Home » News » Allgemein » Datenschutz für kleine Unternehmen: Die DS-GVO verzeiht kein Wegducken

Datenschutz für kleine Unternehmen: Die DS-GVO verzeiht kein Wegducken

Die Datenschutz-Grundverordnung ist seit nunmehr knapp vier Jahren in Kraft. Trotzdem tun sich gerade kleinere Unternehmen mit der Umsetzung immer noch schwer.

3 Min. Lesezeit
©AdobeStock/Jérôme Rommé

Die Datenschutz-Grundverordnung ist seit nunmehr knapp vier Jahren in Kraft. Trotzdem tun sich gerade kleinere Unternehmen mit der Umsetzung immer noch schwer.

Häufig gehen kleine Unternehmen davon aus, dass sie von der DS-GVO befreit sind. Das ist falsch, schließlich fallen selbst bei Betrieben mit wenigen Mitarbeitern, Solo-Selbstständigen oder Vereinen Daten an: Beim Produktkauf online wird etwa die Lieferadresse angegeben. Interessierte Kontaktpersonen hinterlassen ihre Telefonnummer mit der Bitte um Rückruf. Der Schutz von personenbezogenen Daten wie diesen, die für die geschäftliche Tätigkeit erfasst, verarbeitet, verwendet oder weitergegeben werden, steht im Mittelpunkt der DS-GVO. Werden die Bestimmungen nicht eingehalten, drohen empfindliche Bußgelder – unabhängig von der Betriebsgröße. Der Berliner Webhoster STRATO erklärt, worauf kleine Betriebe achten müssen.

  • Was sind die gesetzlichen Anforderungen der DSGVO? Welche Maßnahmen müssen Unternehmen umsetzen?

Als personenbezogene Daten gelten nicht nur naheliegende Identifikations-Merkmale wie Name, Geburtsdatum, Anschrift, Telefonnummer oder E-Mail-Adresse, sondern grundsätzlich alle Informationen rund um die Identität einer natürlichen Person. Aber auch Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, jedoch zur erneuten Identifizierung einer Person genutzt werden können, bleiben personenbezogene Daten und fallen damit in den Anwendungsbereich der Datenschutz-Grundverordnung. Die Verarbeitung dieser Daten muss grundsätzlich DS-GVO-konform sein, wofür das Regelwerk verschiedene technische und organisatorische Maßnahmen (TOM) vorsieht. Zu diesen Maßnahmen zählt es etwa, die Mitarbeitenden zu sensibilisieren, Daten zu verschlüsseln, Datenzugriffe zu protokollieren oder eine Firewall einzurichten. Der Umfang unterscheidet sich je nach Betriebsart: So muss etwa ein Handwerker, der wenige Daten in einer Excel-Liste speichert, nicht dieselben Sicherheitsmaßnahmen umsetzen wie eine Arztpraxis, die mit sensiblen Patientendaten arbeitet. Deshalb sollten gerade kleine Unternehmen vorab beispielsweise mit Hilfe ihres Branchenverbands überprüfen, was wirklich nötig ist. Einen eigenen qualifizierten Datenschutzbeauftragten brauchen Kleinbetriebe in der Regel nicht. Nur wenn mindestens 20 Personen schwerpunktmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wäre dies der Fall. Das Verzeichnis der Verarbeitungstätigkeiten ist unabhängig von der Firmengröße Vorschrift, sobald die Verarbeitung personenbezogener Daten wie E-Mails oder Kundensysteme eine „regelmäßige Tätigkeit“ ist.

  • Wo lauern Fallstricke, die gerade kleine Unternehmen nicht immer auf dem Radar haben?

Viele denken bei personenbezogenen Daten zunächst nur an ihre Kunden. Im Geschäftsleben unterliegen aber auch Daten von Mitarbeitenden, Lieferanten, Dienstleistern oder Behördenvertretern den Datenschutzbestimmungen. Hinzu kommen Bewerberinnen und Bewerber: Die haben das Recht, jederzeit Auskunft über die Nutzung ihrer Daten einzufordern beziehungsweise deren Löschung zu verlangen. Zudem dürfen nur am Bewerbungsprozess beteiligte Mitarbeitende die Unterlagen einsehen. Viele Betriebe dürften zusätzlich Dienstleistern den Zugriff auf persönliche Daten ermöglichen – beispielsweise beim Hosting einer Webseite mit Kundenlogin-Bereich oder beim Versenden von Newslettern über eine Marketingagentur. Das setzt wiederum einen schriftlichen Vertrag zur Auftragsverarbeitung voraus. Zu beachten gibt es auch einiges, wenn es um Cookies geht: Diese dürfen nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten. Für die Anwendung anderer Cookies benötigen Webseitenbetreiber jedoch eine Zustimmung der Nutzer. Das betrifft vor allem Werbe-Cookies, die für das Retargeting genutzt werden, aber auch Analyse- und Social-Media-Cookies zählen hierzu. Kritisch wird es, wenn persönliche Daten von Dritten verkauft werden, ohne diese um Erlaubnis gefragt zu haben.

  • DS-GVO-konformes Handeln ist nicht einfach – wo bekommen kleine Unternehmen Hilfe? Die Anforderungen des Datenschutzes sehen bei jedem Unternehmen anders aus und müssen individuell geklärt werden. Eine gute Orientierungshilfe bieten die jeweiligen Landesämter für Datenschutzaufsicht. Dort gibt es für typische Branchen auch Musterverzeichnisse der Verarbeitungstätigkeiten zum Download – etwa beim BayLDA. Auf Anfrage werden darüber hinaus weitere Themen behandelt: Wie sieht es mit der Verwendung von Adressdaten bei Newslettern aus? Darf man Webanalyse-Tools auf seiner Internetseite verwenden? Ansprechen kann man auch Berufs- und Branchenverbände, die Industrie- und Handelskammern sowie andere Interessenvertretungen, die ihren Mitgliedern eine Beratung anbieten.

„Das Einhalten der DS-GVO-Vorschriften ist für Unternehmen zweifellos mit Mehrarbeit verbunden. Wenn kleinere Betriebe aufgrund ihrer Größe allerdings hoffen, unter dem Radar der Kontrollbehörden zu fliegen, dann täuschen sie sich: Auch sie werden bei Verstößen mit Strafzahlungen belegt. Die persönlichen Daten von Kundinnen und Kunden, Geschäftspartnerinnen und Geschäftspartnern und Mitarbeitenden vertraulich und umsichtig zu behandeln, liegt letztlich in ihrem eigenen Interesse“, so Agata Guzdziol, Rechtsexpertin bei STRATO.

Andere interessante News

Fußball-WM Streaming-Seiten zocken Fans ab

Bereits wenige Tage nach Start der FIFA Fußball Weltmeisterschaft 2022 konnten die Sicherheitsforscher des Zscaler ThreatLabz eine Häufung von gefälschten Streaming-Seiten verzeichnen. Ziel sind Fußballfans, die mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf Malware-infizierte Webseiten gelockt werden sollen.

Dein Freund, dein Handy-Spion Nummer 1

Laut einer aktuellen Bitkom-Studie haben 4 von 10 (41 Prozent) der Befragten schon einmal heimlich das Smartphone einer ihnen bekannten Person genommen, um darin herumzuschnüffeln. 14 Prozent sagen, sie hätten das bislang nur einmal gemacht, 17 Prozent tun dies nach eigenem Bekunden selten, 5 Prozent häufiger und ebenfalls 5 Prozent sogar regelmäßig.

Was die IT-Sicherheit 2022 bewegt hat

Fünf Entwicklungen haben die IT-Welt 2022 besonders in Atem gehalten. So sieht es Joseph Carson, Chief Security Scientist & Advisory CISO bei Delinea, in seinem Rückblick auf Trends und Entwicklungen, welche die IT-Branche im Jahr 2022 nachhaltig beeinflusst haben.