DSGVO konkret: Wie Unternehmen den Datenschutz effizient umsetzen können

Ein Datenschutzverstoß kann für Unternehmen teuer werden – sei es durch Reklamationen von Kunden, den Vertrauensverlust oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag komplex erscheinen, doch keine Sorge: Sie ist keine unüberwindbare Aufgabe. In diesem praktischen Leitfaden, der speziell für mittelständische Unternehmen im DACH-Raum entwickelt wurde, zeigen wir Ihnen, wie Sie datenschutztechnisch fit werden.

Derzeit ist die Pflicht zur elektronischen Rechnung in aller Munde. Aber während nun neue rechtliche Vorschriften – in diesem Fall in Bezug auf die Rechnungserstellung im B2B-Bereich – an Unternehmen gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in allen Unternehmen angekommen: Die Rede ist von der Datenschutz-Grundverordnung (DSGVO).

Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum umgestaltet. Doch nach wie vor dürften sich einige – von kleinen Unternehmen über Konzerne und Behörden bis hin zu Privatpersonen gleichermaßen – ausreichend fit fühlen in Sachen Datenschutz gemäß DSGVO. Die Regeln sind kompliziert und undurchsichtig, die Anforderungen an Unternehmen enorm und die drohenden Sanktionen bei Nichtbeachtung einschüchternd. So ist es nicht verwunderlich, dass eine kürzlich vom Branchenverband BITKOM veröffentlichte Studie zeigte, dass nur 7 von 10 Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt haben, weitere 28 Prozent lediglich teilweise.

Auch sechs Jahre nach Inkrafttreten der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unklarheiten, was die Vorgaben der DSGVO betrifft. Zudem empfinden 9 von 10 Unternehmen den mit der DSGVO verbundenen Bürokratieaufwand als zu hoch und plädieren sogar für eine Überarbeitung der Regulierungsbehörden! Besonders kritisiert werden demnach die vielschichtigen und teils widersprüchlichen Auslegungen, die nicht nur Ressourcen binden, sondern auch die Innovationsfähigkeit einschränken würden.

Die Studie untersucht auch eine Facette, die in der Vergangenheit immer wichtiger wurde: den Einfluss künstlicher Intelligenz (KI) auf den Datenschutz. Während fast 70 Prozent der Unternehmen die KI als mögliche Unterstützung zur Bewältigung von Datenschutzherausforderungen sehen, sind genauso viele der Ansicht, dass KI den Datenschutz auch vor neue Herausforderungen stellt: Ob es um die Anonymisierung von Daten oder die Entwicklung compliance-konformer KI-Lösungen geht – der Spagat zwischen technologischem Fortschritt und Regelkonformität bleibt schwierig.

Ob mit KI wie auch ohne; die zentrale Frage bleibt: Können KMU die DSGVO nicht nur als Hindernis betrachten, sondern ebenso als Wettbewerbsvorteil für sich nutzen? Und wie lassen sich die komplexen DSGVO-Anforderungen als KMU umsetzen? Dieser Ratgeber bietet speziell kleinen und mittelständischen Unternehmen eine praktische Anleitung, um die Anforderungen der DSGVO zu begreifen und sie nachhaltig einhalten zu können.

Datenschutz einfach erklärt: Die Basis der DSGVO

Auf den Punkt gebracht: Die DSGVO definiert den Umgang mit persönlichen Informationen in der EU. Ziel ist es, die Rechte der Bürger auf den Schutz ihrer Daten zu stärken und den uneingeschränkten Datenaustausch innerhalb des Binnenmarkts zu gewährleisten.

Für Unternehmen bedeutet das im Detail, dass jede Verarbeitung sogenannter persönlicher Informationen a) gesetzeskonform, b) nachvollziehbar und c) an einen spezifischen Zweck gebunden, erfolgen muss. Die Regelung gilt für alle Unternehmen, die in der EU tätig sind oder personenbezogene Daten von EU-Bürgern bearbeiten – egal, wo sie ihren Sitz haben.

Daten mit Personenbezug umfassen alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen lassen. Dazu gehören unter anderem:

• Name
• Anschrift
• Mail-Adresse
• IP-Adresse(n)
• Kundennummer
• Standortdaten
• u.v.m.

Die Verarbeitung solcher Informationen ist an die strengen Vorgaben der DSGVO gebunden. Was genau sich daraus für To-dos für Unternehmen ergeben, werden wir im Weiteren beleuchten. Aber vorweg sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal implementiert, kann ich mich zurücklehnen … Nein, vielmehr wird bei der Einführung jedes neuen Software-Tools das Thema DSGVO erneut wichtig. Oder wussten Sie, dass ein Unternehmen ab dem 20. Mitarbeiter, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Datenschutzbeauftragten ernennen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen laufend beschäftigt.

Rechtmäßigkeit der Datenverarbeitung

Die DSGVO besagt ganz klar: Eine Bearbeitung persönlicher Informationen ist generell nur dann erlaubt, wenn sie auf einer gesetzlichen Basis beruht. Möglich sind die folgenden gesetzlichen Legitimationen:

• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – dies trifft zum Beispiel zu, wenn eine Person proaktiv der Benutzung ihrer E-Mail-Adresse für den Erhalt von Marketing-Newslettern zustimmt.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – das trifft zum Beispiel zu, wenn ein E-Commerce-Unternehmen die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erledigen und folglich den Vertrag zu erfüllen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen die Lohnabrechnungsdaten eines Mitarbeiters speichert und verarbeitet, um den Vorgaben des Steuerrechts nachzukommen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – dies trifft zum Beispiel zu, wenn ein Unternehmen Benutzerdaten der Website verarbeitet, um seine digitale Infrastruktur vor Angriffen durch Hacker zu schützen.

In der gelebten Praxis ist die Erhebung einer Zustimmung oftmals mit Unsicherheiten verbunden, da hier bestimmte Anforderungen gegeben sein müssen. Die Einwilligung muss nämlich, um DSGVO-konform zu sein, a) konkret, b) informiert und c) freiwillig erfolgen. Unternehmen müssen also gewährleisten, dass die Dateninhaber klar verstehen, wozu sie ihre Zustimmung erteilen, und dass diese Entscheidung freiwillig getroffen wird. Außerdem muss die Einwilligung jederzeit widerrufbar sein, ohne Nachteile für die Person. Ein typisches Beispiel hierfür sind Consent-Banner bzw. Consent-Management-Tools für Websites, die Einwilligungen der betroffenen Personen abfragen, beispielsweise was die Verarbeitung ihrer IP-Adresse angeht.

Neben der gesetzlichen Basis, welche nötig ist, um Daten mit Personenbezug zu verarbeiten, verlangt der Grundsatz der Datenminimierung, dass alleinig die für den konkreten, unvermeidbaren Zweck notwendigen Daten gesammelt werden. Beispielsweise darf ein E-Commerce-Anbieter im Bestellvorgang auch nur die Daten erfassen, die für die Abwicklung des Kaufprozesses erforderlich sind.

Was in der Praxis oftmals übersehen wird, ist der Fakt, dass die gesammelten Informationen gemäß DSGVO nur für den ursprünglichen Zweck verwendet werden dürfen. Eine spätere Verwendung für andere Zwecke erfordert eine neue rechtliche Grundlage, wie etwa eine neue Zustimmung. Beispielsweise darf die Adresse eines Kunden, die für die Zustellung gespeichert wurde, nicht ohne Zustimmung des Betreffenden für Marketingzwecke verwendet werden! Jedem Kunden Werbe-Newsletter zu senden, ist demnach nicht erlaubt. Erst wenn der Kunde proaktiv einen Haken gesetzt hat (also seine Einwilligung erteilt hat), dass er E-Mails mit Informationen erhalten will, darf man seine Daten auch dafür verwenden.

TOMs im Überblick: So sichern Sie Ihre Daten

Für KMU ist es wesentlich, die Sicherheit personenbezogener Daten zu gewährleisten, um sowohl gesetzlichen Vorgaben gerecht zu werden als auch das Vertrauen ihrer Kunden zu stärken. Die DSGVO fordert von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) persönliche Daten zu sichern.

Unternehmen müssen folglich sicherstellen, dass ihre IT-Systeme die Sicherheit privater Daten gewährleisten. Dazu zählen beispielsweise folgende Vorkehrungen:

• Verschlüsselung sensibler Daten
• Implementierung von Zugriffskontrollen
• Regelmäßige Sicherheitsupdates

Welche technischen und organisatorischen Maßnahmen sinnvoll und notwendig zu ergreifen sind, ist davon abhängig, in welchem Branchenbereich ein Betrieb tätig ist. Wir versuchen trotzdem, ein paar konkrete, universell anwendbare Schritte zu nennen, die Sie unternehmen können und sollten:

1. Verschlüsselung sensibler Daten: Verschlüsseln Sie alle persönlichen Informationen, welche Sie speichern oder übermitteln (z. B. Kundeninformationen, finanzielle Daten). Dies unterbindet, dass Dritte im Falle eines Datenlecks auf diese Daten zugreifen können. Nutzen Sie zudem anerkannte Kryptografie-Standards wie AES oder RSA.
2. Zugriffskontrollen implementieren: Nur befugte Angestellte sollten Zugriff auf personenbezogene Daten haben. Setzen Sie rollenbasierte Zugriffskontrollen um, sodass Angestellte nur die Daten einsehen können, welche sie für ihre Arbeit wirklich benötigen. Verwenden Sie darüber hinaus sichere Kennwörter und Mehrfaktor-Authentifizierung für den Zugang zu sensiblen Systemen.
3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Programme, Betriebssysteme und Schutzsysteme regelmäßig. Sicherheitslücken in nicht aktualisierten Systemen sind häufig ein Angriffspunkt für Cyberkriminelle. Automatisieren Sie, wenn möglich, den Update-Prozess, um sicherzustellen, dass Sie keine kritischen Aktualisierungen übersehen.
4. Mitarbeiterschulungen und Sensibilisierung: Sensibilisieren Sie Ihre Mitarbeiter zyklisch für Datenschutzthemen. Weiterbildungen sollten praxisnahe Szenarien und Best Practices für den Umgang mit persönlichen Informationen beinhalten. Sie sollten außerdem sicherstellen, dass Ihre Angestellten wissen, wie sie Datenschutzverletzungen identifizieren und berichten können und wer intern der Verantwortliche rund um Datenschutz-Themen ist.
5. Dokumentation der Maßnahmen: Führen Sie eine umfassende Dokumentation aller TOMs, die Sie zum Schutz der Daten implementiert haben. Diese Aufzeichnung hilft Ihnen, im Falle einer Inspektion zu belegen, dass Sie die Vorgaben des Datenschutzes erfüllen.

Die TOMs schützen nicht nur die Daten Ihrer Kunden und Mitarbeiter, sondern helfen Ihnen auch, das Risiko von Datenschutzverletzungen zu minimieren. Infos zur Umsetzung von TOMs sind auf der öffentlichen Website der Europäischen Kommission zur DSGVO.

Rechte der Betroffenen: Dies sagt die DSGVO

Die DSGVO stärkt die Rechte der Bürger und gibt ihnen umfassende Kontrollmöglichkeiten über ihre persönlichen Informationen. Firmen müssen demnach darauf vorbereitet sein, diese Rechte auch zu erfüllen. Konkret geht es dabei um folgende Rechte:

• Auskunftsrecht und Datenportabilität: Personen haben das Recht, Information über die Verarbeitung ihrer Informationen zu verlangen. Dies umfasst die Art der Daten, den Zweck der Weiterverarbeitung sowie die Speicherdauer. Zusätzlich ermöglicht die Datenportabilität den Individuen, ihre Informationen in einem maschinenlesbaren Format zu erhalten oder direkt an einen anderen Anbieter weiterzuleiten. Seien Sie auf die Tatsache vorbereitet, dass ein sogenanntes Auskunftsersuchen Sie erreicht, klären Sie Verantwortlichkeiten und legen Sie Prozesse für einen solchen Fall fest. Achtung: Unternehmen sind in der Verpflichtung, binnen eines Monats auf Informationsanfragen zu antworten!
• Recht auf Vergessenwerden: Das Recht auf Löschung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Betroffenen, die Entfernung ihrer Daten zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung rechtswidrig ist. Prüfen Sie, ob Ihre verwendeten Anwendungen eine endgültige Löschung oder Anonymisierung von Informationen ermöglichen. Dabei müssen aber ggf. relevante Vorschriften zur Archivierung gemäß Abgabenordnung ebenfalls im Blick behalten werden.
• Einschränkungen und Widerspruch: Firmen müssen sicherstellen, dass sie Begehren auf Einschränkung oder Einspruch gegen die Verarbeitung umgehend prüfen und durchführen können. Hier gilt es vor allem, Verantwortlichkeiten innerhalb des Unternehmens klar zu organisieren.

Grenzenlos sicher: Datenübermittlung (in Drittstaaten) DSGVO-konform gestalten

Viele Unternehmen arbeiten mit externen Dienstleistern zusammen – sei es im Bereich Cloud-Computing, Marketing oder IT-Support. In allen angesprochenen Fällen ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, um die Zuständigkeiten und Aufgaben des Dienstleisters zu regeln. Vor allem dann, wenn der externe Dienstleister die persönlichen Informationen der eigenen Kunden ebenfalls bearbeitet, auf diese zugreifen kann etc.

Vorsicht beim Einsatz von Anbietern, die außerhalb der EU ansässig sind: Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU (= Drittlandübermittlung) ist gemäß DSGVO nur unter strengen Auflagen zulässig. In der Praxis relevant ist dies zum Beispiel beim Einsatz von Tools und Services von Unternehmen aus den Vereinigten Staaten, wie beispielsweise Microsoft, Google oder Amazon. Dabei muss sichergestellt werden, dass die Übermittlung auf einer der rechtlich zulässigen Grundlagen basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission anerkannten Datenschutzstandards.

Unternehmen müssen turnusmäßig die Compliance der Datenschutzvorgaben durch ihre Auftragsverarbeiter überprüfen und im Falle von Änderungen in den US-amerikanischen Datenschutzgesetzen gegebenenfalls neue Schutzmaßnahmen ergreifen. Zusätzlich sollten in solchen Fällen die betroffenen Personen über die Übermittlung ihrer persönlichen Informationen in Drittländer informiert werden. Es empfiehlt sich, ein sogenanntes Register der eingesetzten weiteren Auftragsverarbeiter öffentlich zur Verfügung zu stellen und alle AVV an zentraler Stelle zu dokumentieren.

So halten Sie die DSGVO-Dokumentationspflichten ein

Die Datenschutz-Grundverordnung verpflichtet Unternehmen, die Compliance der datenschutzrechtlichen Anforderungen nachweisen zu können. Dies erfordert detaillierte Aufzeichnungen, unter anderem:

• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Nachweis über die Einwilligung der Betroffenen

Eine unvollständige Aufzeichnung kann bei einer Prüfung durch die Datenschutzbehörden zu Schwierigkeiten führen, selbst wenn die eigentliche Datenbearbeitung korrekt erfolgt. Schauen wir uns deshalb einmal näher an, was sich hinter den einzelnen Punkten verbirgt:

Unternehmen müssen in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten alle Verarbeitungstätigkeiten, bei denen persönliche Informationen betroffen sind, dokumentieren. Ein solches Verzeichnis hilft, die Datenoperationen zu organisieren und die Compliance der Datenschutz-Grundverordnung zu belegen. Es sollte Angaben wie die Art der Daten, die Zwecke der Verarbeitung, die Empfänger und die Speicherdauer enthalten und kann z.B. als Excel-Tabelle angelegt sein. Hier tauchen dann Datenbearbeitungsprozesse wie der Newsletter-Versand, die Mitarbeiterdatenverarbeitung im Rahmen der Lohnabrechnung oder die Kundendatenverarbeitung im Rahmen von Online-Käufe über einen Webshop auf und sind einzeln als Prozesse ausführlich beschrieben.

Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Einführung eines neuen Feedback-Systems plant, das umfassende Informationen über das Verhalten der Anwender sammelt. Bevor es mit der Datenverarbeitung beginnt, müsste das Unternehmen eine Analyse durchführen, um potenzielle Risiken für die individuellen Schutzrechte der betroffenen Personen zu analysieren und geeignete Strategien zum Umgang mit Risiken festzulegen. Dies ist nötig bei allen Datenoperationen, die ein hohes Risiko für die Grundrechte der betroffenen Personen darstellen.

In der Praxis am häufigsten dürfte Firmen der Beleg für die Zustimmung der Betroffenen begegnen – sei es auf der Internetseite in Form eines Cookie-Hinweises, bei der Anmeldung zum Newsletter oder wenn es darum geht, Fotos von Angestellten von der letzten Unternehmensveranstaltung öffentlich zu teilen. Im Optimalfall werden alle Zustimmungen dieser Art digital gespeichert, einschließlich des Zeitpunktes und der genauen Formulierung der Einwilligung. Dabei kann ein CRM-Tool wie beispielsweise HubSpot oder Salesforce helfen. Ziel ist, dass Unternehmen jederzeit den Beweis erbringen können, dass eine Person ihre Einwilligung zur Verarbeitung ihrer Daten freiwillig, spezifisch, informiert und eindeutig erteilt hat sowie im besten Fall auch, wann und „wo“ dies erfolgt ist.

Fazit: DSGVO-Compliance als Wettbewerbsvorteil

Die Nichteinhaltung der Datenschutz-Grundverordnung kann erhebliche monetäre Folgen nach sich ziehen. Die Höhe der Strafzahlungen richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag den größeren Wert darstellt. Für KMU ist es daher entscheidend, vorsorglich Maßnahmen zu ergreifen, um Risiken zu minimieren.

Die Umsetzung der DSGVO ist aber keine reine Pflichtaufgabe, sondern auch eine Gelegenheit, sich als zuverlässiges und verantwortungsbewusstes Unternehmen zu positionieren. Klienten und Unternehmenspartner legen zunehmend Wert auf Datenintegrität und Datensicherheit – insbesondere im DACH-Raum, wo die Sensibilität für dieses Thema besonders ausgeprägt ist. Indem Sie die DSGVO-Anforderungen erfüllen, schützen Sie ergo nicht nur Ihre Kunden und Mitarbeiter, sondern verbessern auch Ihre Wettbewerbsfähigkeit und minimieren Gefahren.

In diesem Artikel können wir aufgrund der Vielfältigkeit des Themas logischerweise viele Aspekte nur anreißen. Als IT-Experten unterstützen wir Sie aber mit Vergnügen dabei, die DSGVO als strategischen Vorteil zu nutzen und sich rechtskonform aufzustellen. Besuchen Sie den Bereich Datenschutz auf unserer Website, wir freuen uns darauf, von Ihnen zu hören.