Die DSGVO hat bei vielen kleinen Unternehmen für Unsicherheit gesorgt. Die gute Nachricht: Sie müssen kein Konzern sein, um die Vorgaben verhältnismäßig umzusetzen. Wir geben Ihnen eine pragmatische Orientierung. Dies ist ausdrücklich keine Rechtsberatung, im Zweifel ziehen Sie bitte fachkundigen Rat hinzu.
Die Grundpflichten im Überblick
Wer personenbezogene Daten verarbeitet, und das tun praktisch alle Betriebe, hat einige zentrale Pflichten. Diese sind nicht beliebig, aber gut handhabbar, wenn man sie der Reihe nach angeht.
- Verzeichnis von Verarbeitungstätigkeiten: eine strukturierte Übersicht, welche Daten Sie zu welchem Zweck verarbeiten.
- Datenschutzerklärung: verständliche Information für Kunden und Website-Besucher, was mit ihren Daten geschieht.
- Auftragsverarbeitungsverträge: nötig, sobald ein Dienstleister in Ihrem Auftrag Daten verarbeitet, etwa ein Cloud- oder Newsletter-Anbieter.
- Technische und organisatorische Maßnahmen: angemessene Vorkehrungen, um Daten vor Verlust und unbefugtem Zugriff zu schützen.
- Betroffenenrechte: Auskunft, Berichtigung und Löschung müssen Sie auf Anfrage gewährleisten können.
Verhältnismäßigkeit zählt
Die DSGVO verlangt Angemessenheit, nicht Perfektion. Was ein kleiner Handwerksbetrieb umsetzen muss, unterscheidet sich deutlich von den Anforderungen an einen Onlinehändler mit Millionen Datensätzen. Orientieren Sie den Aufwand an Art, Umfang und Risiko Ihrer Datenverarbeitung.
Diese Verhältnismäßigkeit nimmt den Druck heraus. Es geht nicht darum, jede theoretische Anforderung maximal zu erfüllen, sondern darum, die für Ihren Betrieb relevanten Punkte sauber und nachvollziehbar zu regeln.
Die DSGVO verlangt angemessene, nachvollziehbare Maßnahmen passend zu Ihrem Risiko, keine konzernhafte Perfektion.
Häufige Fehler vermeiden
In der Praxis scheitert es selten an bösem Willen, sondern an Kleinigkeiten, die sich vermeiden lassen. Ein paar Muster begegnen uns immer wieder:
Eine veraltete oder fehlende Datenschutzerklärung auf der Website, Auftragsverarbeitungsverträge mit gängigen Dienstleistern, die nie geschlossen wurden, oder das Verzeichnis von Verarbeitungstätigkeiten, das gar nicht erst angelegt wurde. Auch unverschlüsselte E-Mails mit sensiblen Daten und fehlende Lösch-Routinen gehören dazu. Viele dieser Punkte berühren zugleich die Technik, daher hängen Datenschutz und IT-Sicherheit im KMU eng zusammen.
Wann Sie fachlichen Rat brauchen
Sobald es konkret und verbindlich wird, gehört die Beurteilung in fachkundige Hände. Ein Fachanwalt für Datenschutzrecht oder ein Datenschutzbeauftragter prüft Ihre Situation rechtssicher, klärt, ob Sie überhaupt einen Beauftragten benennen müssen, und bewertet Einzelfälle. Wir unterstützen Sie auf der technischen und organisatorischen Seite und arbeiten dabei gern mit Ihren juristischen Ansprechpartnern zusammen. Einen Überblick über unser Vorgehen finden Sie hier.
Fazit
Die DSGVO ist beherrschbar, wenn man sie nüchtern und schrittweise angeht. Verschaffen Sie sich zunächst einen Überblick über Ihre Datenverarbeitung, schließen Sie die offensichtlichen Lücken und holen Sie sich bei verbindlichen Fragen juristischen Rat. Panik ist ein schlechter Ratgeber, ein strukturiertes Vorgehen ein guter. Sprechen Sie uns an, wenn Sie die technische Umsetzung gemeinsam angehen möchten: Unsere Leistungen im Überblick.
Sprechen wir darüber.
Sie möchten das Thema für Ihr Unternehmen angehen? Das Erstgespräch ist kostenlos und unverbindlich.