Allgemein | IT-Sicherheit

Datenschutz richtig angehen: Der DSGVO-Guide für den Mittelstand

Ein Verstoß gegen den Datenschutz kann für Unternehmen kostspielig werden – sei es durch Kundenbeschwerden, den Vertrauensverlust oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag vielschichtig erscheinen, doch keine Sorge: sie ist keine unlösbare Herausforderung. In diesem anwendungsorientierten Guide, der speziell für mittelständische Unternehmen im deutschsprachigen Raum entwickelt wurde, zeigen wir Ihnen, wie Sie datenschutztechnisch fit werden.

Derzeit ist die Pflicht zur elektronischen Rechnung in aller Munde. Aber während jetzt neue gesetzliche Regularien – in diesem Fall in Bezug auf die Rechnungserstellung im Geschäftsverkehr zwischen Unternehmen – an Unternehmen gestellt werden, sind andere, länger bestehende Vorgaben noch längst nicht in sämtlichen Unternehmen angekommen: Die Rede ist von der Datenschutz-Grundverordnung (DSGVO).

Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum neu definiert. Doch nach wie vor dürften sich viele – von kleinen Unternehmen über Konzerne und Behörden bis hin zu Einzelpersonen gleichermaßen – ausreichend fit fühlen in Sachen Datenschutz gemäß DSGVO. Die Regeln sind kompliziert und verwirrend, die Anforderungen an Unternehmen enorm und die drohenden Strafen bei Nichteinhaltung abschreckend. Da ist es nicht erstaunlich, dass eine kürzlich vom Branchenverband BITKOM veröffentlichte Studie zeigte, dass nur sieben von zehn Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) eingehalten haben, weitere 28 Prozent lediglich partiell (Quellenangabe zur Studie).

Auch sechs Jahre nach Inkrafttreten der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unklarheiten, was die Vorgaben der DSGVO betrifft. Zudem bewerten neun von zehn Unternehmen den mit der DSGVO verbundenen Aufwand als zu hoch und plädieren sogar für eine Reform der Regulierungsbehörden! Besonders kritisiert werden demnach die vielschichtigen und teils widersprüchlichen Auslegungen, die nicht nur Ressourcen binden, sondern auch Innovationspotenzial hemmen würden.

Die Studie beleuchtet auch eine Facette, die in der jüngeren Entwicklung immer wichtiger wurde: den Einfluss künstlicher Intelligenz (KI) auf den Datenschutz. Während rund 70 Prozent der Firmen die KI als mögliche Unterstützung zur Bewältigung von Herausforderungen im Datenschutz sehen, sind genauso viele der Meinung, dass KI den Datenschutz auch vor bisher unbekannte Hürden stellt: Ob es um die Datenanonymisierung oder die Entwicklung rechtssicherer KI-Anwendungen geht – der Balanceakt zwischen Innovation und Regelkonformität bleibt schwierig.

Ob mit KI wie auch ohne; die Schlüsselfrage bleibt: Können KMU die DSGVO nicht nur als Hindernis betrachten, sondern ebenso als Strategievorteil für sich erschließen? Und wie lassen sich die komplexen DSGVO-Anforderungen als KMU erfüllen? Dieser Leitfaden bietet speziell KMUs eine Orientierungshilfe, um die DSGVO-Bestimmungen zu verstehen und sie dauerhaft erfolgreich umsetzen zu können.

DSGVO: Was ist das eigentlich?

Auf den Punkt gebracht: Die DSGVO regelt den Umgang mit personenbezogenen Daten in der Europäischen Union. Ziel ist es, die Rechte der Bürger auf den Schutz ihrer Daten zu fördern und den uneingeschränkten Datenaustausch innerhalb des europäischen Binnenmarktes zu gewährleisten.

Für Unternehmen bedeutet das konkret, dass jede Verarbeitung sogenannter persönlicher Informationen a) gesetzeskonform, b) transparent und c) zweckgebunden erfolgen muss. Die Verordnung gilt für alle Unternehmen, die innerhalb der EU tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten – unabhängig davon, wo sie ihren Sitz haben.

Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder bestimmbare Person beziehen. Dazu gehören unter anderem:

  • Name
  • Anschrift
  • Mail-Adresse
  • IP-Adresse(n)
  • Kundennummer
  • Standortdaten
  • u.v.m.

Die Verarbeitung solcher Informationen ist an die strengen Vorgaben der DSGVO gebunden. Was exakt sich daraus für Pflichten für Unternehmen ergeben, werden wir im Weiteren beleuchten. Aber vorab sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal auf Kurs gebracht, kann ich mich entspannen … Nein, vielmehr wird bei der Einführung jedes neuen Software-Tools das Thema DSGVO erneut wichtig. Oder wissen Sie, dass ein Betrieb ab dem 20. Beschäftigten, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Data Protection Officer ernennen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen laufend beschäftigt.

Die Spielregeln der DSGVO: Erlaubte Datenverarbeitung

Die DSGVO legt eindeutig fest: Eine Bearbeitung persönlicher Informationen ist grundsätzlich nur dann zulässig, wenn sie auf einer gesetzlichen Basis beruht. Möglich sind die folgenden gesetzlichen Legitimationen:

  • Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – dies trifft zum Beispiel zu, wenn eine Person bewusst der Verwendung ihrer E-Mail-Adresse für den Erhalt von Werbe-E-Mails einwilligt.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – dies trifft zum Beispiel zu, wenn ein E-Commerce-Unternehmen die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erledigen und folglich den Kaufvertrag zu erfüllen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Arbeitgeber die Gehaltsdaten eines Mitarbeiters speichert und verarbeitet, um den steuerrechtlichen Anforderungen nachzukommen.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – dies trifft zum Beispiel zu, wenn ein Unternehmen Benutzerdaten der Website verwendet, um seine digitale Infrastruktur vor Angriffen durch Hacker zu schützen.
  • In der Praxis ist die Erhebung einer Zustimmung oftmals mit Unsicherheiten verbunden, da hier bestimmte Anforderungen gegeben sein müssen. Die Einwilligung muss nämlich, um DSGVO-konform zu sein, a) spezifisch, b) informiert und c) freiwillig erfolgen. Unternehmen müssen also gewährleisten, dass die betroffenen Personen klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung ohne Druck getroffen wird. Außerdem muss die Einwilligung rückgängig machbar sein, ohne negative Folgen für die Person. Ein typisches Beispiel hierfür sind Consent-Banner bzw. Zustimmungsmanagement-Systeme für Websites, die Einwilligungen der Website-Besucher abfragen, beispielsweise was die Verarbeitung ihrer IP-Adresse angeht.

Neben der gesetzlichen Basis, welche nötig ist, um Daten mit Personenbezug zu verarbeiten, verlangt der Grundsatz der Datenminimierung, dass alleinig die für den jeweiligen wirklich zwingenden Zweck essentiellen Informationen erhoben werden. Beispielsweise darf ein E-Commerce-Anbieter im Bestellvorgang auch nur die Daten sammeln, die für die Bestellung nötig sind.

Was in der realen Anwendung oftmals übersehen wird, ist der Fakt, dass die gesammelten Informationen gemäß DSGVO lediglich für den primären Zweck genutzt werden dürfen. Eine spätere Verwendung für andere Zwecke erfordert eine neue gesetzliche Basis, wie etwa eine erneute Einwilligung. Beispielsweise darf die Adresse eines Kunden, die für die Zustellung gespeichert wurde, nicht ohne Zustimmung des Kunden für Marketingzwecke verwendet werden! E-Mails mit Werbung an alle Kunden zu verschicken, ist demnach unzulässig. Erst wenn der Kunde aktiv zustimmt (also seine Einwilligung erteilt hat), dass er E-Mails mit Informationen empfangen möchte, darf man seine Daten auch dafür verwenden.

TOMs nach DSGVO: Schutz für Unternehmen und Kunden

Für KMU ist es entscheidend, die Integrität personenbezogener Daten zu gewährleisten, um sowohl gesetzlichen Vorgaben gerecht zu werden sowie das Vertrauen ihrer Kunden zu stärken. Die DSGVO verlangt von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) personenbezogene Daten zu sichern.

Unternehmen müssen demnach sicherstellen, dass ihre IT-Systeme den Schutz privater Daten garantieren. Dazu gehören beispielsweise folgende Vorkehrungen:

  • Verschlüsselung sensibler Daten
  • Implementierung von Zugriffskontrollen
  • Regelmäßige Sicherheitsupdates

Welche technischen und organisatorischen Maßnahmen sinnvoll und erforderlich zu ergreifen sind, ist davon abhängig, in welchem Geschäftszweig ein Betrieb tätig ist. Wir versuchen trotzdem, ein paar konkrete, allgemeingültige Schritte zu nennen, die Sie unternehmen können und sollten:

  1. Verschlüsselung sensibler Daten: Verschlüsseln Sie alle personenbezogenen Daten, welche Sie speichern oder übermitteln (z. B. Kundendaten, Finanzinformationen). Dies verhindert, dass Dritte im Falle eines Datenlecks auf diese Daten zugreifen können. Nutzen Sie zudem anerkannte Kryptografie-Standards wie AES oder RSA.
  2. Zugriffskontrollen implementieren: Nur befugte Angestellte sollten Zugriff auf persönliche Informationen haben. Setzen Sie rollenbasierte Zugriffskontrollen um, sodass Mitarbeiter nur die Daten sehen können, welche sie für ihre Arbeit wirklich benötigen. Verwenden Sie darüber hinaus starke Passwörter und Zwei-Faktor-Authentifizierung für den Zugang zu sensiblen Systemen.
  3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Programme, Systemplattformen und Sicherheitsprogramme regelmäßig. Sicherheitslücken in nicht aktualisierten Systemen sind häufig ein Angriffspunkt für Cyberkriminelle. Automatisieren Sie, wenn möglich, den Aktualisierungsprozess, um sicherzustellen, dass Sie keine wichtigen Patches übersehen.
  4. Mitarbeiterschulungen und Sensibilisierung: Informieren Sie Ihre Teammitglieder zyklisch für Datenschutzthemen. Schulungen sollten praxisnahe Szenarien und Best Practices für den Umgang mit personenbezogenen Daten beinhalten. Sie sollten außerdem sicherstellen, dass Ihre Angestellten wissen, wie sie Verstöße gegen den Datenschutz identifizieren und berichten können und wer intern der Verantwortliche rund um Datenschutzfragen ist.
  5. Dokumentation der Maßnahmen: Führen Sie eine umfassende Dokumentation aller technischen und organisatorischen Maßnahmen, die Sie zum Schutz der Daten ergriffen haben. Diese Aufzeichnung hilft Ihnen, im Falle einer Prüfung nachzuweisen, dass Sie die Vorgaben des Datenschutzes erfüllen.

Die TOMs behüten nicht bloß die Daten Ihrer Kunden und Mitarbeiter, sondern nützen Ihnen auch, das Risiko von Datenschutzverletzungen zu minimieren. Infos zur Umsetzung von TOMs sind auf der öffentlichen Website der Europäischen Kommission zur DSGVO zu sehen unter https://commission.europa.eu/law/law-topic/data-protection_en.

Recht auf Vergessenwerden, Löschung und mehr: Die Rechte der Betroffenen

Die DSGVO stärkt die Rechte der Bürger und gibt ihnen weitreichende Kontrollmöglichkeiten über ihre persönlichen Informationen. Firmen müssen darauf vorbereitet sein, jene Rechte gleichermaßen zu erfüllen. Konkret geht es dabei um folgende Rechte:

  • Auskunftsrecht und Datenportabilität: Personen haben das Recht, Auskunft über die Verarbeitung ihrer Daten zu verlangen. Dies umfasst die Art der Daten, den Zweck der Weiterverarbeitung sowie die Speicherdauer. Zusätzlich ermöglicht die Übertragbarkeit von Daten den Betroffenen, ihre Daten in einem maschinenlesbaren Format zu erhalten oder direkt an einen anderen Anbieter übertragen zu lassen. Seien Sie darauf vorbereitet, dass ein sogenanntes Auskunftsersuchen Sie erreicht, klären Sie Verantwortlichkeiten und etablieren Sie Prozesse für einen solchen Fall fest. Achtung: Unternehmen sind verpflichtet, binnen 30 Tagen auf Informationsanfragen zu antworten!
  • Recht auf Vergessenwerden: Das Recht auf Löschung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Entfernung ihrer Daten zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung unrechtmäßig ist. Prüfen Sie, ob Ihre verwendeten Anwendungen eine vollständige Entfernung oder Pseudonymisierung von Daten ermöglichen. Dabei müssen aber ggf. geltende gesetzliche Regelungen zur Aufbewahrungspflicht gemäß Abgabenordnung ebenfalls im Blick behalten werden.
  • Einschränkungen und Widerspruch: Unternehmen müssen sicherstellen, dass sie Anfragen auf Einschränkung oder Einspruch gegen die Verarbeitung zeitnah prüfen und umsetzen können. Hier gilt es vor allem, Verantwortlichkeiten innerhalb des Unternehmens klar zu regeln.

Auftragsverarbeitung und Drittstaatenübermittlung

Viele Unternehmen arbeiten mit Drittanbietern zusammen – sei es im Bereich Cloud-Dienste, Marketing oder IT-Unterstützung. In allen genannten Fällen ist ein Auftragsverarbeitungsvertrag (AVV) nötig, um die Zuständigkeiten und Pflichten des Dienstleisters zu steuern. Vor allem dann, wenn der externe Dienstleister die persönlichen Informationen der eigenen Kunden ebenfalls verarbeitet, auf diese Zugriff hat etc.

Vorsicht beim Einsatz von Anbietern, die außerhalb der EU ansässig sind: Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU (= Drittlandübermittlung) ist gemäß DSGVO nur unter strikten Auflagen zulässig. In der Praxis von Bedeutung ist dies zum Beispiel beim Gebrauch von Softwarelösungen und Services von Firmen aus den Vereinigten Staaten, wie beispielsweise Microsoft, Google oder Amazon. Dabei muss sichergestellt werden, dass die Übermittlung auf einer der gesetzeskonformen Methoden basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission anerkannten Datenschutzstandards.

Unternehmen müssen turnusmäßig die Einhaltung der datenschutzrechtlichen Anforderungen durch ihre Dienstleister überprüfen und im Falle von Änderungen in den US-amerikanischen Datenschutzgesetzen gegebenenfalls neue Sicherheitsvorkehrungen ergreifen. Außerdem sollten in solchen Fällen die betroffenen Personen über die Datenweitergabe ihrer persönlichen Informationen in Drittländer informiert werden. Es empfiehlt sich, ein sogenanntes Verzeichnis der genutzten Subdienstleister öffentlich zur Verfügung zu stellen und alle Auftragsverarbeitungsverträge an zentraler Stelle abzulegen.

Dokumentation und Nachweis der DSGVO-Konformität

Die DSGVO verpflichtet Unternehmen, die Compliance der Datenschutzvorgaben nachweisen zu können. Dies erfordert detaillierte Aufzeichnungen, unter anderem:

  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
  • Nachweis über die Einwilligung der Betroffenen

Eine lückenhafte Dokumentation kann bei einer Überprüfung durch die Aufsichtsbehörden zu Problemen führen, selbst wenn die eigentliche Datenverarbeitung korrekt passiert. Schauen wir uns deshalb einmal näher an, was sich hinter den einzelnen Punkten verbirgt:

Unternehmen müssen in einem sogenannten VVT alle Datenprozesse, bei denen personenbezogene Daten betroffen sind, erfassen. Ein solches Verzeichnis hilft, die Datenoperationen zu strukturieren und die Einhaltung der DSGVO zu belegen. Es sollte Informationen wie die Art der Informationen, die Verarbeitungsziele, die Datenempfänger und die Speicherdauer enthalten und kann z.B. als Excel-Tabelle angelegt sein. Hier tauchen dann Datenbearbeitungsprozesse wie der Versand von Marketing-E-Mails, die Datenverwaltung von Angestellten im Rahmen der Gehaltsberechnung oder die Kundendatenverarbeitung im Rahmen von Bestellungen über einen Webshop auf und sind einzeln als Abläufe detailliert beschrieben.

Ein Beispiel für eine Risikobewertung im Datenschutz wäre, wenn ein Unternehmen die Implementierung eines neuen Feedback-Systems plant, das detaillierte Daten über das Verhalten der Nutzer sammelt. Bevor es mit der Verarbeitung beginnt, müsste das Unternehmen eine Analyse durchführen, um potenzielle Gefahren für die Rechte und Freiheiten der Datensubjekte zu analysieren und geeignete Strategien zum Risikomanagement festzulegen. Dies ist nötig bei allen Verarbeitungen, die ein hohes Risiko für die Grundrechte der betroffenen Personen darstellen.

In der Praxis am öftesten dürfte Firmen der Beleg für die Zustimmung der Nutzer begegnen – sei es auf der Website in Form eines Cookie-Banners, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Fotos von Angestellten von der letzten Unternehmensveranstaltung öffentlich zu teilen. Im Optimalfall werden alle Zustimmungen dieser Art digital gespeichert, einschließlich des Zeitpunktes und der genauen Zustimmungsbeschreibung. Dabei kann ein CRM-Tool wie beispielsweise HubSpot CRM oder Salesforce helfen. Ziel ist, dass Unternehmen jederzeit den Nachweis erbringen können, dass eine Person ihre Einwilligung zur Datennutzung ohne Zwang, spezifisch, informiert und unmissverständlich erteilt hat sowie im besten Fall auch, wann und „wo“ dies erfolgt ist.

Datenschutz als strategischer Vorteil

Die Missachtung der Datenschutz-Grundverordnung kann erhebliche finanzielle Konsequenzen nach sich ziehen. Die Höhe der Strafzahlungen richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes betragen – je nachdem, welcher Betrag höher ist. Für KMU ist es daher entscheidend, proaktiv zu handeln, um Risiken zu minimieren.

Die Einhaltung der Datenschutz-Grundverordnung ist aber keine reine gesetzliche Verpflichtung, sondern auch eine Chance, sich als zuverlässiges und verantwortungsbewusstes Unternehmen zu präsentieren. Klienten und Geschäftspartner legen zunehmend Wert auf Datenschutz und Datensicherheit – insbesondere im DACH-Raum, wo die Sensibilität für dieses Thema hoch ist. Indem Sie die DSGVO-Anforderungen erfüllen, schützen Sie ergo nicht nur Ihre Kunden und Teammitglieder, sondern stärken auch Ihre Wettbewerbsfähigkeit und reduzieren Gefahren.

In diesem Artikel können wir aufgrund der Komplexität des Themas natürlich viele Aspekte nur anreißen. Als IT-Experten unterstützen wir Sie aber gerne dabei, die Datenschutz-Grundverordnung als Wettbewerbsvorteil zu nutzen und sich rechtskonform aufzustellen.

Kontaktieren Sie uns, wir freuen uns darauf, von Ihnen zu lesen.

Alle Beiträge