Karriere
Karriere

Ihr Praxis-Guide zur DSGVO: Datenschutz ohne Stolpersteine

DSGVO – Datenschutz-Grundverordnung

Ein Datenschutzverstoß kann für Unternehmen kostspielig werden – sei es durch Reklamationen von Kunden, den Vertrauensverlust oder hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) mag komplex erscheinen, doch keine Sorge: sie ist keine unüberwindbare Aufgabe. In diesem anwendungsorientierten Guide, der speziell für mittelständische Unternehmen im deutschsprachigen Raum entwickelt wurde, zeigen wir Ihnen, wie Sie im Bereich Datenschutz kompetent werden.

Aktuell ist die E-Rechnungspflicht in aller Munde. Aber während jetzt neue gesetzliche Regularien – in diesem Fall in Bezug auf die Rechnungserstellung im B2B-Bereich – an Betriebe gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in sämtlichen Unternehmen angekommen: Die Sprache ist von der Datenschutz-Grundverordnung (DSGVO).

Die DSGVO hat den digitalen Raum verändert, doch viele – von Einzelpersonen bis zu Konzernen – fühlen sich unsicher im Datenschutz. Die Regeln sind komplex, die Anforderungen hoch und die Sanktionen abschreckend. Eine BITKOM-Studie zeigt, dass nur sieben von zehn Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt  haben, weitere 28 Prozent lediglich teilweise.

Zwischen Vorschriften und Praxis: Warum Unternehmen weiterhin mit der DSGVO kämpfen

Auch sechs Jahre nach Einführung der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unklarheiten, was die Bestimmungen der DSGVO betrifft. Zudem empfinden neun von zehn Unternehmen den mit der DSGVO verbundenen Aufwand als zu hoch und fordern sogar für eine Reform der Regulierungsbehörden! Besonders bemängelt werden komplexe und teilweise inkonsistente Interpretationen, die nicht nur Ressourcen binden, sondern auch die Innovationsfähigkeit einschränken würden.

Die Studie beleuchtet auch eine Facette, die in der Vergangenheit immer wichtiger wurde: den Einfluss künstlicher Intelligenz (KI) auf den Datenschutz. Während rund 70 Prozent der Unternehmen die KI als mögliche Unterstützung zur Bewältigung von Datenschutzherausforderungen sehen, sind ebenso viele der Meinung, dass KI den Datenschutz auch vor bisher unbekannte Hürden stellt: Ob es um die Anonymisierung von Daten oder die Entwicklung rechtssicherer KI-Anwendungen geht – der Spagat zwischen technologischem Fortschritt und Compliance bleibt schwierig.

Ob mit KI oder ohne; die Schlüsselfrage bleibt: Können KMU die DSGVO nicht nur als Hindernis betrachten, sondern auch als Wettbewerbsvorteil für sich erschließen? Und wie lassen sich die komplexen DSGVO-Anforderungen als KMU umsetzen? Dieser Leitfaden bietet speziell KMUs eine praktische Anleitung, um die DSGVO-Bestimmungen zu begreifen und sie dauerhaft einhalten zu können.

DSGVO-Grundlagen für den Mittelstand: Was Sie wissen müssen

Auf den Punkt gebracht: Die DSGVO regelt den Umgang mit personenbezogenen Daten in der Europäischen Union. Ziel ist es, die Bürgerrechte auf den Datenschutz zu stärken und den uneingeschränkten Datenaustausch innerhalb des europäischen Binnenmarktes zu gewährleisten.

Für Firmen bedeutet das konkret, dass jede Handhabung sogenannter persönlicher Informationen a) gesetzeskonform, b) nachvollziehbar und c) zweckgebunden erfolgen muss. Die Regelung gilt für alle Unternehmen, die innerhalb der EU tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten – egal, wo sie ihren Sitz haben.

Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder bestimmbare Person beziehen. Dazu gehören unter anderem:

  • Name
  • Anschrift
  • Mail-Adresse
  • IP-Adresse(n)
  • Kundennummer
  • Standortdaten
  • u.v.m.

Der Umgang mit solchen Daten ist an die strengen Vorgaben der DSGVO gebunden. Was exakt sich daraus für ToDo’s für Unternehmen ableiten, werden wir im Weiteren näher betrachten. Aber vorab sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal auf Kurs gebracht, kann ich mich entspannen… Nein, eher wird bei der Einführung jedes neuen Software-Tools das Thema DSGVO erneut relevant. Oder wissen Sie, dass ein Unternehmen ab dem 20. Mitarbeiter, der Daten mit Personenbezug einsehen kann, gemäß DSGVO einen Datenschutzbeauftragten bestellen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen laufend beschäftigt.

Legale Datenverarbeitung: Anforderungen und Beispiele

Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur auf einer gesetzlichen Grundlage:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Z. B. wenn eine Person der Nutzung ihrer E-Mail für Newsletter zustimmt.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Etwa wenn ein Online-Shop Zahlungsdaten zur Bestellabwicklung nutzt.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Z. B. wenn Arbeitgeber Lohnabrechnungsdaten steuerrechtlich verarbeiten.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Etwa zur Sicherung der IT-Systeme gegen Hackerangriffe.

Die Einwilligung muss spezifisch, verständlich und freiwillig sein. Personen müssen klar erkennen, welchem Zweck sie zustimmen, ohne Druck oder Nachteile. Sie muss zudem widerrufbar sein. Typische Beispiele sind Cookie-Banner oder Zustimmungsmanagement-Systeme, etwa zur Erhebung von IP-Adressen.

Neben der Rechtsgrundlage gilt das Prinzip der Datenminimierung: Unternehmen dürfen nur die wirklich erforderlichen Daten erheben. Ein E-Commerce-Anbieter darf beim Checkout nur Informationen erfassen, die zur Bestellabwicklung nötig sind.

Zudem dürfen Daten laut DSGVO nur für den ursprünglichen Zweck verwendet werden. Eine nachträgliche Nutzung – etwa für Marketing – braucht eine neue Rechtsgrundlage, meist eine explizite Zustimmung. So darf eine für die Lieferung erhobene Adresse nicht ohne Einwilligung für Newsletter genutzt werden. Erst wenn der Kunde aktiv zustimmt, ist die Nutzung zulässig.

Unternehmen sollten ihre Prozesse so gestalten, dass sie jederzeit nachweisen können, auf welcher rechtlichen Grundlage sie personenbezogene Daten verarbeiten.

Die Bedeutung der technischen und organisatorischen Maßnahmen (TOMs)

Für KMU’s ist es wesentlich, die Sicherheit personenbezogener Daten zu sichern, um sowohl gesetzlichen Anforderungen gerecht zu werden als auch das Vertrauen ihrer Kunden zu fördern. Die DSGVO fordert von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) personenbezogene Daten zu schützen.

Betriebe müssen sicherstellen, dass ihre IT-Systeme den Schutz privater Daten gewährleisten. Dazu gehören beispielsweise folgende Maßnahmen:

  • Verschlüsselung sensibler Daten
  • Implementierung von Zugriffskontrollen
  • Regelmäßige Sicherheitsupdates

Welche technischen und organisatorischen Maßnahmen sinnvoll und erforderlich zu ergreifen sind, ist davon abhängig, in welchem Geschäftszweig ein Betrieb unterwegs ist. Wir versuchen trotzdem, ein paar spezifische, allgemeingültige Schritte zu nennen, die Sie ergreifen können und sollten:

  1. Daten verschlüsseln: Schützen Sie sensible Daten mit anerkannten Standards (z. B. AES, RSA), um unbefugten Zugriff zu verhindern.
  2. Zugriff kontrollieren: Nur berechtigte Personen sollten Daten einsehen können – setzen Sie Rollenrechte, sichere Passwörter und 2FA ein.
  3. Sicherheitsupdates einspielen: Halten Sie Systeme und Programme aktuell, um Schwachstellen zu vermeiden. Automatisieren Sie Updates, wenn möglich.
  4. Mitarbeiter sensibilisieren: Schulen Sie Ihr Team regelmäßig in Datenschutz und Sicherheitsbewusstsein – inkl. Erkennung und Meldung von Verstößen.
  5. Maßnahmen dokumentieren: Halten Sie Ihre Schutzmaßnahmen schriftlich fest, um Datenschutz-Compliance nachweisen zu können.

Die TOMs behüten nicht nur die Daten Ihrer Kund:innen und Mitarbeitenden, sondern helfen Ihnen auch, das Risiko von Datenschutzverletzungen zu minimieren. Details zur Umsetzung von TOMs sind auf der öffentlichen Website der Europäischen Kommission zur DSGVO zu sehen.

Rechte der Betroffenen: Dies sagt die DSGVO

Die Datenschutz-Grundverordnung stärkt die Rechte der Betroffenen und gibt ihnen weitreichende Kontrollmöglichkeiten über ihre Daten. Firmen müssen darauf vorbereitet sein, jene Rechte gleichermaßen zu erfüllen. Gegenständlich geht es dabei um nachstehende Rechte:

  1. Auskunftsrecht & Datenportabilität: Betroffene dürfen Auskunft über ihre Datenverarbeitung verlangen – inklusive Art, Zweck und Speicherdauer. Zudem können sie ihre Daten in maschinenlesbarem Format erhalten oder übertragen lassen. Unternehmen sollten Prozesse für solche Anfragen festlegen, denn eine Antwort muss innerhalb eines Monats erfolgen!
  2. Recht auf Vergessenwerden: Personen können die Löschung ihrer Daten verlangen, wenn diese nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden. Unternehmen sollten prüfen, ob ihre Systeme eine vollständige Löschung oder Anonymisierung ermöglichen – unter Berücksichtigung gesetzlicher Aufbewahrungspflichten.
  3. Einschränkung & Widerspruch: Unternehmen müssen Anfragen auf Verarbeitungseinschränkung oder Widerspruch zügig prüfen und umsetzen. Klare Zuständigkeiten sind hier essenziell.

Auftragsverarbeitung leicht gemacht: Verträge und Verantwortung

Auftragsverarbeitung & Drittanbieter: Unternehmen benötigen einen Auftragsverarbeitungsvertrag (AVV), wenn Drittanbieter wie Cloud-Dienste, IT-Support oder Marketingagenturen personenbezogene Daten verarbeiten.

Datenübertragung in Drittländer: Die Weitergabe personenbezogener Daten außerhalb der EU – etwa an US-Anbieter wie Microsoft, Google oder Amazon – ist nur unter strengen Auflagen zulässig. Erforderlich sind Standardvertragsklauseln (SCC) oder andere anerkannte Datenschutzmaßnahmen.

Regelmäßige Überprüfung: Unternehmen müssen sicherstellen, dass ihre Dienstleister die Datenschutzvorgaben einhalten. Änderungen in Datenschutzgesetzen – etwa in den USA – können neue Schutzmaßnahmen erforderlich machen. Zudem sollten Betroffene über internationale Datenübertragungen informiert und ein Register der genutzten Subdienstleister bereitgestellt werden.

Dokumentation leicht gemacht: DSGVO-Vorgaben im Alltag umsetzen

Die DSGVO verpflichtet Unternehmen, die Compliance der Datenschutzvorgaben belegen zu können. Dies erfordert detaillierte Dokumentationen, unter anderem:

  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Datenschutz-Folgeabschätzungen (Art. 35 DSGVO)
  • Nachweis über die Einwilligung der Betroffenen

Eine lückenhafte Dokumentation kann bei einer Prüfung durch die Datenschutzbehörden zu Schwierigkeiten führen, selbst wenn die eigentliche Datenbearbeitung korrekt erfolgt. Schauen wir uns deshalb einmal genauer an, was sich hinter den jeweiligen Punkten verbirgt:

Verzeichnis der Verarbeitungstätigkeiten: Unternehmen müssen dokumentieren, welche personenbezogenen Daten sie wie verarbeiten – etwa beim Versand von Marketing-E-Mails, der Lohnabrechnung oder Online-Käufen. Das Register sollte Datenart, Zweck, Empfänger und Speicherdauer enthalten und kann z. B. als Excel-Tabelle geführt werden.

Risikobewertung: Vor datenintensiven Projekten mit potenziellen Risiken – etwa einem Kundenbewertungssystem, das Nutzerverhalten analysiert – ist eine Risikoanalyse Pflicht. Sie hilft, Schutzmaßnahmen zu definieren, um die Rechte der Betroffenen zu sichern.

Einwilligungsnachweis: Unternehmen müssen nachweisen können, dass Betroffene aktiv zugestimmt haben – etwa bei Cookie-Bannern, Newsletter-Anmeldungen oder der Veröffentlichung von Mitarbeiterfotos. CRM-Systeme wie HubSpot oder Salesforce erleichtern die digitale Speicherung von Zustimmungen samt Datum und Kontext.

Fazit: DSGVO-Compliance als Wettbewerbsvorteil

Die Missachtung der DSGVO kann erhebliche finanzielle Konsequenzen nach sich ziehen. Die Höhe der Strafzahlungen richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Mio. € oder vier Prozent des globalen Umsatzes betragen – je nachdem, welcher Betrag den größeren Wert darstellt. Für KMU ist es daher entscheidend, proaktiv zu handeln, um Risiken zu minimieren.

Die Einhaltung der Datenschutz-Grundverordnung ist aber keine reine gesetzliche Verpflichtung, sondern auch eine Chance, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu positionieren. Klienten und Geschäftspartner legen zunehmend Wert auf Datenintegrität und Datensicherheit – insbesondere im deutschsprachigen Raum, wo die Sensibilität für dieses Thema besonders ausgeprägt ist. Indem Sie die datenschutzrechtlichen Vorgaben erfüllen, schützen Sie ergo nicht nur Ihre Kunden und Teammitglieder, sondern stärken auch Ihre Wettbewerbsfähigkeit und minimieren Gefahren.

In diesem Artikel können wir aufgrund der Komplexität des Themas logischerweise viele Aspekte nur oberflächlich behandeln.

Als Datenschutz-Experten unterstützen wir Sie gerne dabei, die Datenschutz-Grundverordnung als Wettbewerbsvorteil zu nutzen und sich konform aufzustellen. Sprechen Sie uns gerne an, wir freuen uns auf Ihre Anfrage.

Ihr Praxis-Guide zur DSGVO: Datenschutz ohne Stolpersteine

Kontakt

Was für Sie auch interessant sein könnte

Weitere Artikel
Veranstaltungen

DATEV Regional-Info-Tag in Hannover

Besuchen Sie unseren Stand beim DATEV Regional-Info-Tag: Unsere Expert:innen beantworten Ihre Fragen, zeigen die neuesten Technologien und geben praxisnahe Tipps.

Jetzt für den Newsletter anmelden

Anmelden
List + Lohr Logo part of ploonit group

Sie machen Business. Wir Ihre IT.

IT Service, Lösungen, Helpdesk, Infrastruktur, Cloud, Hosting, Managed Backup, Managed Server, Managed Antivirus, MPS, All-IP, IT Security und Externer Datenschutzbeauftragter – Das Systemhaus für die Region Hannover.

Facebook Instagram Linkedin Xing Twitter
Kontakt
  • List + Lohr GmbH
  • Garvensstr. 4
    30519 Hannover
Jetzt kontaktieren
News
Karriere