Zum Hauptinhalt springen
HubSecure
Menü

Blog

Das KMU-Compliance-Starterpaket: Datenschutz ohne Rechtsabteilung

Sie brauchen keine dedizierte Compliance-Abteilung, um Ihren Datenschutzpflichten nachzukommen. Dieses Starterpaket gibt Ihnen das minimale Compliance-Programm für ein kleines oder mittleres Unternehmen — praktisch, priorisiert und in Wochen umsetzbar.

· Von HubSecure Compliance

Datenschutz-Compliance wird häufig als etwas dargestellt, das eine dedizierte Rechtsabteilung, einen fest angestellten Datenschutzbeauftragten und monatelange Beratungsarbeit erfordert. Für große Organisationen, die komplexe Daten in mehreren Jurisdiktionen verarbeiten, mag das zutreffend sein. Für die große Mehrheit der kleinen und mittleren Unternehmen trifft das nicht zu.

Ein funktionsfähiges Compliance-Programm für ein Unternehmen mit 10 bis 100 Personen ist ohne spezialisiertes juristisches Personal erreichbar. Es erfordert Klarheit darüber, was Sie wirklich brauchen, Disziplin bei der Pflege des Aufgebauten, und eine Infrastruktur, die Compliance zum Nebenprodukt normaler Betriebsabläufe macht.

Dieser Leitfaden gibt Ihnen das minimale Compliance-Programm — die wesentlichen Elemente, die Ihr Unternehmen schützen, die Kernanforderungen der DSGVO erfüllen und Ihnen eine verteidigbare Position geben.

Schritt 1: Ihre Daten kartieren (das Verzeichnis der Verarbeitungstätigkeiten)

Bevor Sie Daten schützen können, müssen Sie wissen, was Sie haben. Die DSGVO verpflichtet Verantwortliche, ein Verzeichnis der Verarbeitungstätigkeiten (VVT) zu führen.

Für die meisten KMU sind die Kategorien unkompliziert:

  • Kunden: Kontaktdaten, Kaufhistorie, Korrespondenz, Vertragsinformationen
  • Interessenten: Kontaktinformationen, Marketingpräferenzen, Interaktionshistorie
  • Mitarbeiter: persönliche Daten, Gehaltsinformationen, Leistungsbeurteilungen, Gesundheitsinformationen wo relevant
  • Lieferanten: Kontaktinformationen, Vertragsbedingungen, Zahlungsunterlagen
  • Websitebesucher: Analysedaten, Cookie-Daten, Kontaktformulareinreichungen

Für jede Kategorie dokumentieren Sie:

  1. Welche Daten Sie erheben
  2. Warum Sie sie erheben (der Zweck)
  3. Die Rechtsgrundlage (Vertrag, rechtliche Verpflichtung, Einwilligung, berechtigte Interessen)
  4. Wie lange Sie sie aufbewahren (Aufbewahrungsfrist)
  5. Mit wem Sie sie teilen (Auftragsverarbeiter und Dritte)

Zeitaufwand: 2–4 Stunden für die meisten KMU.

Schritt 2: Rechtsgrundlage klären

Die häufig anwendbaren Grundlagen:

Vertrag: Sie verarbeiten Daten, weil es für die Vertragserfüllung notwendig ist. Dies deckt den Großteil der Kundendatenverarbeitung ab.

Rechtliche Verpflichtung: Sie verarbeiten Daten, weil Sie gesetzlich dazu verpflichtet sind. Deckt Gehaltsdaten, Arbeitsschutzaufzeichnungen und Buchhaltungsunterlagen ab.

Berechtigte Interessen: Sie verarbeiten Daten für einen legitimen Geschäftszweck, der verhältnismäßig ist. Erfordert einen dokumentierten Interessenabwägungstest.

Einwilligung: Verwenden Sie diese nur, wo die anderen Grundlagen wirklich nicht zutreffen. Einwilligung ist die wartungsintensivste Grundlage.

Zeitaufwand: 1–2 Stunden nach Erstellung des VVT.

Schritt 3: Datenschutzerklärung aktualisieren

Ihre Datenschutzerklärung muss die Realität widerspiegeln. Eine konforme Erklärung für ein KMU deckt ab: wer Sie sind, welche Daten Sie erheben und warum, die Rechtsgrundlage, mit wem Sie Daten teilen, wie lange Sie Daten aufbewahren, die Rechte der Betroffenen und wie man eine Beschwerde einreicht.

Zeitaufwand: 2–3 Stunden für einen ersten Entwurf.

Schritt 4: Auftragsverarbeiter prüfen

Jedes Unternehmen, mit dem Sie personenbezogene Daten teilen und das diese in Ihrem Namen verarbeitet, ist ein Auftragsverarbeiter. Sie benötigen einen Auftragsverarbeitungsvertrag (AVV) mit jedem.

Beginnen Sie mit den risikoreichen Verarbeitern: Cloud-Speicheranbieter, E-Mail-Marketing-Plattformen, CRM-Systeme, HR- und Gehaltsabrechnungssoftware, IT-Support-Unternehmen, Buchhaltungssoftware.

Zeitaufwand: 4–8 Stunden für die Identifizierung und Einholung bestehender AVVs.

Schritt 5: Prozess für Betroffenenrechte aufbauen

Wenn jemand auf seine Daten zugreifen, sie korrigieren oder löschen möchte, haben Sie einen Monat für die Antwort. Minimaler Prozess:

  1. Eine dedizierte E-Mail-Adresse oder Anlaufstelle für Anfragen
  2. Eine Bestätigungsvorlage, die den Eingang und die Frist bestätigt
  3. Ein dokumentierter Prozess zur Identifizierung aller Daten in Ihren Systemen
  4. Ein Entscheidungsrahmen für abzulehnende Anfragen
  5. Ein Protokoll aller eingegangenen Anfragen

Zeitaufwand: 2–3 Stunden.

Schritt 6: Datenpannen-Reaktionsverfahren einrichten

Das minimale Verfahren:

  1. Eine klare Definition einer Datenpanne (mit allen Mitarbeitern geteilt)
  2. Ein klarer Meldepfad
  3. Eine benannte Person für Bewertungsentscheidungen
  4. Eine Vorlage für die Dokumentation
  5. Kontaktdaten Ihrer Aufsichtsbehörde

Die 72-Stunden-Frist beginnt, sobald ein verantwortliches Mitglied des Personals von der Panne erfährt.

Zeitaufwand: 2–3 Stunden.

Schritt 7: Ihr Team schulen

Mitarbeiter, die personenbezogene Daten verarbeiten, müssen die Grundlagen verstehen: was personenbezogene Daten sind, was eine Panne ist und wie man sie meldet, wie man eine Betroffenenanfrage bearbeitet, und was sie niemals mit personenbezogenen Daten tun dürfen.

Eine jährliche einstündige Schulung mit individuellen Anwesenheitsnachweisen ist ein bedeutendes Compliance-Asset.

Wartung: was monatlich, vierteljährlich, jährlich zu tun ist

Monatlich: ausstehende Anfragen prüfen; Pannenregister aktualisieren.

Vierteljährlich: Verarbeiterliste auf neue Anbieter überprüfen.

Jährlich: VVT und Datenschutzerklärung aktualisieren; Schulung auffrischen; Aufbewahrungsfristen prüfen und erforderliche Löschungen durchführen.

Was Sie damit erreichen

Diese sieben Schritte geben Ihnen eine genuine, verteidigbare Compliance-Basis — das Fundament, auf dem ausgefeiltere Maßnahmen aufgebaut werden können. Und es ist mehr, als die meisten KMU derzeit haben.