Datenschutz Magazin
Datenschutz in KMU: Das müssen Sie wissen
Datenschutz in Klein- und Mittelunternehmen (KMU) ist ein hochaktuelles Thema: Durch die Digitalisierung sind Unternehmen permanent damit konfrontiert – und oft überfordert. Sie kämpfen mit fehlendem Know-how, komplexen Vorschriften und laufenden Gesetzesänderungen. Dabei kann datenschutzkonformes Handeln sogar ein Wettbewerbsvorteil sein. Diese 9 Tipps helfen Ihnen, Ihr Unternehmen datenschutzkonform aufzustellen.
TIPP 1
Erkennen Sie die Notwendigkeit von Datenschutz
Die Digitalisierung von Geschäftsprozessen birgt erhebliches Potenzial. Gerade wenn es für KMU darum geht, sich am Markt zu behaupten und wettbewerbsfähig zu bleiben. Damit steigt aber auch das Risiko für Cyberangriffe. Fast jedes dritte Mittelstandsunternehmen war in den letzten Jahren von IT-sicherheitsrelevanten Vorfällen betroffen. Investitionen in die Datensicherheit werden damit immer relevanter. Dennoch nehmen viele Unternehmen diese Notwendigkeit nicht wahr und betrachten Datenschutz vor allem als teuer, aufwendig und „nice to have“. Das auch, weil der Erfolg von Datenschutz-Maßnahmen in der Regel schwer messbar ist. Das hält fast ein Drittel der KMU von weiteren Verbesserungen ab. Zwar fehlt es nicht unbedingt an Personal, aber jedes fünfte Unternehmen gibt an, nicht genug Zeit zu haben, sich konkret mit Datenschutz auseinanderzusetzen. Dem gegenüber stehen die negativen Folgen für den Umsatz im Falle von Angriffen auf die IT-Sicherheit.
TIPP 2
Nutzen Sie Datenschutz als Wettbewerbsvorteil
Die Vorgaben der DSGVO gelten in KMU genauso wie in großen Unternehmen – jedoch stehen in KMU meist nur wenige Ressourcen für das Thema zur Verfügung. Das ist ein Problem: Wer nicht datenschutzkonform agiert, kann sich Bußgelder einhandeln und vor allem negativ auffallen. Der Reputationsverlust ist dann oft der viel größere und nachhaltigere Schaden als eine Strafzahlung. Und umgekehrt gilt: Professioneller Datenschutz kann KMU in B2C und B2B entscheidende Wettbewerbsvorteile verschaffen.
TIPP 3
Bleiben Sie beim Datenschutz immer up to date
Mit der Digitalisierung ändern sich auch die gesetzlichen Vorschriften zum Datenschutz laufend. Das ist sinnvoll: Der bestehende Schutz kann mit neuen Technologien schnell überholt sein. Wollen Unternehmen sicher sein, müssen sie ihre Schutzmaßnahmen kontinuierlich anpassen und verbessern. Das wiederum erfordert ein laufendes Monitoring der rechtlichen Anforderungen und neuer Standards. Wer kann das leisten? Entweder gut ausgebildete Mitarbeiter/innen mit entsprechender Fachkenntnis oder ein externer Dienstleister, der auf Datenschutz spezialisiert ist.
TIPP 4
Schulen Sie Ihre Mitarbeiter/innen regelmäßig
Es klingt hart, aber Mitarbeiter/innen sind eine „Schwachstelle“ in puncto Datenschutz. Die besten Gesetze und die modernste IT-Infrastruktur nutzen nichts, wenn Menschen selbst mit Daten von Kunden und Geschäftspartnern leichtfertig umgehen.
Gefahren entstehen durch sogenanntes „Social Engineering“: Betrüger bringen das Opfer dazu, Malware zu installieren oder sensible Informationen herauszugeben, etwa via E-Mail, gefälschte Websites, Chat-Programme oder Telefonanrufe. Besonders perfide sind Phishing-Angriffe, die sich als Hilferufe von gemeinnützigen Organisationen tarnen. Die Opfer glauben, etwa für Naturkatastrophen, gefährdete Tierarten oder auch COVID zu spenden – und geben den Social Engineers ihre Daten preis.
Hier helfen nur regelmäßige Aufklärung, Schulungen der Mitarbeiter/innen durch Fachpersonal und gelebter Datenschutz auf allen Ebenen des Unternehmens. Das ist in Artikel 32 DSGVO sogar indirekt geregelt: Die dort definierten „geeigneten technischen und organisatorischen Maßnahmen“ sind ohne Wissensvermittlung an Mitarbeiter/innen wohl nur schwer bzw. gar nicht umsetzbar.
TIPP 5
Setzen Sie auf eine individuelle Datenschutzerklärung
Die Website ist das Aushängeschild jedes Unternehmens, birgt aber viel Potenzial für datenschutzrechtliche Verstöße: sei es durch fehlende oder nicht konforme Cookie-Banner, falsche oder nicht vorhandene Einwilligungserklärungen, die nicht konforme Einbindung von Social-Media-Plugins oder eine fehlende Datenschutzerklärung.
Apropos Datenschutzerklärung: Sie wollen eine Mustervorlage nutzen? Keine gute Idee, denn die Informationen zur Verarbeitung von personenbezogenen Daten lassen sich nicht verallgemeinern, sondern sind immer individuell zu gestalten. Warum? Die Komplexität der Informationen ergibt sich aus Artikel 5 DSGVO: Für jede Verarbeitungstätigkeit sind viele Angaben nötig, zum Beispiel die Beschreibung und der Umfang der Datenverarbeitung, zur Rechtsgrundlage, zum Zweck, zur Dauer der Speicherung und zu Widerspruchs- und Beseitigungsmöglichkeiten. Zusätzlich ist die Datenverarbeitung je nach Websitebetreiber unterschiedlich. Und Löschfristen und damit verbundene Prozesse werden im Unternehmen individuell geregelt.
Das alles betrifft nicht nur Websites. Insbesondere bei den Angaben zu Webshops ist datenschutzrechtlich einiges zu beachten. Dort sind u. a. Informationen zur Bestellabwicklung, zum Benutzer-/Kundenkonto, zum Zahlungsverkehr und unter Umständen auch zur Bonitätsprüfung anzugeben.
TIPP 6
Verzichten Sie auf Google Analytics
Wer eine Website betreibt, kennt auch Google Analytics: Der Dienst dient der Datenverkehrsanalyse und liefert viele interessante Informationen über die Besucher einer Seite und ihr Verhalten, zum Beispiel wie lange sie auf welchen Unterseiten verweilen, woher sie kommen, welche Suchmaschinen sie nutzen und vieles mehr.
Doch Achtung! Seit Februar 2022 gilt Google Analytics als nicht datenschutzkonform und die Nutzung ist in Europa nicht zulässig. Ausgangspunkt der gerichtlichen Entscheidung waren 101 EU-weit eingebrachte Beschwerden über die Non-Profit-Organisation des bekannten österreichischen Datenschützers Max Schrems. Ziel war es, Websitebetreiber, aber auch Dienste wie Google und Facebook direkt daran zu hindern, über Tools wie Google Analytics Daten in die USA zu transferieren. Denn die Vereinigten Staaten gelten seit einer vorangegangenen Entscheidung des Europäischen Gerichtshofs („Schrems II“) als unsicheres Drittland für personenbezogene Daten, da diese vor allem von US-Behörden massenweise und ohne Zustimmung der User genutzt werden. Die österreichische Datenschutzbehörde war die erste in der EU, welche die Entscheidung veröffentliche. Mittlerweile sind andere Länder nachgezogen. Und dennoch herrscht in Unternehmen große Verunsicherung.
Für Sie ist vor allem wichtig zu wissen: Google Analytics kann derzeit nicht datenschutzkonform genutzt werden! Nehmen Sie also lieber davon Abstand und lassen Sie sich von einem kompetenten externen Dienstleister beraten, welche Alternativen es gibt. Vor allem im Analysebereich stehen Ihnen viele Möglichkeiten offen. Weitere Informationen und Details zum Thema finden Sie auf der Website der WKO.
TIPP 7
Kommen Sie Ihren Dokumentationspflichten nach
Oft stellen sich KMU die Frage, ob auch sie ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Schnell gelangen sie dann zu Artikel 30 DSGVO: Demnach sind Unternehmen mit weniger als 250 Mitarbeitern dazu nicht verpflichtet. Doch ist das nur die halbe Wahrheit, denn der Zusatz lautet: Der Ausschluss bezieht sich lediglich auf Unternehmen, die „nur gelegentlich“ personenbezogene Daten verarbeiten. Eine „nur gelegentliche“ Verarbeitung wird aber beispielsweise schon bei regelmäßigen Lohn- oder Gehaltszahlungen ausgeschlossen. Das bedeutet: Für fast jedes Unternehmen besteht die Pflicht zum Führen des Verarbeitungsverzeichnisses.
Das Verzeichnis von Verarbeitungstätigkeiten muss enthalten:
- Angaben zur Beschreibung der Verarbeitungstätigkeit
- Zweck der Verarbeitung
- Rechtsgrundlage
- Kategorien der betreffenden personenbezogenen Daten sowie der betroffenen Personen
- Empfänger der Daten
- Informationen zur Übertragung der Daten an Dritte
- Löschfristen
- technisch-organisatorische Maßnahmen.
Auch datenschutzkonforme Prozesse und Arbeitsabläufe müssen Unternehmen sicherstellen und dokumentieren. Zum Beispiel, dass die Rechte der Betroffenen gewahrt sind und ihre Einwilligung eingeholt wurde. Und wichtig sind Unterlagen zu Rollen- und Berechtigungskonzepten, IT-Notfallpläne sowie datenbezogene Vertraulichkeitserklärungen der Mitarbeiter/innen.
TIPP 8
Setzen Sie eine/n Datenschutz-Beauftragte/n ein
Ein/e Datenschutz-Beauftragte/r kümmert sich um die Einhaltung des Datenschutzes im Unternehmen. Doch wann ist ein/e Datenschutz-Beauftragte/r einzusetzen?
- Wenn im Unternehmen mindestens 20 Mitarbeiter/innen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
- Sobald eine Datenschutzfolgeabschätzung gemäß Artikel 35 DSGVO unumgänglich ist oder
- wenn personenbezogene Daten zum Zweck der (anonymisierten) Übermittlung oder zur Markt- und Meinungsforschung verarbeitet werden.
- Wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche die Überwachung von betroffenen Personen erforderlich machen,
- oder die Kerntätigkeit des Unternehmens in der Verarbeitung besonderer Kategorien von Daten (bspw. zu Gesundheit, Religion) besteht.
TIPP 9
Arbeiten Sie mit einem externen Dienstleister
Unternehmen können sich selbst um die Verarbeitung personenbezogener Daten kümmern oder einen externen Dienstleister damit beauftragen. Im zweiten Fall ist laut Artikel 28 (3) DSGVO ein Auftragsverarbeitungsvertrag zwischen den Parteien zu schließen. Dabei müssen Unternehmen Folgendes wissen und beachten:
- Der Auftragnehmer ist an die Anweisungen des
Auftraggebers gebunden. - Der Einsatz von Unterauftragnehmern seitens des
Auftraggebers ist zustimmungspflichtig. - Bei Datenschutzverstößen haftet der Auftragnehmer für seinen Unterauftragnehmer.
- Der Auftraggeber ist für die Verarbeitung der personenbezogenen
Daten trotzdem weiterhin zuständig. - Der Auftraggeber ist verpflichtet, sich von der datenschutzrechtlich konformen Verarbeitung der Daten seitens des Auftragnehmers zu überzeugen.
Die DSGVO ist oft umständlich und kompliziert. Wir sind es nicht.
Wir identifizieren Optimierungsmöglichkeiten Ihres Datenschutz-Managements und erarbeiten maßgeschneiderte Umsetzungsmaßnahmen, die Sie direkt anwenden können.
