Diese 4 DSGVO Pflichten müssen Sie als KMU beachten!

Sie sind Unternehmer und haben ein Klein- oder Mittelunternehmen?

Dann haben Sie sich wahrscheinlich schon einmal gefragt, ob die gesetzlichen Vorschriften der DSGVO auch für Sie gelten. Die Antwort ist JA! Die DSGVO macht auch keinen Halt vor einem KMU.

Sogar Vereine oder eine selbstständige Yoga-Lehrerin können betroffen sein. Denn 99,9% der Unternehmen arbeiten mit personenbezogenen Daten. Es reicht schon aus, wenn Sie den Namen eines Kunden abspeichern!

Damit Sie Klarheit darüber erlangen, welchen DSGVO Pflichten Sie als KMU nachkommen müssen, haben wir das in 4 Punkten für Sie zusammengefasst!

Diese 4 DSGVO Pflichten betreffen auch Sie, als KMU!

DSGVO Pflichten

1. Dokumentationspflicht

Die DSGVO sieht vor, dass gewisse Aktivitäten, Vorgänge und Prozesse dokumentiert werden müssen.
Diese Pflicht umfasst mehrere „Aufgaben“:

Erstellung und laufende Aktualisierung der benötigten DSGVO Dokumentation

Auch für KMUs sind gewisse Dokumentationen verpflichtend. Diese sind laut Gesetz für alle Unternehmen, die von der DSGVO betroffen sind, Vorschrift. Zu diesen Dokumentationen gehören z.B. ein Verzeichnis Ihrer Verarbeitungstätigkeiten, die TOMs (technische und organisatorische Maßnahmen) und ein Löschkonzept.

Den Aufwand sollten Sie hier auf keinen Fall unterschätzen. Denn alleine das Verarbeitungsverzeichnis kann einen Umfang von bis zu 250 Seiten annehmen. Außerdem sollten Sie diese Dokumentationen laufend aktualisieren!

Unser Tipp: In den Paketen des DSGVO Schutzteams ist die Erstellung dieser Dokumente inkludiert. Damit können Sie Ihren Aufwand reduzieren!

Dokumentation von Datenpannen

Ein gestohlener Firmenlaptop, eine falsch adressierte E-Mail oder ein verlorener USB-Stick mit Kundendaten. Das alles sind Datenpannen und sie passieren schneller als Sie denken. Wenn in Ihrem Unternehmen so eine Panne geschieht, dürfen Sie das nicht einfach ignorieren!

Datenpannen müssen dokumentiert und bewertet werden! In einigen Fällen müssen Sie sie außerdem spätestens 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde melden und die Personen, deren Daten betroffen sind informieren. Geben Sie also Acht und nehmen Sie eine Datenpanne nicht auf die leichte Schulter!

In unserem Beitrag „Achtung, Datenpanne“ erfahren Sie mehr darüber, wie Sie handeln müssen, wenn Ihnen eine Datenpanne passiert.

Erstellung der Auftragsverarbeiter-Dokumentationen

Auch als KMU können Sie Auftragsverarbeiter sein. Dies ist der Fall, wenn Sie personenbezogene Daten im Auftrag Ihres Kunden verarbeiten.

Beispiele dafür sind:

IT-Dienstleister, die auf die Systeme ihrer Kunden zugreifen

Werbeagenturen, die z.B. Websites oder Social Media Kanäle betreuen

Papier- oder Aktenvernichtung

Wenn Sie feststellen, dass Sie ein Auftragsverarbeiter sind, haben Sie einige zusätzliche Pflichten. Beispielsweise die Erstellung eines Auftragsverarbeitervertrages oder das Führen eines Auftragsverarbeiterverzeichnisses. Um zu erfahren, ob auch Sie ein Auftragsverarbeiter sind, lesen Sie unseren Beitrag „Auftragsverarbeiter laut DSGVO – Gehöre ich dazu?“.

2. Informationspflicht

Umsetzung der Informationspflichten bei jeder Datenverarbeitung

Verarbeiten Sie personenbezogene Daten von einer Person, müssen Sie sie im Vorhinein darüber informieren, spätestens zum Zeitpunkt der Erhebung. Die Information sollte dabei unter anderem Angaben, wie die Kontaktdaten des Datenschutz-Verantwortlichen, den Verarbeitungszweck und die Rechtsgrundlage und die Speicherdauer der Daten umfassen. Mehr darüber, was zur Erfüllung Ihrer Informationspflichten alles zu beachten ist, erfahren Sie in unserem Beitrag „DSGVO Informationspflichten“!

Umsetzung der Informationspflichten auf Ihrer Homepage

Wenn Sie als KMU eine eigene Homepage haben, sollten Sie nicht vergessen, dass auch hier die Informationspflichten erfüllt werden müssen.

Folgende Regeln sollten Sie dabei unbedingt beachten:

Google Analytics Tracker dürfen nur mit vorgehendem Hinweis und einer Einwilligung verwendet werden

Google-Dienste, Social Media Plugins, Fonts etc. dürfen nicht ohne vorgehenden Hinweis und Einwilligung verwendet werden

Ein vollständiges und sichtbares Impressum muss jederzeit erreichbar sein

Die Datenschutzerklärung muss den Anforderungen der DSGVO entsprechen (lesen sie hierzu unseren Beitrag “Datenschutzerklärung auf der Website”)

Cookie Banner müssen nach genauen Richtlinien gestalten werden

Detailliertere Informationen dazu erhalten Sie in unserem Beitrag „DSGVO & Homepage – Die 5 häufigsten Fehler“.

3. Erfüllung der Betroffenenrechte

Die Personen, von denen Sie als KMU Daten verarbeiten, haben Ihnen gegenüber einige Rechte. Diese müssen Sie nach den gesetzlichen Regelungen der DSGVO erfüllen.

Diese Forderungen können Betroffene an Sie stellen:

Bearbeitung von Betroffenenanfragen

Jeder Mitarbeiter, Kunde, Lieferant, Besucher Ihrer Website etc. hat das Recht, eine Anfrage an Sie zu stellen. Dies kann die Auskunft, Löschung, Berichtigung oder auch die Einschränkung zur Verarbeitung ihrer Daten umfassen.

Nachdem die anfragende Person eindeutig identifiziert wurde, haben Sie 30 Tage Zeit, um die Anfrage zu beantworten. Die Antwort unterliegt dabei gewissen Vorschriften.

Beispielsweise muss sie Folgendes beinhalten:

  • Verarbeitungszwecke
  • Löschfristen
  • Rechtsgrundlagen
  • Kategorien personenbezogener Daten
  • Empfänger oder Kategorien von Empfängern

Grundsätzlich sollten Sie bei der Beantwortung mit einem hohen Aufwand rechnen. Halten Sie dabei nicht die gesetzlichen Vorschriften ein, drohen schnell Strafen. Außerdem hat jeder Betroffene ein Recht auf Schadensersatz, wenn Sie Ihren Pflichten nicht ordnungsgemäß nachkommen!

Mehr darüber erfahren Sie in unserem Beitrag „Eingang einer Auskunftsanfrage“.

4. Pflicht zur laufenden Sicherstellung des Datenschutzes

Um den Datenschutz laufend in Ihrem KMU zu gewährleisten, sollten Sie einige Maßnahmen setzten.
Dazu gehören:

Beauftragung eines Datenschutzbeauftragten

Auch als KMU können Sie dazu verpflichtet sein, einen Datenschutzbeauftragten zu bestellen. Ab wann ein solcher benötigt wird, ist länderspezifisch geregelt.

Sie möchten herausfinden, ob Sie einen Datenschutzbeauftragten benötigen?

Machen Sie unseren schnellen und kostenlosen Online-Check!

Auch wenn Sie nicht dazu verpflichtet sind einen Datenschutzbeauftragten zu bestimmen, kann es für Ihr KMU hilfreich sein, eine Beratung durch einen Datenschutzexperten in Anspruch zu nehmen!

Mehr darüber, was ein Datenschutzbeauftragter eigentlich tut, erfahren Sie in unserem Beitrag Aufgaben eines Datenschutzbeauftragten!

Implementierung von technischen und organisatorischen Maßnahmen

Um einen umfangreichen und fehlerlosen Datenschutz in Ihrem KMU zu gewährleisten, verlangt die DSGVO den Einsatz von geeigneten technischen und organisatorischen Maßnahmen.

Das sind Vorkehrungen, die die Daten im Unternehmen vor Gefahren, wie z.B. einem Fremdzugriff, schützen. Dazu gehören beispielsweise die Verwendung einer Alarmanlage oder das regelmäßige Ändern von Passwörtern. Mehr dazu erfahren Sie in unserem Beitrag „Technische & organisatorische Maßnahmen – Grundlagen“!

Laufende Umsetzung des Datenschutzes

Die DSGVO soll auch für KMUs nicht nur eine gesetzliche Richtlinie sein. Wichtiger ist es, dass Datenschutz in Ihrer Unternehmensphilosophie verankert ist.

Dabei ist es essenziell, Ihre Mitarbeiter regelmäßig zu schulen. Alle sollten auf dem neuesten Stand sein und sich ihrer Pflichten bewusst sein. Es hilft nichts, wenn Sie ein korrektes Datenverarbeitungsverzeichnis führen, Ihr Mitarbeiter aber täglich vertrauliche Daten via WhatsApp mit seinen Freunden teilt!

Außerdem sollten Sie regelmäßig ein Datenschutzaudit durchführen. Das ist eine allgemeine Prüfung der Einhaltung und Umsetzung der DSGVO in einem Unternehmen. Es hilft Ihnen festzustellen, ob Sie Ihre DSGVO-Pflichten erfüllen, wo möglicherweise Risiken bestehen und wie Sie diesen Risiken gegenübertreten sollten.

Im besten Fall sollte die DSGVO ein Teil Ihres Unternehmensalltags werden!

Wollen Sie mehr über Ihre Möglichkeiten zur Erfüllung der DSGVO Pflichten für KMUs wissen?

Dann buchen Sie jetzt ein unverbindliches Beratungsgespräch mit einem unserer Datenschutzexperten!

Wir informieren Sie gerne über alle Details. Weiters klären wir persönlich Ihre offenen Fragen. Garantiert kostenlos und unverbindlich!

Das könnte Sie auch interessieren:

Menü