DSGVO für KMU: Compliance in 10 Schritten

Wenn Sie Unternehmer oder Selbstständige sind und Ihnen die blosse Erwähnung der DSGVO Kopfschmerzen bereitet, ist diese Anleitung für Sie gemacht. Wir erklären Ihnen nicht die 99 Artikel der Verordnung, sondern liefern Ihnen die zehn konkreten Schritte, die Ihr KMU abschliessen muss, um die Datenschutzvorschriften zu erfüllen und Sanktionen zu vermeiden. Ohne überflüssigen Fachjargon, mit praktischen Beispielen und einer Checkliste, mit der Sie prüfen können, dass nichts fehlt. Wenn Sie eine umfassendere Sicht wünschen, lesen Sie unsere endgültige DSGVO-Anleitung für Unternehmen.

TL;DR · Zusammenfassung

• Schritt 1: Erstellen Sie eine Bestandsaufnahme Ihrer Datenverarbeitungen
• Schritt 2: Identifizieren Sie die Rechtsgrundlage jeder Verarbeitung
• Schritt 3: Formulieren Sie die Informationsklauseln
• Schritt 4: Verwalten Sie die Einwilligung korrekt

Schritt 1: Erstellen Sie eine Bestandsaufnahme Ihrer Datenverarbeitungen

Bevor Sie Daten schützen, müssen Sie wissen, welche Daten Sie haben, wo sie liegen und wofür Sie sie nutzen. Erstellen Sie eine Liste aller Verarbeitungen personenbezogener Daten, die Ihr Unternehmen durchführt. Die häufigsten in KMU sind die Verwaltung von Kunden und Interessenten (Namen, E-Mails, Telefonnummern, Kaufhistorie), die Personalverwaltung und Lohnabrechnung (arbeitsrechtliche Daten, Bankverbindungen, Gesundheitsdaten), die Buchhaltung und Steuerverwaltung (Abrechnungsdaten), die Lieferantenverwaltung (Kontakt- und Bankdaten), die Unternehmenswebsite (Kontaktformulare, Cookies, Newsletter), die Videoüberwachung (falls vorhanden) und die kommerzielle Kommunikation (Newsletter, E-Mail-Marketing-Kampagnen).

Notieren Sie für jede Verarbeitung, welche Daten Sie erheben, von wem, zu welchem Zweck, wie lange Sie sie aufbewahren, wer Zugriff hat, ob Sie sie an Dritte weitergeben und welche Sicherheitsmaßnahmen Sie anwenden.

Schritt 2: Identifizieren Sie die Rechtsgrundlage jeder Verarbeitung

Jede Verarbeitung benötigt eine rechtliche Begründung. Die in KMU häufigsten sind die Erfüllung eines Vertrages (für die Daten, die zur Erbringung Ihrer Dienstleistung oder zum Verkauf Ihres Produkts erforderlich sind), die Erfüllung einer rechtlichen Verpflichtung (für steuerliche, arbeits- und buchhalterische Pflichten), die Einwilligung (für kommerzielle Kommunikation und nicht-essenzielle Cookies) und das berechtigte Interesse (für bestimmte B2B-Geschäftsverarbeitungen mit vorheriger Abwägung).

Schritt 3: Formulieren Sie die Informationsklauseln

An allen Stellen, an denen Sie personenbezogene Daten erheben, müssen Sie die betroffene Person darüber informieren, wer der Verantwortliche der Verarbeitung ist, über Zweck und Rechtsgrundlage, die Empfänger der Daten, die Speicherdauer, die Rechte, die ausgeübt werden können, und wie dies geschieht, sowie ob die Mitteilung der Daten eine gesetzliche oder vertragliche Anforderung ist.

Die häufigsten Punkte, an denen Sie Informationsklauseln benötigen, sind Ihre Website (Datenschutzerklärung, Cookie-Richtlinie, Kontaktformulare), Angebote und Verträge mit Kunden, Arbeitsverträge, Verträge mit Lieferanten und die informativen Hinweisschilder zur Videoüberwachung, falls Sie Kameras betreiben.

Schritt 4: Verwalten Sie die Einwilligung korrekt

Die Einwilligung muss freiwillig sein (ohne sie an die Erbringung der Dienstleistung zu binden), spezifisch (für jeden unterschiedlichen Zweck), informiert (nach Kenntnisnahme der Informationsklausel) und eindeutig (mit einer klaren bestätigenden Handlung wie dem Ankreuzen eines nicht vorausgefüllten Kästchens). Sie müssen nachweisen können, dass Sie die Einwilligung erhalten haben (Aufbewahrung des Nachweises), und Sie müssen den Widerruf jederzeit erleichtern (zum Beispiel mit einem Abmeldelink in jeder kommerziellen Kommunikation).

Schritt 5: Schliessen Sie Verträge mit Auftragsverarbeitern

Jeder Dritte, der personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet (das Steuerbüro, der Hosting-Anbieter, der E-Mail-Marketing-Dienst, die Lohnabrechnungsfirma, der Cloud-Dienst), ist ein Auftragsverarbeiter und benötigt einen Vertrag, der die Verarbeitung gemäss Artikel 28 DSGVO regelt. Dieser Vertrag muss Gegenstand und Dauer der Verarbeitung, ihre Art und ihren Zweck, die Datenarten und Kategorien betroffener Personen, die Pflichten und Rechte des Verantwortlichen sowie die vom Auftragsverarbeiter angewandten Sicherheitsmaßnahmen enthalten.

Schritt 6: Erstellen Sie das Verzeichnis von Verarbeitungstätigkeiten

Dokumentieren Sie alles Vorhergehende in einem Verzeichnis von Verarbeitungstätigkeiten (VVT). Es ist kein komplexes Dokument: Es kann eine Tabelle sein, mit einer Zeile pro Verarbeitung und Spalten für die von der DSGVO geforderten Felder. Aktualisieren Sie es immer dann, wenn sich eine Verarbeitung ändert oder eine neue beginnt.

Schritt 7: Setzen Sie verhältnismässige Sicherheitsmaßnahmen um

Die Maßnahmen müssen dem Risiko angemessen sein. Für die Mehrzahl der KMU sind die wesentlichen Maßnahmen robuste und einzigartige Passwörter mit zentraler Verwaltung, die Mehrfaktor-Authentifizierung für alle Konten mit Zugang zu personenbezogenen Daten, die Verschlüsselung tragbarer Geräte, regelmässige und überprüfte Backups, eine grundlegende Schulung des Personals im Datenschutz, eine Zugriffskontrolle nach dem Need-to-know-Prinzip sowie eine Clear-Desk-Politik mit automatischer Bildschirmsperre.

Schritt 8: Bewerten Sie die Risiken Ihrer Verarbeitungen

Führen Sie eine vereinfachte Risikoanalyse für Ihre Datenverarbeitungen durch. Die AEPD bietet das kostenlose Werkzeug "Gestiona RGPD" an, das Sie Schritt für Schritt durch die Risikoanalyse führt und Ihnen anzeigt, ob eine DSFA (Datenschutz-Folgenabschätzung) erforderlich ist. Eine DSFA ist insbesondere dann notwendig, wenn die Verarbeitung systematisch große Mengen sensibler Daten umfasst, automatisierte Entscheidungen mit erheblichen Auswirkungen erzeugt oder eine systematische Überwachung öffentlich zugänglicher Bereiche darstellt.

Schritt 9: Etablieren Sie Verfahren zur Wahrnehmung der Betroffenenrechte

Definieren Sie ein internes Verfahren, um die Anträge auf Ausübung der Rechte der betroffenen Personen zu empfangen und zu bearbeiten. Bestimmen Sie eine verantwortliche Person für die Bearbeitung, richten Sie einen zugänglichen Kommunikationskanal ein (E-Mail, Webformular), dokumentieren Sie ein Verfahren mit Fristen (höchstens einen Monat für die Antwort) und registrieren Sie alle Anträge und Antworten zur Nachverfolgung und zum Nachweis der Rechenschaftspflicht.

Schritt 10: Bereiten Sie sich auf Datenschutzverletzungen vor

Halten Sie ein dokumentiertes Handlungsverfahren für den Fall vor, dass eine Datenschutzverletzung mit Auswirkungen auf personenbezogene Daten auftritt. Das Verfahren muss enthalten, wie eine Verletzung erkannt wird, wer ihre Schwere bewertet, wann und wie sie an die AEPD gemeldet wird (Werkzeug "Comunica-Brecha"), wann sie den Betroffenen mitgeteilt wird und wie der Vorfall sowie die getroffenen Maßnahmen dokumentiert werden. Die Meldung an die Behörde muss innerhalb von 72 Stunden nach Kenntnisnahme erfolgen.

Fehler, die die AEPD bei KMU am häufigsten sanktioniert

Die am häufigsten sanktionierten Fehler sind der Versand kommerzieller Kommunikation ohne Einwilligung oder ohne Abmeldemöglichkeit, das Fehlen einer Datenschutzerklärung auf der Website oder eine veraltete Datenschutzerklärung, Videoüberwachungskameras ohne informatives Hinweisschild oder mit Erfassung öffentlicher Bereiche, das Fehlen eines Vertrages mit dem Auftragsverarbeiter sowie die verspätete oder fehlerhafte Bearbeitung von Anträgen zur Wahrnehmung von Betroffenenrechten. Hinzu kommt regelmässig die unzureichende Information über Cookies: Banner, die keine echte Wahl zwischen Akzeptieren und Ablehnen bieten, sind seit den letzten Leitlinien der AEPD ein klares Sanktionsrisiko. Auch die unsichere Aufbewahrung personenbezogener Daten auf gemeinsam genutzten Datenträgern ohne Zugriffskontrolle wird häufig beanstandet, ebenso wie das Fehlen von Verträgen mit Beratungs- oder IT-Dienstleistern, die Zugriff auf Kunden- und Personaldaten haben.

Wann ist eine DSB-Bestellung erforderlich?

Die Benennung einer Datenschutzbeauftragten oder eines Datenschutzbeauftragten (DSB) ist Pflicht, wenn die Haupttätigkeit Ihres KMU in einer systematischen und umfangreichen Überwachung von Personen besteht (zum Beispiel private Sicherheitsdienste, Markt- und Meinungsforschung, Werbenetzwerke), wenn Sie umfangreich besondere Kategorien personenbezogener Daten verarbeiten (Gesundheit, Religion, ethnische Herkunft, biometrische Daten) oder wenn das nationale Recht es ausdrücklich vorsieht. Die LOPDGDD erweitert in Spanien die Liste obligatorischer Fälle: Bildungseinrichtungen, Anbieter elektronischer Kommunikationsdienste, Anbieter von Bewertungs- und Bonitätsdiensten sowie bestimmte Gesundheitseinrichtungen müssen einen DSB benennen. Der DSB kann intern oder extern sein, muss aber unabhängig handeln, direkt an die Geschäftsleitung berichten und über nachgewiesene Datenschutzkompetenz verfügen.

Internationale Datenübermittlungen

Wenn Sie Werkzeuge nutzen, die Daten ausserhalb des Europäischen Wirtschaftsraums speichern (CRM, Marketing-Plattformen, Cloud-Speicher, KI-Dienste), müssen Sie eine geeignete Garantie für die internationale Übermittlung sicherstellen. Die häufigsten Mechanismen sind ein Angemessenheitsbeschluss der Europäischen Kommission (zum Beispiel das EU-US Data Privacy Framework für zertifizierte US-Anbieter), die Standardvertragsklauseln (SCC) und in spezifischen Fällen Binding Corporate Rules. Dokumentieren Sie in jedem Fall die getroffenen Garantien, die Risikoanalyse der Übermittlung und gegebenenfalls die ergänzenden Maßnahmen (Verschlüsselung, Pseudonymisierung) im Verzeichnis von Verarbeitungstätigkeiten.

Wenn Sie Datenschutz-Folgenabschätzungen vertiefen möchten, lesen Sie unseren Artikel über DSFA und ihre methodische Anwendung in KMU.

Möchten Sie die DSGVO-Compliance Ihres KMU in Ordnung bringen? Sprechen wir über eine schnelle Datenschutzprüfung, die Ihnen genau sagt, was fehlt und wie Sie es lösen.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU. Verwandt: Audit der Cybersicherheit · vollständige Bewertung.

Häufig gestellte Fragen

Was ist DSGVO für KMU?

An allen Stellen, an denen Sie personenbezogene Daten erheben, müssen Sie die betroffene Person darüber informieren, wer der Verantwortliche der Verarbeitung ist, über Zweck und Rechtsgrundlage, die Empfänger der Daten, die Speicherdauer, die ausübbaren Rechte und wie dies geschieht, sowie ob die Mitteilung der Daten eine gesetzliche oder vertragliche Anforderung ist.

Für wen gilt sie?

Sie gilt für die Unternehmen und Organisationen, die nach der entsprechenden Vorschrift oder dem entsprechenden Gesetz verpflichtet sind, in Abhängigkeit von Sektor, Grösse oder Art der verarbeiteten Daten. Notieren Sie für jede Verarbeitung, welche Daten Sie erheben, von wem, zu welchem Zweck, wie lange Sie sie aufbewahren, wer Zugriff hat, ob Sie sie an Dritte weitergeben und welche Sicherheitsmaßnahmen Sie anwenden.

Quellen: AENOR · BOE · ISO

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro