Datenschutz-Basics für KMU: DSGVO verständlich erklärt

"Datenschutz? Das betrifft uns doch nicht, wir sind nur ein kleines Unternehmen." Falsch gedacht! Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – und das tut praktisch jedes Unternehmen, sobald es Kunden, Mitarbeiter oder Lieferanten hat.

Als IT-Dienstleister aus Bochum unterstützen wir Unternehmen im Ruhrgebiet bei der technischen Umsetzung des Datenschutzes. In diesem Artikel erklären wir die DSGVO-Basics so, dass Sie als Geschäftsführer oder Verantwortlicher in einem KMU wissen, was zu tun ist.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen:

Offensichtliche Beispiele:

• Name, Adresse, Telefonnummer
• E-Mail-Adresse
• Geburtsdatum
• Kontodaten

Weniger offensichtliche Beispiele:

• IP-Adressen
• Kundennummern (wenn zuordenbar)
• Standortdaten
• Fotos von Personen
• Browser-Cookies

Besonders schützenswerte Daten:

• Gesundheitsdaten
• Religiöse Überzeugungen
• Politische Meinungen
• Biometrische Daten
• Gewerkschaftszugehörigkeit

1. Verarbeitungsverzeichnis (Art. 30 DSGVO)

Was ist das? Eine Übersicht aller Verarbeitungstätigkeiten mit personenbezogenen Daten in Ihrem Unternehmen.

Was muss dokumentiert werden?

• Welche Daten werden verarbeitet?
• Zu welchem Zweck?
• Welche Rechtsgrundlage?
• Wer hat Zugriff?
• Werden Daten an Dritte weitergegeben?
• Wie lange werden Daten gespeichert?
• Welche Schutzmaßnahmen gibt es?

Beispiel-Eintrag:

2. Datenschutzerklärung (Art. 13 & 14 DSGVO)

Wo brauchen Sie eine Datenschutzerklärung?

• Website (Pflicht!)
• App (falls vorhanden)
• Bei Vertragsabschluss (z.B. in AGB)
• Bei Datenerhebung (z.B. Kontaktformular)

Was muss drinstehen?

• Wer ist verantwortlich? (Firma, Adresse)
• Welche Daten werden erhoben?
• Zu welchem Zweck?
• Rechtsgrundlage der Verarbeitung
• Speicherdauer
• Betroffenenrechte (Auskunft, Löschung, etc.)
• Beschwerderecht bei der Aufsichtsbehörde

Häufiger Fehler: Generische Datenschutzerklärung aus dem Internet, die nicht zur tatsächlichen Datenverarbeitung passt.

3. Auftragsverarbeitungsverträge (Art. 28 DSGVO)

Wann brauchen Sie einen AV-Vertrag? Immer wenn ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet.

Typische Beispiele:

• Cloud-Dienste (Microsoft 365, Google Workspace)
• E-Mail-Marketing-Tools (Mailchimp, CleverReach)
• CRM-Systeme (Salesforce, HubSpot)
• Lohnabrechnung durch Steuerberater
• IT-Dienstleister mit Zugriff auf Ihre Systeme
• Webhosting-Anbieter

Was regelt ein AV-Vertrag?

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der Daten und Betroffene
• Pflichten des Auftragsverarbeiters
• Subunternehmer-Regelungen
• Technische und organisatorische Maßnahmen

4. Technische und organisatorische Maßnahmen (TOMs)

Was sind TOMs? Maßnahmen zum Schutz personenbezogener Daten.

Technische Maßnahmen:

• Verschlüsselung (Festplatten, E-Mails)
• Firewall und Antivirus
• Regelmäßige Backups
• Zugriffskontrolle (Berechtigungen)
• Sichere Passwörter und MFA
• Aktuelle Software und Patches

Organisatorische Maßnahmen:

• Mitarbeiterschulungen
• Vertraulichkeitsverpflichtungen
• Clean-Desk-Policy
• Besucherregelungen
• Löschkonzept

5. Löschkonzept

Grundsatz: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck benötigt werden oder gesetzliche Aufbewahrungsfristen bestehen.

Wichtige Aufbewahrungsfristen:

• Rechnungen, Buchungsbelege: 10 Jahre
• Handelsbriefe, Geschäftskorrespondenz: 6 Jahre
• Bewerbungsunterlagen (abgelehnt): 6 Monate
• Lohnabrechnungen: 6 Jahre
• Verträge: 3-10 Jahre (je nach Art)

Praxis: Definieren Sie für jede Datenkategorie eine Löschfrist und setzen Sie diese technisch um (z.B. automatische Löschung nach X Jahren).

6. Betroffenenrechte gewährleisten

Diese Rechte haben betroffene Personen:

• Auskunftsrecht: Welche Daten haben Sie über mich?
• Berichtigung: Korrigieren Sie falsche Daten
• Löschung ("Recht auf Vergessenwerden"): Löschen Sie meine Daten
• Einschränkung: Verarbeiten Sie meine Daten nicht weiter
• Datenübertragbarkeit: Geben Sie mir meine Daten in maschinenlesbarer Form
• Widerspruch: Ich widerspreche der Verarbeitung

Frist: Sie müssen innerhalb von einem Monat antworten.

Fehler 1: Excel-Listen mit Kundendaten

Das Problem: Kundendaten in Excel-Tabellen auf lokalen Rechnern oder per E-Mail verschickt.

Risiken:

• Keine Zugriffskontrolle
• Keine Verschlüsselung
• Keine Nachvollziehbarkeit
• Versehentliches Teilen

Lösung: CRM-System oder strukturierte Datenbank mit Berechtigungen.

Fehler 2: Keine Einwilligung für Newsletter

Das Problem: Kunden werden ohne explizite Einwilligung in den Newsletter eingetragen.

Die Regel: Für Werbung per E-Mail brauchen Sie eine nachweisbare Einwilligung (Double-Opt-In).

Ausnahme: Bestandskunden, denen Sie ähnliche Produkte anbieten – aber auch hier mit Widerspruchsmöglichkeit.

Fehler 3: Veraltete Datenschutzerklärung

Das Problem: Die Website wurde 2018 aktualisiert – seitdem hat sich nichts getan, obwohl neue Tools implementiert wurden.

Lösung: Bei jeder neuen Software oder Datenverarbeitung die Datenschutzerklärung prüfen und ggf. anpassen.

Fehler 4: Keine AV-Verträge mit Dienstleistern

Das Problem: Sie nutzen Cloud-Dienste, aber haben nie geprüft, ob ein AV-Vertrag besteht.

Check: Gehen Sie alle Ihre Dienstleister durch und prüfen Sie, ob AV-Verträge existieren.

Fehler 5: Fehlende Mitarbeiterschulung

Das Problem: Mitarbeiter wissen nicht, was sie dürfen und was nicht.

Lösung: Jährliche Datenschutz-Schulung für alle Mitarbeiter.

Pflicht zum DSB besteht, wenn:

1. 1Mindestens 20 Mitarbeiter ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind
2. 2Datenverarbeitung eine Datenschutz-Folgenabschätzung erfordert
3. 3Geschäftsmäßig personenbezogene Daten übermittelt werden (z.B. Auskunfteien)
4. 4Besondere Kategorien von Daten verarbeitet werden (Gesundheit, etc.)

Auch ohne Pflicht: Ein freiwilliger DSB kann sinnvoll sein, um Risiken zu minimieren.

Dokumentation:

• [ ] Verarbeitungsverzeichnis erstellt
• [ ] Datenschutzerklärung auf Website aktuell
• [ ] AV-Verträge mit allen Dienstleistern
• [ ] Löschkonzept dokumentiert
• [ ] TOMs dokumentiert

Technische Maßnahmen:

• [ ] Festplattenverschlüsselung aktiviert
• [ ] Sichere Passwörter / MFA
• [ ] Regelmäßige Backups
• [ ] Firewall und Antivirus
• [ ] Zugriffskontrolle (wer darf auf was?)
• [ ] Software aktuell

Organisation:

• [ ] Mitarbeiter geschult
• [ ] Vertraulichkeitserklärungen unterschrieben
• [ ] Prozess für Betroffenenanfragen definiert
• [ ] Meldeprozess für Datenpannen

Als IT-Dienstleister aus Bochum unterstützen wir bei der technischen Umsetzung von Datenschutz-Anforderungen:

Unsere Services:

• Verschlüsselung implementieren (Festplatten, E-Mails)
• Zugriffskontrolle einrichten
• Backup-Konzepte umsetzen
• Sichere Passwort-Lösungen
• Microsoft 365 datenschutzkonform einrichten
• AV-Verträge prüfen (für IT-relevante Dienstleister)

Wir sind keine Juristen: Für rechtliche Beratung und die Erstellung von Datenschutzerklärungen empfehlen wir spezialisierte Datenschutzberater oder Rechtsanwälte.

DSGVO-Compliance ist für KMU kein Hexenwerk. Mit den Basics – Verarbeitungsverzeichnis, Datenschutzerklärung, AV-Verträge und angemessene technische Maßnahmen – sind Sie gut aufgestellt.

Die drei wichtigsten Takeaways:

1. 1Dokumentieren Sie: Verarbeitungsverzeichnis und TOMs sind Pflicht.
2. 2Schulen Sie Mitarbeiter: Die beste Technik hilft nicht ohne Awareness.
3. 3Bleiben Sie dran: Datenschutz ist kein einmaliges Projekt, sondern ein laufender Prozess.

---

Sie brauchen Unterstützung bei technischen Datenschutz-Maßnahmen?

Wir helfen bei Verschlüsselung, Zugriffskontrolle und sicheren IT-Systemen. Sprechen Sie uns an!