DSGVO: Was Sie wissen müssen – und wie Sie sie umsetzen

/ Datenschutz, Dokumentenmanagement, DSGVO / Von

Warum die DSGVO wichtig ist

Die Datenschutz-Grundverordnung (DSGVO) gilt seit 2018 und betrifft jedes Unternehmen und jede Organisation, die personenbezogene Daten verarbeitet – egal, wie groß oder klein sie ist. Gerade für kleine Unternehmen ist das Thema oft eine Herausforderung: Fehlende Ressourcen, Unklarheiten über die genauen Pflichten und die Angst vor hohen Bußgeldern können abschreckend wirken.

Doch die DSGVO ist kein Hindernis, sondern eine Chance. Sie schafft Vertrauen bei Kund:innen und Partner:innen, indem sie zeigt, dass Daten verantwortungsvoll behandelt werden.

Wer die Grundlagen kennt, kann die Umsetzung Schritt für Schritt angehen – ohne Überforderung.

Die wichtigsten Inhalte der DSGVO im Überblick

1. Personenbezogene Daten: Was fällt darunter?

Die DSGVO schützt alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind nicht nur klassische Daten wie Namen, Adressen oder E-Mail-Adressen, sondern auch:

  • IP-Adressen
  • Standortdaten
  • Fotos oder Videos
  • Bankverbindungen
  • Gesundheitsdaten
  • Politische oder religiöse Ansichten

2. Rechtmäßigkeit der Datenverarbeitung

Daten dürfen nur verarbeitet werden, wenn eine rechtliche Grundlage vorliegt. Die wichtigsten sind:

  • Einwilligung: Die betroffene Person muss freiwillig, informiert und aktiv zustimmen (z. B. durch ein Häkchen in einem Opt-in-Formular).
  • Vertragserfüllung: Daten werden benötigt, um einen Vertrag zu erfüllen (z. B. Lieferadresse für einen Online-Shop).
  • Berechtigtes Interesse: Das Unternehmen hat ein legitimes Interesse (z. B. Kundenkommunikation), das die Interessen der betroffenen Person nicht überwiegt.

3. Betroffenenrechte

Jede Person hat das Recht auf:

  • Auskunft: Welche Daten werden über mich gespeichert?
  • Berichtigung: Falsche Daten müssen korrigiert werden.
  • Löschung: Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden („Recht auf Vergessenwerden“).
  • Einschränkung der Verarbeitung: Daten dürfen nur noch eingeschränkt genutzt werden.
  • Datenübertragbarkeit: Daten müssen in einem maschinell lesbaren Format herausgegeben werden.

4. Technisch-organisatorische Maßnahmen (TOMs)

Die DSGVO verlangt, dass Daten durch technische und organisatorische Maßnahmen geschützt werden. Dazu gehören:

  • Verschlüsselung von Daten (z. B. bei E-Mails oder Backups).
  • Zugangskontrollen: Nur berechtigte Personen dürfen auf Daten zugreifen.
  • Regelmäßige Schulungen für Mitarbeiter:innen.
  • Vertragliche Vereinbarungen mit Dienstleistern (z. B. Cloud-Anbietern).

Praktische Umsetzung

1. Bestandsaufnahme: Welche Daten haben Sie?

  • Fragen Sie sich:

    • Wo speichern wir personenbezogene Daten? (Excel-Listen, CRM-Systeme, E-Mails, Cloud-Dienste)
    • Wer hat Zugang zu diesen Daten?
    • Wie lange speichern wir sie?

  • Praxistipp: Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO).

2. Datenschutz in Prozesse integrieren

Beispiele:

  • Newsletter: Nutzen Sie Double-Opt-in-Verfahren und dokumentieren Sie Einwilligungen.
  • Bewerbungen: Löschen Sie Daten nach 6 Monaten, wenn keine Einstellung erfolgt.
  • Dokumentenmanagement: Setzen Sie Berechtigungen je nach Verarbeitungstätigkeit und Rolle.

3. Mitarbeiter:innen schulen

  • Themen für Schulungen:

    • Wie erkenne ich personenbezogene Daten?
    • Wie gehe ich mit Anfragen von Betroffenen um?
    • Was tun bei einem Datenleck?

  • Praxistipp: Kurze, regelmäßige Schulungen (z. B. alle 6 Monate) sind effektiver als einmalige Großveranstaltungen.

4. Externe Dienstleister prüfen

  • Fragen Sie sich:

    • Wo werden unsere Daten gespeichert? (EU-Server oder Drittland?)
    • Gibt es einen Auftragsverarbeitungsvertrag (AVV) mit dem Dienstleister?

Warum sich der Aufwand lohnt

Die DSGVO mag zunächst wie ein bürokratischer Mehraufwand wirken. Doch wer sie ernst nimmt, profitiert in mehrfacher Hinsicht:

  • Vertrauen: Kund:innen und Spender:innen fühlen sich sicher.
  • Wettbewerbsvorteil: Viele kleine Unternehmen vernachlässigen den Datenschutz – wer ihn umsetzt, hebt sich positiv ab.
  • Rechtssicherheit: Bußgelder (bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes) sind existenzbedrohend – die DSGVO schützt auch Sie.

Fazit: Schritt für Schritt zum datenschutzkonformen Unternehmen

Die DSGVO ist kein Hexenwerk. Mit einer klaren Bestandsaufnahme, einfachen Prozessen und der richtigen Unterstützung lässt sie sich auch mit begrenztem Budget umsetzen.

Fangen Sie klein an, aber fangen Sie an!

Hinweis:

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Bei konkreten Fragen wenden Sie sich bitte an eine:n Datenschutzexpert:in.