Dieser Blogeintrag ist inspiriert vom Artikel „Wie KMU den Aufwand für die DSGVO senken können“ auf security-insider.de vom 23.06.2023 verfasst von Dipl.-Phys. Oliver Schonschek. https://www.security-insider.de/wie-kmu-den-aufwand-fuer-die-dsgvo-senken-koennen-a-5d6694fe93fbfde8e2316e68e3836534/
Noch immer viel Unsicherheit… Das muss nicht sein!
Noch immer gibt es viel Unsicherheit über die richtige und angemessene Umsetzung des Datenschutzes in Unternehmen. Diesen Unsicherheiten treten wir kompetent entgegen! Wir können Ihnen mit verschiedenen Angeboten bei der Umsetzung helfen und passen uns dabei individuell an Ihre Bedürfnisse an. Weitere Informationen hierzu finden Sie am Ende des Beitrages.
Was war und was ist
Fünf Jahre ist es nun schon her, dass das Thema Datenschutz auch in der breiten Öffentlichkeit angekommen ist. Grund hierfür ist, natürlich die DSGVO. Ob im Radio, im Fernsehen, im Internet, ja sogar in manch privater Runde, überall ging es um das Thema DSGVO und dementsprechend um den Datenschutz. Doch neu war dieses Thema eigentlich nicht, hatte die DSGVO doch eine zweijährige Übergangsfrist und das BDSG gab es auch schon seit 1977. Nun kam aber die Datenschutz-Grundverordnung und machte aufgrund der Neuerungen, des damit verbundenen Aufwandes für viele Unternehmen, dem EU-umfassenden Schutzstandard und nicht zu guter Letzt aufgrund der möglichen Bußgelder auf sich aufmerksam. Bis heute beschäftigt dieses Thema viele Unternehmen.
Datenschutz für KMU (Kleinstunternehmen, kleine Unternehmen, mittlere Unternehmen)
Gerade für kleine und mittelständige Unternehmen kann die Umsetzung der Vorgaben der DSGVO zu einem Problem werden, denn oftmals fehlt es an Hilfestellungen, um die Vorgaben umzusetzen und gleichzeitig innovativ und erfolgreich bleiben zu können.
Wir wollen nun heute einen Blick darauf werfen, was für KMU gilt, was sie tun können, welche Hilfestellungen und Spielräume es gibt.
Gilt die DSGVO für KMU?
Diese Frage wurde in der Vergangenheit oft gestellt und die Antwort ist eindeutig: Ja, die DSGVO gilt für alle Unternehmen. Der Datenschutz kann schlichtweg nur funktionieren, wenn sich alle Beteiligten an diese Vorschriften halten, da Unternehmen ohne Datenschutz immer eine „Schwachstelle“ darstellen.
Jedoch gibt es gerade für KMU Besonderheiten im Bezug auf die DSGVO, welche diesen die Umsetzung erleichtern können.
Wann braucht ein KMU einen DSB?
Ein DSB wird, laut DSGVO bei KMU nur dann benötigt, wenn die Haupttätigkeit des Unternehmens die Verarbeitung von Daten ist und diese Tätigkeit eine besondere Gefahr für die Rechte und Freiheiten von Personen darstellt. Dies ist zum Beispiel der Fall, wenn sensible Daten verarbeitet werden. Die Bestellung eines DSBs wird in Bundesdatenschutzgesetzt noch einmal konkretisiert und sollte daher ebenfalls Beachtung finden.
Aber auch in den Fällen, in welchen die Bestellung eines DSBs nicht verpflichtend ist, sollte diese Thematik nicht einfach abgehakt werden. Die Bestellung eines DSBs hat nämlich nicht nur Nachteile!
Denn wer früh eine Datenschutzkompetenz aufbaut, braucht sich später nicht mehr darüber den Kopf zerbrechen. Gerade bei der Vermeidung von Sanktionen ist diese Kompetenz Gold wert.
Verfahrensverzeichnis
Da das Verfahrensverzeichnis, gerade in der Erstellungsphase, sehr aufwendig sein kann gibt es hier eine Erleichterung für KMU.
Unternehmen mit folgenden Voraussetzungen müssen kein Verfahrensverzeichnis anlegen:
- Weniger als 250 Mitarbeiter
- Verarbeitung von personenbezogenen Daten ist keine Regelmäßige Tätigkeit
- Verarbeitung der Daten stellt keine Gefahr für Rechte und Freiheiten von Personen dar
- Es werden keine sensiblen Daten verarbeitet
Allerdings sollte hier bedacht werden, dass das Verfahrensverzeichnis die Grundlage vieler Datenschutzmaßnahmen ist und sollte daher nicht nur als Pflichterfüllung verstanden werden.
Leitfäden und Hilfestellung für KMU
Eine Große Hilfe, ob Datenschutz oder nicht sind Checklisten. Mit diesen kann man ganz einfach überprüfen, wo man gerade steht. Sei es in einem Projekt oder in der alltäglichen Arbeit.
Sowohl das Bayrische Landesamt für Datenschutz wie auch die Datenschutzaufsicht von Niedersachsen haben hilfreiche Leitlinien für KMU zusammengestellt. Diese können unter folgenden Links aufgerufen werden:
Download PDF Checkliste für kleine Unternehmen des Bayrischen Landesamt für Datenschutz
Diese Leitfäden stammen zwar aus zwei spezifischen Bundesländern, können aber auch in anderen Bundesländern als Checkliste genutzt werden, um den Überblick im Paragrafenwirrwarr zu behalten. In den Dokumenten sind Links zu finden, welche weitere Informationen bereithalten, um eventuelle Fragen oder Unsicherheiten zu klären.
Verhaltensregeln:
Für viele Branchen gibt es bereits sogenannte „Code of Conducts“ also Verhaltensregeln nach dem sich gerade mittelständige Unternehmen richten können. Diese können einerseits direkt von den Aufsichtsbehörden kommen aber auch von den Branchenverbänden, welche diese dann von den Aufsichtsbehörden genehmigen lassen. Auch diese Verhaltensregeln können als Leitfaden dienen um im Datenschutz, in der eigenen Branche, gut aufgestellt zu sein.
Fazit:
Der Datenschutz ist heutzutage unerlässlich, auch Kleinstunternehmen, Kleinunternehmen und mittelständische Unternehmen müssen sich an den Datenschutz halten. Auch wenn es für diese Unternehmen Erleichterungen gibt, sollte genau abgewogen werden, ob es sinnvoll ist diese Erleichterungen auch in Anspruch zu nehmen, denn ein Unternehmen möchte wachsen und/oder es kann sein, dass ein Unternehmen neue Geschäftsbereiche eröffnet und dann zum Beispiel ein Verfahrensverzeichnis zur Pflicht wird. Lassen Sie sich und Ihr Unternehmen nicht von Sanktionen ausbremsen! Wer daher früh investiert, hat später nur Vorteile und kann ruhigen Gewissens seinem Geschäft nachgehen.
Wir helfen Ihnen!
Nutzen Sie unsere Beratung und Hilfestellungen und finden Sie für Ihr Unternehmen heraus, welcher Lösungsansatz am besten zu Ihnen passt. Eine betriebliche Datenschutzbeauftragte oder ein betrieblicher Datenschutzbeauftragter können sowohl intern (Anstellungsverhältnis) als auch extern (Dienstleister) benannt werden. Je nach Betriebsgröße und Organisation sollte geprüft werden, welche Variante für Ihr Unternehmen sinnvoll und auch betriebswirtschaftlich vertretbar ist. Eine interne Datenschutzkoordinatorin oder ein interner Datenschutzkoordinator, sowie unterstützende Ansprechpersonen für Datenschutzfragen in den Standorten oder Fachbereichen, können auch in enger Zusammenarbeit mit einem externen Datenschutzbeauftragten ein Datenschutz-Team bilden und für ein angemessenes Datenschutz-Niveau im Unternehmen sorgen. Gerne stehen wir Ihnen hier mit Dokumentvorlagen und einfachen Umsetzungshilfen aus unserem Datenschutz-Team beratend zur Seite.
Wenn Sie gerne alles selbst im Unternehmen mit einem eigenen Team aufbauen und betreiben möchten, also auch die Rolle des DSB intern beauftragen und benennen möchten, helfen und unterstützen wir Sie auch hierbei mit unserem Datenschutz-Team und den erforderlichen Dokumentvorlagen oder Datenschutz-Tools.
Wichtig wäre für uns, dass wir gemeinsam mit Ihnen eine für Ihr Unternehmen passende und angemessene Umsetzung der erforderlichen Maßnahmen und die Erfüllung auferlegter Pflichten mit einem vertretbaren Aufwand erreichen. Sprechen Sie uns an, wir zeigen Ihnen gerne die verschiedenen Ansätze und Möglichkeiten für eine angemessene und effiziente Lösung für Ihr Datenschutzmanagement auf.