische Datenschutz-Sicherungsmaßnahmen sind nunmehr von Gesetzes weges durchzuführen und müssen zu Nachweiszwecken protokolliert werden, ebenso wie datenschutzrechtliche Mitarbeiterschulungen. Ähnliche Zwecke verfolgt die verpflichtend durchzuführende betriebliche Datenschutz-Folgeabschätzung (DSFA) als Form der vorsorglichen Risikoanalyse. Flankierend hinzu treten die Prinzipien „privacy by design“ und „privacy by default“ – diese besagen zusammengenommen, dass Datenschutzaspekte bereits beim erstmaligen Aufbau von Geschäftsablaufen Berücksichtigung finden müssen und die jeweils datenschutzfreundlichsten technischen Lösungen als Grundeinstellungen beibehalten werden müssen.

Beträchtliche Neuerungen ergeben sich auch in den Bereichen der Informations-, Auskunfts- und Löschungspflichten, denen Unternehmen der neuen Rechtslage zufolge nachzukommen haben: EU-Bürger können beispielsweise Auskunft darüber verlangen, welche personenbezogenen Daten über sie vorliegen und eine Löschung verlangen. Davon unabhängig kann eine Löschung schon dann geboten sein, wenn der ursprüngliche Zweck der Datenverarbeitung weggefallen ist (was de facto ein betriebsinternes Löschkonzept erforderlich macht). Weitere Vorschriften beziehen sich unter anderem auf Meldeverpflichtungen bei Datenschutzverstößen sowie DSGVO-konforme Vereinbarungen mit externen Dienstleistern (z. B. mit Buchhaltern).

Datenschutz bei KMU:

 

Mit besonderer Dringlichkeit stellt sich im digitalen Zeitalter natürlich die Frage nach den die Auswirkungen der DSGVO auf die Internetauftritte von Unternehmen, also deren Websites und Online-Shops. Während die Verordnung in dieser Hinsicht noch viele Detailfragen (bewusst) offen lässt, sind ihre oben beschriebene Grundsätze auch auf Online-Einkäufe, Cookies, Tracking und ähnliche Marketingaktivitäten anzuwenden. Genauere Regelungen trifft die DSGVO aber, was die Ausgestaltung von verpflichtenden Datenschutzerklärungen durch Websitebetreiber (diese müssen unter anderem in allgemeinverständlicher Sprache gehalten sein) und das sogenannte „Kopplungsverbot“ betrifft. Letzteres untersagt die willkürliche Verknüpfung der jeweils angebotenen Leistung mit der Herausgabe von Daten, die damit in keinem engeren Zusammenhang stehen.

 

Aus den obigen Ausführungen lassen sich zusammenfassend also (mindestens) folgende „To-Dos“ in Sachen Datenschutz für KMU formulieren:

 

  • Verschaffen Sie sich als ersten Schritt einen vollständigen Überblick über alle von Ihrem Unternehmen genutzten Daten sowie die unterschiedlichen Wege, auf denen diese verarbeitet werden.
  • Prüfen Sie, ob Sie für alle Arten der Datennutzung auch über die erforderliche Rechtsgrundlage bzw. Einwilligung verfügen. Gegebenfalls müssen bestehende, aber unzureichende Einwilligungen neu eingeholt werden (dies gilt etwa bei Newslettern, für deren Versand per E-Mail es einer ausdrücklichen Zustimmung sowie eines Hinweises auf das Widerrufsrecht bedarf).
  • Prüfen Sie, ob Sie zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet sind. Für KMU ist hier folgende Sonderregelung von Bedeutung: Unternehmen mit weniger als 250 Mitarbeitern sind hiervon ausgenommen, wenn sie nur gelegentlich mit personenbezogenen Daten arbeiten. In der Praxis wird diese Ausnahme allerdings eher restriktiv interpretiert.
  • Prüfen Sie, ob Sie zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. Diese Pflicht besteht jedenfalls dann, wenn die Vearbeitung von personenbezogenen Daten zum Kerngeschäft des Unternehmens gehört, kann aber unter Umständen auch schon vorher greifen.
  • Überprüfen Sie die Cookie-Banner und Datenschutzerklärungen auf Ihrer Website auf Aktualität und DSGVO-Konformität. Auch bei der Verwendung von Online-Shops muss für den Kunden klar ersichtlich sein, welche der übermittelten Daten wie genutzt werden.
  • Ziehen Sie die Nutzung von rechtlich geprüften DSGVO-Vorlagen in Betracht, um Ihren Recherche- und Verwaltungsaufwand zu reduzieren. Mit einem solchen Komplettpaket (https://digiware.de/dsgvo-vorlagen-excel-word/) erhalten Sie nicht nur rechtskonform gestaltete Formulare, sondern unter anderem auch Muster für technisch-organisatorische Maßnahmen, ein vorgefertigtes Datenschutz- und Löschkonzept sowie Dokumentationsmuster und Schulungsunterlagen. Alle enthaltenen Unterlagen sind individuell anpassbar.
  • Holen Sie gegebenfalls Rat von rechts- und IT-kundigen Fachleuten ein, um die DSGVO-Konformität der in Ihrem Unternehmen erlassenen Maßnahmen zu überprüfen. Damit sichern Sie sich gegen die bei Verstößen anfallenden empfindlichen Bußgelder ab.

Fazit

 

Damals wie heute stellt die DSGVO insbesondere kleine und mittlere Unternehmen vor erhebliche Herausforderungen, nicht zuletzt aufgrund der stark erweiterten Dokumentationspflichten. Dass diese Probleme auch drei Jahre nach Inkrafttreten der Verordnung noch nicht ausgestanden sind, zeigen aktuelle Untersuchungen, wonach z. B. mehr als 40% der untersuchten Unternehmens-Websites grobe datenschutzrechtliche Mängel aufwiesen (Quelle: https://www.com-magazin.de/news/dsgvo/3-jahre-dsgvo-woran-umsetzung-kmu-haeufig-scheitert-2665855.html).

Wer als KMU-Inhaber die oben beschriebenen „To Dos“ beherzigt, fachkundigen Rat einholt und zusätzlich zu hochwertigen DSGVO-Vorlagen greift, besitzt angesichts dieser anhaltenden Schwierigkeiten einen klaren Wettbewerbsvorteil.