Datenschutz für kleine Unternehmen

Diese DSGVO-Vorgaben müssen Sie als kleines Unternehmen umsetzen  

Kleine Unternehmen gehen oft davon aus, dass die Datenschutz-Grundverordnung (DSGVO) für sie nicht gilt, solange sie von der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten befreit sind. Trotzdem müssen auch kleine Unternehmen den Datenschutz ernst nehmen.

Ohne die Unterstützung eines kompetenten Datenschutzbeauftragten gelingt es oft nur schwer die Vorgaben der DSGVO umsetzen. Häufig fehlt es dann an einem Überblick bei Betroffenenanfragen oder Datenschutzverletzungen. In diesem Artikel erhalten Sie einen kompakten Leitfaden für die Umsetzung der wichtigsten Datenschutz-Themen in kleinen Unternehmen.

---

Warum auch kleine Unternehmen den Datenschutz einhalten müssen

Die Datenschutzvorgaben gelten für alle Unternehmen mit Sitz in einem Mitgliedstaat der Europäischen Union. Auch kleine Unternehmen, Kleinstunternehmen und sogar Freiberufler oder anderweitig Selbständige müssen die DSGVO einhalten. Entscheidend ist nicht die Unternehmensgröße, sondern, ob personenbezogene Daten verarbeitet werden – und das betrifft nahezu jedes Unternehmen.

Beispiele:

• Ein Online-Shop für Tierspielzeug speichert Kundendaten wie Namen, Adressen und Zahlungsinformationen.
• Ein Handwerksbetrieb verwaltet ihre Kundenkontakte in einer Excel-Tabelle und speichert Telefonnummern.
• Eine Agentur versendet monatlich die Lohnabrechnungen an ihre Mitarbeiter und lässt hierfür Gehaltshöhe, Religionszugehörigkeit, ethnische Herkunft,  Bankinformationen durch ein Lohnbüro verarbeiten. 
• Eine kleine Arztpraxis hat auf seiner Website ein Kontaktformular mit Terminbuchung Funktion eingebunden. 

In all diesen Fällen greift die DSGVO. Die Einhaltung der Datenschutzregeln ist essentiell, um Strafen zu vermeiden, die Daten von Kunden zu schützen, sich somit Kundenvertrauen zu sichern und einen professionellen Eindruck zu hinterlassen.

---

Website kleiner Unternehmen muss DSGVO-konform sein

Eine Unternehmenswebsite ist oft die erste Kontaktmöglichkeit zu potenziellen Kunden. Daher muss sie DSGVO-konform gestaltet sein. Wichtige Punkte hierbei:

1. Datenschutzerklärung: Diese muss klar, verständlich und vollständig darlegen, welche personenbezogenen Daten verarbeitet werden und warum.
2. Cookie-Banner: Nutzer müssen eine gesonderte Einwilligung in die Verwendung von Cookies einwilligen, bevor diese gesetzt werden (außer bei technisch notwendigen Cookies).
3. SSL-Verschlüsselung: Um die Übertragung sensibler Daten wie Kontaktanfragen zu schützen, sollte Ihre Website verschlüsselt sein (erkennbar am „https“).
4. Kontaktformulare: Es dürfen nur die notwendigsten Daten abgefragt werden. Zusätzlich muss darauf hingewiesen werden, wie die Daten verarbeitet werden.
5. Google Analytics und Co.: Falls Sie Analysetools nutzen, sollten diese DSGVO-konform eingebunden werden. Oft sind die Anonymisierung von IP-Adressen und eine Anpassung der Datenschutzerklärung notwendig.

---

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO verpflichtet Unternehmen, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, in dem alle Prozesse dokumentiert sind, bei denen personenbezogene Daten verarbeitet werden. Auch wenn dies auf den ersten Blick für kleine Unternehmen überwältigend wirken kann, ist es eine der Grundlagen für den Nachweis, dass Datenschutz ernst genommen wird.

Ein Verzeichnis enthält unter anderem:

• Zweck der Datenverarbeitung
• Kategorien der betroffenen Personen und Daten
• Rechtsgrundlage der Verarbeitung
• Dauer der Speicherung
• eingesetzte technische und organisatorische Maßnahmen

Das Führen eines solchen Verzeichnisses hilft nicht nur bei der Einhaltung der DSGVO, sondern muss auch im Fall einer Prüfung durch die Datenschutzbehörde schnell vorgelegt werden.

---

Datenschutz-Folgenabschätzung

Wenn bestimmte Datenverarbeitungen ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen, ist eine Datenschutz-Folgenabschätzung erforderlich. Für kleine Unternehmen ist dies selten der Fall, sollte aber bei Einführung neuer Technologien oder Systeme überprüft werden.

Beispiele, bei denen dies relevant sein könnte:

• Verwendung von Videoüberwachung in Verkaufsräumen.
• Einsatz von Analysetools, die umfassend personenbezogene Daten auswerten.
• Implementierung von KI-Systemen zur Kundenanalyse.

Eine Datenschutz-Folgenabschätzung beinhaltet die Identifizierung potenzieller Risiken und die Entwicklung von Maßnahmen zur Risikominimierung. Eine Schritt für Schritt Anleitung zur Durchführung einer Datenschutz-Folgenabschätzung finden Sie in unserem Artikel „Datenschutz-Folgenabschätzung – Tipps zur Umsetzung“.

---

Technische und organisatorische Maßnahmen für kleine Unternehmen (Artikel 32 DSGVO)

Um personenbezogene Daten zu schützen, müssen Unternehmen technische und organisatorische Maßnahmen ergreifen. Für kleine Unternehmen ist es wichtig, praktikable und kostengünstige Lösungen zu finden. Beispiele:

• Passwortschutz: Stellen Sie sicher, dass Mitarbeiter starke Passwörter verwenden.
• Backups: Regelmäßige Sicherung der Daten auf sicheren Medien.
• Zugriffsrechte: Nur autorisierte Mitarbeiter dürfen Zugriff auf sensible Daten haben.
• Verschlüsselung: Besonders bei der Übertragung von Daten (z. B. per E-Mail).
• Aktualisierung von Software: Veraltete Software stellt ein Sicherheitsrisiko dar und sollte regelmäßig aktualisiert werden.
• Sicherer Umgang mit mobilen Geräten: Smartphones oder Laptops, die Zugriff auf Unternehmensdaten haben, sollten verschlüsselt und gesichert sein.

---

Betroffenenrechte

Die DSGVO verleiht betroffenen Personen umfangreiche Rechte, die jedes Unternehmen beachten muss. Dazu gehören:

• Auskunftsrecht: Personen können Informationen darüber anfordern, welche Daten über sie gespeichert sind.
• Recht auf Löschung: Kunden können verlangen, dass ihre Daten gelöscht werden (sofern keine gesetzliche Pflicht zur Aufbewahrung besteht).
• Recht auf Berichtigung: Fehlerhafte Daten der betroffenen Person müssen korrigiert werden.
• Widerspruchsrecht: Personen können der Verarbeitung ihrer Daten widersprechen.
• Recht auf Datenübertragbarkeit: Betroffene können verlangen, dass ihre Daten in einem gängigen Format an sie oder einen anderen Anbieter übertragen werden.

Es ist wichtig, einen klaren Prozess zu definieren, wie solche Anfragen bearbeitet werden. Zudem sollten Anfragen möglichst schnell beantwortet werden, da die Frist zur Bearbeitung laut DSGVO in der Regel einen Monat beträgt. Weitere Tipps für ein strukturiertes Betroffenenanfragen-Management in Ihrem Unternehmen, erfahren Sie in unserem Artikel. 

---

Schulung der Mitarbeiter

Datenschutz für kleine Unternehmen bedeutet Teamarbeit. Schulungen helfen, alle Mitarbeiter für den sorgsamen Umgang mit Daten zu sensibilisieren. Dies kann Folgendes umfassen:

• Grundlagen der DSGVO
• Umgang mit Datenpannen
• Tipps zur Vermeidung von Datenschutzverletzungen im Alltag (z. B. keine Passwörter aufschreiben)
• Erkennung von Phishing-Mails oder verdächtigen Anhängen

Regelmäßige Schulungen stellen sicher, dass Datenschutz nicht nur auf dem Papier existiert, sondern aktiv gelebt wird.

---

Einsatz von KI in kleinen Unternehmen

Künstliche Intelligenz (KI) kann für kleine Unternehmen einen Wettbewerbsvorteil bieten, birgt jedoch auch Datenschutzrisiken. Unternehmen sollten sicherstellen, dass:

• persönliche Daten oder Geschäftsgeheimnisse nicht unkontrolliert in KI-Anwendungen eingegeben werden
• eine Richtlinie für einen datenschutzkonformen Umgang im KI-Kontext erstellt wird.
• sie einen betrieblichen Account bei KI-Anbieter einrichten und keine privaten Accounts von Mitarbeitern verwenden.
• Die verwendeten KI-Tools DSGVO-konform sind. 
• sie Datenschutzverträge mit KI-Betreibern abschließen.
• Transparenz darüber besteht, wie die KI Daten verarbeitet (Datenschutzerklärungen aktualisieren)
• Eine Datenschutz-Folgenabschätzung durchgeführt wird, wenn KI-Systeme große Mengen personenbezogener Daten verarbeiten.
• Datenanonymisierung verwendet wird, um die Risiken zu minimieren.

Der sorgsame Einsatz von KI kann dabei helfen, Effizienz und Kundenservice zu verbessern, ohne die Datenschutzanforderungen zu verletzen. Was es zum Datenschutz beim Einsatz von Künstlicher Intelligenz ansonsten zu beachten gibt, erfahren Sie in unserem Artikel.

---

Datenschutzbeauftragter in kleinen Unternehmen

Wenn mindestens 20 Beschäftigte ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen (siehe § 38 Bundesdatenschutzgesetz).

Für kleine Unternehmen ist die Ernennung eines Datenschutzbeauftragten nur in Ausnahmefällen verpflichtend (z. B. wenn besonders sensible Daten verarbeitet werden). Dennoch kann es sinnvoll sein, externe Datenschutzexperten zu beauftragen, um sicherzustellen, dass alle Vorgaben eingehalten werden.

Ein externer Datenschutzbeauftragter hat den Vorteil, dass er oder sie unabhängig ist und umfassendes Fachwissen mitbringt. Das kann insbesondere bei der Einführung neuer Technologien oder der Bewertung von Datenschutzrisiken hilfreich sein. 

In welchen weiteren Ausnahmefällen ein Datenschutzbeauftragter verpflichtend zu benennen ist und welche Anforderung der DSB erfüllen sollte, erfahren Sie in unserem Artikel „Ab wann ist ein Datenschutzbeauftragter Pflicht?“

---

Dienstleister und Auftragsverarbeitung

Wenn Sie Softwarelieferanten, z.B. Software as a Service oder Dienstleister wie IT-Firmen oder Buchhaltungsservices beauftragen, die Zugriff auf personenbezogene Daten haben, müssen entsprechende Verträge zur Auftragsverarbeitung abgeschlossen werden. Diese regeln, dass der Dienstleister die Daten DSGVO-konform verarbeitet.

Tipps:

• Fordern Sie einen Vertrag zur Auftragsverarbeitung bei Ihren Dienstleistern an.
• Prüfen Sie die im Anhang des Auftragsverarbeitungsvertrages enthaltene Dokumentation der technischen und organisatorischen Maßnahmen 
• Prüfen Sie regelmäßig die Einhaltung der vertraglichen Vereinbarungen.
• Dokumentieren Sie alle Auftragsverarbeitungsverhältnisse sorgfältig.

---

Umgang mit Datenpannen vorbereiten

Der Datenschutz ist auch für kleine Unternehmen wichtig. Schließlich sind auch kleine Unternehmen nicht vor Datenpannen gefeit. Um schnell reagieren zu können, sollten Sie einen Notfallplan erstellen:

• Identifikation: Wie werden Datenpannen erkannt?
• Schulung: Mitarbeiter müssen in die Lage versetzt werden, Datenschutzverletzungen erkennen zu können. Dies setzt eine Datenschutz-Schulung zum Umgang mit Datenpannen voraus. 
• Kommunikation: Mitarbeiter müssen wissen, an wen sie wenden dürfen, wenn sie einen Datenschutzvorfall vermuten. 
• Bewertung: Der Datenschutzbeauftragte sollte den gemeldeten Vorfall bewerten und das Risiko des Datenschutzverstoßes evaluieren. 
• Meldung: Risikoreiche Datenpannen müssen innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden.
• Maßnahmen: Dokumentieren Sie, wie die Datenpanne behoben wurde.
• Kommunikation: Bei Datenschutzverletzungen mit hohem Risiko müssen zusätzlich auch die Betroffenen transparent über die Datenpanne informiert werden.

Ein gut geübter Plan zum Umgang mit Data Breaches kann die Auswirkungen einer Datenpanne erheblich minimieren und das Vertrauen der Kunden bewahren.

---

Folgen für kleine Unternehmen bei Verstoß gegen die DSGVO

Die Nichteinhaltung der DSGVO kann schwerwiegende Konsequenzen haben, darunter:

• Bußgelder: Diese können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.
• Imageschaden: Datenschutzverletzungen können das Vertrauen der Kunden zerstören.
• Rechtliche Konsequenzen: Betroffene können Schadensersatz fordern.

Selbst kleinere Verstöße, wie das Fehlen einer Datenschutzerklärung, können zu Abmahnungen führen. Die rechtzeitige und korrekte Umsetzung der DSGVO ist daher unerlässlich.

---

So erhalten Sie Hilfe bei der Umsetzung der DSGVO für Ihr kleines Unternehmen

Die Umsetzung der DSGVO kann komplex sein, insbesondere ohne juristisches oder technisches Fachwissen. Mögliche Unterstützung:

• Beratung durch Experten: Externe Datenschutzbeauftragte oder Berater können helfen, die Anforderungen umzusetzen.
• Schulungsangebote: Nutzen Sie Online-Kurse oder Seminare zum Thema Datenschutz.
• Vorlagen und Tools: Viele Plattformen bieten Vorlagen für Verzeichnisse oder Verträge an.
• Branchenverbände: Zudem hat die Stiftung Datenschutz eine Internetseite für Kleinunternehmen erstellt.

Darüber kann Ihnen bzw. Ihrem Datenschutzbeauftragten auch der kostenlose EDSA-Datenschutzleitfaden für kleine Unternehmen des Europäischen Datenschutzausschusses bei der Umsetzung der DSGVO helfen. 

---

Fazit – Die DSGVO gilt für jedes kleine Unternehmen!

Egal, wie klein Ihr Unternehmen ist – die DSGVO betrifft Sie. Eine datenschutzkonforme Organisation ist nicht nur gesetzlich vorgeschrieben, sondern trägt auch dazu bei, das Vertrauen Ihrer Kunden zu stärken und langfristig erfolgreich zu sein. Mit klaren Prozessen, den richtigen technischen und organisatorischen Maßnahmen sowie gegebenenfalls externer Unterstützung gelingt die Umsetzung.

---

FAQ-Datenschutz für kleine Unternehmen