Die EU-Datenschutz-Grundverordnung (DSGVO) regelt, wie alle Unternehmen und Behörden mit den personenbezogenen Daten ihrer Besucher, Kunden oder Nutzer umgehen sollen. Sie wurde in jeweils nationales Recht umgewandelt und gilt innerhalb der Europäischen Union, aber auch darüber hinaus für alle personenbezogenen Daten von Bürgern der Europäischen Union. Sie gilt auch in der Schweiz und weltweit, wenn personenbezogene Daten aus der EU verarbeitet werden.
Mit Inkrafttreten der DSGVO im Jahr 2018 wurde der europäische Flickenteppich beim Datenschutz für personenbezogene Daten vereinheitlicht. Die anfängliche Unsicherheit, über die notwendigen Maßnahmen hat sich mittlerweile aufgelöst. Großunternehmen haben sich meist vorbildlich und schnell entsprechend aufgestellt, nicht zuletzt auch deshalb, weil drastische Strafen nicht nur möglich, sondern faktisch auch verhängt wurden.
Amazon etwa musste 746 Millionen Euro Strafe für den Einsatz von Targeting auf der Webseite seines Online-Marktplatzes zahlen; das Targeting können Nutzer nicht ablehnen. Weitere prominente Beispiele: WhatsApp wurde zu 225 Millionen Euro Strafe wegen mangelhafter Transparenz „verdonnert“; Volkswagen zahlte 1,1 Millionen Euro Strafe für ein Erprobungsfahrzeug mit eingebauten Kameras, aber ohne entsprechende Kennzeichnung; Delivery Hero musste eine Strafzahlung in Höhe von 200.000 Euro für diverse Einzelverstöße leisten, inklusive unerwünschter Werbe-E-Mails. Großunternehmen sind dadurch schlauer geworden und nehmen mittlerweile die Bestimmungen der DSGVO sehr ernst.
Viele kleine und mittelständische Unternehmen haben das Thema dagegen eher vernachlässigt. 2018 bis 2020 wurden Verstöße und entsprechende Strafen größerer Unternehmen bekannt, weshalb sich einige der kleineren Unternehmen in Sicherheit wogen. Mittlerweile gibt es jedoch auch bei kleinen und mittelständischen Unternehmen zahlreiche, teils empfindliche Strafen, die zum Umdenken anregen sollten Die Hannoversche Volksbank etwa zahlte 900.000 Euro Strafe für die Auswertung von Kundendaten ohne Rechtsgrundlage; BREBAU wurde zu einer Strafzahlung in Höhe von 1,9 Millionen Euro für die Verarbeitung sensibler Daten von Mietinteressenten ohne Rechtsgrundlage verurteilt. Ein Unternehmen aus dem Gesundheitssektor musste 105.000 Euro Strafe leisten, weil wiederholt Arztbriefe falsch versandt wurden und keine Protokollierung für Zugriffe auf Patientendaten vorhanden war. Diverse Versorgungsunternehmen zahlten 12.500 Euro für die Übermittlung von Kundendaten trotz Widerspruchs.
Es besteht also akuter Handlungsbedarf! Doch was müssen gerade kleinere und mittelständische Unternehmen beachten und welche Maßnahmen müssen ergriffen werden?
Die Grundsätze der DSGVO
Aus den DSGVO-Grundsätzen lassen sich in einem zweiten Schritt geeignete Maßnahmen ableiten. Diese sind:
- Verbot mit Erlaubnisvorbehalt: Unternehmen und Behörden dürfen grundsätzlich keine personenbezogenen Daten erheben, verarbeiten oder nutzen, außer sie haben eine Erlaubnis. Diese Erlaubnis kann sich aus Gesetzen, zum Beispiel aus dem Bundesdatenschutzgesetz (BDSG), dem Telemediengesetz (TMG, EU-DSGVO) oder der Einwilligung der betroffenen Personen ergeben.
- Datenminimierung: Es dürfen nur die Daten erhoben und verarbeitet werden, die tatsächlich benötigt werden.
- Zweckbindung: Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden.
- Datenkorrektheit: Daten müssen inhaltlich und sachlich korrekt sein und aktuell gehalten werden.
- Datensicherheit: Personenbezogene Daten müssen, abhängig von ihrer Sensibilität, geschützt werden. Dabei sollen Unternehmen und Behörden sich am Stand der Technik orientieren, um ein „angemessenes“ Schutzniveau sicherzustellen.
- Recht auf Vergessen: Nutzer haben einen Anspruch darauf, dass Unternehmen und Behörden personenbezogene Daten löschen oder sperren, wenn die Berechtigung, die Daten zu nutzen, erlischt. Gründe liegen dann vor, wenn der Zweck der Verarbeitung der Daten zum Beispiel durch Vertragskündigung wegfällt oder wenn der Nutzer seine Einwilligung widerruft.
- Recht auf Datenübertragbarkeit/Datenübertragung: Nutzer haben ein Anrecht darauf, ihre personenbezogenen Daten auf einen anderen Anbieter zu übertragen. Sie können von Unternehmen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an ein anderes Unternehmen weiterzugeben.
- Rechenschaftspflicht: Unternehmen und Behörden müssen auf Verlangen von Aufsichtsbehörden nachweisen können, dass sie alle Datenschutzprinzipien einhalten. Gelingt dies nicht, drohen Bußgelder wegen Datenschutzverstößen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Konzernumsatzes des Vorjahres.
DSGVO-konforme Maßnahmen
Unternehmen und Behörden sind angehalten, diese teils eher abstrakten Grundsätze möglichst effizient umzusetzen. Die folgende Checkliste soll einen Überblick über die wesentlichen Handlungsfelder geben, ist aber nicht allumfänglich.
Formulare und Einwilligungserklärungen prüfen
Einwilligungserklärungen sind die fundamentale Grundvoraussetzung für eine Datenerhebung. Werden in Formularen (zum Beispiel ein Kontaktformular auf der Homepage) personenbezogene Daten erfasst (zum Beispiel Name oder E-Mail-Adresse), muss der Anwender vor dem Absenden des Formulars aktiv zustimmen, dass seine Daten zur Bearbeitung der Anfrage erhoben werden dürfen. Auch dürfen nur notwendige Daten als Pflichtangaben erfragt werden.
Entsprechend müssen Unternehmen und Behörden alle Formulare (auch papiergebundene) auf einen entsprechenden Opt-in-Vermerk hin überprüfen.
Auch wichtig: Die so erhobenen Daten dürfen nur für den angegebenen Zweck genutzt werden. Gibt ein Nutzer seine E-Mail-Adresse zum Beispiel für einen Newsletter an, darf diese nicht ohne weiteres für anderweitige Werbung genutzt werden. Es sei denn, er stimmt dem ausdrücklich zu.
Verträge zur Auftragsdatenverarbeitung mit Dienstleistern prüfen
Überprüft wird, ob die entsprechenden Verträge DSGVO-konform sind. Neben Fragen zur Datensicherheit spielt hier vor allem auch der Speicherort eine entscheidende Rolle. Insbesondere Dienstleister außerhalb der Europäischen Union müssen hinsichtlich DSGVO-Konformität genau geprüft werden.
Hinzu kommt: Wenn Dienstleister personenbezogene Daten für ein Unternehmen verarbeiten, muss ein entsprechender Auftragsdatenverarbeitungsvertrag abgeschlossen werden. Das ist eigentlich selbstverständlich, aber trotzdem nicht immer gegeben.
Verfahrensverzeichnis erstellen und fortlaufend aktualisieren
Es wird ein Verzeichnis aller anfallenden Datenverarbeitungsprozesse angelegt, zum Beispiel Kundenstammdatenerfassung, Bestelleingang, Bestellungsbearbeitung, Versand, Rechnungsstellung und weiteres. Dabei wird definiert, wer für den Prozess verantwortlich ist, welchem Zweck er dient, wer betroffen ist, wer auf die Daten zugreifen darf, zu welcher Datenkategorie die verarbeiteten Daten gehören, ob die Daten an Drittstaaten übermittelt werden (gegebenenfalls in welche), Löschfristen, die Rechtsgrundlage und die Einwilligung der Betroffenen.
Dieses Verzeichnis ist von elementarer Bedeutung, weil es einerseits Dokumentation für die Gewährleistung der Betroffenenrechte, andererseits aber auch Nachweis datenschutzrechtlicher Pflichterfüllung gegenüber den Aufsichtsbehörden ist. Das Fehlen eines solchen Verzeichnisses führt bei den Aufsichtsbehörden zu der Vermutung, dass nicht alle Datenschutzvorschriften eingehalten werden, was wiederum Bußgelder nach sich zieht.
Das Verzeichnis kann ein einfaches Textdokument sein, das die wesentlichen Informationen bereithält und regelmäßig aktualisiert wird. Für den Inhalt des Dokuments und seine Aktualität sollten die jeweiligen Prozessverantwortlichen und der Datenschutzbeauftragte Sorge tragen.
Bestellung eines Datenschutzbeauftragten
Der Datenschutzbeauftragte haftet zwar nicht persönlich für Fehler oder Versäumnisse bezüglich DSGVO und Datenschutz im Allgemeinen, er ist jedoch der wichtigste Ansprechpartner des Managements, um über bestehende datenschutzrechtliche Pflichten aufzuklären und deren Einhaltung zu überwachen.
Unternehmen und Behörden mit mehr als neun Mitarbeitern (und freiberuflich Tätigen), die sich mit der automatischen Verarbeitung personenbezogener Daten beschäftigen, müssen einen Datenschutzbeauftragten benennen. Dieser muss nicht unbedingt ein Mitarbeiter des Unternehmens sein, muss aber entsprechend qualifiziert sein. Gerade kleinere Unternehmen fahren mit externen Datenschutzbeauftragten besser, weil diese üblicherweise mehrere Kunden bedienen und so mehr Erfahrung sammeln können. Außerdem sind Gespräche mit dem Management für einen Externen oft einfacher als für einen Mitarbeiter, der nur „in Teilzeit“ die Rolle des Datenschutzbeauftragten wahrnimmt.
Technische und organisatorische Maßnahmen kontrollieren
Der bestellte Datenschutzbeauftragte kann zusammen mit dem Management am besten entscheiden, welche technisch-organisatorische Maßnahmen (TOMs), die das Gesetz vorsieht, im Einzelfall sinnvoll anwendbar sind und entsprechend auch umgesetzt werden sollten. Relevante TOMs müssen auch durch Dienstleister umgesetzt werden, die für das jeweilige Unternehmen arbeiten und im Verarbeitungsverzeichnis aufgeführt sind.
Prozesse zur Wahrung der Betroffenenrechte definieren und gegebenenfalls aktualisieren
Es muss einen internen Prozess geben, der sicherstellt, dass Betroffenenrechte gewahrt werden. Diese Rechte müssen in der Datenschutzerklärung definiert sein. Insbesondere müssen Unternehmen sicherstellen, dass innerhalb eines Monats Auskunft erteilt, Daten berichtigt, gelöscht, gesperrt oder herausgegeben werden oder Widerspruch eingelegt werden kann. Will beispielsweise ein ehemaliger Kunde wissen, welche seiner personenbezogenen Daten noch gespeichert sind, dann sollte der Ex-Kunde innerhalb eines Monats eine umfassende Antwort erhalten. Es ist im Interesse des Unternehmens, wenn dies ohne größeren Personalaufwand (z.B. händische Suche) erfolgt.
Datenschutzerklärung verfassen und gegebenenfalls anpassen
Eine Datenschutzerklärung ist nicht nur nach DSGVO, sondern auch nach dem Telemediengesetz (zum Beispiel für Webseiten) zwingend notwendig. Da Datenschutzerklärungen auf der Webpage angezeigt werden müssen, braucht praktisch jedes Unternehmen eine derartige Erklärung. Unterlassungen rufen Abmahn-Anwälte auf den Plan. Für die Datenschutzerklärung gibt es diverse Vorlagen, die es dem Datenschutzbeauftragten leicht machen, eine korrekte Erklärung für das jeweilige Unternehmen zu verfassen.
Das DSGVO definiert umfassend, welche Informationen in der Datenschutzerklärung anzugeben sind. Diese sind unter anderem:
- Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
Prozesse zum Umgang mit Datenpannen einführen
Kein System ist perfekt geschützt, kein Unternehmen fehlerfrei, entsprechend können Datenschutzverletzungen nicht gänzlich ausgeschlossen werden. Die DSGVO schreibt vor, dass Datenschutzverletzungen unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde – oft das Bundesamt für Sicherheit in der Informationstechnik (BSI) – gemeldet werden.
Um dies sicherzustellen, müssen Unternehmen und Behörden geeignete Maßnahmen zum Datenschutz ergreifen und andererseits ein internes Meldesystem etablieren, das erkannte Sicherheitsvorfälle unverzüglich dem Datenschutzbeauftragten und dem Management meldet. Der Datenschutzbeauftragte führt dann in Zusammenarbeit mit dem Management eine Risikoabwägung durch und entscheidet, ob die Aufsichtsbehörden informiert werden müssen oder nicht.
Datensicherheit: Schulung im Unternehmen
Datenschutz ist nicht nur eine technische Aufgabe, sondern erfordert auch die Mitarbeit jedes einzelnen Mitarbeitenden. Entsprechend wichtig sind Schulungen, die Mitarbeiter*innen für das Thema Datenschutz und die gefährlichsten Risiken sensibilisieren. Datenschutzschulungen sollten regelmäßig verpflichtend durchgeführt und dokumentiert werden. Hierfür gibt es zahllose Angebote, entweder als Gruppenschulungen oder auch online. Wichtig ist außerdem, diese Schulungen zu dokumentieren.
Empfehlung für kleine und mittelständische Unternehmen
Natürlich sind Unternehmen und Organisationen verpflichtet, die DSGVO in ihrer Gänze umzusetzen und einzuhalten. Jedoch sollten gerade kleine und mittelständische Unternehmen, falls sie noch nicht „compliant“ sind, zunächst einen Datenschutzbeauftragten bestellen, der sie auf den nächsten Schritten begleitet und die Compliance schnellstmöglich sicherstellt. Dazu müssen entsprechende technische, organisatorische und personelle Maßnahmen ergriffen und Ressourcen in Form von Budget und Personal bereitgestellt werden. Zu den essenziellen Aufgaben zählt dabei sicher, ein Verfahrensverzeichnis zu erstellen und fortlaufend zu aktualisieren. Das ist letztlich eine „Fleißaufgabe“, an der Unternehmen aber nicht vorbeikommen.