Gilt die DSGVO auch für kleine Unternehmen?
Kurz gesagt: ja. Die Datenschutz-Grundverordnung gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet, unabhängig von Größe oder Mitarbeiterzahl. Das betrifft dich schon, wenn du Kundendaten speicherst, Rechnungen verschickst oder eine Website mit Kontaktformular betreibst. In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) ergänzt.
Hinter der Verordnung stehen ein paar klare Grundsätze, die du kennen solltest:
- Rechtmäßigkeit und Transparenz: Jede Verarbeitung braucht eine Rechtsgrundlage (z.B. Einwilligung) und die Betroffenen müssen offen informiert werden.
- Zweckbindung und Datenminimierung: Nur die Daten erheben, die du wirklich für einen festen Zweck brauchst.
- Speicherbegrenzung: Daten nur so lange aufbewahren, wie nötig, danach löschen oder anonymisieren.
- Integrität und Vertraulichkeit: Daten mit technischen und organisatorischen Maßnahmen vor unbefugtem Zugriff schützen.
- Rechenschaftspflicht: Du musst die Einhaltung nachweisen können, etwa durch Datenschutzerklärung, VVT und AV-Verträge.
Datenschutz auf der Website
Deine Website ist der sichtbarste Berührungspunkt mit dem Datenschutz. Zwei Dinge sind hier praktisch immer nötig: eine leicht erreichbare Datenschutzerklärung und, sobald du trackst, ein Cookie-Consent-Tool.
Datenschutzerklärung
Eine Datenschutzerklärung ist Pflicht, sobald auf deiner Website personenbezogene Daten verarbeitet werden, also bei Kontaktformularen, Analysetools oder eingebetteten Diensten wie Google Maps oder YouTube. Sie muss informieren, welche Daten du erhebst, zu welchem Zweck, wie lange du sie speicherst und welche Rechte Betroffene haben. Für gewerblich genutzte Social-Media-Kanäle ist zusätzlich eine eigene Datenschutzerklärung sinnvoll.
Cookie-Consent-Tool
Sobald du Tracking-Cookies oder vergleichbare Technologien zur Analyse des Nutzerverhaltens einsetzt, brauchst du eine echte Einwilligung der Nutzer. Ein bloßer Cookie-Hinweis („Diese Seite nutzt Cookies“) reicht dafür nicht aus.
Zusammenarbeit mit Dienstleistern
Kaum ein Betrieb macht heute alles selbst. Sobald ein Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet, also dein Hoster, dein Newsletter-Tool, deine IT oder deine Buchhaltung, brauchst du einen Auftragsverarbeitungsvertrag (AV-Vertrag).
Der AV-Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten und legt fest, dass der Dienstleister die Daten nur nach deiner Weisung verarbeitet. Fehlt ein solcher Vertrag, ist das ein Datenschutzverstoß und kann zu Bußgeldern und Haftungsrisiken führen.
Mitarbeiterdatenschutz
Sobald du Menschen beschäftigst, verarbeitest du auch deren Daten, von Gehalt über Krankmeldungen bis zu Leistungsbeurteilungen. Diese Daten dürfen nur rechtmäßig, zweckgebunden und sicher verarbeitet werden.
Im laufenden Arbeitsverhältnis brauchst du klare Regeln für Zeiterfassung, E-Mail- und IT-Nutzung sowie den Zugriff auf Personalakten. Nach dem Ende des Arbeitsverhältnisses müssen Daten fristgerecht gelöscht werden. Wichtig: Deine Mitarbeiter müssen über die Datenverarbeitung informiert und für das Thema sensibilisiert werden.
Auch im Bewerbungsverfahren gilt Datenminimierung: Nur für die Einstellungsentscheidung relevante Daten dürfen erhoben werden. Daten abgelehnter Bewerber musst du nach Ablauf der gesetzlichen Fristen löschen, eine Aufbewahrung für spätere Stellen ist nur mit Einverständnis erlaubt.
DSB, VVT, TOM und DSFA
Hinter diesen Abkürzungen stecken die Dokumentationspflichten. Keine Sorge, für kleine Betriebe ist das meist überschaubar.
- Datenschutzbeauftragter (DSB): In der Regel erst Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG). Bei besonders risikoreichen Verarbeitungen, etwa umfangreicher Videoüberwachung, kann er auch bei weniger Personen nötig sein.
- Verzeichnis von Verarbeitungstätigkeiten (VVT): Grundsätzlich muss jedes Unternehmen ein VVT führen (Art. 30 DSGVO). Für Betriebe unter 250 Mitarbeitern gibt es Ausnahmen, in der Praxis solltest du als kleines Unternehmen aber trotzdem eines führen, weil die meisten Verarbeitungen regelmäßig erfolgen.
- Technische und organisatorische Maßnahmen (TOM): Du musst dein Schutzniveau dem Risiko anpassen (Art. 32 DSGVO), zum Beispiel durch Verschlüsselung, Zugriffskontrollen und regelmäßige Überprüfung.
- Datenschutz-Folgenabschätzung (DSFA): Nötig, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen bedeutet (Art. 35 DSGVO), etwa bei systematischer Überwachung.
Datenpannen und Bußgelder
Trotz aller Vorsicht kann etwas schiefgehen. Bei einer Datenpanne, die voraussichtlich ein Risiko für die Rechte Betroffener bedeutet, musst du die zuständige Aufsichtsbehörde unverzüglich informieren, möglichst binnen 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Besteht ein hohes Risiko, musst du auch die betroffenen Personen benachrichtigen (Art. 34 DSGVO).
