Datenschutz nach DSGVO: So verhalten sich KMUs rechtskonform

1. Die wichtigsten DSGVO-Anforderungen für kleine und mittlere Unternehmen
2. Schritt-für-Schritt: Dokumentation des Datenschutzes im Unternehmen
3. DSGVO bei E-Mail-Marketing beziehungsweise Newsletter
4. Tracking und Analytics – geht es überhaupt wirklich DSGVO-konform?
5. Rechtslage zu Fotos von Personen im Netz
6. Praktische Umsetzung im Geschäftsalltag
7. Auf einen Blick: So sind Sie mit Ihrem KMU DSGVO-konform unterwegs

Zu den AMEX Kreditkarten

Der Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) stellt kleine und mittlere Unternehmen seit ihrer Einführung im Mai 2018 vor erhebliche Herausforderungen. Während Großkonzerne ganze Abteilungen für die Umsetzung abstellen können, müssen sich KMUs oft mit begrenzten Ressourcen den komplexen Anforderungen stellen.

Die Zahlen sprechen für sich: Noch immer fühlen sich laut aktuellen Umfragen rund 60% der kleinen und mittleren Unternehmen in Deutschland unsicher bezüglich der vollständigen DSGVO-Konformität ihrer Geschäftsprozesse. Gleichzeitig steigt die Zahl der Bußgelder – auch für kleinere Betriebe.

In diesem Leitfaden erfahren Sie, wie Sie die DSGVO-Anforderungen in Ihrem KMU effizient und mit überschaubarem Aufwand umsetzen können. Wir bieten Ihnen praxisnahe Tipps, konkrete Handlungsempfehlungen und Expertenwissen für eine rechtssichere Gestaltung Ihrer Datenschutzmaßnahmen.

Die wichtigsten DSGVO-Anforderungen für kleine und mittlere Unternehmen

Die DSGVO hat das Ziel, die personenbezogenen Daten von EU-Bürger:innen zu schützen – unabhängig von der Größe des datenverarbeitenden Unternehmens. Der Gesetzgeber macht dabei nur wenige Ausnahmen für kleinere Unternehmen. Dennoch lassen sich die Anforderungen mit der richtigen Herangehensweise auch in KMUs effizient umsetzen.

Grundprinzipien der DSGVO

Unabhängig von der Unternehmensgröße gelten die folgenden Grundprinzipien, die Sie kennen und in Ihrem Betrieb umsetzen sollten:

1. Rechtmäßigkeit: Jede Verarbeitung personenbezogener Daten benötigt eine rechtliche Grundlage
2. Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden
3. Datenminimierung: Nur die für den Zweck notwendigen Daten dürfen verarbeitet werden
4. Richtigkeit: Daten müssen sachlich richtig und auf dem neuesten Stand sein
5. Speicherbegrenzung: Personenbezogene Daten dürfen nicht länger als nötig gespeichert werden
6. Integrität und Vertraulichkeit: Angemessene Sicherheit der Daten muss gewährleistet sein
7. Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung nachweisen können

Risiken und Konsequenzen bei Nichteinhaltung

Die Folgen von DSGVO-Verstößen können auch für kleinere Unternehmen erheblich sein:

1. Bußgelder: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes
2. Reputationsschäden: Verlust des Kundenvertrauens bei bekannt gewordenen Datenschutzverstößen
3. Abmahnungen: Risiko von kostenpflichtigen Abmahnungen durch Wettbewerber oder Verbände
4. Schadensersatz: Betroffene können bei Datenschutzverletzungen Schadensersatz fordern
5. Geschäftliche Nachteile: Geschäftspartner verlangen zunehmend DSGVO-Compliance

Insbesondere der letzte Punkt wird oft unterschätzt: Immer mehr Unternehmen prüfen ihre Lieferanten und Dienstleister auf Datenschutzkonformität, bevor sie Kooperationen eingehen. DSGVO-Compliance wird damit zunehmend zum Wettbewerbsvorteil.

Die Datenschutzkonformität nach DSGVO ist daher für KMUs nicht nur eine rechtliche Verpflichtung, sondern kann auch ein entscheidender Geschäftsvorteil sein.

Schritt-für-Schritt: Dokumentation des Datenschutzes im Unternehmen

Eine der zentralen Anforderungen der DSGVO ist die Dokumentation aller datenschutzrelevanten Prozesse. Diese Nachweispflicht bedeutet für KMUs einen erhöhten Verwaltungsaufwand, der jedoch mit dem richtigen Ansatz effizient bewältigt werden kann.

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein zentrales Dokument der DSGVO-Compliance. Obwohl Unternehmen mit weniger als 250 Mitarbeiter:innen unter bestimmten Bedingungen von dieser Pflicht befreit sein können, ist die Erstellung in den meisten Fällen dennoch notwendig, da die Ausnahmen sehr eng gefasst sind.

Ihr VVT sollte mindestens folgende Angaben enthalten:

1. Name und Kontaktdaten des Verantwortlichen
2. Zwecke der Verarbeitung
3. Beschreibung der Kategorien betroffener Personen und der Datenkategorien
4. Kategorien von Empfängern der Daten
5. Gegebenenfalls Übermittlungen in Drittländer
6. Vorgesehene Löschfristen
7. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Praxistipp: Beginnen Sie mit einer einfachen Tabelle oder Vorlage und erfassen Sie zunächst die wichtigsten Verarbeitungstätigkeiten wie Kundenverwaltung, Personaladministration und Marketing. Erweitern Sie das Verzeichnis nach und nach.

Dokumentation technischer und organisatorischer Maßnahmen

Die DSGVO verlangt "geeignete technische und organisatorische Maßnahmen" (TOM), um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diese Maßnahmen müssen dokumentiert werden.

Typische TOMs umfassen:

Bewertungskriterium für die Maßnahmen ist immer der Grundsatz der Verhältnismäßigkeit – sie müssen dem Risiko angemessen sein. Für ein kleines Handwerksunternehmen sind daher andere Maßstäbe anzulegen als für eine Bank.

Datenschutzfolgenabschätzung: Wann ist sie notwendig?

Eine Datenschutzfolgenabschätzung (DSFA) ist für besonders risikoreiche Datenverarbeitungen vorgeschrieben. Für die meisten KMUs ist eine vollständige DSFA nur in Ausnahmefällen notwendig.

Eine DSFA ist insbesondere erforderlich, wenn:

1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt (Profiling)
2. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten)
3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Praxisbeispiel: Eine Arztpraxis mit elektronischer Patientenakte benötigt in der Regel eine DSFA, ein kleineres Handelsunternehmen mit normaler Kundenverwaltung hingegen nicht.

Auch wenn keine formale DSFA notwendig ist, empfehlen wir eine einfache Risikoanalyse für Ihre wichtigsten Datenverarbeitungsprozesse. Dies hilft, mögliche Schwachstellen zu identifizieren und gezielte Verbesserungen vorzunehmen.

DSGVO bei E-Mail-Marketing beziehungsweise Newsletter

Um E-Mail-Marketing rechtskonform nach DSGVO zu betreiben, sollten Sie folgende Kriterien berücksichtigen, wenn Sie einen Newsletter erstellen:

• Anmeldungen können nur über ein Double-Opt-in erfolgen. Zweifach heißt, wenn Nutzer:innen zunächst einen Newsletter auf Ihrer Website abonnieren, wird dieses Abonnement erst rechtskräftig, nachdem Sie es sich in einer separaten Mail an die betreffenden Nutzer:innen bestätigen haben lassen.
• Für Abmeldungen ist wiederum ein Single-Opt-in vorgeschrieben. Nutzer:innen müssen ein Abonnement also auf direktem Wege kündigen können.
• Nutzer:innen müssen ihre Zustimmung zur Speicherung von personenbezogenen Daten aktiv erteilen.
• Nutzer:innen müssen die Möglichkeit haben, Fragen zu den eigenen personenbezogenen Daten zu stellen.
• Nutzer:innen müssen das Recht haben, eine Löschung der eigenen Daten zu beantragen.

Blockquote: Nach DSGVO dürfen Daten nur so lange gespeichert werden, wie sie zur Erfüllung des Zwecks, für den sie gesammelt wurden, dienlich sind.

Tracking und Analytics – geht es überhaupt wirklich DSGVO-konform?

Generell erlaubt die DSGVO für Tracking und Analyse nur die Nutzung von personenbezogenen Daten, wenn die betroffene Person nicht oder nicht mehr identifizierbar ist. Cyberkriminelle können unter Umständen aus dem Abgleich verschiedener anonymisierter Datensätze Rückschlüsse auf die Identitäten einzelner Nutzer:innen ziehen.
Deshalb ist im engsten Sinne nur die Verwendung von Analyse-Daten, die auf Simulationen beruhen – sogenannter synthetischer Daten –, zu 100 % rechtssicher. Der Nachteil daran: Da synthetische Daten nicht so präzise sind, wie „echte“ personenbezogene Daten, eignen sie sich nicht für jede Anwendung gleichermaßen gut.
Sollten Sie deshalb bei Tracking und Analytics auf „echte“ personenbezogene Daten zurückgreifen, ist in jedem Fall die eindeutige Einwilligung dazu einzuholen. Und auch hierfür gelten nach DSGVO bestimmte Regeln:

• Tracking-Maßnahmen und Verarbeitungszwecke müssen konkret beschrieben werden. Nutzer:innen müssen ausreichend darüber informiert werden, welche Cookies gesetzt und welche Daten gesammelt werden.
• Werden Daten an Drittanbieter weitergegeben, ist dies aufzuführen.
• Nutzer:innen müssen die Möglichkeit haben, die Einwilligung zu verweigern oder zurückzuziehen, ohne daraus Nachteile zu ziehen.
• Die Formulierung des Einwilligungstextes muss klar sein.
• Nutzer:innen müssen deutlich auf die Widerrufsmöglichkeit hingewiesen werden.
• Sie müssen die Einwilligung später nachweisen können.

Rechtslage zu Fotos von Personen im Netz

Bei der Verwendung von Fotos mit Personen in einem nicht journalistischen Kontext spielen neben Urheber- und Nutzungsrechten auch die Persönlichkeitsrechte eine zentrale Rolle. Hartnäckig hält sich beispielsweise der Mythos, dass ab einer gewissen Anzahl an abgebildeten Personen deren Einverständniserklärung nicht notwendig wäre. Fakt ist: Möchten Sie DSGVO-konform Fotos von Personen auf Ihrer Website, Ihren Social- Media-Accounts oder in einer Mail verwenden, müssen diese im Vorfeld der Nutzung zugestimmt haben – unabhängig davon, ob es sich um ein Gruppenbild von Mitarbeiter:innen oder die Portraitaufnahme des:der Geschäftsführer:in handelt.

Praktische Umsetzung im Geschäftsalltag

Die Integration der DSGVO in die täglichen Geschäftsprozesse ist entscheidend für eine nachhaltige Compliance. Über die rein rechtlichen Anforderungen hinaus geht es darum, eine datenschutzfreundliche Unternehmenskultur zu etablieren.

DSGVO-Schulungen für Mitarbeiter

Ein zentraler Erfolgsfaktor für den Datenschutz im Unternehmen sind gut informierte Mitarbeitende, die Datenschutz im Alltag leben:

1. Regelmäßige Basisschulungen für alle Mitarbeitenden
2. Zusätzliche spezifische Schulungen für Abteilungen mit besonderer Datenschutzrelevanz (z.B. HR, Marketing, IT)
3. Praktische Beispiele aus dem Arbeitsalltag verwenden
4. Kurze Auffrischungsschulungen bei relevanten Änderungen
5. Bereitstellung von Checklisten und Handlungsanleitungen

Schulungsinhalte sollten mindestens umfassen:

1. Grundlagen der DSGVO und deren Bedeutung für das Unternehmen
2. Konkrete Handlungsanweisungen für typische Situationen
3. Umgang mit Datenschutzvorfällen und Meldepflichten
4. Betroffenenrechte und deren praktische Umsetzung
5. Spezifische Prozesse und Tools im Unternehmen

Best Practice: Machen Sie Datenschutz zum regelmäßigen Thema in Teammeetings und würdigen Sie vorbildliches Verhalten. So wird Datenschutz als positive Unternehmenskultur und nicht als lästige Pflicht wahrgenommen.

Implementierung von Datenschutzprozessen

Effiziente Datenschutzprozesse helfen, die DSGVO-Anforderungen mit minimalem Aufwand zu erfüllen:

1. Standardprozesse definieren für wiederkehrende Datenschutzaufgaben:
2. Bearbeitung von Auskunftsersuchen
3. Umgang mit Löschanfragen
4. Prozess bei Datenschutzvorfällen
5. Einholung und Dokumentation von Einwilligungen
6. Verantwortlichkeiten klar zuweisen – auch in kleinen Unternehmen sollte festgelegt sein, wer für welche Datenschutzaufgaben zuständig ist
7. Arbeitsanweisungen erstellen für datenschutzrelevante Tätigkeiten
8. Vorlagen und Checklisten bereitstellen für eine effiziente Umsetzung

Beispielprozess: Umgang mit Auskunftsersuchen:

1. Eingang des Ersuchens dokumentieren (Datum, Kontaktdaten)
2. Identität des Anfragenden überprüfen
3. Abfrage aller relevanten Datenquellen im Unternehmen
4. Zusammenstellung der Informationen in strukturierter Form
5. Prüfung auf mögliche Einschränkungen des Auskunftsrechts
6. Bereitstellung der Auskunft innerhalb eines Monats
7. Dokumentation der Bearbeitung

Datenschutzvorfall: Der richtige Umgang mit Datenpannen

Trotz aller Vorsichtsmaßnahmen können Datenpannen auftreten. Entscheidend ist der richtige Umgang damit:

1. Schnelle Reaktion: Sofortmaßnahmen zur Eindämmung und Behebung der Panne
2. Dokumentation: Zeitpunkt, Art der Panne, betroffene Daten, Anzahl Betroffener
3. Risikobewertung: Bewertung der möglichen Folgen für die Betroffenen
4. Meldepflicht prüfen: Bei Risiko für die Rechte und Freiheiten natürlicher Personen besteht eine Meldepflicht an die Aufsichtsbehörde (binnen 72 Stunden)
5. Betroffene informieren: Bei hohem Risiko müssen auch die Betroffenen informiert werden
6. Maßnahmen zur künftigen Vermeidung: Ursachenanalyse und Verbesserungen implementieren

Praxistipp: Bereiten Sie einen Notfallplan für Datenschutzvorfälle vor. Ein vorbereitetes Formular für die Meldung an die Aufsichtsbehörde spart im Ernstfall wertvolle Zeit.

Regelmäßige Überprüfung der Maßnahmen

Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess:

1. Jährliche Überprüfung der Datenschutzdokumentation
2. Regelmäßige Kontrolle der technischen und organisatorischen Maßnahmen
3. Aktualisierung bei Änderungen in Geschäftsprozessen oder IT-Systemen
4. Überprüfung der Auftragsverarbeiter und ihrer Compliance
5. Beobachtung der Rechtsprechung und Anpassung an neue Anforderungen

Ein einfaches jährliches Datenschutz-Review kann bereits erheblich zur Compliance beitragen und das Risiko von Bußgeldern reduzieren.

Case Study: Ein mittelständisches Handelsunternehmen mit 45 Mitarbeitern hat die DSGVO durch die Einführung eines "Datenschutz-Tages" pro Quartal erfolgreich implementiert. An diesem Tag werden aktuelle Datenschutzthemen besprochen, Prozesse überprüft und notwendige Anpassungen vorgenommen. Dieser regelmäßige Rhythmus stellt sicher, dass Datenschutz kontinuierlich Beachtung findet, ohne den Geschäftsbetrieb zu behindern.

Auf einen Blick: So sind Sie mit Ihrem KMU DSGVO-konform unterwegs

Die Umsetzung der DSGVO stellt für KMUs zweifelsohne eine Herausforderung dar, bietet jedoch auch Chancen für eine strategische Positionierung und Wettbewerbsvorteile. Die wichtigsten Erkenntnisse im Überblick:

1. Pragmatischer Ansatz: Eine risikobasierte Herangehensweise hilft, Ressourcen effizient einzusetzen
2. Dokumentation ist entscheidend: Die Nachweispflicht erfordert eine sorgfältige Dokumentation aller Maßnahmen
3. Datenschutz ist Prozess: Eine nachhaltige Umsetzung erfordert kontinuierliche Anpassung und Verbesserung
4. Mitarbeitersensibilisierung: Schulungen und klare Richtlinien sind Schlüsselfaktoren für den Erfolg
5. Chancen erkennen: DSGVO-Compliance kann zu Effizienzsteigerungen und Vertrauensgewinn führen

Mit Blick auf aktuelle Entwicklungen im Datenschutzrecht sollten KMUs folgende Trends im Auge behalten:

1. Verschärfte Durchsetzung: Die Aufsichtsbehörden werden zunehmend aktiver bei der Durchsetzung
2. Internationale Datenübermittlung: Der rechtssichere Transfer von Daten in Drittländer bleibt ein komplexes Thema
3. Technologieentwicklung: Neue Technologien wie KI und IoT stellen neue Datenschutzherausforderungen dar
4. E-Privacy-Verordnung: Die geplante Ergänzung zur DSGVO wird weitere Anforderungen mit sich bringen

Für eine nachhaltige DSGVO-Compliance empfehlen wir:

1. Regelmäßige Überprüfung und Aktualisierung Ihrer Datenschutzdokumentation
2. Kontinuierliche Sensibilisierung Ihrer Mitarbeitenden
3. Beobachtung der Rechtsprechung und Anpassung Ihrer Maßnahmen
4. Integration des Datenschutzes in alle neuen Geschäftsprozesse und Projekte
5. Nutzung der DSGVO als Chance für eine vertrauensvolle Kundenbeziehung

Mit American Express an Ihrer Seite haben Sie einen Partner, der Ihr Unternehmen bei allen Herausforderungen unterstützt. Unsere Business-Kreditkarten bieten nicht nur finanzielle Flexibilität, sondern auch wertvolle Services für Ihr Unternehmenswachstum.

Eröffnen Sie jetzt ein American Express Unternehmenskonto und profitieren Sie von unseren vielfältigen Business-Vorteilen!