DSGVO für KMU: Was Sie jetzt wissen müssen

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in Kraft und hat das Ziel, den Schutz personenbezogener Daten innerhalb der Europäischen Union zu vereinheitlichen und zu verbessern. Als Unternehmer bist du verpflichtet, die Vorgaben der DSGVO in deinem Betrieb umzusetzen. Doch was bedeutet das konkret für dich und dein kleines oder mittelständisches Unternehmen (KMU)? Welche Maßnahmen musst du ergreifen, um konform zu sein? Und welche Folgen hat es, wenn du die DSGVO nicht einhältst? In diesem Artikel erfährst du alles Wichtige zur DSGVO für KMU.

Was ändert sich durch die DSGVO für KMU?

Die DSGVO bringt einige wesentliche Neuerungen und Verschärfungen im Vergleich zum bisherigen Datenschutzrecht mit sich. Als KMU bist du davon genauso betroffen wie Großunternehmen. Hier sind die wichtigsten Punkte, die du beachten musst:

• Erweiterte Informationspflichten: Du musst deine Kunden, Mitarbeiter und alle anderen Personen, deren Daten du verarbeitest, umfassend über die Datenerhebung und -nutzung informieren. Dazu gehören Angaben zu Zweck, Rechtsgrundlage, Empfänger, Speicherdauer und Betroffenenrechten.
• Einwilligung und Widerruf: Wenn du personenbezogene Daten auf Basis einer Einwilligung nutzt, muss diese freiwillig, für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Die Einwilligung muss jederzeit widerrufbar sein.
• Betroffenenrechte: Die DSGVO stärkt die Rechte der Personen, deren Daten du verarbeitest. Sie haben u.a. ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.
• Meldepflicht bei Datenpannen: Wenn es in deinem Unternehmen zu einer Verletzung des Schutzes personenbezogener Daten kommt, bist du verpflichtet, dies innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden.
• Datenschutz-Folgenabschätzung: Für besonders risikobehaftete Datenverarbeitungen musst du vorab eine Datenschutz-Folgenabschätzung durchführen, um die Gefahren für die Rechte und Freiheiten der Betroffenen zu ermitteln und geeignete Schutzmaßnahmen zu treffen.
• Auftragsverarbeitung: Wenn du Dienstleister mit der Verarbeitung personenbezogener Daten beauftragst, musst du mit diesen einen Vertrag zur Auftragsverarbeitung abschließen, der den Anforderungen der DSGVO entspricht.

Welche konkreten Schritte musst du als KMU unternehmen?

Um die DSGVO in deinem Unternehmen umzusetzen und dauerhaft einzuhalten, sind verschiedene organisatorische und technische Maßnahmen erforderlich:

1. Datenbestandsanalyse: Verschaffe dir zunächst einen Überblick, welche personenbezogenen Daten in deinem Unternehmen verarbeitet werden, zu welchen Zwecken und auf welcher Rechtsgrundlage dies geschieht und an wen die Daten weitergegeben werden.
2. Datenschutzerklärung: Passe deine Datenschutzerklärung an die Vorgaben der DSGVO an. Sie muss leicht zugänglich und verständlich formuliert sein und alle erforderlichen Informationen enthalten.
3. Einwilligungsmanagement: Überprüfe, für welche Datenverarbeitungen du eine Einwilligung der Betroffenen benötigst. Stelle sicher, dass die Einwilligung DSGVO-konform eingeholt und dokumentiert wird und jederzeit widerrufen werden kann.

    

4. Löschkonzept: Definiere Regeln, wann welche personenbezogenen Daten in deinem Unternehmen gelöscht werden müssen. Setze technische Maßnahmen um, die eine automatische Löschung nach Ablauf der Aufbewahrungsfrist gewährleisten.
5. Prozesse für Betroffenenrechte: Etabliere Prozesse, um Anfragen von Personen bzgl. Auskunft, Berichtigung, Löschung etc. ihrer Daten fristgerecht zu bearbeiten. Schulde deine Mitarbeiter, wie sie mit solchen Anfragen umgehen müssen.
6. Technische Schutzmaßnahmen: Ergreife geeignete technische Maßnahmen, um die Datenschutz-Grundsätze wie Datenminimierung, Speicherbegrenzung und Integrität und Vertraulichkeit der Verarbeitung zu gewährleisten, z.B. durch Verschlüsselung, Anonymisierung oder Zugriffskontrollen.
7. Datenschutz-Folgeabschätzung und Verzeichnis von Verarbeitungstätigkeiten: Nimm für besonders risikobehaftete Verarbeitungen eine Datenschutz-Folgeabschätzung vor. Erstelle außerdem ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten in deinem Unternehmen.

All das mag auf den ersten Blick komplex und aufwändig erscheinen. Als kleines oder mittelständisches Unternehmen denkst du vielleicht, dass die DSGVO in erster Linie ein Thema für Großkonzerne ist. Doch die Realität sieht anders aus: Jedes Unternehmen, das personenbezogene Daten verarbeitet – und sei es nur von Mitarbeitern oder Kunden – unterliegt den Bestimmungen der DSGVO und muss die erforderlichen Maßnahmen ergreifen.

Welche Risiken gehst du bei Nicht-Einhaltung ein?

Die Umsetzung der DSGVO ist nicht nur eine gesetzliche Pflicht, sondern auch eine Chance, das Vertrauen deiner Kunden und Geschäftspartner zu stärken und dich als verantwortungsbewusster Unternehmer zu positionieren. Doch was passiert, wenn du die Vorgaben nicht oder nur unzureichend erfüllst? Hier drohen empfindliche Konsequenzen:

• Bußgelder: Verstöße gegen die DSGVO können mit Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Auch wenn die Aufsichtsbehörden bei KMU sicher nicht den vollen Bußgeldrahmen ausschöpfen werden, können die finanziellen Folgen existenzbedrohend sein.
• Klagen und Schadensersatzforderungen: Betroffene Personen haben das Recht, bei Datenschutzverstößen gegen dein Unternehmen zu klagen und Schadensersatz einzufordern. Dies kann zu langwierigen und kostspieligen Rechtsstreitigkeiten führen.
• Rufschädigung: Datenskandale lassen das Image deines Unternehmens in den Augen von Kunden, Geschäftspartnern und der Öffentlichkeit schwer angeschlagen zurück. Der Vertrauensverlust kann spürbare Umsatzrückgänge nach sich ziehen und die Existenz deines Unternehmens gefährden.
• Wettbewerbsnachteile: Gerade in sensiblen Branchen wie dem Gesundheitssektor ist die Einhaltung hoher Datenschutz-Standards schon heute ein wichtiges Auswahlkriterium für viele Verbraucher. Künftig werden sich datenschutzfreundliche Unternehmen einen klaren Wettbewerbsvorteil erarbeiten können.

Wie findet man professionelle Unterstützung bei der DSGVO-Umsetzung?

Angesichts der Komplexität der Materie und der potenziell schwerwiegenden Folgen bei Nicht-Einhaltung ist es für die meisten KMU unverzichtbar, sich professionelle Unterstützung bei der Umsetzung der DSGVO zu holen. Doch wo findet man solche Experten und worauf sollte man bei der Auswahl achten? Hier ein paar Tipps:

• Externe Datenschutzbeauftragte: Wenn du selbst keinen Datenschutzbeauftragten bestellen musst oder willst, kannst du die Aufgabe an einen externen Dienstleister auslagern. Spezialisierte Anwaltskanzleien oder IT-Beratungshäuser bieten hier maßgeschneiderte Lösungen für KMU.
• Branchenverbände: Viele Branchenverbände und Kammern haben DSGVO-Leitfäden und Best Practices speziell für KMU entwickelt. Hier findest du wertvolle erste Orientierungshilfen für die Umsetzung in deinem Betrieb.
• IT-Dienstleister: Bei der technisch-organisatorischen Umsetzung der DSGVO-Vorgaben unterstützen dich kompetente IT-Dienstleister. Sie helfen dir z.B. bei der sicheren Datenverarbeitung und -speicherung, beim Löschen von Daten und der Erfüllung der Betroffenenrechte.
• Zertifizierte Software-Lösungen: Für viele Aspekte der DSGVO-Compliance gibt es mittlerweile zertifizierte Software-Tools, die dir helfen, die Anforderungen effizient zu erfüllen. Beispiele sind Lösungen für das Einwilligungsmanagement, für automatisierte Auskunfts- und Löschprozesse