Datenschutz im Fokus: So meistern Mittelständler die DSGVO

Achtung beim Einsatz von Anbietern, die außerhalb der EU ansässig sind

Datenschutz bei Anbietern außerhalb der EU ist ein Thema, das für Unternehmen immer wichtiger wird. Die DSGVO erlaubt Datenübertragungen in Länder außerhalb der EU (= Drittlandübermittlung) nur unter strengen Auflagen. In der Praxis von Bedeutung ist dies zum Beispiel beim Gebrauch von Softwarelösungen und Diensten von Firmen aus den USA, wie beispielsweise Microsoft, Google oder Amazon.
Lesen Sie auch unseren Beitrag zur sicheren Cloud-Nutzung im Mittelstand. Hier muss sichergestellt werden, dass die Datenweitergabe auf einer der rechtlich zulässigen Grundlagen basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission anerkannten Datenschutzstandards.

Unternehmen müssen regelmäßig prüfen, ob ihre Dienstleister die Datenschutzvorgaben einhalten. Ändern sich US-Datenschutzgesetze, sind neue Schutzmaßnahmen erforderlich. Zusätzlich sollten in solchen Fällen die betroffenen Personen über die Datenweitergabe ihrer Daten in außereuropäische Staaten informiert werden. Es empfiehlt sich, ein sogenanntes Register der genutzten Subdienstleister öffentlich zur Verfügung zu stellen und alle Auftragsverarbeitungsverträge an zentraler Stelle abzulegen.

Dokumentation leicht gemacht: DSGVO-Vorgaben im Alltag umsetzen

Die DSGVO verpflichtet Unternehmen, die Compliance der Datenschutzvorgaben nachweisen zu können. Dies erfordert detaillierte Aufzeichnungen, unter anderem:

• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Nachweis über die Einwilligung der Betroffenen

Eine lückenhafte Dokumentation kann bei einer Prüfung durch die Datenschutzbehörden zu Problemen führen, selbst wenn die eigentliche Datenbearbeitung korrekt erfolgt. Schauen wir uns also einmal näher an, was sich hinter den einzelnen Punkten verbirgt:

Unternehmen müssen in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten alle Datenprozesse, bei denen personenbezogene Daten betroffen sind, dokumentieren. Ein solches Register hilft, die Datenverarbeitung zu organisieren und die Compliance der Datenschutz-Grundverordnung nachzuweisen. Es sollte Informationen wie die Art der Informationen, die Verarbeitungsziele, die Datenempfänger und die Speicherdauer enthalten und kann z. B. als Excel-Tabelle erstellt sein. Hier tauchen dann Datenbearbeitungsprozesse wie der Newsletter-Versand, die Datenverwaltung von Angestellten im Rahmen der Gehaltsberechnung oder die Kundendatenverarbeitung im Rahmen von Bestellungen über einen Webshop auf und sind einzeln als Prozesse ausführlich beschrieben.

Ein Beispiel für eine Risikobewertung im Datenschutz wäre, wenn ein Unternehmen die Implementierung eines neuen Kundenbewertungssystems plant, das detaillierte Daten über das Verhalten der Nutzer sammelt. Bevor es mit der Datenverarbeitung beginnt, müsste das Unternehmen eine Analyse durchführen, um potenzielle Gefahren für die Rechte und Freiheiten der betroffenen Personen zu bewerten und geeignete Strategien zum Risikomanagement festzulegen. Dies ist nötig bei allen Verarbeitungen, die ein hohes Risiko für die Grundrechte der Individuen darstellen.

In der Praxis am öftesten dürfte Firmen der Beleg für die Zustimmung der Nutzer begegnen – sei es auf der Internetseite in Form eines Cookie-Banners, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Mitarbeiter-Fotos von der letzten Unternehmensveranstaltung öffentlich zu teilen. Optimalerweise werden alle Zustimmungen elektronisch dokumentiert – inklusive Zeitpunkt und genauer Beschreibung. Dabei kann ein Kundenmanagement-System wie beispielsweise HubSpot CRM oder Salesforce CRM helfen. Ziel ist, dass Unternehmen jederzeit den Beweis erbringen können, dass eine Person ihre Zustimmung zur Datennutzung freiwillig, präzise, informiert und unmissverständlich erteilt hat sowie im besten Fall auch, wann und wo dies erfolgt ist.

Zusammenfassung: Datenschutz als Wettbewerbsvorteil?

Die Nichteinhaltung der Datenschutz-Grundverordnung kann erhebliche monetäre Folgen nach sich ziehen. Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag den größeren Wert darstellt. Für KMU ist es daher entscheidend, vorsorglich Maßnahmen zu ergreifen, um Gefahren zu minimieren.

Die Umsetzung der DSGVO ist aber keine reine gesetzliche Verpflichtung, sondern auch eine Chance, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu positionieren. Kunden und Unternehmenspartner legen zunehmend Wert auf Datenschutz und Sicherheitsstandards – insbesondere im deutschsprachigen Raum, wo die Aufmerksamkeit für dieses Thema besonders ausgeprägt ist. Indem Sie die datenschutzrechtlichen Vorgaben erfüllen, sichern Sie ergo nicht nur Ihre Klienten und Mitarbeiter, sondern stärken auch Ihre Marktposition und reduzieren Gefahren.

In diesem Artikel können wir aufgrund der Komplexität des Themas natürlich viele Aspekte nur anreißen. Als Technologieberater unterstützen wir Sie aber mit Vergnügen dabei, die Datenschutz-Grundverordnung als strategischen Vorteil zu nutzen und sich rechtskonform aufzustellen. Sprechen Sie uns gerne an, wir freuen uns darauf, von Ihnen zu lesen.