Datenschutz – Compliance im UNternehmen
Als Geschäftsführer tragen Sie die Verantwortung dafür, dass Ihr Unternehmen datenschutzkonform aufgestellt ist – und zwar egal wie groß es ist und ob Sie einen Datenschutzbeauftragten brauchen oder nicht. Dabei lässt sich Datenschutz – Compliance mit strukturierten Prozessen gut erreichen.
Wie setze ich Datenschutz - Compliance in meinem Unternehmen rechtssicher um?
Die Antwort in 30 Sekunden
Datenschutz-Compliance heißt: Sie müssen datenschutzkonforme Prozesse aufbauen, alle Verarbeitungen dokumentieren und technisch-organisatorische Maßnahmen umsetzen. Wichtig: das gilt unabhängig von Ihrer Unternehmensgröße und unabhängig davon, ob Sie einen Datenschutzbeauftragten benennen müssen oder nicht. Prüfen Sie Ihre Datenschutzorganisation und strukturieren diese, bevor Behörden oder Betroffene Verstöße melden.
Welche Pflichten gelten konkret? Welche Dokumentation ist notwendig? Und was passiert bei Verstößen? Dieser Text erklärt Schritt für Schritt, wie Sie DSGVO – Compliance in Ihrem Unternehmen aufbauen, welche Pflichten Sie beachten müssen und welche Fehler Sie unbedingt vermeiden sollten.
Was bedeutet Datenschutz - Compliance konkret für Ihr Unternehmen?
DSGVO – Compliance bedeutet, dass Ihr Unternehmen alle Anforderungen der Datenschutzgrundverordnung (DSGVO) einhält. Einige der wichtigsten Pflichten sind:
Rechtmäßige Verarbeitung personenbezogener Daten
Verarbeitung nur mit Rechtsgrundlage nach DSGVO
Dokumentation aller Verarbeitungstätigkeiten
in einem Verzeichnis nach Artikel 30 DSGVO
Umsetzung technisch-organisatorischer Maßnahmen
TOM zum Schutz der Daten (Art. 32 DSGVO)
Information der Betroffenen
über die Datenverarbeitung (Datenschutzerklärung, Informationspflichten u.a.)nach Artikel 13, 14 DSGVO
Abschluss von Auftragsverarbeitungsverträgen (AVV)
mit Dienstleistern, die Daten in Ihrem Auftrag verarbeiten
Meldung von Datenpannen
an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO)
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – zum Beispiel Name, E-Mail-Adresse, IP-Adresse, Standortdaten oder Gesundheitsdaten.
Technisch-organisatorische Maßnahmen (TOMs) sind konkrete Schutzmaßnahmen wie Passwortrichtlinien, Verschlüsselung, Zugangskontrollen, regelmäßige Backups und Schulungen der Mitarbeiter.
Die entscheidende Frage lautet: Muss ich mit meinem Unternehmen diese Anforderungen der DSGVO überhaupt erfüllen?
Welche Unternehmen müssen die DSGVO umsetzen?
Die DSGVO gilt ausnahmslos für alle Unternehmen, die personenbezogene Daten verarbeiten – unabhängig von Größe, Branche oder Rechtsform. Das betrifft:
• Einzelunternehmen und Freiberufler
• Start-ups und mittelständische Unternehmen
• Konzerne und Großunternehmen
• Vereine und gemeinnützige Organisationen
Datenschutz – Compliance ist also im Prinzip für jedes Unternehmen ein Thema. Auch wenn Ihr Unternehmen seinen Sitz außerhalb der EU hat, gilt übrigens die DSGVO, sobald Sie Daten von Personen in der EU verarbeiten (z. B. durch einen Onlineshop, der EU-Kunden beliefert).
Welche Fehler passieren bei der DSGVO-Umsetzung am häufigsten?
Datenschutz – Compliance bedeutet auch, dass ihnen typische Fehler erst gar nicht unterlaufen:
Kein Verzeichnis von Verarbeitungstätigkeiten
Viele Unternehmen führen kein oder lediglich ein rudimentäre Verzeichnis oder aktualisieren es nicht regelmäßig.
Fehlende oder unvollständige Auftragsverarbeitungsverträge (AVV)
Ohne AVV mit Dienstleistern (z. B. Cloud-Anbieter, Newsletter-Tool) liegt ein Verstoß vor.
Unzureichende Datenschutzerklärung
Viele Websites nutzen veraltete oder unvollständige Datenschutzerklärungen, die nicht alle Verarbeitungen abdecken oder Informationen enthalten, welche nicht in die Datenschutzerklärung gehören.
Keine oder verspätete Meldung von Datenpannen
Die 72-Stunden-Frist wird oft übersehen oder nicht eingehalten.
Fehlende Rechtsgrundlage
Daten werden verarbeitet, ohne dass eine Rechtsgrundlage (z. B. Einwilligung, Vertrag) besteht.
Unzureichende technisch-organisatorische Maßnahmen
Fehlende Verschlüsselung, schwache Passwörter, keine Zugangskontrollen.
Keine Schulung der Mitarbeiter
Mitarbeiter kennen die Datenschutzanforderungen nicht und handeln unbewusst rechtswidrig.
kein Datenschutzbeauftragter
Unternehmen, die einen Datenschutzbeauftragten bestellen müssen, tun dies nicht oder melden ihn nicht bei der Aufsichtsbehörde.
Solche Fehler können ein behördliches Verfahren nach sich ziehen. Diese können übrigens leichter „ins Rollen kommen“ als man glaubt: jeder kann bei der Behörde eine Beschwerde einlegen und die Behörde muss dieser nachgehen. Verfahren werden häufig von Betroffenen, Mitbewerber oder ehemaligen Mitarbeitern initiiert und sind häufiger als Sie denken.
Unser Service für Ihre maßgeschneiderte Datenschutz - Compliance
Die Umsetzung der DSGVO ist keine einmalige Aufgabe, sondern ein laufender Prozess. Wir nehmen Ihnen die Komplexität und den permanenten Überwachungsaufwand ab und bauen für Sie eine pragmatische und nachhaltige Datenschutz-Struktur auf.
Bestandsaufnahme und Analyse
Wir führen eine umfassende Bestandsaufnahme in Ihrem Unternehmen durch. Sie erfahren genau, wo Sie stehen, welche Risiken bestehen und welche Schritte notwendig sind, um vollständige Compliance zu erreichen.
Erstellung der Kerndokumentation
Wir erstellen für Sie die gesamte zentrale Dokumentation, insbesondere das rechtssichere Verzeichnis von Verarbeitungstätigkeiten (VVT) und die dazugehörigen Prozessbeschreibungen.
Prüfung und Erstellung von Verträgen
Wir prüfen Ihre bestehenden Auftragsverarbeitungsverträge (AVV) mit Dienstleistern auf Lücken und erstellen neue, rechtssichere Verträge, wo immer sie benötigt werden.
Aufbau eines Datenpannen-Managements
Wir implementieren einen klaren Notfallplan, damit Sie im Falle einer Datenpanne sofort wissen, was zu tun ist, und die kritische 72-Stunden-Frist sicher einhalten können.
Mitarbeitersensibilisierung und Schulung
Wir schulen Ihre Mitarbeiter praxisnah, damit diese die datenschutzrechtlichen Anforderungen im Arbeitsalltag verstehen und sicher umsetzen können. Denn Ihre Mitarbeiter sind die erste Verteidigungslinie.
Laufende Betreuung und Updates
Die Gesetzeslage ändert sich. Wir überwachen die Entwicklungen für Sie, passen Ihre Dokumentation bei Bedarf an und stehen Ihnen als dauerhafter Ansprechpartner für alle Datenschutzfragen zur Seite.
Sie haben konkrete Fragen oder möchten sich einfach informieren?
Buchen Sie direkt Ihr kostenfreies Erstgespräch.
Rechtsanwältin Christiane Henneken freut sich auf Sie.
DSGVO – Compliance bedeutet auch, dass sie zeitkritische Pflichten einhalten. Davon gibt es einige in der DSGVO.
Welche zeitkritischen Pflichten müssen Sie unbedingt einhalten?
Die DSGVO kennt mehrere zeitkritische Pflichten:
1. Meldung von Datenpannen
Innerhalb von 72 Stunden nach Bekanntwerden müssen Sie eine Datenpanne (z. B. Hackerangriff, Datenverlust, unbefugter Zugriff) der zuständigen Aufsichtsbehörde melden. Die Frist beginnt, sobald Sie von der Panne Kenntnis erlangen. Versäumen Sie die Frist, drohen zusätzliche Bußgelder.
2. Auskunftsanfragen von Betroffenen
Betroffene Personen (z. B. Kunden, Mitarbeiter) können jederzeit Auskunft über ihre gespeicherten Daten verlangen. Sie müssen die Auskunft unverzüglich, spätestens innerhalb eines Monats erteilen (Art. 15 DSGVO). In komplexen Fällen können Sie die Frist um zwei weitere Monate verlängern – Sie müssen den Betroffenen aber innerhalb des ersten Monats über die Verlängerung informieren.
3. Löschung von Daten
Wenn die Rechtsgrundlage für die Speicherung entfällt (z. B. Vertrag beendet, Einwilligung widerrufen), müssen Sie die Daten unverzüglich löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht (z. B. 10 Jahre für steuerrechtlich relevante Unterlagen nach § 147 AO).
4. Datenschutz-Folgenabschätzung (DSFA)
Bei risikoreichen Verarbeitungen (z. B. umfangreiche Profilbildung, Videoüberwachung, Verarbeitung sensibler Daten) müssen Sie vor Beginn der Verarbeitung eine DSFA durchführen (Art. 35 DSGVO).
Datenschutz – Compliace bedeutet nicht nur, dass Sie diese Fristen im Blick haben, sondern auch, dass Sie durch entsprechende Abläufe in Ihrem Unternehmen deren Einhaltung sicherstellen.
Wie ist der Ablauf zur Datenschutz - Compliance Ihres Unternehmens?
Die Umsetzung erfolgt in mehreren Schritten:
1. Verzeichnis von Verarbeitungstätigkeiten erstellen
Dokumentieren Sie jede Tätigkeit bei der personenbezogene Daten verarbeitet werden in einem strukturierten Verzeichnis (Art. 30 DSGVO). Das Verzeichnis muss unter anderem Angaben zu Zweck der Verarbeitung, Kategorien der verarbeiteten Daten und Empfängern, Speicherfristen, Rechtsgrundlage enthalten. Die DSGVO bestimmt genau, welche Angaben in dem Verzeichnis enthalten sein müssen.
2. Rechtsgrundlagen prüfen
Jede Verarbeitung personenbezogener braucht eine Rechtsgrundlage (z. B. Einwilligung, Vertragserfüllung, berechtigtes Interesse, gesetzliche Pflicht). Die Rechtsgrundlagen sind in der DSGVO abschließend genannt. Prüfen Sie, ob Ihre Verarbeitungen rechtmäßig sind.
3. Technisch-organisatorische Maßnahmen umsetzen
Implementieren Sie Technisch-Organisatorische Maßnahmen. Das können Schutzmaßnahmen wie Verschlüsselung, Zugangskontrollen, Pseudonymisierung und regelmäßige Sicherheitsupdates ebenso wie interne Organsiationsanweisungen und Schulungen sein.
4. Auftragsverarbeitungsverträge abschließen
Schließen Sie mit allen Dienstleistern, die Daten in Ihrem Auftrag verarbeiten (z. B. Hosting-Anbieter, Newsletter-Tool, Buchhaltungssoftware), einen AVV ab.
5. Datenschutzerklärung und Informationspflichten erfüllen
Informieren Sie Betroffene transparent über die Datenverarbeitung – auf Ihrer Website, in Verträgen, bei der Datenerhebung.
6. Datenschutzbeauftragten bestellen (falls erforderlich)
Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn besondere Kategorien von Daten (z. B. Gesundheitsdaten) verarbeitet werden. Sie können einen internen oder externen Datenschutzbeauftragten bestellen.
7. Schulung der Mitarbeiter
Sensibilisieren Sie Ihre Mitarbeiter für Datenschutz und schulen Sie sie regelmäßig.
8. Laufende Überwachung und Anpassung
Datenschutz ist kein einmaliges Projekt. Überprüfen Sie regelmäßig Ihre Prozesse, aktualisieren Sie Dokumentationen und passen Sie Maßnahmen an neue Risiken oder Geschäftsmodelle an.
Autorin
Rechtsanwältin Christiane Henneken verfügt über langjährige Erfahrung im Datenschutzrecht und begleitet Unternehmen bei der Umsetzung von DSGVO-konformen Prozessen und als externe Datenschutzbeauftragte.
.
Häufig gestellte Fragen (FAQ)
Gilt die DSGVO auch für kleine Unternehmen und Einzelunternehmer?
Ja, die DSGVO gilt für alle Unternehmen, die personenbezogene Daten verarbeiten – unabhängig von der Größe. Auch Einzelunternehmer und Freiberufler müssen die Anforderungen erfüllen, wenn sie z. B. Kundendaten speichern oder eine Website mit Kontaktformular betreiben. Und zwar auch dann, wenn sie keinen Datenschutzbeauftragten benennen müssen.
Wie lange darf ich Kundendaten speichern?
Sie dürfen Daten nur so lange speichern, wie es für den Zweck der Verarbeitung erforderlich ist und keine Gründe, wie z.B. gesetzliche Aufbewahrungsfristen, entgegenstehen.
Muss ich wirklich jede Datenverarbeitung dokumentieren?
Ja, das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist verpflichtend für alle Unternehmen, die personenbezogene Daten verarbeiten. Ausnahme: Unternehmen mit weniger als 250 Mitarbeitern müssen nur Verarbeitungen dokumentieren, die nicht gelegentlich erfolgen, ein Risiko für die Rechte der Betroffenen darstellen oder besondere Kategorien von Daten betreffen. In der Praxis erfüllen fast alle Unternehmen diese Kriterien, sodass die Dokumentationspflicht greift. Es muss jede Tätigkeit, bei welcher personenbezogene Daten verarbeitet werden, im Verarbeitungsverzeichnis geführt werden. Die DSGVO gibt genau vor, was im Verarbeitungsverzeichnis stehen muss.
Welche Bußgelder drohen bei Verstößen?
Bußgelder verhängen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) beispielsweise bei Verstößen gegen Dokumentationspflichten, fehlenden AVVs oder unzureichenden TOMs; bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei Verstößen gegen Grundprinzipien (z. B. fehlende Rechtsgrundlage, unzulässige Datenübermittlung in Drittländer, Missachtung von Betroffenenrechten).
Behördliche Verfahren können übrigens leicht „ins Rollen kommen“. Jeder kann bei der Behörde eine Beschwerde einlegen und die Behörde muss dieser nachgehen. Verfahren werden häufig von Betroffenen, Mitbewerber oder ehemaligen Mitarbeitern initiiert und sind häufiger als gemeinhin angenommen wird.
Strategische Ergänzungen zum Thema