Datenschutz einfach erklärt – was Unternehmen wirklich wissen müssen
Datenschutz ist längst kein reines „Juristenthema“ mehr. Spätestens seit der Einführung der DSGVO im Jahr 2018 steht er auf der Agenda fast jedes Unternehmens. Schlagzeilen über Millionenbußgelder gegen Konzerne wie Meta, H&M oder die Deutsche Wohnen zeigen, wie ernst es Aufsichtsbehörden meinen.
Gleichzeitig erwarten Kunden, dass ihre Daten sicher sind und nicht wie eine Ware behandelt werden. Gerade kleine und mittlere Unternehmen (KMU) stehen hier vor einer besonderen Herausforderung, denn sie haben selten eigene Datenschutzabteilungen. Dieser Beitrag erklärt die wichtigsten Grundlagen, zeigt Beispiele und gibt Hinweise, wie sich Datenschutz in der Praxis umsetzen lässt.
Was ist die Definition von Datenschutz?
Datenschutz bezeichnet den Schutz personenbezogener Daten vor Missbrauch, Verlust oder unrechtmäßiger Verarbeitung. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen, etwa Name, Adresse, Telefonnummer oder auch digitale Spuren wie IP-Adressen.
Eine Definition findet sich in Art. 4 DSGVO. Dort heißt es, dass personenbezogene Daten „alle Informationen“ sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Damit ist Datenschutz nicht nur ein technisches, sondern auch ein rechtliches und organisatorisches Thema.
Was besagt die Datenschutz-Richtlinie bzw. DSGVO?
Die frühere Datenschutzrichtlinie (95/46/EG) legte in Europa grundlegende Prinzipien zum Schutz von Daten fest. 2018 wurde sie jedoch durch die Datenschutz-Grundverordnung (DSGVO) ersetzt, die in allen EU-Mitgliedstaaten unmittelbar gilt.
Die DSGVO bringt zwei wesentliche Änderungen:
– Stärkere Rechte für Betroffene – etwa das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“).
– Strenge Pflichten für Unternehmen – darunter Dokumentationspflichten, Nachweispflichten und die Pflicht, Datenpannen zu melden.
Beispiel aus den Medien: Im Jahr 2021 verhängte die irische Datenschutzbehörde ein Bußgeld von 225 Millionen Euro gegen WhatsApp, weil Nutzer nicht ausreichend über die Verwendung ihrer Daten informiert wurden. Das zeigt, dass Transparenz eine zentrale Forderung der DSGVO ist.
Was ist Datenschutz?
Datenschutz ist im Kern eine Kombination aus Vertrauen, Technik und Recht. Er soll sicherstellen, dass Daten nur so lange und in dem Umfang verarbeitet werden, wie es notwendig ist. Für Unternehmen bedeutet das, schon bei der Planung neuer Prozesse an den Schutz von Daten zu denken – Stichwort Privacy by Design.
Ein Beispiel: Wenn ein Onlineshop Kundendaten speichert, sollte er nur die Informationen abfragen, die wirklich notwendig sind. Eine verpflichtende Angabe der Telefonnummer für einen reinen E-Mail-Newsletter wäre unverhältnismäßig und damit ein Datenschutzproblem.
Wen betrifft die Datenschutzgrundverordnung?
Grundsätzlich betrifft Datenschutz jede Organisation, die personenbezogene Daten verarbeitet. Das reicht von globalen Konzernen bis zum kleinen Handwerksbetrieb. Auch Vereine und Schulen sind verpflichtet, die DSGVO einzuhalten.
Besonders wichtig ist, dass auch KMU nicht automatisch „verschont“ werden. Die DSGVO macht nur wenige Ausnahmen, etwa bei der Pflicht zur Benennung eines Datenschutzbeauftragten. Aber sobald Kundendaten verarbeitet werden – und sei es in einer simplen Excel-Tabelle – greifen die Regeln.
Was sind die TOMs im Datenschutz?
TOMs sind „Technische und organisatorische Maßnahmen“. Sie bilden das Rückgrat der Datensicherheit in einem Unternehmen. Beispiele für TOMs sind:
– Technische Maßnahmen: Verschlüsselung, Firewalls, Zwei-Faktor-Authentifizierung.
– Organisatorische Maßnahmen: Schulungen für Mitarbeiter, klare Zugriffsrechte, Löschkonzepte.
Ein bekanntes Negativbeispiel: 2019 wurde eine Millionenstrafe gegen die Deutsche Wohnen SE verhängt, weil sie sensible Mieterdaten ohne Löschkonzept jahrelang speicherte. Die Aufsichtsbehörden werteten dies als Verstoß gegen die DSGVO.
Was ist eine AVV in Bezug auf Datenschutz?
Die Auftragsverarbeitungsvereinbarung (AVV) ist ein Vertrag zwischen einem Unternehmen und einem externen Dienstleister, der personenbezogene Daten im Auftrag verarbeitet. Beispiele sind Cloud-Provider, Newsletter-Dienste oder IT-Support.
Ohne AVV drohen Unternehmen rechtliche Probleme. Ein praktischer Tipp: Prüfe regelmäßig, ob Deine Dienstleister eine AVV anbieten. Viele Anbieter wie Microsoft, Google oder HubSpot stellen Musterverträge bereit, die unkompliziert abgeschlossen werden können.
Was passiert bei Verstößen gegen die DSGVO?
Verstöße können teuer werden. Die DSGVO erlaubt Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Beispiele aus der Praxis:
– H&M musste 2020 in Deutschland 35 Millionen Euro Strafe zahlen, weil Mitarbeiterdaten unzulässig gespeichert wurden.
– British Airways traf es 2019 mit rund 200 Millionen Pfund, nachdem ein Hackerangriff Daten von 400.000 Kunden kompromittierte.
Neben Geldbußen drohen auch Reputationsschäden. Kunden und Geschäftspartner verlieren Vertrauen, wenn ein Unternehmen in Datenschutzskandale verwickelt ist.
Wie macht man Folgenabschätzungen im Datenschutz?
Die Datenschutz-Folgenabschätzung (DSFA) ist vorgeschrieben, wenn eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von Betroffenen darstellt. Beispiele sind Videoüberwachung, Profiling oder groß angelegte Verarbeitung sensibler Daten.
Praktische Umsetzung:
1. Beschreibung der geplanten Verarbeitung.
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit.
3. Analyse möglicher Risiken.
4. Maßnahmen zur Risikominderung festlegen.
Viele Aufsichtsbehörden stellen Vorlagen und Checklisten zur Verfügung, die KMU nutzen können.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
– Datenschutz regelt, ob und wie personenbezogene Daten verarbeitet werden dürfen.
– Datensicherheit umfasst alle Maßnahmen, die Daten vor Verlust oder Angriffen schützen.
Beispiel: Wenn ein Unternehmen eine Kundenliste ohne Einwilligung speichert, ist das ein Datenschutzproblem. Wenn dieselbe Liste aufgrund fehlender Verschlüsselung gestohlen wird, handelt es sich um ein Datensicherheitsproblem.
Was muss man beim Datenschutz auf der Website beachten?
Eine Website ist oft der erste Berührungspunkt mit Datenschutzfragen. Zu den wichtigsten Punkten gehören:
– Datenschutzerklärung: Transparent und leicht auffindbar.
– Cookie-Banner: Nutzer müssen entscheiden können, welche Cookies sie zulassen.
– SSL-Verschlüsselung: Pflicht für jede Website, die personenbezogene Daten verarbeitet.
– Formulare: Nur notwendige Daten abfragen, Einwilligungen dokumentieren.
Tipp: Tools wie Cookiebot oder Borlabs helfen, Cookie-Banner DSGVO-konform einzurichten.
Was müssen Unternehmen bei einem Datenschutzvorfall tun?
Ein Datenschutzvorfall liegt vor, wenn Daten verloren gehen, gestohlen oder unbefugt eingesehen werden. Unternehmen müssen in diesem Fall:
1. Innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren.
2. Betroffene Personen benachrichtigen, wenn ein Risiko besteht.
3. Den Vorfall dokumentieren und Ursachen analysieren.
Praxisbeispiel: 2022 meldete der Autozulieferer Continental einen Hackerangriff, bei dem vertrauliche Daten abgeflossen sind. Durch die schnelle Reaktion konnte das Unternehmen Schadensbegrenzung betreiben – ein entscheidender Schritt für die Einhaltung der DSGVO.
Fazit
Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Wer ihn ernst nimmt, schützt nicht nur seine Kunden, sondern auch sein eigenes Unternehmen vor Bußgeldern und Imageverlust. Besonders KMU sollten den Datenschutz pragmatisch angehen: klare Zuständigkeiten, einfache Prozesse und die Nutzung digitaler Tools sind hier der Schlüssel.
