Datenschutz-Grundverordnung im Mittelstand

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Sowohl Gesetzgeber als auch Aufsichtsbehörden für den Datenschutz wissen, dass KMU auf größere Schwierigkeiten treffen können, wenn es um die Umsetzung der DSGVO geht.
Sowohl Gesetzgeber als auch Aufsichtsbehörden für den Datenschutz wissen, dass KMU auf größere Schwierigkeiten treffen können, wenn es um die Umsetzung der DSGVO geht. (© bluedesign - stock.adobe.com)

Viele Unternehmen haben Schwierigkeiten mit der Umsetzung der DSGVO, das gilt für kleine und mittlere Unternehmen (KMU) ganz besonders. Weil aber bei KMU meist besondere Herausforderungen in Form von knappem Budget und wenig Personal zusammen kommen, sind jetzt Prioritäten gefragt, was in den nächsten Monaten zuerst angegangen werden muss.

Fehlen interne Ressourcen für ein wichtiges Projekt, sind Outsourcing von Aufgaben und Insourcing von Kompetenzen die Wege der Wahl. Im Fall der Datenschutz-Grundverordnung (DSGVO / GDPR), die ab 25. Mai 2018 anzuwenden ist, finden Unternehmen auf dem Markt vielfältige Angebote, wie Beratung, Schulung, spezielle Tools, die bei der Umsetzung der DSGVO helfen, und externe Datenschutzbeauftragte, die sich als Datenschutz-Dienstleister schon seit langem etabliert haben.

Wie eine Studie des Digitalverbandes Bitkom ergab, hat sich nur jedes zweite Unternehmen in Deutschland bei der Umsetzung der EU-Datenschutzgrundverordnung bislang Hilfe von externen Experten geholt: 48 Prozent aller Unternehmen mit 20 oder mehr Beschäftigen geben demnach an, Spezialisten außerhalb des eigenen Hauses hinzugezogen zu haben. Am häufigsten wurden externe Anwälte eingeschaltet, die von rund jedem dritten Unternehmen (35 Prozent) konsultiert wurden. Externe Prüfer oder Auditoren haben 29 Prozent aller Unternehmen hinzugezogen, eine externe Datenschutzberatung fand in jedem fünften Unternehmen (21 Prozent) statt.

Meldepflichten gibt es nicht nur bei der DSGVO

Meldepflichten bei IT-Sicherheitsvorfällen

Meldepflichten gibt es nicht nur bei der DSGVO

08.01.18 - Viele Unternehmen haben bisher Schwierigkeiten damit, die verschärften Meldepflichten nach Datenschutz-Grundverordnung umzusetzen. Große Probleme bereitet Vielen dabei, dass die Meldung der Datenpanne innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgen soll. Dabei sind dies nicht die einzigen Meldepflichten, mit denen sich Unternehmen beschäftigen müssen. lesen

Die Aufstockung des eigenen Personals ist noch weniger Unternehmen gelungen: Bislang setzt nur jedes vierte Unternehmen (25 Prozent) zusätzliches Personal im Unternehmen ein, um die Umsetzung der DSGVO voranzubringen. Dabei haben gerade einmal fünf Prozent der Unternehmen zusätzliches Personal eingestellt, 20 Prozent geben an, vorhandenes Personal durch Umstrukturierungen für die DSGVO-Umsetzung einzusetzen.

Die wenigen Datenschutzexperten, die auf dem Markt zu finden sind, sind meistens sehr teuer, zudem bevorzugen sie, in größere Unternehmen einzutreten. Die Studie Global Information Security Workforce gab bereits im Februar 2017 Hinweise, dass der Qualifikationsmangel und Personalmangel mit einer schlechten Vorbereitung vieler Unternehmen in DACH auf die Datenschutzgrundverordnung einhergeht. Für kleine und mittlere Unternehmen gilt das ganz besonders.

DSGVO: Eine gewisse Sonderrolle für kleine Unternehmen

Sowohl der Gesetzgeber als auch die Aufsichtsbehörden für den Datenschutz sind sich sehr wohl bewusst, dass kleine und mittlere Unternehmen auf größere Schwierigkeiten treffen können, wenn es um die Umsetzung der DSGVO geht. Aus diesem Grund werden zum einen spezielle Schulungs- und Beratungsunterlagen angeboten, die den Zugang zur DSGVO vereinfachen sollen. Ein Beispiel ist ein Online-Test zur Standortbestimmung auf dem Weg zur DSGVO. Der Online-Test wurde vom Bayerischen Landesamt für Datenschutzaufsicht entwickelt.

Aber auch die DSGVO selbst behandelt die spezielle Situation der KMU. In den Erwägungsgründen zur DSGVO findet man zum Beispiel, dass die EU-Kommission besondere Maßnahmen für Kleinstunternehmen sowie kleine und mittlere Unternehmen erwägen soll. Zudem heißt es dort: „Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“

Hinsichtlich des Verzeichnisses von Verarbeitungstätigkeiten (Artikel 30 DSGVO, früher Verfahrensverzeichnis) gilt: Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten nicht umsetzen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt.

Auch im Bereich Schulung und Aufklärung sollen spezielle Maßnahmen für KMU ergriffen werden: „Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten.“

Ein weiterer Punkt: Die mit der DSGVO eingeführten Verhaltensregeln sollen insbesondere dazu dienen, eine wirksame Anwendung der Verordnung zu erleichtern, wobei den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen ist. Das bedeutet konkret: Verbände sollten spezielle Verhaltensregeln entwickeln und nach DSGVO genehmigen lassen, damit die KMU Best-Practice-Anleitungen haben, wie sie die DSGVO umsetzen können. Diese Verhaltensregeln (Artikel 40 DSGVO) gibt es jedoch in der Form noch nicht. Im Bereich der Datenschutz-Zertifizierung (Artikel 42 DSGVO) soll ebenfalls „den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung getragen werden.“ Auch hier sind die Vorbereitungen nicht abgeschlossen.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

KMU müssen jetzt Prioritäten setzen

Vieles wird sich also noch entwickeln. KMU sollten deshalb jetzt an folgendes denken:

Priorität 1: Tatsächliche Anforderungen erfüllen. Wer als kleines oder mittelständisches Unternehmen noch vor einem Berg an Aufgaben zur Umsetzung der DSGVO steht, sollte prüfen, ob zum Beispiel ein Verzeichnis von Verarbeitungstätigkeiten überhaupt geführt werden muss (Kriterien sind in Artikel 30 DSGVO).

Priorität 2: Unterstützung bei Aufsichtsbehörden suchen. Die wenigen, verbleibenden Monate bis Mai 2018 sollten KMU so nutzen, dass sie so viel Hilfe in Anspruch nehmen, wie es möglich ist, und gleichzeitig den Fokus legen auf die wichtigsten Baustellen.

Priorität 3: Aktuellen Stand dokumentieren. Natürlich kann man nicht einfach bestimmte Forderungen unberücksichtigt lassen. Wichtig ist aber, dass man genau dokumentiert, wo man steht, warum man dort steht und was noch zur Umsetzung fehlt. Dadurch hat man nicht nur einen Projektplan, sondern man hat auch eine Dokumentation für die Aufsichtsbehörde. Hilfreich sind hier die Fragebögen des LDA Bayern zur DSGVO.

Priorität 4: Auf Verhaltensregeln achten. Zudem sollten KMU prüfen, ob sich in den Verbänden, in denen sie Mitglied sind, bereits Verhaltensregeln entwickeln. Solche Verhaltensregeln werden bei der Umsetzung der DSGVO branchenspezifisch helfen, wenn es sie denn dann gibt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45088574 / Compliance und Datenschutz )