Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum umgestaltet. Doch nach wie vor dürften sich viele – von KMU über Großunternehmen und öffentliche Einrichtungen bis hin zu Privatpersonen gleichermaßen – ausreichend fit fühlen in Sachen DSGVO-konformen Datenschutzes. Die Regeln sind komplex und undurchsichtig, die Anforderungen an Unternehmen immens und die drohenden Strafen bei Nichteinhaltung einschüchternd. So ist es nicht verwunderlich, dass eine kürzlich vom Branchenverband BITKOM veröffentlichte Studie zeigte, dass nur sieben von zehn Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) eingehalten haben, weitere 28 Prozent lediglich teilweise.
Auch sechs Jahre nach Inkrafttreten der DSGVO leiden dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unklarheiten, was die Bestimmungen der DSGVO betrifft. Zudem empfinden neun von zehn Unternehmen den mit der DSGVO verbundenen Aufwand als zu hoch und fordern sogar für eine Überarbeitung der Datenschutzaufsicht! Besonders kritisiert werden demnach die komplexen und teilweise inkonsistenten Interpretationen, die nicht nur Kapazitäten beanspruchen, sondern auch die Innovationsfähigkeit einschränken würden.
Die Studie untersucht auch eine Facette, die in der Vergangenheit immer wichtiger wurde: den Einfluss künstlicher Intelligenz (KI) auf den Datenschutz. Während fast 70 Prozent der Unternehmen die KI als mögliche Unterstützung zur Bewältigung von Herausforderungen im Datenschutz sehen, sind genauso viele der Ansicht, dass KI den Datenschutz auch vor bisher unbekannte Hürden stellt: Ob es um die Anonymisierung von Daten oder die Entwicklung compliance-konformer KI-Lösungen geht – der Spagat zwischen Innovation und Compliance bleibt schwierig.
Ob mit KI wie auch ohne; die Schlüsselfrage bleibt: Können Mittelständler die DSGVO nicht nur als Hindernis betrachten, sondern auch als Strategievorteil für sich erschließen? Und wie lassen sich die komplexen DSGVO-Anforderungen als KMU erfüllen? Dieser Ratgeber bietet speziell kleinen und mittelständischen Unternehmen eine praktische Anleitung, um die DSGVO-Bestimmungen zu begreifen und sie dauerhaft erfolgreich umsetzen zu können.
Was ist die DSGVO?
Auf den Punkt gebracht: Die DSGVO definiert den Umgang mit persönlichen Informationen in der Europäischen Union. Ziel ist es, die Bürgerrechte auf den Datenschutz zu stärken und den uneingeschränkten Datenaustausch innerhalb des Binnenmarkts zu gewährleisten.
Für Firmen bedeutet das konkret, dass jede Verarbeitung sogenannter persönlicher Informationen a) rechtmäßig, b) transparent und c) an einen spezifischen Zweck gebunden, erfolgen muss. Die Regelung gilt für alle Unternehmen, die in der EU tätig sind oder Daten mit Personenbezug von EU-Bürgern bearbeiten – egal, wo sie ihren Sitz haben.
Personenbezogene Daten umfassen alle Daten, die sich auf eine bekannte oder identifizierbare Person beziehen lassen. Dazu zählen unter anderem:
- Name
- Anschrift
- Mail-Adresse
- IP-Adresse(n)
- Kundennummer
- Standortdaten
- u.v.m.
Die Verarbeitung solcher Informationen ist an die klaren Regelungen der DSGVO gebunden. Was exakt sich daraus für ToDos für Unternehmen ableiten, werden wir im Weiteren beleuchten. Aber vorweg sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal auf Kurs gebracht, kann ich mich entspannen ... Nein, eher wird bei der Einführung jedes neuen Software-Tools das Thema DSGVO erneut relevant. Oder wissen Sie, dass ein Betrieb ab dem 20. Beschäftigten, der Zugriff auf personenbezogene Daten, gemäß DSGVO einen Data Protection Officer ernennen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen laufend beschäftigt.
Rechtlich abgesichert: Wann ist Datenverarbeitung erlaubt?
Die DSGVO besagt ganz klar: Eine Verarbeitung von personenbezogenen Daten ist generell nur dann zulässig, wenn sie auf einer rechtlichen Grundlage beruht. Möglich sind die folgenden rechtlichen Grundlagen:
- Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – dies trifft zum Beispiel zu, wenn eine Person bewusst der Verwendung ihrer E-Mail-Adresse für den Erhalt von Werbe-E-Mails zustimmt.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – dies trifft zum Beispiel zu, wenn ein E-Commerce-Unternehmen die Zahlungsdaten eines Kunden verwendet, um eine Bestellung zu erledigen und somit den Vertrag zu erfüllen.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – dies trifft zum Beispiel zu, wenn ein Arbeitgeber die Gehaltsdaten eines Mitarbeiters speichert und verarbeitet, um den Vorgaben des Steuerrechts nachzukommen.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen Benutzerdaten der Website verarbeitet, um seine digitale Infrastruktur vor Angriffen durch Hacker zu schützen.
In der gelebten Praxis ist die Einholung einer Einwilligung oftmals mit Fragen verbunden, da hier bestimmte Bedingungen erfüllt sein müssen. Die Genehmigung muss nämlich, um DSGVO-konform zu sein, a) spezifisch, b) verständlich und c) freiwillig erfolgen. Unternehmen müssen also gewährleisten, dass die Dateninhaber klar verstehen, welchem Zweck die Zustimmung dient, und dass diese Entscheidung freiwillig getroffen wird. Zudem muss die Einwilligung rückgängig machbar sein, ohne Nachteile für die Person. Ein typisches Exempel hierfür sind Cookie-Banner bzw. Consent-Management-Tools für Websites, die Einwilligungen der betroffenen Personen abfragen, beispielsweise was die Verarbeitung ihrer IP-Adresse angeht.
Neben der rechtlichen Grundlage, welche nötig ist, um personenbezogene Daten zu verarbeiten, verlangt der Grundsatz der Datenminimierung, dass nur die für den jeweiligen wirklich zwingenden Zweck notwendigen Daten erhoben werden. Beispielsweise darf ein Online-Shop im Checkout auch nur die Daten sammeln, die für die Bestellung nötig sind.
Die Bedeutung der technischen und organisatorischen Maßnahmen (TOMs)
Für KMU ist es entscheidend, die Integrität personenbezogener Daten zu gewährleisten, um sowohl rechtlichen Vorgaben gerecht zu werden als auch das Vertrauen ihrer Kunden zu fördern. Die DSGVO fordert von Firmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (vor allem) persönliche Daten zu sichern.
Unternehmen müssen demnach gewährleisten, dass ihre IT-Systeme die Sicherheit personenbezogener Daten gewährleisten. Dazu zählen beispielsweise folgende Vorkehrungen:
- Verschlüsselung sensibler Daten
- Implementierung von Zugriffskontrollen
- Regelmäßige Sicherheitsupdates
Welche TOMs sinnvoll und erforderlich zu ergreifen sind, ist davon abhängig, in welchem Geschäftszweig ein Unternehmen unterwegs ist. Wir versuchen trotzdem, ein paar spezifische, allgemeingültige Schritte zu nennen, die Sie ergreifen können und sollten:
1. Verschlüsselung sensibler Daten: Schützen Sie alle persönlichen Informationen, die Sie speichern oder übermitteln (z. B. Kundeninformationen, Finanzinformationen). Dies unterbindet, dass Dritte im Falle eines Datenlecks auf diese Daten zugreifen können. Nutzen Sie zudem anerkannte Verschlüsselungsstandards wie AES oder RSA.
2. Zugriffskontrollen implementieren: Nur autorisierte Angestellte sollten Zugriff auf personenbezogene Daten haben. Setzen Sie rollenbasierte Zugriffsbeschränkungen um, sodass Angestellte nur die Daten sehen können, welche sie für ihre Arbeit tatsächlich benötigen. Verwenden Sie darüber hinaus starke Passwörter und Mehrfaktor-Authentifizierung für den Zugang zu kritischen Systemen.
3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Software, Betriebssysteme und Schutzsysteme regelmäßig. Schwachstellen in veralteten Systemen sind häufig ein Einfallstor für Angreifer. Vereinfachen Sie, wenn möglich, den Aktualisierungsprozess, um sicherzustellen, dass Sie keine kritischen Aktualisierungen übersehen.
4. Mitarbeiterschulungen und Sensibilisierung: Informieren Sie Ihre Teammitglieder regelmäßig für Datenschutzthemen. Weiterbildungen sollten konkrete Beispiele und Best Practices für den Umgang mit personenbezogenen Daten beinhalten. Sie sollten zudem sicherstellen, dass Ihre Angestellten wissen, wie sie Verstöße gegen den Datenschutz erkennen und berichten können und wer intern der Verantwortliche rund um Datenschutzfragen ist.
5. Dokumentation der Maßnahmen: Führen Sie eine umfassende Dokumentation aller TOMs, die Sie zum Schutz der Daten implementiert haben. Diese Dokumentation hilft Ihnen, im Falle einer Inspektion zu belegen, dass Sie die Datenschutzanforderungen erfüllen.
Die TOMs schützen nicht nur die Daten Ihrer Kunden und Mitarbeiter, sondern nützen Ihnen auch, das Risiko von Datenschutzverletzungen zu verkleinern. Details zur Umsetzung von TOMs sind auf der offiziellen Website der Europäischen Kommission zur DSGVO zu finden unter https://commission.europa.eu/law/law-topic/data-protection_en.
