Aktuell ist die E-Rechnungspflicht in aller Munde. Aber während nun neue rechtliche Vorschriften – in diesem Fall in Bezug auf die Rechnungserstellung im B2B-Bereich – an Unternehmen gestellt werden, sind andere, seit Jahren geltende Regeln noch längst nicht in allen Unternehmen umgesetzt: Die Sprache ist von der Datenschutz-Grundverordnung (DSGVO).
Die europäische DSGVO hat vor mehr als sechs Jahren den digitalen Raum umgestaltet. Doch nach wie vor dürften sich einige – von kleinen Unternehmen über Großunternehmen und öffentliche Einrichtungen bis hin zu Einzelpersonen gleichermaßen – ausreichend kompetent fühlen in Sachen Datenschutz gemäß DSGVO. Die Regeln sind kompliziert und verwirrend, die Anforderungen an Unternehmen immens und die drohenden Sanktionen bei Nichtbeachtung einschüchternd. Da ist es nicht erstaunlich, dass eine kürzlich vom IT-Verband BITKOM veröffentlichte Studie ergab, dass nur 7 von 10 Unternehmen die DSGVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt haben, weitere 28 Prozent lediglich teilweise (Quellenangabe zur Studie: https://www.bitkom.org/Presse/Presseinformation/Datenschutz-Aufwand-Unternehmen-nimmt-zu).
Auch sechs Jahre nach Einführung der DSGVO kämpfen dieser Studie zufolge drei Viertel (76 Prozent) der befragten Unternehmen unter Unsicherheiten, was die Vorgaben der DSGVO betrifft. Zudem bewerten 9 von 10 Unternehmen den mit der DSGVO verbundenen Bürokratieaufwand als zu hoch und fordern sogar für eine Überarbeitung der Datenschutzaufsicht! Besonders bemängelt werden demnach die komplexen und teilweise inkonsistenten Interpretationen, die nicht nur Ressourcen binden, sondern auch die Innovationsfähigkeit einschränken würden.
Die Studie untersucht auch eine Facette, die in der jüngeren Entwicklung immer wichtiger wurde: den Einfluss von KI-Technologien auf den Datenschutz. Während rund 70 Prozent der Firmen die KI als potenzielle Hilfe zur Bewältigung von Herausforderungen im Datenschutz sehen, sind ebenso viele der Ansicht, dass KI den Datenschutz auch vor neue Herausforderungen stellt: Ob es um die Anonymisierung von Daten oder die Entwicklung compliance-konformer KI-Lösungen geht – der Balanceakt zwischen technologischem Fortschritt und Regelkonformität bleibt schwierig.
Ob mit KI wie auch ohne; die zentrale Frage bleibt: Können KMU die DSGVO nicht nur als Hürde betrachten, sondern ebenso als Strategievorteil für sich nutzen? Und wie lassen sich die komplexen DSGVO-Anforderungen als KMU erfüllen? Dieser Leitfaden bietet speziell KMUs eine Orientierungshilfe, um die DSGVO-Bestimmungen zu begreifen und sie nachhaltig erfolgreich umsetzen zu können.
Die Grundlagen der DSGVO
Auf den Punkt gebracht: Die DSGVO definiert den Umgang mit persönlichen Informationen in der EU. Ziel ist es, die Bürgerrechte auf den Schutz ihrer Daten zu fördern und den uneingeschränkten Datenaustausch innerhalb des europäischen Binnenmarktes zu gewährleisten.
Für Unternehmen bedeutet das im Detail, dass jede Handhabung sogenannter personenbezogener Daten a) gesetzeskonform, b) transparent und c) zweckgebunden erfolgen muss. Die Regelung gilt für alle Unternehmen, die in der EU tätig sind oder Daten mit Personenbezug von EU-Bürgern bearbeiten – egal, wo sie ihren Sitz haben.
Daten mit Personenbezug umfassen alle Informationen, die sich auf eine identifizierte oder bestimmbare Person beziehen. Dazu zählen unter anderem:
• Name
• Anschrift
• Mail-Adresse
• IP-Adresse(n)
• Kundennummer
• Standortdaten
• u.v.m.
Der Umgang mit solchen Daten ist an die strengen Vorgaben der DSGVO gebunden. Was genau sich daraus für Pflichten für Unternehmen ergeben, werden wir im Weiteren näher betrachten. Aber vorab sei noch gesagt, dass in Sachen DSGVO nicht gilt: Einmal implementiert, kann ich mich entspannen ... Nein, vielmehr wird bei der Einführung jedes neuen Software-Tools das Thema DSGVO erneut relevant. Oder wissen Sie, dass ein Unternehmen ab dem 20. Mitarbeiter, der Zugriff auf personenbezogene Daten, gemäß DSGVO einen Data Protection Officer bestellen muss? Das Thema DSGVO ist also etwas, das ein Unternehmen kontinuierlich begleitet.
Rechtlich abgesichert: Wann ist Datenverarbeitung erlaubt?
Die DSGVO besagt ganz klar: Eine Verarbeitung von personenbezogenen Daten ist generell nur dann zulässig, wenn sie auf einer rechtlichen Grundlage beruht. Möglich sind die folgenden rechtlichen Grundlagen:
• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) – das trifft zum Beispiel zu, wenn eine Person proaktiv der Benutzung ihrer E-Mail-Adresse für den Erhalt von Werbe-E-Mails einwilligt.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – dies trifft zum Beispiel zu, wenn ein Online-Shop die Zahlungsdaten eines Kunden verarbeitet, um eine Bestellung zu erfüllen und somit den Vertrag zu erfüllen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – das trifft zum Beispiel zu, wenn ein Arbeitgeber die Lohnabrechnungsdaten eines Mitarbeiters speichert und verarbeitet, um den steuerrechtlichen Anforderungen nachzukommen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – das trifft zum Beispiel zu, wenn ein Unternehmen Nutzerdaten der Website verarbeitet, um seine IT-Infrastruktur vor Angriffen durch Hacker zu sichern.
In der Praxis ist die Erhebung einer Zustimmung oftmals mit Unsicherheiten verbunden, da hier bestimmte Anforderungen gegeben sein müssen. Die Genehmigung muss nämlich, um DSGVO-konform zu sein, a) konkret, b) informiert und c) ohne Zwang erfolgen. Unternehmen müssen also gewährleisten, dass die betroffenen Personen klar verstehen, welchem Zweck die Zustimmung dient, und dass diese Entscheidung ohne Druck getroffen wird. Zudem muss die Einwilligung jederzeit widerrufbar sein, ohne negative Folgen für die Person. Ein typisches Beispiel hierfür sind Cookie-Banner bzw. Zustimmungsmanagement-Systeme für Websites, die Einwilligungen der Website-Besucher abfragen, beispielsweise was die Verarbeitung ihrer IP-Adresse angeht.
Neben der rechtlichen Grundlage, welche nötig ist, um personenbezogene Daten überhaupt verarbeiten zu dürfen, verlangt das Prinzip der Minimierung von Daten, dass nur die für den konkreten, unvermeidbaren Zweck notwendigen Daten erhoben werden. Beispielsweise darf ein E-Commerce-Anbieter im Bestellvorgang auch nur die Daten sammeln, die für die Bestellung erforderlich sind.
Was in der realen Anwendung oftmals übersehen wird, ist der Fakt, dass die gesammelten Informationen gemäß DSGVO lediglich für den ursprünglichen Zweck verwendet werden dürfen. Eine nachträgliche Nutzung für andere Zwecke erfordert eine neue gesetzliche Basis, wie etwa eine erneute Einwilligung. Beispielsweise darf die Adresse eines Kunden, die für die Lieferung erhoben wurde, nicht ohne Zustimmung des Kunden für Marketingzwecke genutzt werden! E-Mails mit Werbung an alle Kunden zu verschicken, ist demnach nicht erlaubt. Erst wenn der Kunde aktiv zustimmt (also seine ausdrückliche Zustimmung gegeben hat), dass er E-Mails mit Informationen empfangen möchte, darf man seine Daten auch dafür verwenden.
TOMs im Überblick: So sichern Sie Ihre Daten
Für KMU ist es entscheidend, die Integrität personenbezogener Daten zu gewährleisten, um sowohl rechtlichen Vorgaben gerecht zu werden sowie das Vertrauen ihrer Kunden zu stärken. Die DSGVO verlangt von Unternehmen, sogenannte „technische und organisatorische Maßnahmen“ (kurz: TOMs) einzusetzen, um (insbesondere) personenbezogene Daten zu schützen.
Betriebe müssen demnach sicherstellen, dass ihre IT-Systeme den Schutz privater Daten garantieren. Dazu gehören unter anderem folgende Vorkehrungen:
• Verschlüsselung sensibler Daten
• Implementierung von Zugriffskontrollen
• Regelmäßige Sicherheitsupdates
Welche TOMs sinnvoll und notwendig zu ergreifen sind, ist davon abhängig, in welchem Branchenbereich ein Unternehmen tätig ist. Wir versuchen trotzdem, ein paar konkrete, allgemeingültige Schritte zu nennen, die Sie unternehmen können und sollten:
1. Verschlüsselung sensibler Daten: Schützen Sie alle persönlichen Informationen, die Sie speichern oder übermitteln (z. B. Kundendaten, Finanzinformationen). Dies verhindert, dass Dritte im Falle eines Datenlecks auf diese Daten zugreifen können. Nutzen Sie zudem gängige Kryptografie-Standards wie AES oder RSA.
2. Zugriffskontrollen implementieren: Nur autorisierte Mitarbeiter sollten Zugriff auf persönliche Informationen haben. Setzen Sie rollenbasierte Zugriffsbeschränkungen um, sodass Mitarbeiter nur die Daten sehen können, die sie für ihre Arbeit wirklich benötigen. Verwenden Sie darüber hinaus starke Passwörter und Zwei-Faktor-Authentifizierung für den Zugang zu kritischen Systemen.
3. Regelmäßige Sicherheitsupdates durchführen: Aktualisieren Sie Ihre Software, Betriebssysteme und Sicherheitsprogramme regelmäßig. Sicherheitslücken in veralteten Systemen sind häufig ein Angriffspunkt für Cyberkriminelle. Vereinfachen Sie, wenn möglich, den Update-Prozess, um sicherzustellen, dass Sie keine wichtigen Patches übersehen.
4. Mitarbeiterschulungen und Sensibilisierung: Sensibilisieren Sie Ihre Teammitglieder regelmäßig für Datenschutzthemen. Schulungen sollten praxisnahe Szenarien und Best Practices für den Umgang mit persönlichen Informationen beinhalten. Sie sollten zudem sicherstellen, dass Ihre Angestellten wissen, wie sie Datenschutzverletzungen erkennen und berichten können und wer intern der Verantwortliche rund um Datenschutzfragen ist.
5. Dokumentation der Maßnahmen: Führen Sie eine umfassende Dokumentation aller technischen und organisatorischen Maßnahmen, die Sie zum Schutz der Daten implementiert haben. Diese Aufzeichnung hilft Ihnen, im Falle einer Inspektion nachzuweisen, dass Sie die Datenschutzanforderungen erfüllen.
Die TOMs behüten nicht bloß die Daten Ihrer Kunden und Mitarbeiter, sondern helfen Ihnen auch, die Gefahr von Datenschutzverletzungen zu verkleinern. Infos zur Umsetzung von TOMs sind auf der offiziellen Website der Europäischen Kommission zur DSGVO zu sehen unter https://commission.europa.eu/law/law-topic/data-protection_en.
Die Macht der Verbraucher: Betroffenenrechte nach der DSGVO
Die Datenschutz-Grundverordnung stärkt die Rechte der Bürger und gibt ihnen umfassende Kontrollmöglichkeiten über ihre Daten. Firmen müssen darauf vorbereitet sein, jene Rechte gleichermaßen zu erfüllen. Gegenständlich geht es dabei um folgende Rechte:
• Auskunftsrecht und Datenportabilität: Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer Daten zu verlangen. Dies umfasst die Art der Informationen, den Zweck der Weiterverarbeitung sowie die Speicherdauer. Zusätzlich ermöglicht die Datenportabilität den Individuen, ihre Informationen in einem strukturierten, gängigen Format zu erhalten oder direkt an einen anderen Anbieter weiterzuleiten. Seien Sie auf die Tatsache vorbereitet, dass ein sogenanntes Auskunftsersuchen Sie erreicht, klären Sie Verantwortlichkeiten und legen Sie Prozesse für einen solchen Fall fest. Aufgepasst: Unternehmen sind verpflichtet, binnen 30 Tagen auf Auskunftsersuchen zu antworten!
• Recht auf Vergessenwerden: Das Recht auf Entfernung, auch „Recht auf Vergessenwerden“ genannt, erlaubt es Individuen, die Entfernung ihrer Daten zu verlangen, wenn diese nicht mehr benötigt werden oder die Verarbeitung unrechtmäßig ist. Prüfen Sie, ob Ihre verwendeten Anwendungen eine vollständige Entfernung oder Pseudonymisierung von Daten ermöglichen. Dabei müssen aber ggf. relevante Vorschriften zur Archivierung gemäß Abgabenordnung gleichfalls im Blick behalten werden.
• Einschränkungen und Widerspruch: Unternehmen müssen sicherstellen, dass sie Anfragen auf Einschränkung oder Widerspruch gegen die Verarbeitung umgehend prüfen und umsetzen können. Hier gilt es vor allem, Zuständigkeiten innerhalb des Unternehmens klar zu regeln.
Daten sicher weitergeben: Anforderungen an Dienstleister
Viele Unternehmen arbeiten mit externen Dienstleistern zusammen – sei es im Bereich Cloud-Dienste, Werbung oder IT-Support. In allen angesprochenen Fällen ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, um die Zuständigkeiten und Pflichten des Dienstleisters zu steuern. Vor allem dann, wenn der Drittanbieter die persönlichen Informationen der eigenen Kunden ebenfalls verarbeitet, auf diese Zugriff hat etc.
Achtung beim Einsatz von externen Dienstleistern, die außerhalb der Europäischen Union ansässig sind: Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU (= Übertragung in Drittländer) ist gemäß DSGVO nur unter strikten Auflagen zulässig. In der Praxis relevant ist dies zum Beispiel beim Gebrauch von Softwarelösungen und Diensten von Firmen aus den Vereinigten Staaten, wie beispielsweise MS, Google oder Amazon. Dabei muss sichergestellt werden, dass die Übermittlung auf einer der gesetzeskonformen Methoden basiert, etwa durch den Abschluss sogenannter vorgefertigter EU-Vertragsklauseln (SCC) oder der Verwendung eines von der EU-Kommission genehmigten Datenschutzniveaus.
Unternehmen müssen turnusmäßig die Compliance der datenschutzrechtlichen Anforderungen durch ihre Dienstleister überprüfen sowie im Falle von Modifikationen in den Datenschutzvorschriften der USA gegebenenfalls neue Sicherheitsvorkehrungen ergreifen. Außerdem sollten in solchen Fällen die betroffenen Personen über die Datenweitergabe ihrer persönlichen Informationen in außereuropäische Staaten informiert werden. Es rät sich, ein sogenanntes Register der genutzten Subdienstleister öffentlich zur Verfügung zu stellen und alle Auftragsverarbeitungsverträge an zentraler Stelle abzulegen.
So halten Sie die DSGVO-Dokumentationspflichten ein
Die DSGVO verpflichtet Unternehmen, die Einhaltung der datenschutzrechtlichen Anforderungen nachweisen zu können. Dies erfordert umfassende Aufzeichnungen, unter anderem:
• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Nachweis über die Einwilligung der Betroffenen
Eine lückenhafte Dokumentation kann bei einer Überprüfung durch die Aufsichtsbehörden zu Problemen führen, selbst wenn die eigentliche Datenverarbeitung korrekt passiert. Schauen wir uns also einmal genauer an, was sich hinter den einzelnen Punkten verbirgt:
Unternehmen müssen in einem sogenannten VVT alle Verarbeitungstätigkeiten, bei denen persönliche Informationen betroffen sind, dokumentieren. Ein solches Register hilft, die Datenverarbeitung zu strukturieren und die Einhaltung der Datenschutz-Grundverordnung zu belegen. Es sollte Informationen wie die Art der Daten, die Zwecke der Verarbeitung, die Datenempfänger und die Aufbewahrungsfrist enthalten und kann z.B. als Excel-Tabelle erstellt sein. Hier tauchen dann Datenbearbeitungsprozesse wie der Newsletter-Versand, die Datenverwaltung von Angestellten im Rahmen der Gehaltsberechnung oder die Kundendatenverarbeitung im Rahmen von Online-Käufe über einen Online-Shop auf und sind einzeln als Abläufe detailliert beschrieben.
Ein Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) wäre, wenn ein Unternehmen die Einführung eines neuen Feedback-Systems plant, das detaillierte Daten über das Verhalten der Anwender sammelt. Bevor es mit der Verarbeitung beginnt, müsste das Unternehmen eine DSFA durchführen, um potenzielle Risiken für die Rechte und Freiheiten der Datensubjekte zu analysieren und geeignete Maßnahmen zum Umgang mit Risiken festzulegen. Das ist nötig bei allen Datenoperationen, die ein hohes Risiko für die Grundrechte der betroffenen Personen darstellen.
In der Praxis am häufigsten dürfte Firmen der Beleg für die Zustimmung der Nutzer begegnen – sei es auf der Internetseite in Form eines Cookie-Banners, bei der Registrierung für E-Mail-Updates oder wenn es darum geht, Mitarbeiter-Fotos von der letzten Firmenfeier öffentlich zu teilen. Im Optimalfall werden alle Einwilligungen dieser Art elektronisch erfasst, einschließlich des Zeitpunktes und der genauen Formulierung der Einwilligung. Dabei kann ein Kundenmanagement-System wie beispielsweise HubSpot CRM oder Salesforce CRM helfen. Ziel ist, dass Unternehmen jederzeit den Beweis erbringen können, dass eine Person ihre Einwilligung zur Verarbeitung ihrer Daten ohne Zwang, präzise, aufgeklärt und eindeutig erteilt hat sowie im besten Fall auch, wann und „wo“ dies erfolgt ist.
Fazit: DSGVO-Compliance als Wettbewerbsvorteil
Die Nichteinhaltung der Datenschutz-Grundverordnung kann erhebliche finanzielle Konsequenzen nach sich ziehen. Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag den größeren Wert darstellt. Für KMU ist es daher entscheidend, proaktiv zu handeln, um Gefahren zu minimieren.
Die Einhaltung der Datenschutz-Grundverordnung ist aber keine reine gesetzliche Verpflichtung, sondern auch eine Gelegenheit, sich als vertrauenswürdiges und verantwortungsbewusstes Unternehmen zu präsentieren. Kunden und Unternehmenspartner legen zunehmend Wert auf Datenschutz und Datensicherheit – insbesondere im deutschsprachigen Raum, wo die Sensibilität für dieses Thema hoch ist. Indem Sie die datenschutzrechtlichen Vorgaben erfüllen, sichern Sie ergo nicht nur Ihre Kunden und Teammitglieder, sondern verbessern auch Ihre Wettbewerbsfähigkeit und minimieren Risiken.
In diesem Artikel können wir aufgrund der Vielfältigkeit des Themas logischerweise viele Aspekte nur oberflächlich behandeln. Als Technologieberater unterstützen wir Sie aber gerne dabei, die Datenschutz-Grundverordnung als strategischen Vorteil zu nutzen und sich konform aufzustellen. Sprechen Sie uns gerne an, wir freuen uns darauf, von Ihnen zu lesen.