Symbolbild für Unternehmen im Mittelstand

Datenschutz im Mittelstand

Genauso wie große Unternehmen müssen sich auch kleine und mittelständische Unternehmen (KMU) an die datenschutzrechtlichen Vorgaben der DSGVO halten. Was logisch klingt, ist in der Praxis mit einigen Herausforderungen verbunden, wenn es an die Umsetzung geht. Damit Sie gleich zu Beginn über die typischen Hürden Bescheid wissen, fassen wir diese und auch die wesentlichen Anforderungen zum Datenschutz im Mittelstand für Sie zusammen.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2021-11-15

Logo
  • Author: Team datenschutzexperte.de
    Unser Team, bestehend aus zahlreichen Expert*innen im Bereich Datenschutz, weiß, was KMUs im Datenschutz bewegt. Unsere Beiträge sollen helfen, das Thema Datenschutz verständlich zu machen.

Die Datenschutz-Grundverordnung, kurz DSGVO, definiert Regeln zur Verarbeitung personenbezogener Daten. Obwohl diese Verordnungen für alle Unternehmen eine Rolle spielen, ist Datenschutz in mittelständischen Unternehmen noch nicht zu Genüge angekommen. Doch weder hohe Bußgelder noch negative Presse bei Verstößen gegen das Datenschutzrecht kann sich ein Unternehmen leisten. Wenn Datenschutz im Mittelstand auch für Sie bislang noch ein unsicheres Gebiet darstellt, wird es höchste Zeit, sich strukturiert mit den Anforderungen auseinanderzusetzen. Zunächst klären wir, wo für gewöhnlich die Hindernisse liegen und zeigen fünf Schritte auf, wie sich KMU und DSGVO unter einen Hut bringen lassen.
 

Herausforderungen beim Thema Datenschutz für KMU

Egal, ob es um die Zusammenarbeit mit Mitarbeitern oder Partnern geht oder schlichtweg um den Kontakt mit Kunden. Permanent befinden sich Unternehmen in Situationen, in welchen sie mit personenbezogenen Daten in Berührung kommen. Entsprechend der DSGVO müssen diese geschützt werden. Das gilt für kleine, mittlere und auch große Unternehmen gleichermaßen.

Vor allem in kleinen und mittelständischen Unternehmen ist die Umsetzung der datenschutzrechtlichen Vorgaben mit Schwierigkeiten verbunden und weist deutliche Schwächen auf. Ein Mangel an Zeit und fehlendes Wissen rund um die Thematik “Datenschutz und KMU” sind die Hauptursache dafür. Bei einer schlanken Unternehmensstruktur fehlen schlichtweg die Mitarbeiter, welche die Anforderungen in praktische Maßnahmen umsetzen können. Der Knackpunkt dabei ist, dass sich KMU genauso an die DSGVO halten müssen wie große Unternehmen. Spätestens die Prüfungen durch Datenschutzaufsichtsbehörden und mögliche Sanktionen bei Nichteinhaltung der Verordnung machen aktives Handeln erforderlich. Doch lassen Sie es gar nicht so weit kommen. Bauen Sie die richtigen Strukturen gleich von Beginn an auf und prüfen Sie regelmäßig, ob Ihre Maßnahmen noch auf dem aktuellen Stand sind. 
 

Datenschutz für mittelständische Unternehmen: Darauf sollten Sie achten

Wenn es um den Schutz personenbezogener Daten geht, gibt es in Unternehmen zahlreiche Fälle, in denen die DSGVO berücksichtigt werden muss. Im Folgenden fassen wir die fünf wichtigsten Bereiche zusammen und geben Ihnen Tipps, wie Sie die ersten Schritte meistern:

Websites & Onlineshops absichern

Eine Website oder sogar einen Onlineshop für den Verkauf von Produkten hat in der heutigen digitalen Zeit so gut wie jedes Unternehmen. Bei kleinen Unternehmen ist die Website meist nur eine Visitenkarte. Sie wurde einmal erstellt und dann nicht mehr angefasst. In der Zwischenzeit hat sich im rechtlichen Kontext einiges verändert. Welche Rolle für Sie auch immer Ihre eigene Website spielt: Die datenschutzrechtlichen Vorgaben  erfordern in jedem Fall einen verantwortungsbewussten Umgang mit den Daten Ihrer Website-Besucher.

Erste Schritte: Machen Sie sich ein Bild darüber, welche Verarbeitungen von personenbezogenen Daten auf Ihrer Website ablaufen und welche Partner ebenso über Ihre Website-Daten verfügen können, wie zum Beispiel Ihr Serveranbieter. Statten Sie Ihre Website mit einer aktualisierten Datenschutzerklärung aus, die über die Verwendung der Daten Auskunft gibt und binden Sie einen Cookie-Banner ein. 

Dokumentationspflichten: Ja oder nein?

Dokumentationspflichten beinhalten das Führen von Verzeichnissen zur Datenverarbeitung. Die DSGVO definiert in Art. 30 (5) eine Ausnahme für Unternehmen mit Beschäftigten unter 250 Mitarbeiter, wenn personenbezogene Daten nur gelegentlich verarbeitet werden. Praktisch gilt diese Ausnahme daher nicht, denn allein die monatliche Lohnabrechnung sprengt bereits den theoretischen Rahmen.

Erste Schritte: Werden Sie sich darüber im Klaren, welche Daten in Ihrem Unternehmen zu Ihren Mitarbeitern und Kunden erfasst werden. Dokumentieren Sie alle Prozesse und schaffen Sie Transparenz. Wenn diese noch nicht den aktuellen Verordnungen entspricht, dann optimieren Sie die Art der Datenverarbeitung und planen Sie mitunter prozessuale und technische Änderungen in Ihrer Infrastruktur ein.

Auftragsverarbeitungsverträge mit Ihren Partnern schließen

Innerhalb der vorherigen zwei Punkte haben wir bereits die Zusammenarbeit mit Ihren Partnern und Dienstleistern angesprochen. Sofern diese mit personenbezogenen Daten aus Ihrem Unternehmen in Ihrem Auftrag arbeiten, wird ein sogenannter AV-Vertrag, also ein Auftragsverarbeitungsvertrag relevant. Dieser enthält unter anderem Anweisungen zur Datenverarbeitung und -speicherung und klärt auch Haftungsfragen bei möglichen Datenschutzverstößen.

Erste Schritte: Listen Sie alle Schnittstellen zu Ihren Partnern und Dienstleistern auf. Werden Sie sich über den Datenaustausch beziehungsweise die Beauftragung der Datenverarbeitung bewusst. Verfassen Sie anschließend mit jedem Dritten einen individuellen datenschutzkonformen AV-Vertrag.

Datenschutzbeauftragten bestellen

Ein Datenschutzbeauftragter überwacht unabhängig die Einhaltung der Maßnahmen zum Schutz personenbezogener Daten. Die Frage, ob ein Datenschutzbeauftragter gebraucht wird oder nicht, stellt sich nur für kleine Unternehmen. Ab einer Unternehmensgröße von mehr als 20 Mitarbeitern, die Berührungspunkte mit personenbezogenen Daten haben, lautet die Antwort “Ja”. Das heißt also, dass ein Datenschutzbeauftragter im Mittelstand in der Regel erforderlich ist. Daneben gibt es noch einige Ausnahmeregelungen, die auch kleine Betriebe tangieren und verpflichten können.

Erste Schritte: Egal, wie groß Ihr Unternehmen ist: Prüfen Sie in jedem Fall, ob Sie dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Wenn es für Ihr Unternehmen aktuell nicht erforderlich ist, behalten Sie regelmäßig die Parameter im Blick, die bislang für eine Erleichterung sorgen. Das Blatt kann sich schnell wenden und den Einsatz erforderlich machen. Ob Sie einen internen Mitarbeiter dazu einsetzen oder sich durch einen Experten beraten lassen, ist ganz Ihre Entscheidung.

Datenschutzrechtliche Schulungen für Ihre Mitarbeiter

So gut wie jeder in Ihrem Unternehmen kommt mit personenbezogenen Daten in Berührung oder ist Teil der gesamten Prozesslandschaft. Aus dem Grund ist es unerlässlich, aktuelles Wissen verfügbar zu machen, sodass jeder einen positiven Beitrag zur Einhaltung der gesetzlichen Regelungen leisten kann. Art. 32 DSGVO fordert sogar indirekt dazu auf: Um die Sicherheit der Datenverarbeitung zu gewährleisten, ist die Umsetzung von technischen und organisatorischen Maßnahmen erforderlich. Ohne eine Weiterbildung auf dem Gebiet sind diese Anforderungen kaum zu erfüllen.

Erste Schritte: Planen Sie eine Schulung für Ihre Mitarbeiter zum Thema “Datenschutz für mittelständische Unternehmen” ein. Statt diesen Termin einfach hinter sich zu bringen, fragen Sie sich, wie Sie in dem Seminar Begeisterung entfachen können. So motivieren Sie Ihr Team, gemeinsam hinter den Maßnahmen zu stehen und für das Gelingen in Ihrem Unternehmen beizutragen. 

 

Jetzt kennen Sie die fünf Eckpfeiler, wie Sie Ihr Unternehmen datenschutzkonform gestalten. Im Idealfall arbeiten Sie von nun an mit auserwählten Kollegen im Team zusammen, um Maßnahmen zu entwickeln und umzusetzen. Für Schulungen und besondere Fragestellung empfehlen wir Ihnen, auf externe Unterstützung zurückzugreifen. So wird Datenschutz im Mittelstand auch für Ihre Firma schon bald zur Selbstverständlichkeit.

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 15.11.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr