Als langjähriger Datenschutzexperte weiß ich, dass die Einhaltung der Allgemeinen DatenschutzverordnungDSGVO) kleine Unternehmen überfordern kann.
Die Nichtbeachtung kann zu Vertrauensverlusten bei den Kunden, rechtlichen Problemen und möglichen Geldbußen führen. Mit der richtigen Herangehensweise können Sie die Einhaltung der DSGVO jedoch auch ohne ein juristisches Team oder ein großes Budget bewältigen.
In dieser Checkliste führe ich Sie durch die AnforderungenDSGVO und zeige Ihnen Schritte auf, mit denen Ihr kleines Unternehmen die Anforderungen erfüllen kann.
DSGVO für kleine Unternehmen
Nachfolgend finden Sie meine DSGVO für kleine Unternehmen mit Links zu den relevanten Abschnitten des Gesetzes, um Ihnen die Einhaltung der Vorschriften zu erleichtern.
Schritt 1. Verstehen Sie Ihre Verantwortlichkeiten
Bevor Sie Maßnahmen ergreifen, sollten Sie feststellen, ob und wie die DSGVO auf Ihr Unternehmen anwendbar ist.
Prüfen Sie, ob die DSGVO für Ihr kleines Unternehmen gilt.
Wenn Ihr Unternehmen in der Europäischen Union (EU) oder im Europäischen Wirtschaftsraum (EWR) ansässig ist, oder wenn Sie anderswo ansässig sind, aber personenbezogene Daten von Personen in der EU/im EWR erheben, müssen Sie die DSGVO (Kapitel 1, Artikel 3) befolgen.
Wissen Sie, ob Sie für die Datenverarbeitung verantwortlich sind oder nicht.
Die DSGVO klassifiziert Unternehmen entweder als für die Verarbeitung Verantwortliche oder als Auftragsverarbeiter: Ein für die Verarbeitung Verantwortlicher bestimmt, wie und warum Daten erhoben werden, während ein Auftragsverarbeiter Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet(Kapitel 1, Artikel 4).
Bestimmen Sie, ob Sie einen Datenschutzbeauftragten (DSB) benötigen.
Ein behördlicher Datenschutzbeauftragter wird von einem Unternehmen bestellt, um sicherzustellen, dass es die Datenschutzvorschriften einhält(Kapitel 4, Artikel 37).
Die DSGVO verlangt einen DSB für Unternehmen, die:
- Sind staatliche oder öffentliche Organisationen.
- Umgang mit sensiblen Informationen in großem Umfang.
Wenn Sie beispielsweise ein Krankenhaus betreiben, benötigen Sie wahrscheinlich einen Datenschutzbeauftragten, da dort häufig Patientendaten wie Krankenakten, Krankengeschichte und Patientenidentifikation verarbeitet werden.
Diese Art von Daten wird als sensibel eingestuft, und ihre Verarbeitung erfordert erhöhte Sicherheitsvorkehrungen zum Schutz der Privatsphäre der Patienten.
Schritt 2. Führen Sie einen Datenschutz-Audit für Ihre Website durch
Ein Datenschutz-Audit zeigt auf, welche Daten Sie sammeln, wo sie gespeichert sind und wie sie weitergegeben werden.
Sie sollten wissen, welche Daten Sie sammeln und wo sie gespeichert werden.
Identifizieren Sie alle personenbezogenen Daten, die Ihr Unternehmen erfasst, einschließlich Kundendaten und Analysedaten.
Bestimmen Sie die Rechtsgrundlage für Ihre Datenerhebung.
Nach der DSGVO müssen Unternehmen eine Rechtsgrundlage für die Erhebung und Verwendung personenbezogener Daten haben. Um die Einhaltung der Vorschriften zu gewährleisten, müssen Sie die Rechtsgrundlage für jede Art von erhobenen Daten dokumentieren(Kapitel 2, Artikel 6).
Die sechs Rechtsgrundlagen im Rahmen der DSGVO sind:
- Einverständnis: Sie bieten einen Newsletter an und bitten die Nutzer, ihre E-Mail-Adresse für künftige Marketingmitteilungen zur Verfügung zu stellen.
- Vertragliche Verpflichtungen: Sie betreiben ein Softwareunternehmen und sammeln Nutzerdaten, um die Bedingungen eines Abonnement- oder Dienstleistungsvertrags zu erfüllen.
- Gesetzliche Verpflichtungen: Als Steuerberater erheben Sie Kundendaten, um die gesetzlichen Vorschriften für die Steuererklärung zu erfüllen.
- Lebenswichtige Interessen: Als Gesundheitsdienstleister erfassen Sie medizinische Daten, um die lebenswichtigen Interessen Ihrer Patienten während einer Notfallbehandlung zu schützen.
- Öffentliche Aufgabe: Wenn Sie eine Regierungsbehörde sind, erheben Sie personenbezogene Daten, um Aufgaben zu erfüllen, die für das öffentliche Wohl notwendig sind.
- Berechtigte Interessen: Als Einzelhandelsgeschäft erheben Sie Daten für Marketingzwecke, vorausgesetzt, die Kunden haben eine bestehende Beziehung zu Ihrem Unternehmen.
Schritt 3. Erlaubnis zum Sammeln und Verwenden von Daten einholen
Wenn Ihre Rechtsgrundlage für die Verarbeitung von Verbraucherdaten die Einwilligung ist, müssen Sie die ausdrückliche und rechtmäßige Zustimmung der Nutzer einholen, bevor Sie ihre personenbezogenen Daten erfassen.
Bitten Sie um eine eindeutige Zustimmung (Opt-in).
Sie müssen in "klarer und einfacher Sprache" um Zustimmung bitten(Kapitel 2, Artikel 7 und Kapitel 3, Artikel 12). Die Nutzer müssen der Datenerhebung aktiv zustimmen (z. B. durch einen cookie consent ).
Erlauben Sie den Personen, ihre Zustimmung jederzeit zu widerrufen.
Die Nutzer sollten über ihr Widerrufsrecht informiert werden, bevor sie ihre Einwilligung geben, und der Widerruf sollte ebenso einfach sein wie die Einwilligung(Kapitel 2, Artikel 7).
Ihre Website sollte den Nutzern eine einfache Möglichkeit bieten, eine Kopie ihrer Daten anzufordern, die Löschung ihrer Daten zu beantragen und Änderungen an ihren Einstellungen vorzunehmen(Kapitel 3, Artikel 15 und Artikel 17).
Schritt 4. Erstellen Sie ein zustimmungsfähiges Banner
Ein DSGVO cookie consent informiert Ihre Kunden über die Datenerfassung und ermöglicht ihnen die Wahl, ob Cookies auf ihren Geräten gespeichert werden sollen.
Ihr Zustimmungsbanner sollte:
- Weisen Sie deutlich darauf hin, dass Ihre Website Cookies verwendet.
- Erklären Sie den Zweck der Datenerhebung (z. B. Analyse, Marketing).
- Geben Sie einen Link zu Ihrer Cookie-Richtlinie und Datenschutzrichtlinie an.
Klare Wahlmöglichkeiten anbieten
Sie müssen den Nutzern die Möglichkeit geben, alle Cookies zu akzeptieren, alle nicht wesentlichen Cookies abzulehnen und ihre Cookie-Einstellungen anzupassen. Vorgekreuzte Kästchen sind nach der DSGVO (Erwägungsgrund 32) nicht zulässig.
Schritt 5. Aufzeichnungen über die Zustimmung und die Datenverarbeitung führen
Die DSGVO verlangt von Ihnen, dass Sie die Zustimmung der Nutzer dokumentieren, die von den Behörden verlangt werden kann(Kapitel 4, Artikel 30).
Benutzerzustimmung ordnungsgemäß protokollieren
Führen Sie Aufzeichnungen, aus denen hervorgeht, wann und wie die Zustimmung eingeholt wurde, was den Nutzern zum Zeitpunkt der Zustimmung mitgeteilt wurde und welche Änderungen der Einstellungen vorgenommen wurden.
Führen Sie ein Datenverarbeitungsprotokoll
Ihr Datenverarbeitungsprotokoll muss Folgendes enthalten:
- Arten der erhobenen Daten.
- Zweck der Verarbeitung.
- Speicherorte der Daten.
- Etwaige Vereinbarungen über die gemeinsame Nutzung von Daten mit Dritten.
Die Consent Management Platform (CMP ) von Termlyhilft Ihnen bei der Bewältigung dieser Aufgaben, indem sie Ihnen die Erfassung, Verwaltung und Speicherung von Benutzereinwilligungsdaten ermöglicht.
Schritt 6. Veröffentlichen und pflegen Sie eine klare und zugängliche Datenschutzrichtlinie
Eine DSGVO Datenschutzerklärung gewährleistet Transparenz darüber, wie Ihr kleines Unternehmen mit personenbezogenen Daten umgeht, indem sie wichtige Datenschutzkomponenten enthält(Kapitel 3, Artikel 13 und Artikel 14). Stellen Sie sicher, dass Ihre Datenschutzrichtlinie auf Ihrer Website leicht zugänglich ist.
In Ihrer Datenschutzpolitik muss Folgendes klar zum Ausdruck kommen:
- Identität und Kontaktangaben des für die Datenverarbeitung Verantwortlichen oder des Unternehmens
- Kontaktangaben des Datenschutzbeauftragten (DSB), falls zutreffend
- Zweck und Rechtsgrundlage der Verarbeitung
- Kategorien der erhobenen personenbezogenen Daten
- Empfänger der Daten
- Internationale Datenübermittlung
- Politik der Datenspeicherung
- Rechte der betroffenen Personen und deren Ausübung
Schritt 7. Sicherstellung der Compliance mit Datenverarbeitern
Gemäß Kapitel 4, Artikel 28 müssen die für die Datenverarbeitung Verantwortlichen (Ihr Unternehmen) einen rechtsverbindlichen Vertrag mit allen Datenverarbeitern (Drittanbieter, die Daten in Ihrem Auftrag verarbeiten) abschließen.
Dieser Vertrag wird als Datenverarbeitungsvertrag (DVV) bezeichnet.
Wenn Sie beispielsweise eine Marketing-Agentur betreiben, die E-Mail-Marketingplattformen von Drittanbietern für den Versand von Newslettern nutzt, benötigen Sie eine Datenschutzvereinbarung.
Die Plattform verarbeitet personenbezogene Daten wie Kundennamen, E-Mail-Adressen und möglicherweise andere Informationen wie demografische Daten.
Die DSGVO legt die Verantwortung der Plattform für den Schutz dieser Daten fest und gibt an, wie sie verwendet, gespeichert und geschützt werden können.
Erstellen Sie eine DPA, die Folgendes festlegt:
- Umfang und Zweck der Datenverarbeitung
- Vertraulichkeitsverpflichtungen
- Sicherheitsmaßnahmen
- Anforderungen an den Unterauftragsverarbeiter
- Wie werden die Daten behandelt, wenn die Partnerschaft endet?
- Audit- und Compliance-Bestimmungen
Schritt 8. Anforderungen an die Datensicherheit
Integrieren Sie Datenschutz und Sicherheit in Ihre Geschäftsprozesse, um personenbezogene Daten vor unberechtigtem Zugriff, Verlust oder Missbrauch zu schützen(Kapitel 4, Artikel 25 und Artikel 32).
Sichern Sie Ihre Systeme und Prozesse:
- Datenerfassung minimieren
- Zugang einschränken
- Verwendung von Verschlüsselung und Pseudonymisierung
- Laufende Sicherheitsüberwachung gewährleisten
- Benutzerkontrolle zulassen
Durch die Einbeziehung dieser Schutzmaßnahmen erfüllen die Unternehmen die Grundsätze des "eingebauten Datenschutzes" und verringern das Risiko von Datenschutzverletzungen.
Schritt 9. Regelmäßige Überprüfung und Aktualisierung der Compliance-Maßnahmen
Die Einhaltung der DSGVO ist ein Prozess, der regelmäßige Aktualisierungen erfordert, und die Beweislast liegt bei Ihrem Unternehmen.
Durchführung regelmäßiger Kontrollen der Einhaltung der Vorschriften.
Überprüfen Sie Ihren cookie consent , Ihre Datenschutzrichtlinie und die Vereinbarungen mit Dritten.
Es ist wichtig, über die Anforderungen DSGVO auf dem Laufenden zu bleiben, um sicherzustellen, dass Ihr kleines Unternehmen die Vorschriften einhält, wenn neue Leitlinien auftauchen.
Wie sich die DSGVO auf kleine Unternehmen auswirkt
Als Nächstes werde ich näher darauf eingehen, wie sich die DSGVO auf kleine Unternehmen auswirkt, damit Sie die Checkliste leichter verstehen, nutzen und anwenden können.
Was ist die DSGVO?
Die DSGVO ist ein Datenschutzgesetz, das regelt, wie Unternehmen personenbezogene Daten von Einzelpersonen in der EU/im EWR erfassen, speichern und verwenden.
Geltungsbereich der DSGVO
Alle Unternehmen in der EU/im EWR müssen die DSGVO einhalten.
Auch Unternehmen außerhalb der EU/des EWR müssen die Vorschriften einhalten, wenn sie Personen in der EU/im EWR Waren oder Dienstleistungen anbieten oder deren Verhalten überwachen.
DSGVO für kleine Unternehmen
Für Ihr kleines Unternehmen ist die Einhaltung der DSGVO mit mehreren wichtigen Anforderungen verbunden:
- Erstellen Sie eine Datenschutzerklärung, aus der hervorgeht, welche personenbezogenen Daten Sie sammeln, warum Sie sie sammeln, wie lange sie gespeichert werden und welche Rechte die Nutzer über ihre Daten haben.
- Wenn Ihre Rechtsgrundlage die Zustimmung ist, holen Sie die eindeutige Zustimmung der Nutzer ein, bevor Sie Daten sammeln, indem Sie ein Zustimmungsbanner einblenden, das den Nutzern die Möglichkeit gibt, Cookies zu akzeptieren, abzulehnen oder zu ändern.
- Schließen Sie mit allen Anbietern, die in Ihrem Auftrag Daten verarbeiten, eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) ab, in der der Umfang der Verarbeitung, die Vertraulichkeit, der Umgang mit den Daten und vieles mehr geregelt sind.
DSGVO Best Practices für kleine Unternehmen
Ich empfehle kleinen Unternehmen, die die DSGVO anstreben, die folgenden bewährten Verfahren:
- Stellen Sie fest, ob die DSGVO für Ihr Unternehmen gilt, bevor Sie Maßnahmen ergreifen.
- Führen Sie ein Datenschutz-Audit durch, um zu ermitteln, welche personenbezogenen Daten Sie erfassen, wo sie gespeichert sind und wie sie weitergegeben werden.
- Kennen Sie Ihre Rechtsgrundlage für die Datenerhebung und informieren Sie die Nutzer in einem konformen Datenschutzhinweis.
- Überprüfen und aktualisieren Sie Ihre Cookie- und Datenschutzrichtlinien.
Um die Einhaltung der Vorschriften zu optimieren, sollten Sie mit Termly zusammenarbeiten, um Ihre Datenschutzrichtlinie und Ihr Einwilligungsbanner zu veröffentlichen und regelmäßig zu überprüfen.
Bußgelder und Sanktionen für Verstöße gegen die DSGVO
Die Verordnung sieht in Kapitel 8, Artikel 83 zwei Stufen von Geldbußen vor, die sich nach der Schwere des Verstoßes richten:
- Bis zu 10 Millionen Euro oder 2 % Ihres weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für weniger schwerwiegende Verstöße, wie z. B. das Versäumnis, ordnungsgemäße Aufzeichnungen über Datenverarbeitungstätigkeiten zu führen.
- Bis zu 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei schwerwiegenderen Verstößen, z. B. wenn Sie keine gültige Einwilligung für die Datenerhebung einholen oder die Rechte der Betroffenen missachten.
Diese Sanktionen sollen sicherstellen, dass Sie den Datenschutz ernst nehmen und die DSGVO strikt einhalten.
SOC 2-Konformität
System and Organization Controls 2 (SOC 2) ist ein freiwilliger Rahmen für die Einhaltung von Vorschriften, der vom American Institute of Certified Public Accountants (AICPA) geschaffen wurde.
Auch wenn die DSGVO dies nicht vorschreibt, zeigt es doch Ihr Engagement für den Datenschutz.
Die Einhaltung von SOC 2 wird in der Regel durch ein unabhängiges Audit überprüft, und Sie können den Bericht mit Ihren Kunden teilen, um Vertrauen zu schaffen und Transparenz zu zeigen.
Weitere Informationen finden Sie auf der SOC2-Seite des AICPA.
Compliance-Tipps für kleine Unternehmen
Die Einhaltung der DSGVO und anderer Datenschutzgesetze kann eine Herausforderung sein, insbesondere für kleine Unternehmen mit begrenzten Ressourcen.
Hier sind meine praktischen Tipps, um sicherzustellen, dass Sie auf dem richtigen Weg sind:
- Tipp 1: Nutzen Sie die Lösungen von Termly. Mit Online-Tools und Generatoren wie dem TermlyDatenschutzerklärung Generator helfen Ihnen, Zeit zu sparen und die rechtlichen Anforderungen zu erfüllen.
- Tipp 2: Beschränken Sie die Datenerfassung. Erfassen Sie nur die Daten, die Sie benötigen und die von der DSGVO verlangt werden. Beschränken Sie sich auf die Erfassung von Daten, die für die Erreichung der spezifischen Zwecke erforderlich sind, die Sie den Verbrauchern in Ihrer DSGVO mitteilen.
- Tipp 3: Implementieren Sie starke Sicherheitsmaßnahmen. Der Schutz der Daten Ihrer Kunden ist durch die DSGVO vorgeschrieben. Investieren Sie daher in Sicherheitsmaßnahmen wie Verschlüsselung, Firewalls und sichere Passwörter, um die Wahrscheinlichkeit eines Verstoßes zu verringern.
- Tipp 4: Konsultieren Sie einen Datenschutzexperten. Wenn Sie sich unsicher sind, was die Einhaltung der Vorschriften angeht, sollten Sie sich an einen Datenschutzexperten wenden. Er kann Sie durch den Prozess führen, vor allem, wenn mehrere Gesetze für Ihr kleines Unternehmen gelten.
Diese Tipps können die DSGVO erleichtern und zeigen, dass sich Ihr kleines Unternehmen für den Schutz von Kundendaten einsetzt.
Wie Termly kleinen Unternehmen bei der Einhaltung der DSGVO hilft
Wir wissen, dass die Einhaltung der Vorschriften eine Herausforderung sein kann, insbesondere für kleine Unternehmen mit weniger Ressourcen. Deshalb bieten wir Lösungen an, die bei der Einhaltung der DSGVO helfen.
Mit unserem Datenschutzerklärung Generatorkönnen Sie eine individuelle, rechtlich abgesicherte Datenschutzerklärung erstellen, die Klauseln enthält, die mit den DSGVO übereinstimmen.
Mit unserer Consent Management Platform (CMP ) können Sie ganz einfach ein DSGVO cookie consent einrichten und Präferenzen aufzeichnen, sodass Sie die Einwilligung der Nutzer effektiv verwalten und verfolgen können.
Es bietet auch ein kostenloses DSAR-Formular (Data Subject Access Request), so dass Sie ein Formular anbieten können, mit dem Nutzer auf einfache Weise Anträge auf Zugang, Berichtigung, Löschung oder Übertragung ihrer personenbezogenen Daten stellen können.
Weitere Details finden Sie in der Termlyvon DSGVO , und machen Sie den ersten Schritt, um sicherzustellen, dass Ihr Unternehmen für den Umgang mit der DSGVO und anderen Datenschutzvorschriften gerüstet ist.
Ich verstehe es - die Einhaltung der DSGVO kann sich wie eine Menge anfühlen, mit der man Schritt halten muss.
Zwischen der Verwaltung der cookie consent, der Aktualisierung Ihrer Datenschutzrichtlinien und der Sicherstellung des korrekten Umgangs mit Nutzerdaten kann es leicht passieren, dass Sie nicht weiterkommen.
Aber Sie müssen das nicht allein bewältigen.
Mit Termly können Sie alle Aufgaben automatisieren, von der Einrichtung eines Einwilligungsbanners bis hin zur Erstellung von Richtlinien und der Verwaltung von Benutzereinstellungen, so dass Sie sich auf Ihr Geschäft konzentrieren können.
Haftungsausschluss: Automatisierte Tools wie Termly können die Einhaltung der Vorschriften vereinfachen, doch sollten Sie sich an einen Rechtsexperten wenden, um sicherzustellen, dass die nuancierten Anforderungen der DSGVOerfüllt werden.
Mehr über die Autorin
Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin
