3 Jahre DSGVO: Empfehlungen für mehr Datensicherheit bei KMU

„DSGVO“ – viele kleine und mittelständische Unternehmen haben Probleme das Gesetz rechtssicher umzusetzen. Unser Experte Maximilian Modl hat uns im exklusiven Interview drei Fragen zum Thema Datenschutz-Grundverordnung beantwortet. Hierbei beleuchtet er insbesondere die Chancen und Herausforderungen der DSGVO. Zudem erhältst du Empfehlungen für Datensicherheit.

1. Was ist DSGVO und für wen gilt sie?

Die DSGVO trat am 25. Mai 2018, also vor drei Jahren, in Kraft. Die Abkürzung steht für Datenschutz-Grundverordnung und gilt europaweit für alle, die mit sensiblen Daten arbeiten. Dies betrifft gerade HändlerInnen, die mit ihren KundInnen kommunizieren.

Ziel der DSGVO ist es, die Privatsphäre von Privatpersonen zu schützen. Denn vor allem in Zeiten der Digitalisierung sind HändlerInnen dazu angehalten, personenbezogene Daten wie Namen, E-Mail-Adressen und weitere Informationen diskret zu behandeln und nicht an Dritte weiterzugeben. 

EXTRA: DSGVO & Cookies: Haye Hösel im Experten-Interview

Ich plädiere immer dafür, die DSGVO nicht als Hürde, sondern als eine Chance zu sehen. Bei der Implementierung hakt es zwar hier und da noch – gerade bei kleinen und mittelständischen Unternehmen, die meist keine eigene Abteilung für Rechtsfragen haben. 

Die DSGVO ist aber ein wirkungsvolles Mittel zur Stärkung von Personenrechten. 

Für HändlerInnen sollte Kundenzentrierung an erster Stelle stehen. Entsprechend ist es auch in ihrem Interesse, die Daten ihrer KundInnen vertraulich zu behandeln.

2. Welche Herausforderungen und Chancen gibt es für KMU bei der Umsetzung der DSGVO?

Für KMU lassen sich drei Herausforderungen identifizieren. Die erste betrifft den administrativen Aufwand, der sicherlich gerade für KMU anfangs verhältnismäßig hoch ist. Sowohl Zeit als auch Kapital werden zunächst benötigt, um den Datenschutz zu wahren – das kann gerade zu Beginn abschreckend wirken. Auf lange Sicht rentiert sich dieses Investment aber, denn Bußgelder bei Verstoß gegen die DSGVO können schon mal in den zweistelligen Millionenbereich gehen.

Der administrative Aufwand tritt meist gepaart mit einem Mangel von Fachwissen zum Thema auf – auch drei Jahre nach Inkrafttreten der Verordnung:

• Welche Daten dürfen gesichert werden und für wie lange?
• Wann muss ich Daten löschen?
• Worin unterscheiden sich personenbezogene von geschäftsbezogenen Daten?

Solche und weitere Fragen können schon mal Kopfschmerzen bereiten.

Die dritte Herausforderung betrifft das Datenmanagement selbst. Viele KMU nutzen noch nicht die zahlreichen hilfreichen Tools, die der Markt inzwischen hergibt, um DSGVO-konform mit ihren KundInnen zu kommunizieren. Beim Thema Datenschutz sind Automatisierungen eigentlich ein absolutes Must-Have, denn je nach Datenmenge kann es für Einzelpersonen schwierig werden, den Überblick zu behalten. Wichtig bei der Wahl des Tools: Tool-Anbieter mit Standort innerhalb der EU, denn diese müssen per Gesetz schon DSGVO-konform sein.

Bei all den Herausforderungen bieten sich aber natürlich auch gewaltige Chancen für KMU. Denn gerade bei kleineren Unternehmen ist ein persönliches Vertrauensverhältnis zu den KundInnen eines der wichtigsten Punkte, um eine langfristige Beziehung aufzubauen. Ein gleichsam sicherer und transparenter Umgang mit den zum Teil sensiblen Daten der KundInnen hilft dabei, dieses Vertrauen zu stärken. Gleichzeitig bieten etwa DSGVO-konforme, automatisierte Marketing-Tools die Möglichkeit, mit den gesammelten Daten die Customer Experience zu verbessern, was nachweislich zu höheren Umsätzen führt. Datenschutz wird damit zu einer Ressource, die gewinnbringend genutzt werden kann – und genutzt werden sollte.

3. Wie können Unternehmen dafür sorgen, dass sie den Datenschutz rechtssicher umsetzen? Gibt es Handlungsempfehlungen für KMU?

Erstens gilt es, seine aktuelle Situation in Bezug auf Datenschutz-Grundlagen zu reflektieren und die verwendeten Tools auf DSGVO-Konformität zu überprüfen:

• Gab oder gibt es DSGVO-Verstöße?
• Welche Konsequenzen hat man gezogen?

EXTRA: DSGVO: Für das Unternehmen ist alles erledigt – oder?

Eventuell lohnt es sich, auf alternative Tools umzusteigen, die ihren Standort in der EU haben und deshalb verpflichtet sind, sich an die DSGVO zu halten. Daneben macht es Sinn, dass der oder die Datenschutzbeauftragte regelmäßige Meetings mit Stakeholdern im Unternehmen einberuft. Somit können etwaige Fragen geklärt werden. Auch regelmäßige Schulungen in den relevanten Abteilungen bieten sich an, etwa:

• in der IT
• in der Rechtsabteilung
• vor allem auch im Marketing 

Schule Abteilungen, in denen viel mit personenbezogenen Daten gearbeitet wird.