Datenschutz für mittelständische Unternehmen

Table of Contents

Für kleine und mittelständische Unternehmen (KMU) kann die Einhaltung der Datenschutzbestimmungen eine Herausforderung darstellen, es droht Unmengen an Bürokratie, technisches Wissen im Bereich IT Security ist Mangelware, Kontrollprozesse und Notfallpläne scheinen eher nur vom Hörensagen aus Grosskonzernen bekannt.

Aber doch gibt es da ein Problem von denen viele nicht wissen:

Jedes Jahr werden die Kontrollen und die daraus verhängten Bußgelder wegen Datenschutzverstössen um einen Faktor 2-3 mehr.

Viele Geschäftsführer wissen noch gar nichts von Ihrer persönlichen Haftung für Datenschutzverstöße Ihrer Mitarbeiter und der bürokratisch erschlagenden Dokumentationspflicht. Das Hauptproblem ist aber nochmals ein ganz anderes:

Wer Daten verarbeitet muss Technisch-Organisatorische Maßnahmen (TOM) ergreifen, um die Datenverarbeitung abzusichern. In der Kurzfassung bedeutet das:

  • Mitarbeiter müssen jährlich geschult werden und das sind bei kleinen und mittelständischen Unternehmen ganz schön viele
  • Das Thema IT Security muss in einer Bestandsaufnahme kontrolliert und sehr wahrscheinlich ausgebaut werden
  • Dokumentationspflichten auf Datenverarbeitungstätigkeiten müssen sehr wahrscheinlich durch eine Software Lösung unterstützt werden
  • Ein Löschkonzept muss erarbeitet werden
  • Eine zentrale Geräte Konfiguration für Mitarbeiter mit strikter Trennung von Privat und Arbeit muss eingeführt werden
  • Risiken müssen in einer Datenschutz Folgeabschätzung ermittelt werden

Was tun gegen den Bürokratie Tiger

Das wahrscheinlich beste Mittel um ohne hohe Berater- und Bürokratiekosten den Datenschutz in den Griff zu bekommen ist die Automatisierung. Hier ein paar Tipps, wie man mittels Automatisierung Zeit und Kosten beim Datenschutz sparen kann:

Überprüfen Sie Ihre Dienstleister

Ein weiterer ganz wichtiger Punkt ist die Überprüfung welche externe Dienste man überhaupt einsetzt. Erinnert man sich an die Abmahnwelle wegen der Verwendung von Google Fonts, so sieht man schnell, dass auch kostenlose Software zu einem finanziellen Schaden führen kann, wenn Sie unsachgemäß verwendet wird. Gerade mittelständische Firmen glauben oft, dass mit dem Kauf einer Software und einem Siegel zu ISO 27001 auf der Software alle Pflichten erfüllt sind.

Aber: da liegen Sie falsch!

Viel wichtiger ist darauf zu achten, wie man diese Software konfiguriert, denn das Prinzip von Privacy by Default ist mit Nichten durchgängig am Markt etabliert. Es ist von entscheidender Bedeutung Ihre Software so zu konfigurieren, dass bei Datenverarbeitender Tätigkeit Dinge wie Mandantentrennung durch Verschlüsselung, Pseudonymisierung und physischer Trennung der Verarbeitung gegeben ist. Bei der meisten Software sind derartige Datenschutz freundliche Voreinstellungen nicht die Regel.

Achten Sie auch darauf wo Sie einkaufen. Wenn nur der Preis beim Kauf eines Routers oder einer Hardware Firewall entscheidend ist, dann fällt die Entscheidung schnell auf ein Gerät aus Fernost. Nicht selten wird dann aber von außen mitgehört oder nicht so genau auf Absicherung vor Cyberangriffen geachtet.

Gleiches gilt auch für blindes Vertrauen in den Datenschutz amerikanischer Unternehmen. Mag sein, dass nun ein Angemessenheitsbeschluss besteht, der sagt, dass Datenverarbeitung auch auf der anderen Seite des Ozeans angemessen gesichert ist. Nur es ist zu bedenken, dass Schrems III schon in der Entstehung ist und sehr wahrscheinlich gleich wieder das augenwischerische Abkommen (ohne echte Verbesserungen) mit den USA wegen Datenschutz Bedenken kippen wird, so wie es schon 2 mal geschehen ist.

Mitarbeiter Sensibilisierung ist Trumpf

Können Sie sich vorstellen, dass Ihre Mitarbeiter Fehler machen? Sei es bei der Verarbeitung von Daten, bei der Vergabe sicherer Passwörter, Beim Öffnen unsicherer Emails oder bei Weitergabe von Unterlagen an Dritte. Wie schnell ist das geschehen, dass ein Foto eines Mitarbeiters auf einer Webseite oder in einer Zeitung auftaucht, diesen aber niemand um seine Einwilligung gefragt hat. Ein klarer Datenschutzverstoß,

Aber: nicht der Mitarbeiter der das reingestellt hat muss dafür haften, sondern Sie als Geschäftsführer.

Denn Sie waren verantwortlich, Sie haben Ihre Mitarbeiter nicht geschult, ihnen keine Vorschriften gemacht was Sie nutzen dürfen und auch keine Einwilligungen vorab eingeholt.

Ein weiteres Beispiel: sind Sie sich zu 100 % sicher, dass Ihre Mitarbeiter Unterlagen von abgelehnten Bewerbern sofort gelöscht haben? Wenn nicht, dann sollten Sie aufpassen, denn Bewerbungsunterlagen enthalten oft unwissentlich besonders schützenswerte Daten, was einen großen Unterschied bei etwaigen Bußgeldern macht, wie Sie in unserem Bußgeld Rechner gerne nachvollziehen können.

Angst vor den Kosten

Viele kleine und Mittelständische Unternehmen werden der obigen Argumentation die hohen zu erwartenden Kosten für die Umsetzung des Datenschutz entgegenhalten. Aber das ist ein Trugschluss, mit ein bisschen Eigeninitiative bekommen Sie z.B. mit unserm DSGVO-Bundle den Datenschutz schon ab 79 € im Monat in den Griff. Für diejenigen die noch weniger Arbeit haben wollen, gibts dann auch noch die Möglichkeit eine Flatrate mit uns abzuschliessen, zu ebenfalls vernüftigen Preisen.

Related Posts

Datenschutz Audit

Was ist ein Datenschutz-Audit? Ein Datenschutz-Audit ist ein systematischer und dokumentierter Prozess, der die Einhaltung gesetzlicher Bestimmungen im Bereich des Datenschutzes durch eine Organisation überprüft. Das Hauptziel ist es, Schwachstellen zu identifizieren und Maßnahmen zu ergreifen, um diese zu beheben. Bei einem solchen Audit werden alle datenschutzrechtlich relevanten Abläufe in einem Unternehmen untersucht​​.

Read More

Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Gesetzestext des Artikel 22 DSGVO Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Absatz 1 gilt nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden. Bedeutung des Artikel 22 der DSGVO Art. 22 DSGVO regelt die automatisierte Entscheidungsfindung einschließlich Profiling, welche bedeutende Auswirkungen auf die betroffenen Personen haben können. Im Kern zielt die Vorschrift darauf ab, die Rechte und Freiheiten der Einzelnen zu schützen und dabei den Unternehmen den notwendigen Spielraum zu lassen, um innovative, datengetriebene Lösungen zu entwickeln.

Read More

DSGVO

Bis 2018 regelte das Bundesdatenschutzgesetz (BDSG) den Datenaustausch in Deutschland. Der Leitsatz steht in § 5 BDSG: es ist Ihnen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.

Read More