Sicherheit + Datenschutz 13. Januar 2020 3 Min Lesezeit

Datenschutz: Wie sichern sich kleine Unternehmen ab?

Geschrieben von
Roger Klein
gdpr elemente

Ende Juni 2019 hat der deutsche Bundestag ein für kleine Unternehmen wichtiges Gesetz verabschiedet: Die Grenze, ab der ein Datenschutzbeauftragter verpflichtend gestellt werden muss, wurde von 10 auf 20 Mitarbeitende angehoben. Die Intention wird gelobt — doch Experten sind klar: Die Haftung bleibt. Die seit Mai 2018 geltende DSGVO regelt den Datenschutz auch für Einzelunternehmer und Kleinunternehmen streng. An dieser Stelle hat sich nichts geändert.

Worum geht es konkret im Bundesdatenschutzgesetz?

Nach § 38 BDSG muss ein Datenschutzbeauftragter gestellt werden, sobald eine bestimmte Zahl von Mitarbeitenden ständig mit der Verarbeitung personenbezogener Daten beschäftigt ist. Bis Juni 2019 lag die Grenze bei 10, seitdem bei 20. Was diese Änderung nicht bedeutet: eine Freistellung vom Haftungsrisiko. Genau das ist der kritische Punkt. Wer glaubt, mit weniger als 20 datenschutzbetreuenden Mitarbeitenden automatisch aus der Schusslinie zu sein, liegt falsch.

Ein Datenschutzbeauftragter entlastet die Unternehmensleitung grundsätzlich nicht von ihrer Haftung — er reduziert nur das Risiko für typische Datenschutzpannen. DSGVO und BDSG gelten unverändert.

Was viele nicht wissen: Ein externer Datenschutzbeauftragter muss nicht teuer sein. Es gibt Dienstleister, die solche Experten regelmässig ins Unternehmen schicken. Vor allem im E-Commerce greifen kleinere Unternehmen auf diese Lösung zurück — und das macht Sinn, denn dort fallen naturgemäss viele personenbezogene Daten an: Versandadressen, Zahlungsinformationen, Kundendaten. Bei einer Datenschutzverletzung sind die Strafzahlungen hoch. Die Haftungsrisiken können existenzbedrohend sein. Die Kosten für einen externen Beauftragten relativieren sich schnell.

Expertenmeinung zur Stellung eines Datenschutzbeauftragten

Ulrich Kelber, Bundesbeauftragter für den Datenschutz, positioniert sich eindeutig: Wer die fachliche Kompetenz nicht mitbringt, sollte externes Wissen einkaufen — anstatt das Risiko einer Bussgeldforderung durch die Aufsichtsbehörde einzugehen. Externe Datenschutzbeauftragte bleiben also auch für Betriebe unter 20 Mitarbeitenden relevant.

Natürlich gibt es Unternehmen mit geringen Risiken in diesem Bereich — etwa Handwerker, die kaum Kundendaten erfassen und diese nicht digital verwalten. Auch diese Betriebe müssen die einschlägigen Datenschutzgesetze beachten, können aber mit grösseren Abständen bei der Überprüfung arbeiten: Kelber nennt ein bis zwei Jahre als Richtwert.

Anders sieht es bei Apotheken und Dienstleistern im Gesundheitsbereich aus. Dort sind die Haftungsrisiken hoch — und Einzelunternehmer haften in vielen Fällen mit dem Privatvermögen. Wer in diesem Segment arbeitet, sollte die einschlägigen Datenschutzverordnungen sehr genau kennen.

Welche Bedeutung hat die DSGVO für Freiberufler und kleine Unternehmen?

Freiberufler und kleine Unternehmen berichten immer wieder von Unsicherheit: keine eigene Rechtsabteilung, kein interner Datenschutzbeauftragter — aber die DSGVO-Vorschriften sind komplex. Was viele kennen: die Bussgelder. Bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro. Dazu kommt die Angst vor Abmahnwellen durch grössere Wettbewerber, deren Juristen gezielt nach Datenschutzfehlern suchen.

Diese Checkliste zeigt, was kleine Unternehmen konkret beachten müssen:

  • Datenschutzbeauftragter: Unabhängig von der Betriebsgrösse muss ein Datenschutzbeauftragter gestellt werden (auch extern), wenn die Datenverarbeitung einer Datenschutzfolgenabschätzung unterliegt (Artikel 35 DSGVO) und/oder personenbezogene Daten für Marktforschungszwecke genutzt werden.
  • Das Impressum der Webseite muss DSGVO-konform sein.
  • Personenbezogene Daten sind auch Mailadressen von Interessenten, die einen Newsletter erhalten.
  • Jede Person, die vom Unternehmen erfasst wurde, hat das Recht auf Vergessen — also auf Löschung ihrer Daten. Das gilt auch für Bewerbende.
  • DSGVO-konforme Cookies sind solche, die auch eine Verweigerung im Hinweis zulassen.
  • Jedes Unternehmen muss auf technische Datensicherheit achten. Für Datenlecks durch einen Hackerangriff haftet das Unternehmen.
  • Personen, deren Daten erfasst wurden, haben das Recht auf Auskunft — auch nach einer Löschung. Sie sind auf Anfrage über die Löschung zu informieren.

DSGVO-konforme Webseite

Das Impressum einer Webseite muss den Inhaber mit Anschrift, Kontaktmöglichkeiten und USt-ID nennen. Ausserdem muss auf mögliches Tracking hingewiesen werden — das ergibt sich bereits aus dem vorgeschriebenen Cookie-Hinweis. Dieser ist nur dann DSGVO-konform, wenn er einzelne Cookie-Kategorien benennt und Ausschlussmöglichkeiten anbietet:

  • #1: unbedingt erforderliche Cookies, damit das Surfen auf der Seite überhaupt funktioniert
  • #2: funktionale Cookies, die Einstellungen wie Land oder Sprache speichern
  • #3: Statistik-Cookies, die dem Seitenbetreiber Informationen über das Surfverhalten liefern (z. B. wo Kaufabbrüche stattfinden)
  • #4: Werbe-Cookies, die gezieltes Einspielen von Werbung auf die IP-Adresse ermöglichen

Wer Cookies #1 und #2 ablehnt, macht das Surfen unkomfortabler — die Sprache muss zum Beispiel immer wieder neu eingestellt werden. Wer #3 ablehnt, merkt nichts davon, aber der Seitenbetreiber verliert seine Statistik. Wer #4 ablehnt, wird von künftigen Werbeeinblendungen dieses Betreibers verschont.

Wirklich DSGVO-konforme Webseiten bieten diese differenzierten Auswahlmöglichkeiten an. Mit Stand Januar 2020 taten das nur wenige — womit eine Abmahnwelle drohte, sobald Juristen diese Lücke systematisch ausnutzen.

Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-06-10 Zoom Ende zu Ende Verschlüsselung nur für zahlende Kundschaft 2020-05-11 Shiny Hunters Hacking Group verkauft über 73,2 Millionen Datensätze 2016-03-20 Native Advertising und Lauterkeit

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG