Datenschutz im Unternehmen ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. In diesem Beitrag zeige ich dir anhand eines praxisnahen 11-Punkte-Plans, wie du Datenschutz und Datensicherheit strukturiert umsetzt – von klaren Verantwortlichkeiten und Schulungen über technische und organisatorische Maßnahmen (TOMs) bis hin zum richtigen Umgang mit Betroffenenanfragen und Datenpannen. Der Leitfaden richtet sich vor allem an kleine und mittlere Unternehmen, die Datenschutz verständlich, pragmatisch und DSGVO-konform in ihren Alltag integrieren wollen.
Das Wichtigste auf einen Blick
- Thema: Datenschutz & Datensicherheit im Unternehmen umsetzen
- Ziel: DSGVO-konforme Prozesse, die im Alltag funktionieren
- Geeignet für: KMU, Selbstständige, Unternehmen ohne eigene Datenschutzabteilung
- Kernpunkte: Verantwortlichkeiten • Schulung • TOMs • Dokumentation • Datenpannen
- Wichtig: Datenpannen ggf. innerhalb von 72 Stunden melden
- Typischer Fehler: Datenschutz als einmaliges Projekt behandeln
Ein 11-Punkte-Plan
Die korrekte Umsetzung des Datenschutzes und der Datensicherheit in einem Unternehmen ist entscheidend, um die Privatsphäre der Kunden und Mitarbeiter zu schützen und den gesetzlichen Anforderungen zu entsprechen.
Ich beschreibe hier 11 Schritte, denen Unternehmen folgen können, um den erforderlichen Datenschutz richtig umzusetzen:
1. Datenschutz-Leit- und -richtlinien entwickeln:
Erstelle zuerst klare Datenschutz-Leit- und -richtlinien, die die Art der gesammelten Daten, den Zweck ihrer Verwendung, die Speicherdauer und die Sicherheitsmaßnahmen erläutern. Erschaffe Klarheit für dein Unternehmen. Nach innen für deine Mitarbeiter und nach außen für deine Kunden und Geschäftspartner.
Mit einer Richtlinie entsteht eine neue Unternehmenskultur und damit ein gelebter Datenschutz. Was passiert bei einem Notfall oder einem Datenschutzvorfall? Gibt es hier klare Regeln und Vorgaben, fällt es allen leichter damit umzugehen. Mitarbeiter werden deutlich handlungssicherer. Nach außen wird dein Unternehmen als vertrauensvoll wahrgenommen. Kunden mögen Sicherheit und Verlässlichkeit, denn es sind u.a. Kundendaten, die von dir verarbeitet werden. Diese Erfahrung habe ich bei jedem betreutem Unternehmen erkennen können. Das gilt ebenso für deine Geschäftspartner.
Dazu gehören sämtliche Dokumentationen, die in einem Datenschutz-Handbuch oder System zusammengeführt werden. Auftragsverarbeitungsverträge, Verzeichnis von Verarbeitungstätigkeiten, technisch-organisatorische Maßnahmen, Handlungsanweisungen für Mitarbeiter, Betroffenenanfragen, Löschkonzept, Notfall- und Katastrophenplan, Datenpannen, etc.
2. Datenschutzbeauftragten benennen:
Falls erforderlich, benenne einen Datenschutzbeauftragten (DSB). In einigen Ländern und Branchen ist dies gesetzlich vorgeschrieben. U.a. wenn 20 oder mehr Personen in deinem Unternehmen personenbezogene Daten verarbeiten, muss ein DSB bestellt werden. Das kann ein interner (betrieblicher) oder ein externer DSB sein. Die Wahl für welche Variante, ist dir freigestellt. Ein betrieblicher DSB ist dicht dran und kennt „den Laden“. Ein externer DSB ist weniger vor Ort, dafür oft mit einem Blick von außen bei dir. Beides hat Vor- und Nachteile und bleibt deine Entscheidung. Ein externer ist günstiger und übernimmt gemäß seinem Vertrag eine Haftung bei falscher Beratung.
Ein DSB arbeitet immer weisungsfrei und berät den verantwortlichen Geschäftsführer direkt.
3. Mitarbeiter schulen und sensibilisieren:
Schule deine Mitarbeiter regelmäßig im Datenschutz, damit sie die Richtlinien verstehen und sicherstellen können, dass sie eingehalten werden. Datenschutzschulungen müssen mindestens einmal jährlich durchgeführt werden. Der DSB kann diese Schulungen übernehmen. Alternativ gibt es dafür auch Onlineangebote.
Neue Mitarbeiter sollten schon im Onboarding-Prozess geschult werden, bevor diese ihre Arbeit aufnehmen.
4. Datenschutz durch Design und Standarddatenschutzeinstellungen implementieren:
Integriere Datenschutzmaßnahmen bereits in den Entwicklungsprozess von Produkten und Dienstleistungen (Privacy by Design oder Default), um die Datensicherheit anzupassen. Definiere standardmäßige Datenschutzeinstellungen, um die Datensicherheit zu maximieren. Hier ist eine gute Zusammenarbeit mit einem qualifizierten IT-Dienstleistungsunternehmen zu empfehlen. DSB und IT arbeiten hier zusammen und deshalb empfehle ich diese beiden Bereiche immer getrennt zu halten, damit kein Interessenkonflikt entsteht.
Beispiel: Ein neues Smartphone ist bei der ersten Aktivierung vom Werk aus so eingestellt, dass es erstmal keine personenbezogenen Daten oder Standorte überträgt. Der Nutzer selbst entscheidet, welche seiner Daten übertragen werden sollen und welche nicht.
5. Einwilligungen einholen:
Hole dir, wenn notwendig Einwilligungen von Kunden ein, bevor du deren personenbezogene Daten verarbeitest. Schaue ob ggf. eine andere Rechtsgrundlage Anwendung findet. Es können auch mehrere gleichzeitig sein. Kläre dabei deutlich über den Zweck und den Umfang der Datenverarbeitung auf (Informationspflicht).
Bedenke auch weitere Einwilligungen, wie beim Empfang der Daten über Dritte und z.B. Newsletter Versand (Double-Opt-In)
Das gleiche gilt für die eigenen Mitarbeiter. Nicht zu vergessen sind Einwilligungen auch für Bild und Werberechte, Social-Media-Kanäle, u.ä.
6. Sicherheitsmaßnahmen implementieren:
Ergreife angemessene technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten. Dazu gehören Passwortrichtlinien, Verschlüsselung, Backup-Strategie, Zugangs- und Zugriffskontrollen und regelmäßige Sicherheitsaudits. Updates von Betriebssystemen, Software, Router usw. Angemessene Kennzeichnung einer Kameraüberwachung des Gebäudes / Geländes.
7. Datenminimierung und Speicherbegrenzung:
Erfasse nur die Daten, die wirklich benötigt werden, und begrenze die Speicherung auf einen angemessenen Zeitraum.
Als Beispiel nehmen wie ein Kontaktformular für einen Newsletter eines Schuhgeschäftes:
Vorname, Name, Schuhgröße, wieviel Personen im Haushalt, sind keine notwendigen Daten und dürfen nicht als Pflichtfeld angegeben sein. Der Gesetzgeber legt fest, dass tatsächlich nur die E-Mail-Adresse ausreichend ist, um einen Newsletter zu bestellen.
Möchte ich mehr Daten meiner Kunden erheben und speichern, kann ich das später noch anfragen. Das sogenannte berechtigte Interesse des Unternehmens wir hier in sehr engen Grenzen gesehen.
8. Rechte der Betroffenen respektieren:
Respektiere die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch, sowie das Beschwerderecht bei einer Aufsichtsbehörde. Es sind Grundsätze und -rechte die in der DSGVO (Datenschutzgrundverordnung) für alle festgelegt sind. Bei Missachtung dieser Rechte drohen hohe Bußgelder.
9. Datenschutz-Folgenabschätzung durchführen:
Bei risikoreichen Datenverarbeitungen verlangt die DSGVO die Durchführung einer Datenschutz-Folgenabschätzung, um potenzielle Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen. Eine solche Abschätzung sollte immer von einem Datenschutzbeauftragten oder IT-Rechtsanwalt beratend begleitet werden.
10. Datenschutzverletzungen melden:
Melde Datenschutzverletzungen umgehend den zuständigen Aufsichtsbehörden und informiere die betroffenen Personen umgehend, wenn ihre Daten gefährdet sind. Die Benachrichtigung Betroffener, sowie die Erstmeldung an die Aufsichtsbehörde sollte unmittelbar und spätestens innerhalb von 72 Stunden erfolgen. Die Erstmeldung erfolgt über ein Online-Portal der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes (in Deutschland).
Es gibt 3 Risiko-Kategorien: geringes Risiko, (mittleres) Risiko, und hohes Risiko als Kriterium zur Einschätzung des Risikos bei der Offenlegung von personenbezogenen Daten. Die Einschätzung muss schriftlich festgehalten werden. Betroffene müssen ab Stufe „hohes Risiko“ benachrichtigt werden. Eine Erstmeldung an die Aufsichtsbehörde bei der Stufe „Risiko“ und „hohes Risiko“.
11. Regelmäßige Überprüfungen und Aktualisierungen:
Überprüfe regelmäßig deine Datenschutzpraktiken und passe diese bei Bedarf an, um sicherzustellen, dass sie mit den aktuellen Datenschutzbestimmungen übereinstimmen.
Über den Es ist wichtig zu beachten, dass Datenschutzgesetze je nach Land variieren können. Unternehmen sollten daher die spezifischen Gesetze und Vorschriften in ihrem Tätigkeitsbereich berücksichtigen und gegebenenfalls (Datenschutz)-rechtlichen Rat einholen.
FAQs
Wann muss ein DSB bestellt werden?
Wenn 20 Personen oder mehr im Unternehmen regelmäßig personenbezogene Daten verarbeiten.
Wie oft muss eine Datenschutzschulung für Mitarbeiter stattfinden?
Es gibt in der DSGVO keine explizite Angabe dazu. Es besteht aber eine Nachweispflicht durch Art. 5 der DSGVO für den Verantwortlichen. Eine jährliche Pflichtschulung ist deshalb sinnvoll. Ebenso eine Einweisung zum Datenschutz während der Onboardingphase neuer Mitarbeiter. Beides erhöht die Handlungssicherheit der Mitarbeiter und dient zugleich als Nachweis für den Verantwortlichen.
Was ist Privacy by default?
Datenschutz durch nutzerfreundliche Voreinstellungen. Der Kunde bestimmt selbst an wen er welche Daten übermitteln möchte. Beispiel: Das Teilen von Standortdaten ist beim Öffnen eines Messengerdienstes ausgeschaltet und nicht automatisch eingeschaltet.
Was bedeutet TOM?
Die sogenannten TOMs sind technisch-organisatorische Maßnahmen, die getroffen werden, um das Datenschutzniveau anzupassen. Technische Lösungen können z.B. eine Zweifaktor-Authentifizierung oder ein Zahlencodeschloss am Personalbüro sein. Verschlüsselte Speichermedien sind auch technische Maßnahmen. Organisatorische Maßnahmen sind u.a. Richtlinien und Mitarbeiter-Anweisungen, die bestimmte Dinge regeln. Als Beispiel, eine Verfahrensanweisung, was nach einer Datenpanne durchgeführt werden muss.
Sind Einwilligungen immer nötig?
Nein, eine Einwilligung zur Datenverarbeitung ist nur dann nötig, wenn es keine andere Rechtsgrundlage gibt. Wird ein Vertrag geschlossen oder gibt ein Gesetz vor, dass Daten verarbeitet werden müssen, dann ist keine Einwilligung nötig. Zudem ist eine Einwilligung eine schwache Rechtsgrundlage, da diese jederzeit widerrufen werden kann.
Fazit: Datenschutz ist kein Projekt, sondern ein Prozess
Datenschutz im Unternehmen lässt sich nicht „einmal erledigen“ – er lebt von klaren Zuständigkeiten, regelmäßiger Überprüfung und praxisnahen Abläufen. Der 11-Punkte-Plan hilft dir dabei, Datenschutz strukturiert anzugehen, Prioritäten zu setzen und typische Fehler zu vermeiden. Wichtig ist nicht, alles sofort perfekt umzusetzen, sondern Schritt für Schritt vorzugehen und Datenschutz dauerhaft im Unternehmensalltag zu verankern.
Wenn du Datenschutz & Datensicherheit in deinem Unternehmen sauber umsetzen willst (inkl. Dokumentation, TOMs und Prozessen), unterstütze ich dich gern.
