Datenschutz für mittelständische Unternehmen: So setzen Sie die wichtigsten DSGVO-Vorgaben um

Mittelständische Unternehmen gehen oft davon aus, dass die Datenschutz-Grundverordnung (DSGVO) für sie weniger relevant ist – insbesondere, weil sie Waren und Dienstleistungen gegenüber Geschäftskunden (B2B) anbieten. Doch die Realität sieht anders aus: Der Datenschutz ist auch für kleine und mittlere Unternehmen gesetzlich vorgeschrieben und sollte keinesfalls vernachlässigt werden. In diesem Artikel zeigen wir Ihnen, warum Datenschutz auch für Ihr Unternehmen essentiell ist, welche Pflichten Sie beachten müssen und wie Sie die Umsetzung der DSGVO erfolgreich angehen können.. 

---

Warum auch mittelständische Unternehmen die DSGVO einhalten müssen

Die datenschutzrechtlichen Vorgaben gelten für alle Unternehmen in der Europäischen Union, unabhängig von Größe oder Branche, solange personenbezogene Daten verarbeitet werden. Dies betrifft nahezu jedes Unternehmen, vom Kleinstbetrieb bis zum großen Konzern.

Beispiele aus der Praxis:

• Ein Anbieter von SaaS-Lösungen speichert Bewerber- und Mitarbeiterdaten für seine Kunden.
• Ein Maschinenbauunternehmen pflegt Kundenkontakte im CRM-System und speichert Namen sowie E-Mail-Adressen.
• Eine mittelgroße Werbeagentur integriert auf ihrer Website ein Kontaktformular mit Terminbuchungsfunktion.
• Ein Energieunternehmen dokumentiert Geschäftspartnerdaten wie Telefonnummern und E-Mail-Adressen.

Fazit: Die Unternehmensgröße spielt keine Rolle – sobald die Verarbeitung besonderer personenbezogener Daten vorliegt, greifen die Regelungen der DSGVO. Der Datenschutz spielt für alle mittelständischen Unternehmen eine entscheidende Rolle.

So gestalten Sie Ihre Website DSGVO-konform

Die Unternehmenswebsite ist oft die erste Anlaufstelle für potenzielle Kunden. Bereits die IP-Adresse des Webseitenbesuchers ist gemäß einem Urteil des Europäischen Gerichtshofs als personenbezogenes Datum zu qualifizieren. Deshalb muss die Website den Anforderungen der DSGVO entsprechen. Beachten Sie insbesondere:

1. Datenschutzerklärung: Diese muss klar, verständlich und vollständig darlegen, welche personenbezogenen Daten verarbeitet werden und warum.
2. Cookie-Banner: Nutzer müssen aktiv in die Verwendung von Cookies einwilligen, bevor diese gesetzt werden (außer bei technisch notwendigen Cookies).
3. SSL-Verschlüsselung: Um die Übertragung sensibler Daten wie Kontaktanfragen zu schützen, sollte Ihre Website verschlüsselt sein (erkennbar am „https“).
4. Kontaktformulare: Es dürfen nur die notwendigsten Daten abgefragt werden. Zusätzlich muss darauf hingewiesen werden, wie die Daten verarbeitet werden.
5. Google Analytics und Co.: Falls Sie Analysetools nutzen, sollten diese DSGVO-konform eingebunden werden. Oft sind die Anonymisierung von IP-Adressen und eine Anpassung der Datenschutzerklärung notwendig.

Richtlinien zum Datenschutz für Mitarbeiter erlassen

Ihre Mitarbeiter spielen eine Schlüsselrolle bei der Einhaltung der DSGVO. Richtlinien und Schulungen sind entscheidend, um datenschutzrechtliche Anforderungen im Arbeitsalltag umzusetzen. Zu den wichtigsten internen Richtlinien gehören: 

• Richtlinie zum Umgang mit Datenträgern 
• Richtlinie zur Nutzung von Internet und E-Mail
• Richtlinie Homeoffice/Mobile Office (Telearbeit)
• Passwortrichtlinie
• Arbeitsplatz-Richtlinie
• Nutzungsvereinbarung zu „Bring Your Own Device“ (BYOD)
• Etc.

Praxistipp: Jeder Mitarbeiter muss die Möglichkeit zur Kenntnisnahme aller Richtlinien erhalten. Stellen Sie die Richtlinien digital zur Verfügung und informieren Sie Ihre Mitarbeiter per E-Mail über die Veröffentlichung. 

Verzeichnis von Verarbeitungstätigkeiten erstellen

Alle mittleren Unternehmen sind verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses dokumentiert alle Prozesse, bei denen die Verarbeitung sensibler, personenbezogener Daten im Vordergrund steht und enthält unter anderem:

• Zweck der Verarbeitung,
• Kategorien der betroffenen Personen und Daten,
• Rechtsgrundlage,
• Speicherdauer,
• technische und organisatorische Maßnahmen

Das Führen eines solchen Verzeichnisses hilft nicht nur bei der Einhaltung der DSGVO, sondern muss auch im Fall einer Prüfung durch die Datenschutzbehörde schnell vorgelegt werden.

Technische und organisatorische Maßnahmen für mittelständische Unternehmen (Artikel 32 DSGVO)

Dank Automatisierung, Cybercrime-as-a-Service-Modellen, Identitätstäuschung und ihrer Anpassungsfähigkeit können Cyberkriminelle eine Vielzahl an großangelegten, komplexen Angriffen immer schneller durchführen. Die Absicherung personenbezogener Daten ist zentraler Bestandteil der DSGVO. Mittelständische Unternehmen sollten ein umfassendes IT-Sicherheitskonzept implementieren. Zu den empfohlenen Maßnahmen gehören (nicht abschließend):

• Passwortschutz: Stellen Sie sicher, dass Mitarbeiter starke Passwörter verwenden.
• Backups: Regelmäßige Sicherung der Daten auf sicheren Medien.
• Wiederherstellung testen: Führen Sie regelmäßige Restore-Tests durch.
• Zugriffsrechte: Nur autorisierte Mitarbeiter dürfen Zugriff auf sensible Daten haben.
• Multi-Faktor-Authentifizierung bietet während der Anmeldung eine zusätzliche Schutzebene
• Verschlüsselung: Besonders bei der Übertragung von Daten (z. B. per E-Mail).
• Patch Management: Veraltete Software stellt ein Sicherheitsrisiko dar und sollte regelmäßig aktualisiert werden.
• Sicherer Umgang mit mobilen Geräten: Smartphones oder Laptops, die Zugriff auf Unternehmensdaten haben, sollten verschlüsselt und gesichert sein.
• Firewall: Sichern Sie Ihr Netzwerk vor unerwünschten Zugriffen. 

Datenschutz-Folgenabschätzungen für Risiko-Datenverarbeitungen durchführen 

Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich, wenn bestimmte Datenverarbeitungen ein hohes Risiko für die Rechte und Freiheiten von Personen bergen. Für mittelständische Unternehmen ist dies der Fall, wenn die Einführung neuer Technologien oder Systeme geplant ist.

Beispiele, bei denen dies relevant sein könnte:

• Einsatz von Videoüberwachungsanlagen in Zutrittsbereichen.
• Einsatz von Analysetools, die umfassend personenbezogene Daten auswerten.
• Implementierung von KI-Systemen zur Optimierung der Prozesse.

Die DSFA dient dazu, Risiken zu identifizieren und Maßnahmen zur Risikominimierung zu entwickeln. Eine detaillierte Anleitung zur Durchführung finden Sie in unserem Artikel „Datenschutz-Folgenabschätzung – Tipps zur Umsetzung“.

Auf Datenschutz-Anfragen von Kunden, Mitarbeitern und Partnern vorbereiten 

Die DSGVO verleiht betroffenen Personen umfangreiche Rechte, die jedes Unternehmen im Mittelstand beachten muss. Dazu gehören:

• Auskunftsrecht: Personen können Informationen darüber anfordern, welche Daten über sie gespeichert sind.
• Recht auf Löschung: Kunden können verlangen, dass ihre Daten gelöscht werden (sofern keine gesetzliche Pflicht zur Aufbewahrung besteht).
• Recht auf Berichtigung: Fehlerhafte Daten müssen korrigiert werden.
• Widerspruchsrecht: Personen können der Verarbeitung ihrer Daten widersprechen.
• Recht auf Datenübertragbarkeit: Betroffene können verlangen, dass ihre Daten in einem gängigen Format an sie oder einen anderen Anbieter übertragen werden.

Eine Betroffenenanfrage darf ohne Angabe von Gründen und von jeder Person geltend gemacht werden. Sogar auf Anfrage aus datenschutzfremden Motiven (z.B. von ehemaligen Mitarbeitern, unzufriedenen Kunden oder Geschäftspartnern) müssen Sie antworten. 

Ein klar definierter Prozess für den Umgang mit Betroffenenanfragen stellt sicher, dass Sie die gesetzlichen Fristen von in der Regel einem Monat einhalten können. Weitere Tipps für ein strukturiertes Betroffenenanfragen-Management in Ihrem Unternehmen, erfahren Sie in unserem Artikel. 

Mitarbeiter regelmäßig im Datenschutz schulen 

Datenschutz ist Teamarbeit. Schulungen helfen, alle Mitarbeiter für den sorgsamen Umgang mit Daten zu sensibilisieren. Dies kann Folgendes umfassen:

• Grundlagen der DSGVO
• Umgang mit Datenpannen
• Tipps zur Vermeidung von Datenschutzverletzungen im Alltag (z. B. keine Passwörter aufschreiben)
• Erkennung von Phishing-Mails oder verdächtigen Anhängen

Regelmäßige Schulungen stellen sicher, dass Datenschutz nicht nur auf dem Papier existiert, sondern aktiv gelebt wird.

Einsatz von Künstlicher Intelligenz in mittelständischen Unternehmen regeln

Künstliche Intelligenz (KI) kann Mittelständlern Wettbewerbsvorteile verschaffen, bringt aber Datenschutzherausforderungen mit sich. Achten Sie darauf:

• Dateneingabe: Persönliche Daten und Geschäftsgeheimnisse dürfen nicht unkontrolliert in KI-Systeme eingespeist werden.
• Richtlinien: Erstellen Sie interne Vorgaben für den datenschutzkonformen Einsatz von KI.
• Nutzungskonten: Verwenden Sie betriebliche statt privater Konten für KI-Anwendungen.
• Rechtskonformität: Stellen Sie sicher, dass die genutzten KI-Tools DSGVO-konform sind.
• Verträge: Schließen Sie Datenschutzverträge mit KI-Anbietern ab.
• Transparenz: Aktualisieren Sie Ihre Datenschutzerklärungen, um die Datenverarbeitung durch KI offenzulegen.
• Datenschutz-Folgenabschätzung: Prüfen Sie die Notwendigkeit einer DSFA, insbesondere bei der Verarbeitung großer Datenmengen.
• Datenanonymisierung: Reduzieren Sie Risiken durch Anonymisierung personenbezogener Daten.

Der sorgsame Einsatz von KI kann dabei helfen, Effizienz und Kundenservice zu verbessern, ohne die Datenschutzanforderungen zu verletzen. Was es zum Datenschutz beim Einsatz von Künstlicher Intelligenz ansonsten zu beachten gibt, erfahren Sie in unserem Artikel.

Datenschutzbeauftragter in mittelständischen Unternehmen benennen

Wenn mindestens 20 Beschäftigte ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen (siehe § 38 Bundesdatenschutzgesetz).

Ein externer Datenschutzbeauftragter hat den Vorteil, dass er oder sie unabhängig ist und umfassendes Fachwissen mitbringt. Das kann insbesondere bei der Einführung neuer Technologien oder der Bewertung von Datenschutzrisiken hilfreich sein. 

In welchen weiteren Ausnahmefällen ein Datenschutzbeauftragter verpflichtend zu benennen ist und welche Anforderung der DSB erfüllen sollte, erfahren Sie in unserem Artikel „Ab wann ist ein Datenschutzbeauftragter Pflicht?“

Auftragsverarbeitungsverträge mit Dienstleistern abschließen

Wenn Sie Softwarelieferanten, z.B. Software as a Service oder Dienstleister wie IT-Firmen oder Buchhaltungsservices beauftragen, die Zugriff auf personenbezogene Daten haben, müssen entsprechende Verträge zur Auftragsverarbeitung abgeschlossen werden. Diese regeln, dass der Dienstleister die Daten DSGVO-konform verarbeitet.

Tipps:

• Fordern Sie einen Vertrag zur Auftragsverarbeitung bei Ihren Dienstleistern an.
• Prüfen Sie die im Anhang des Auftragsverarbeitungsvertrages enthaltene Dokumentation der technischen und organisatorischen Maßnahmen 
• Prüfen Sie regelmäßig die Einhaltung der vertraglichen Vereinbarungen.
• Dokumentieren Sie alle Auftragsverarbeitungsverhältnisse sorgfältig.

Umgang mit Datenschutzverletzungen vorbereiten

Auch mittelständische Unternehmen sind nicht vor Datenschutzpannen gefeit. Eine proaktive Vorbereitung und ein gut strukturierter Notfallplan können entscheidend sein, um die Folgen zu minimieren. Ein solcher Plan sollte folgende Punkte enthalten:

• Identifikation: Entwickeln Sie Mechanismen, um Datenpannen schnell zu erkennen.
• Schulung: Sensibilisieren Sie Mitarbeiter durch Datenschutz-Schulungen, damit sie Datenschutzverstöße erkennen und richtig handeln können.
• Kommunikation: Legen Sie fest, an wen sich Mitarbeiter bei Verdacht auf eine Datenpanne wenden können.
• Bewertung: Der Datenschutzbeauftragte sollte die gemeldeten Vorfälle bewerten und das Risiko einschätzen.
• Meldung an die Aufsichtsbehörde: Risikoreiche Datenpannen müssen innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden.
• Maßnahmen: Dokumentieren Sie, wie die Datenpanne behoben wurde, und evaluieren Sie mögliche Verbesserungen im Prozess.
• Betroffene informieren: Bei schwerwiegenden Datenschutzverletzungen müssen Betroffene transparent informiert werden.

Ein geübter Plan zum Umgang mit Datenpannen kann nicht nur Schäden minimieren, sondern auch das Vertrauen Ihrer Kunden sichern.

Einwilligung für Werbemaßnahmen einholen

Werbung umfasst viele Kommunikationsformen, wie beispielsweise Telefonanrufe, postalische Mailings oder Newsletter. Die Einholung einer Einwilligung zur Werbung muss sowohl den Anforderungen der DSGVO als auch den wettbewerbsrechtlichen Vorgaben des Gesetzes gegen den unlauteren Wettbewerb (UWG) entsprechen.

Zu beachten ist:

• Klarheit: Die Einwilligungserklärung muss eindeutig und verständlich formuliert sein.
• Informiertheit: Die betroffene Person muss in Kenntnis der Sachlage einwilligen können. 
• Freiwilligkeit: Die Einwilligung darf nicht durch Druck oder Zwang erwirkt werden.
• Widerrufbarkeit: Nutzer müssen ihre Einwilligung jederzeit ohne Nachteile widerrufen können.

Eine rechtssichere Einwilligung ist essentiell, um Bußgelder und rechtliche Auseinandersetzungen zu vermeiden.

Folgen für mittelständische Unternehmen bei Verstoß gegen die DSGVO

Die Nichteinhaltung der DSGVO kann schwerwiegende Konsequenzen haben, darunter:

• Bußgelder: Diese können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.
• Imageschaden: Datenschutzverletzungen können das Vertrauen der Kunden zerstören.
• Rechtliche Konsequenzen: Betroffene können Schadensersatz fordern.

Selbst kleinere Verstöße, wie das Fehlen einer Datenschutzerklärung, können zu Abmahnungen führen. Die rechtzeitige und korrekte Umsetzung der DSGVO und der Schutz personenbezogener Daten ist daher unerlässlich.

So erhalten Sie Hilfe bei der Umsetzung der DSGVO für Ihr mittelständisches Unternehmen

Die Umsetzung der DSGVO kann komplex sein, insbesondere ohne juristisches oder technisches Fachwissen. Mögliche Unterstützung:

• Beratung durch Experten: Externe Datenschutzbeauftragte oder Berater können helfen, die Anforderungen umzusetzen.
• Schulungsangebote: Nutzen Sie Online-Kurse oder Seminare zum Thema Datenschutz.

Darüber kann Ihnen bzw. Ihrem Datenschutzbeauftragten auch der kostenlose EDSA-Datenschutzleitfaden für mittelständische Unternehmen des Europäischen Datenschutzausschusses bei der Umsetzung der Datenschutzes im mittelständischen Unternehmen helfen. 

Fazit – Die DSGVO gilt für jedes Unternehmen im Mittelstand!

Die Einhaltung der DSGVO ist kein optionaler Prozess, sondern eine gesetzliche Verpflichtung. Sie schützt nicht nur die Daten Ihrer Kunden und Mitarbeiter, sondern stärkt auch das Vertrauen in Ihr Unternehmen. Setzen Sie auf klare Prozesse, regelmäßige Schulungen und – falls nötig – externe Unterstützung, um den Datenschutz im mittelständischen Unternehmen effizient und rechtskonform umzusetzen.

---

FAQ-Datenschutz für mittelständische Unternehmen