Datenschutz und DSGVO – 5 Stolperfallen für KMU

Welche Probleme können KMUs bei den DSGVO Anforderungen bekommen?

Für kleine und mittlere Unternehmen (KMU) ist es oft schwierig den datenschutzrechtlichen Anforderungen lt. DSGVO gerecht zu werden.
Auch mit wenigen Ressourcen für dieses Thema, gelten die datenschutzrechtlichen Vorgaben für KMU genauso, wie für größere Unternehmen und so bleiben auch KMU nicht von Prüfungen der Datenschutzaufsichtsbehörden verschont. Die Notwendigkeit datenschutzkonform zu handeln ist aber bitte nicht nur in Verbindung mit möglichen Bußgeldern und Reputationsverlusten zu sehen, sondern sollte, in Anbetracht der wachsenden Bedeutung des Datenschutzes bei Endkunden wie auch im B2B-Geschäft, durchaus als Wettbewerbsvorteil genutzt werden.

Für kleine und mittlere Unternehmen (KMU) ist es oft schwierig den datenschutzrechtlichen Anforderungen lt. DSGVO gerecht zu werden. Auch mit wenigen Ressourcen für dieses Thema, gelten die datenschutzrechtlichen Vorgaben für KMU genauso, wie für größere Unternehmen und so bleiben auch KMU nicht von Prüfungen der Datenschutzaufsichtsbehörden verschont. Die Notwendigkeit datenschutzkonform zu handeln ist aber bitte nicht nur in Verbindung mit möglichen Bußgeldern und Reputationsverlusten zu sehen, sondern sollte, in Anbetracht der wachsenden Bedeutung des Datenschutzes bei Endkunden wie auch im B2B-Geschäft, durchaus als Wettbewerbsvorteil genutzt werden.

Was sinud nun genau die Stolperfallen im Datenschutz für KMU?

  • Hier sind an erster Stelle die Website inkl. der Datenschutzerklärung der Unternehmen zu nennen, die leider oft erhebliches Abmahnpotenzial bietet.
  • Nicht außer Acht zu lassen sind aber auch die Dokumentationspflichten der Unternehmen, die lt. DSGVO bestehen.
  • Wird die Verarbeitung personenbezogener Daten an andere Unternehmen übertragen oder agiert ein Unternehmen selbst als Auftragsverarbeiter, ist auf den Abschluss datenschutzrechtlich konformer Auftragsverarbeitungsverträge zu achten.
  • Ein wichtiges Thema sind auch dokumentierte Datenschutz-Schulungen der Führungskräfte und Mitarbeiter.
  • Des Weiteren ist die Bestellung eines Datenschutzbeauftragten für Unternehmen oft zwingend erforderlich.

Website und Webshop

Die Website ist das Aushängeschild eines Unternehmens und birgt aber leider auch viel Potenzial für datenschutzrechtliche Abmahnungen, sei es durch fehlende oder datenschutzrechtlich nicht konforme Cookie-Hinweise, nicht vorhandene Einwilligungen der Website-Nutzer vor dem Start einwilligungsrelevanter Verarbeitungstätigkeiten, eine nicht datenschutzkonformen Einbindung von Social Media PlugIns oder durch eine fehlerhafte oder unvollständige Datenschutzerklärung. So erwies eine Studie des Fachverbandes deutscher Website-Betreiber im Sommer letzten Jahres, dass bei 40% der Websites kleiner und mittlerer Unternehmen gravierende Datenschutz-Mängel bestehen.

Vorsicht ist bei Mustervorlagen zu Datenschutzerklärungen geboten! Standards, wie die Beschreibung der Betroffenenrechte, können meist unbedenklich in die eigene Datenschutzerklärung übernommen werden; jedoch sind Informationen zu den einzelnen Verarbeitungstätigkeiten, die im Zusammenhang mit dem Nutzen und Betreiben der Website existieren und in denen personenbezogene Daten verarbeitet werden, individuell zu gestalten. Die Komplexität dieser Informationen ergibt sich aus den Anforderungen lt. Art. 5 DSGVO. Je Verarbeitungstätigkeit sind daher Angaben zur Beschreibung und zum Umfang der Datenverarbeitung, zur Rechtsgrundlage, zum Zweck, zur Dauer der Speicherung und zu Widerspruchs- und Beseitigungsmöglichkeiten erforderlich.

Im Hinblick darauf, dass die jeweiligen Verarbeitungstätigkeiten der Websitebetreiber oft unterschiedlich sind und insbesondere Löschfristen und die damit verbundenen Prozesse im Unternehmen individuell geregelt werden, ist der Einsatz von pauschal formulierten Mustervorlagen datenschutzrechtlich eher bedenklich. Als Beispiele hierfür sind der Einsatz unterschiedlicher Tracking- und Analysetools, das Einbinden von Social Media PlugIns, Verbindungen zu Google Maps, Google reCAPTCHA, YouTube, etc., die Existenz eines Online-Bewerbertools, der Versand von Newsletter oder das Betreiben eines Webshops, zu nennen.

Insbesondere bei den Angaben zu einem Webshop ist datenschutzrechtlich Einiges zu beachten. So sind für diesen u. a. Informationen zur Bestellabwicklung, zum Benutzer-/ Kundenkonto, zum Zahlungsverkehr und ggf. zu Bonitätsprüfungen anzugeben.

Dokumentationspflichten

Oft stellen sich Unternehmen die Frage, ob sie zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet sind. Schnell gelangt man dann zu Art. 30 (5) DSGVO und liest, dass Unternehmen mit weniger als 250 Mitarbeitern hiervon auszuschließen sind. Doch ist das nur die „halbe Wahrheit“, denn weiter steht in diesem Artikel, dass der sich Ausschluss nur auf die Unternehmen unter 250 Mitarbeiter bezieht, die nur gelegentlich personenbezogene Daten verarbeiten. Eine „nur gelegentliche“ Verarbeitung wird aber beispielsweise schon bei regelmäßigen Lohn- oder Gehaltszahlungen ausgeschlossen und somit besteht für fast jedes Unternehmen die Pflicht zum Führen eines Verarbeitungsverzeichnisses.

Inhalte dieses Verzeichnisses sind – neben den Angaben zur Beschreibung der Verarbeitungstätigkeit – der Zweck, die Rechtsgrundlage der Datenverarbeitung, die Kategorien der betreffenden personenbezogenen Daten sowie der betroffenen Personen, der Empfänger der Daten sowie Informationen zur Übertragung der Daten an Dritte, Löschfristen und technisch organisatorische Maßnahmen.

Aus diesen Inhalten des Verzeichnisses der Verarbeitungstätigkeiten ergeben sich somit weitere Dokumentationspflichten für Unternehmen, wie ein Löschkonzept für personenbezogene Daten und die Dokumentation der technischen und organisatorischen Maßnahmen.

Die Dokumentation datenschutzkonformer Prozesse und Arbeitsabläufe gehört ebenso zu den Nachweispflichten eines Unternehmens. So gilt es u. a. die Wahrung der Betroffenenrechte prozessual sicherzustellen und zu dokumentieren und in diesem Zusammenhang auch der Nachweispflicht zu Einwilligungen von Betroffenen nachzukommen.

Wichtig ist des Weiteren Unterlagen zu Rollen- und Berechtigungskonzepten, IT-Notfallpläne, wie auch Verpflichtungen der Mitarbeiter zur datenschutzrechtlichen Vertraulichkeit nachweislich bereitzuhalten.

Auftragsverarbeitungsverträge

Werden Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt oder übernimmt ein Unternehmen auf Anweisung die Verarbeitung personenbezogener Daten eines anderen Unternehmens, so ist – gemäß Art. 28 (3) DSGVO – zwingend ein Auftragsverarbeitungsvertrag zwischen den Parteien zu schließen.

Hierbei ist u. a. darauf zu achten, dass:

  • der Auftragnehmer an die Anweisungen des Auftraggebers gebunden ist,
  • der Einsatz von Unterauftragnehmern seitens des Auftraggebers
    zustimmungspflichtig ist,
  • der Auftragnehmer bei Datenschutzverstößen seines Unterauftragnehmers haftet,
  • der Auftraggeber für die Verarbeitung der personenbezogenen Daten trotzdem
    weiterhin zuständig ist und
  • der Auftraggeber die Pflicht hat, sich von der datenschutzrechtlich konformen
    Verarbeitung der Daten seitens des Auftragnehmers zu überzeugen.

Datenschutzrechtliche Schulungen der Mitarbeiter

Lt. Art. 32 DSGVO ergibt sich die datenschutzrechtliche Schulungspflicht, da die dort definierten “geeignete technische und organisatorische Maßnahmen” ohne eine entsprechende Schulung der Mitarbeiter und somit ohne vermitteltes Wissen nur schwer – oder gar nicht –  umsetzbar wären.

Datenschutzbeauftragter

Datenschutzrechtlich ist ein Datenschutzbeauftragter zwingend einzusetzen, wenn im Unternehmen in der Regel mindestens 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von dieser Mitarbeiteranzahl ist jedoch auch ein Datenschutzbeauftragter erforderlich, sobald eine Datenschutzfolgeabschätzung – gemäß Art. 35 DSGVO – unumgänglich ist.

Des Weiteren ist ein Datenschutzbeauftragter im Unternehmen einzusetzen, wenn personenbezogene Daten zum Zweck der (anonymisierten) Übermittlung verarbeitet werden, personenbezogene Daten zur Markt- und Meinungsforschung verarbeitet werden, die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche die Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Unternehmens in der Verarbeitung besonderer Kategorien von Daten (bspw. zu Gesundheit, Religion).

Auch wenn sich die datenschutzrechtlichen Anforderungen umfangreich darstellen, zeigt eine Studie der bitkom aus September 2020, dass über die Hälfte aller befragten Unternehmen die DSGVO bereits vollständig oder zum Großteil umgesetzt haben. Wird andererseits die wachsende Bedeutung des Datenschutzes aus Sicht der Verbraucher wie auch im B2B-Geschäft betrachtet, stellt sich datenschutzkonformes Handeln im Unternehmen immer mehr zu einem Wettbewerbsvorteil heraus, der in Anbetracht der aktuell rasant steigenden Digitalisierung nicht vernachlässigt werden sollte,

Autorin: Angela Clemenz, Geschäftsführerin, DACO Leipzig GmbH – Datenschutz & Compliance

WAS IST DAS DIGITAL BREAKFAST? „Deine digitale Wissensdusche - egal wo Du bist!" #LIVE-STREAM Die seit 28. Oktober 2015 stattfindenden Offline-Veranstaltungen wurden im März 2020 in Online-Veranstaltungen umgewandelt. Die Online-Veranstaltungen finden dienstags & freitags von 9:00 Uhr bis 10:00 Uhr an 62 Lokationen statt und beinhalten einen 25-minütigen Impulsvortrag zu einem digitalen Thema mit Diskussion und Austausch im Anschluss. #PODCAST Der DIGITAL BREAKFAST PODCAST widmet sich jeden Montag authentisch aktuellen Themen rund um die Digitalisierung. Für Menschen, die etwas zu sagen haben oder erfahren wollen. Befähigung, Inspiration, Networking - dafür stehen wir!

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More