kleine und mittelständische Unternehmen

Was gilt beim Datenschutz für KMU?

Der Datenschutz am Arbeitsplatz ist insbesondere für kleine und mittelständische Unternehmen eine Herausforderung. Er besteht in erster Linie darin, potenzielle Gefahren zu erkennen und den Risikofaktor Mensch einzukalkulieren.

Mit Einführung der neuen EU-Datenschutzgrundverordnung sind die Ansprüche hinsichtlich der Verarbeitung persönlicher Daten gestiegen. Trotzdem muss sich jede Firma an die vorgeschriebenen Dokumentationspflichten sowie weitere gesetzliche Vorgaben halten – unabhängig von seiner Größe.

Das Problem für kleine und mittelständische Unternehmen ist dabei meist ein personelles Hindernis: Es gibt nicht genügend Ressourcen, um die gesetzlichen Vorgaben so zu erfüllen, wie es in großen Organisationen möglich ist. Neben der Anzahl an Mitarbeitern spielen ebenfalls die zeitlichen Möglichkeiten und das notwendige Wissen eine entscheidende Rolle.

Das Ziel der DSGVO liegt stets darin, personenbezogene Daten zu schützen und Datenschutzverstöße zu vermeiden. Deshalb müssen sich kleine und mittelständische Unternehmen zunächst darüber klar sein, wo solche Informationen überhaupt verarbeitet werden. Diese Frage betrifft Kundendaten, aber auch die Daten von Bewerbern, Interessenten, Lieferanten oder Mitarbeitern. Sie alle müssen eindeutig identifiziert und nachvollziehbar sein. Das gilt für die IT ebenso wie für manuell notierte Bestellungen. Kleine und mittelständische Unternehmen, die darüber Bescheid wissen, sind ihrer Konkurrenz bereits einen Schritt voraus. Folgende Empfehlungen erweisen sich für kleine und mittelständische Unternehmen als praktikabel und nützlich:

  • Es lohnt sich herauszufinden, wo im Betrieb personenbezogene Daten überhaupt zum Einsatz kommen.
  • Um Datenschutzverstöße zu vermeiden, sollte geprüft werden, welche Informationen verarbeitet werden dürfen.
  • Außerdem ist es wichtig, die Website zu überprüfen: Häufig ist den Betreibern unbekannt, welche Daten von wem verarbeitet werden.
  • Regelmäßige Schulungen für die Mitarbeiter helfen ebenfalls dabei, das notwendige Problembewusstsein zu schaffen. Dadurch ist es für kleine und mittelständische Unternehmen leichter, die Vorschriften der DSGVO zu erfüllen.

Was bedeutet Datenschutz für kleine Unternehmen?

Kleine Betriebe kommen fast immer ohne einen Datenschutzbeauftragten aus. Tatsächlich ist ein solcher Experte nach dem Bundesdatenschutzgesetz erst ab 20 Mitarbeitern notwendig. Außerdem ist er nur dann erforderlich, wenn die Firma regelmäßig mit personenbezogenen Daten arbeitet. Das Problem: Vor allem kleine und mittelständische Unternehmen ziehen daraus die falschen Schlüsse. Vielmehr ist anzunehmen, dass diese kleinen Betriebe künftig häufiger geprüft werden als die großen Mitbewerber.

Der Grund dafür, dass die Anzahl an Mitarbeitern von zehn auf 20 hochgesetzt wurde, ist, dass der Gesetzgeber kleine Unternehmen entlasten möchte. Das bedeutet jedoch keinesfalls, dass die verbundenen Anforderungen der Datenschutzgrundverordnung damit hinfällig sind. Es bedeutet lediglich, dass das Unternehmen die Aufgaben in Eigenregie erledigen darf. Die Umsetzung muss weiterhin rechtskonform und nachvollziehbar gestaltet sein. Das Ergebnis ist, dass es insbesondere für kleine und mittelständische Unternehmen schwieriger wird, dem Datenschutz nachzukommen.

Was bedeutet Datenschutz für mittelständische Unternehmen?

Kleine und mittelständische Unternehmen haben durch die neue Datenschutzverordnung zahlreiche Veränderungen durchlaufen. Dazu gehört, dass eine nachvollziehbare und transparente Dokumentation für sämtliche Firmen verpflichtend ist. Um die Richtigkeit zu gewährleisten, sind spezielle Prüfungsprogramme und eine automatisierte Protokollierungssoftware notwendig.

Da der Mittelstand mehr als 20 Mitarbeiter beschäftigt, ist zudem vorgeschrieben, dass sie einen Datenschutzbeauftragten bestimmen. Dieser Experte muss an regelmäßigen Schulungen und Beratungen teilnehmen sowie ausreichend Zeit in seine Weiterbildung investieren. Das bedeutet einen spürbaren Mehraufwand, der von einem internen Mitarbeiter mit weiteren Aufgaben kaum gestemmt werden kann. Deshalb entscheiden sich kleine und mittelständische Unternehmen oft für ein gezieltes Outsourcing: Es wird ein externer Datenschutzbeauftragter engagiert, sodass die Verantwortung außerhalb des Betriebs liegt. Ob sich kleine und mittelständische Unternehmen für dieses Vorgehen entscheiden, obliegt jedoch ihrer freien Entscheidung und wird nicht gesetzlich vorgegeben.

Zudem ist es insbesondere für den Mittelstand notwendig, sich rechtlich abzusichern. Das gelingt am besten mithilfe eines Juristen. Wichtig ist jedoch, dass sich dieser Rechtsbeistand mit der DSGVO auskennt und sich ihrer Feinheiten bewusst ist.

 

Bild: AdobeStock_308618001, wutzkoh

Leave a Reply