Die Datenschutz-Grundverordnung, auch als DSGVO bekannt, ist ein EU-Gesetz, das seit 2018 in allen EU-Ländern gilt. Die DSGVO stärkt den Datenschutz und gibt allen Bürgern eine bessere Kontrolle über ihre Daten an die Hand. Doch für Unternehmen kann sie auch zu einem echten Albtraum werden, denn wer sich nicht strafbar machen will, muss jede Menge Regelungen beachten. Dies gilt jedoch nicht nur für größere Unternehmen: Auch kleine und mittelständische Unternehmen (KMU) müssen sich daran halten. Doch das ist einfacher gesagt als getan. Wir zeigen dir, was du beachten solltest, um Strafen für die Missachtung der DSGVO zu vermeiden.
Auch spannend für dich:
- DSGVO-konforme Website: 5 unverzichtbare Kriterien
- Umsetzung der DSGVO: Grundlagenwissen und Expertenhilfe
- DSGVO & Cookies: Haye Hösel im Experten-Interview
Datenschutzbeauftragten benennen: Pflicht oder freiwillig?
Ob dein Unternehmen einen Datenschutzbeauftragten benennen muss, hängt von der Art der Datenverarbeitung ab. Pflicht ist er, wenn regelmäßig besonders schützenswerte Daten verarbeitet werden oder mehr als 20 Mitarbeiter mit automatisierten personenbezogenen Daten arbeiten. Falls du keinen Datenschutzbeauftragten benennen musst, solltest du trotzdem eine verantwortliche Person für Datenschutzfragen festlegen. Das ist wichtig, denn für den Datenschutz muss unter anderem auch ein sogenanntes „Verarbeitungsverzeichnis“ angelegt werden. Ein Verarbeitungsverzeichnis dokumentiert, welche personenbezogenen Daten in deinem Unternehmen verarbeitet werden, zu welchem Zweck und auf welcher rechtlichen Grundlage. Es hilft dir, den Überblick zu behalten und im Falle einer Prüfung durch die Datenschutzbehörde schnell reagieren zu können.
Kunden transparente Datenschutzhinweise bereitstellen
Kunden, Mitarbeiter und andere Betroffene haben das Recht zu wissen, welche Daten erhoben und verarbeitet werden. Unternehmen müssen daher transparente Datenschutzhinweise bereitstellen. Diese sollten unter anderem folgende Punkte enthalten:
- Welche Daten erhoben werden
- Warum diese Daten verarbeitet werden
- Wie lange die Daten gespeichert bleiben
- Welche Rechte die betroffenen Personen haben
Das ist nicht nur rechtlich bindend, sondern stärkt auch das Vertrauen der Kunden in den Umgang des Unternehmens mit Daten. Je transparenter die Datenschutzhinweise sind, desto besser. Um personenbezogene Daten verarbeiten zu dürfen, bedarf es zudem einer rechtlichen Grundlage. Häufige Gründe sind dafür unter anderem:
- Einwilligung der betroffenen Person
- Erforderlichkeit für die Vertragserfüllung
- Berechtigte Interessen des Unternehmens (z. B. Marketing, Sicherheit) Falls keine dieser Grundlagen zutrifft, dürfen die Daten nicht verarbeitet werden.
Arbeitet dein Unternehmen mit externen Dienstleistern zusammen, die personenbezogene Daten verarbeiten (z. B. Cloud-Anbieter, Lohnbuchhaltung, Newsletter-Dienste)? Dann ist ein Auftragsverarbeitungsvertrag (AVV) notwendig. Dieser Vertrag regelt die Verantwortlichkeiten und stellt sicher, dass der Dienstleister ebenfalls DSGVO-konform arbeitet. Das verhindert böse Überraschungen, wie dass sich später herausstellt, dass der Dienstleister doch gegen die DSGVO verstößt.
Technische und organisatorische Maßnahmen umsetzen
Zum Schutz personenbezogener Daten sind geeignete Sicherheitsmaßnahmen erforderlich. Die können teils digital eingerichtet und automatisiert werden, teils müssen sie aber auch extra durchgeführt werden. Zu den digitalen Schutzmechanismen gehören unter anderem die sogenannte Zwei-Faktor-Authentifizierung und starke Passwörter. Heißt auch: Passwörter sollten regelmäßig geändert werden und nach Möglichkeit nicht auf einem Zettel, der im Büro aushängt, aufgeschrieben werden. Nicht jeder Mitarbeiter braucht auf alle Daten Zugriff. Dieser sollte nur denjenigen gewährt werden, die ihn benötigen, um ihre Arbeit zu machen. Um den Mitarbeitern das Konzept der DSGVO und Cybersecurity näherzubringen, sollten regelmäßige Schulungen veranstaltet werden. Zudem sollten die Daten regelmäßig mit Backups abgesichert werden. Sensible Daten müssen unbedingt verschlüsselt werden, da sonst ein Sicherheitsrisiko droht.
Datenschutzverletzungen richtig handhaben
Falls es zu einer Datenpanne kommt, müssen Unternehmen schnell handeln. Datenschutzverstöße müssen innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden. Gleichzeitig sollten betroffene Personen informiert werden, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Die Personen, deren Daten in deinem Unternehmen verarbeitet werden, haben umfangreiche Rechte. Dazu gehören:
- Auskunftsrecht über gespeicherte Daten
- Recht auf Löschung („Recht auf Vergessenwerden“)
- Recht auf Berichtigung falscher Daten
- Widerspruchsrecht gegen die Verarbeitung Unternehmen müssen sicherstellen, dass sie auf solche Anfragen schnell und DSGVO-konform reagieren können.
Ein sehr aufschlussreicher Artikel! Als jemand, der eine Monteurwohnung tageweise vermietet und dafür eine eigene Website betreibt, waren die Ausführungen…
Vielen Dank für diesen praxisnahen Artikel! Die vorgestellten Methoden wie die Pomodoro Technik und das Eisenhower-Prinzip bieten wertvolle Ansätze, um…
Danke für den spannenden Artikel – hat wirklich zum Nachdenken angeregt!