DSGVO für kleine und mittelständische Unternehmen

Wie Sie Schritt für Schritt die Richtlinie umsetzen und Strafen vermeiden

Die Europäische Datenschutz-Grundverordnung (DSGVO) betrifft nicht nur große Firmen, sondern auch viele kleine und mittelständische Unternehmen. Wir haben für Sie alles Wichtige zu dem Thema zusammengetragen, damit Sie Ihr Unternehmen erfolgreich und sicher durchs Datenschutz-Dickicht führen können.

Das Wichtigste in Kürze:

  • Firmen drohen hohe Strafen bei Nichteinhaltung der DSGVO.
  • Mit unserer Anleitung erfüllen Sie Punkt für Punkt die Vorgaben der DSGVO.
  • Bleiben Sie auf dem Laufenden und verfolgen Sie die weiteren Entwicklungen zum Datenschutz.

Firmen drohen hohe Strafen bei unzureichender Umsetzung

Die Datenschutz-Grundverordnung umzusetzen, ist für jedes Unternehmen essentiell. Verwenden Firmen personenbezogene Daten nicht DSGVO-konform, müssen sie mit drakonischen Strafen rechnen. Bis zu 20 Millionen Euro beziehungsweise zwei bis vier Prozent des Jahresumsatzes sind möglich.

 Daher ist es für jeden Unternehmer und jede Unternehmerin wichtig, sich umfangreich darüber zu informieren und Punkt für Punkt die Vorgaben der DSGVO zu erfüllen.

1. Punkt: „Verzeichnis der Verarbeitungstätigkeiten“ führen

Nach Artikel 30 der DSGVO muss jedes Unternehmen ein Verzeichnis darüber führen, welche Daten zu welchem Zweck gespeichert und verarbeitet werden. Das sind beispielsweise die Kundennamen und -adressen.

„Je mehr personenbezogene Daten ein Unternehmen verarbeitet, desto umfangreicher wird natürlich das Verzeichnis“, erklärt Frank Trojahn, der beim Deutschen Sparkassen- und Giroverband (DSGV) ein Projekt zur Umsetzung der Datenschutz-Grundverordnung geleitet hat. Bei kleineren Firmen mit einer simplen Kundenkartei kann dagegen eine einfache Tabelle ausreichen. „Im Grunde genommen muss das Verzeichnis nicht einmal digital sein. Sportvereine beispielsweise können auch alles auf Papier auflisten.“

2. Punkt: Gegebenenfalls Datenschutz-Beauftragte benennen

Nach der DSGVO brauchen Unternehmen unter bestimmten Voraussetzungen einen Datenschutz-Beauftragten oder eine -Beauftragte. Wenn in der Regel mindestens 20 Mitarbeiterinnen oder Mitarbeiter mit der Verarbeitung personenbezogener Daten im Betrieb zu tun haben, muss ein Datenschutz-Beauftragter oder eine -Beauftragte benannt werden. Bei kleinen Firmen kann das die Geschäftsleitung selbst übernehmen.

Die Datenschutz-Beauftragten kümmern sich um alles, was mit dem Datenschutz zu tun hat. Er oder sie muss also zum Beispiel die Anfragen von Kundinnen und Kunden beantworten und für die Löschung von Daten sorgen, falls das notwendig ist.

3. Punkt: Einwilligung zur Datennutzung einholen

Unternehmen müssen nachweisen können, dass sie die Einwilligung ihrer Kundschaft für die Nutzung der personenbezogenen Daten haben, falls deren Verarbeitung nicht auf gesetzlicher oder vertraglicher Grundlage erfolgt. Diese Einwilligung soll freiwillig sein und ist an bestimmte Verarbeitungszwecke gebunden. Ein stillschweigendes Einverständnis genügt nicht. Bei unterschiedlichen Datenverarbeitungsvorgängen muss in jeden einzelnen gesondert eingewilligt werden können.

Die Betroffenen müssen in allen Fällen über die Widerrufsmöglichkeit ihrer Einwilligung aufgeklärt werden.

Informationen über die Verarbeitung von Daten müssen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ den Kunden oder die Kundin erreichen – so will es das auch das Bundesdatenschutzgesetz. Die Datenschutz-Erklärung für Kundinnen und Kunden sollte dementsprechend verfasst sein.

4. Punkt: Auskunftspflichten kennen

Die Auskunftspflichten wurden durch die DSGVO erweitert. Jede Person hat das Recht, die über sie gespeicherten Daten einzusehen. Betreiber von Webseiten müssen die gewünschten Auskünfte unentgeltlich erteilen. Seit die DSGVO verpflichtend anzuwenden ist, dürfen Nutzerinnen und Nutzer auch gegen die Verarbeitung ihrer Daten vorgehen und beispielsweise die geplante Speicherungsdauer erfragen. Unternehmen werden also auf Nachfrage ihrer Kundschaft tätig.

Firmen sollten auf Anfragen dieser Art vorbereitet sein. „Unternehmen sollten auf die Einfallstore der Kunden achten. Das kann zum Beispiel die Website der Firma sein.“ Hier kann zum Beispiel mit Kontrollkästchen oder spezifischen Einstellungen vorgebeugt werden. „So kann sich ein Unternehmen möglichen Ärger ersparen“, sagt Trojahn.

5. Punkt: Recht auf Vergessen einräumen

Falls Kundinnen oder Kunden es wünschen, muss ein Unternehmen die personenbezogenen Daten der Betreffenden löschen. Wenn eine Firma dem nicht nachkommt, sind Klagen auf Schadensersatz möglich.

6. Punkt: Sonderfall Datenschutz-Folgeabschätzung

Die Datenschutz-Folgeabschätzung ist ein Spezialfall in der DSGVO und betrifft sensible Datenverarbeitungszwecke. Das können zum Beispiel Patientendaten in Arztpraxen und Krankhäusern sein. „Es geht hier auch um die Bewertung, ob eine nicht vertraglich vereinbarte Nutzung von Daten notwendig und verhältnismäßig ist“, sagt Trojahn.

Im Zweifel sollten sich Unternehmen von den Landesdatenschutzbehörden beraten lassen, um zu klären, ob eine Datenschutz-Folgeabschätzung notwendig ist.

Auf dem Laufenden bleiben

Wenn Sie die Punkte erfolgreich abgearbeitet haben, sind Sie auf einem guten Weg. Wenn Sie Fragen haben, finden Sie auf der Internetseite der Datenschutzbehörde des jeweiligen Landes Hilfe und jede Menge Tipps – auch zur weiteren Entwicklung der Datenschutzregeln.

Auf Anfrage können dort auch weitere Fragen geklärt werden: Wie sieht es mit der Verwendung von Adressdaten bei Newslettern aus? Darf man Webanalyse-Tools auf seiner Internetseite verwenden? Die Anforderungen des Datenschutzes sehen bei jedem Unternehmen anders aus und müssen individuell geklärt werden. Eine gute Orientierungshilfe bietet das Bayerische Landesamt für Datenschutzaufsicht. Anhand eines Fragebogens können Firmen überprüfen, inwieweit sie allen Anforderungen der DSGVO erfüllt habe.


Mehr Infos und Konditionen finden Sie bei Ihrer Sparkasse.