Herbst-Aktion: Jetzt nur für kurze Zeit 3 Monate kostenlos testen! Mehr erfahren

Rechnungsstellung           |           Lagerverwaltung

DGSVO-Guide für Kleinunternehmen [2021]

14 Jul, 2021
Comarch ERP XT

Seit 25. Mai 2018 greift die strenge EU-DSGVO (Datenschutzgrundverordnung). Grundsätzlich gilt die DSGVO für alle Arten von Unternehmen. Egal, ob für einen Großkonzern oder ein einfaches Kleinunternehmen. Doch vor allem kleine Geschäfte sehen sich komplizierten Regularien und einer Vielzahl neuer Pflichten gegenübergestellt. Auch in Anbetracht der enormen Strafen bei einer Missachtung der DSGVO fühlen sich kleine Unternehmen besonders im Nachteil. Was es mit der DSGVO auf sich hat und wie Kleinunternehmen die strengen Datenschutz-Regeln der EU erfüllen, erläutern wir in unserem folgenden Artikel.

Was ist die DSGVO und was besagt sie?

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union. Mit ihrer Hilfe sollen die Regeln zur Verarbeitung personenbezogener Daten durch Unternehmen, Freiberufler, Behörden und andere Institutionen EU-weit vereinheitlicht werden.

Die Datenschutzgrundverordnung

  • dient dem freien Datenverkehr in der EU
  • sichert ein europaweit einheitliches Datenschutzniveau
  • schützt die personenbezogenen Daten von Privatleuten
  • stärkt den Stellenwert personenbezogener Verbraucherdaten.

Im Grunde regelt die Verordnung das Erfassen, Verarbeiten, Verwenden und die Weitergabe persönlicher Daten. Für dich als UnternehmerIn bedeutet es, dass die DSGVO festlegt, wie du mit Kundendaten umzugehen hast und diese schützen musst.

Unter personenbezogenen Daten werden nicht nur Namens-, Kontakt- und Adressdaten im engeren Sinne verstanden. Es geht vielmehr um alle Informationen, ,,die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ einer natürlichen Person sind. Das heißt, die IP-Adressen von Website-Besuchern gelten bereits als persönliches Merkmal.

Grundsätze der Verarbeitung

Bei der Verarbeitung personenbezogener Daten sind grundsätzliche folgende Prinzipien einzuhalten:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Der Verantwortliche der Verarbeitung personenbezogener Daten ist für die Einhaltung all dieser Grundsätze verantwortlich und muss diese nachweisen (Rechenschaftspflicht).

Näheres zu den einzelnen Grundsätzen findest du unter https://www.datenschutz-wiki.de/DSGVO:Art_5.

Was musst du als Klein- oder Einzelunternehmen beachten?

Zwar kann es für Kleinunternehmen gewisse Erleichterungen (Bestellung Datenschutzbeauftragter, Verzeichnis von Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung) geben, dennoch sind die Pflichten der DSGVO erheblich.

Nachfolgend sind neun Pflichten der DSGVO aufgelistet, die du umsetzen oder über die du mindestens nachdenken solltest.

Die Rechtsgrundlage für eine Datenverarbeitung

Du musst genaustens überprüfen, auf welche Rechtsgrundlage sich die Verarbeitung der Daten stützt. Außerdem, ob es sich um die geeignetste und nachhaltigste Grundlage handelt.

In der Praxis sind vor allem folgende Rechtsgrundlagen bedeutsam:

  • Die Einwilligung ( 6 Abs. 1 lit. a DSGVO)
  • Der Vertrag (Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 Abs. 1 S. 1 BDSG)
  • Die Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO).

Das angemessene Datenschutzniveau

Datenverarbeitungsvorgänge müssen ein dem Risiko angemessenes Datenschutzniveau vorweisen. Hierfür sollten technische und organisatorische Maßnahmen, kurz TOM, ergriffen werden. Technische Maßnahmen sind alle real umsetzbaren Vorkehrungen wie die Installation geeigneter Firewalls und IT-Systeme. Organisatorische Maßnahmen sind hingegen Verfahrensanweisungen wie die Festlegung von regelmäßigen Sicherheitskontrollen.Auch der Grundsatz der Datenminimierung ist ausschlaggebend. Erhebe und speichere daher nur Daten, die du tatsächlich für den Zweck der Datenverarbeitung brauchst.

Das Verzeichnis von Verarbeitungstätigkeiten

Zu den DSGVO-Vorschriften gehört eine umfassende Dokumentation der Verarbeitungsvorgänge. Dafür muss ein Verzeichnis aller betrieblichen „Verarbeitungstätigkeiten“ angelegt werden. Darin sind alle Prozesse erfasst, die Daten erheben, speichern, löschen usw.

Die Risikoanalyse und Datenschutz-Folgenabschätzung

Einige Datenverarbeitungsvorgänge bergen ein hohes Risiko. Mithilfe einer Risikoanalyse kannst du potenzielle Risiken bei Verarbeitungsvorgängen abschätzen („Schwellwertanalyse“). Bei besonders risikoreichen Datenverarbeitungsvorgängen hast du die Pflicht, vor der Verarbeitung eine Datenschutzfolgen-Abschätzung (DSFA) vorzunehmen. Dies ist beispielsweise bei der Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen nötig.

Der Auftragsverarbeitungsvertrag

Personenbezogene Daten können nicht nur von dir persönlich, sondern auch von einem Auftragsverarbeiter verarbeitet werden. Zwischen dir und diesem externen Dienstleister (externer Buchhalter oder Clouddienst) muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Der Vertrag schreibt fest, wie und in welchem Umfang der Auftragsverarbeiter die Daten bewältigt.

Die Datenschutzerklärung

Betroffene (= die von einer Datenanwendung betroffenen Personen) müssen über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Um die Datenverarbeitung offenzulegen, musst du für Webseiten und weitere Internetauftritte eine Datenschutzerklärung erstellen. Die Erklärung muss – präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache verfasst sein.- von jeder Unterseite deiner Website erreichbar sein.

Wir haben für dich ein DSGVO-konformes Muster für deine Datenschutzerklärung zum DOWNLOAD.

Die Ernennung eines Datenschutzbeauftragten

Wenn du personenbezogene Daten in großem Umfang verarbeitest, musst du einen Datenschutzbeauftragten ernennen. Dabei sollte es sich um eine geeignete Person (Mitarbeiter oder externer Fachmann) handeln, die über ein ausreichendes Fachwissen verfügt. Den Beauftragten musst du anschließend der zuständigen Aufsichtsbehörde melden.

Die Betroffenenrechte

Betroffenenrechte sind Rechte der von einer Datenanwendung betroffenen Person (= Betroffener) gegenüber dem Verantwortlichen. Du musst in der Lage sein, der Wahrnehmung dieser Rechte ordnungsgemäß nachzukommen. Ein Beispiel ist das Recht auf Datenlöschung bzw. „Recht auf Vergessenwerden“ (Art. 17 DSGVO).

Die Mitarbeiter

Du bist nicht nur für dein Handeln, sondern auch das deiner Mitarbeiter verantwortlich. Demnach sollten deine Mitarbeiter in puncto DSGVO ebenfalls umfassend informiert sein. Die Schulung aller Mitarbeiter und Erstellung eines Datenschutzkonzeptes für dein Unternehmen sind geeignete Maßnahmen.

Welche Folgen drohen dir bei Verletzung der DGSVO?

Eine Verletzung der DSGVO kann teilweise sehr hart geahndet werden. Theoretisch sind Strafen in Millionenhöhe möglich. Realistisch gesehen richten sich diese eher an Großunternehmen wie Google, Facebook & Co.

Aber auch Klein- oder EinzelunternehmerInnen können Sanktionen drohen. Denn neben Geldstrafen gibt es noch weitere Maßregelungen. Folgende Sanktionen sind allgemein relevant:

Bußgelder (Artikel 83 DSGVO):

  • Geldstrafen in Höhe von 10 bis 20 Millionen Euro oder 2 bis 4 Prozent des Jahresumsatzes
  • bei schwerwiegenden, aber auch grundsätzlichen Verstößen wie dem Fehlen datenschutzfreundlicher Voreinstellungen der Webseite

Strafrechtliche Sanktionen (Artikel 42 BDSG):

  • 2 bis 3 Jahre Haft

Schadenersatzansprüche:

  • Schadensersatzansprüche, insbesondere Betroffener

Anordnungen der Aufsichtsbehörde:

  • sie kann Datenverletzung ,,nur‘‘ rügen, in dem sie die sofortige Einhaltung der DSGVO-Grundsätze einfordert oder ein Verbot weiterer Datenverarbeitungsvorgänge anordnet
  • Aber: Das Aktivwerden der Aufsichtsbehörde wird mediale Aufmerksamkeit auf sich ziehen und Wettbewerbsnachteile bringen.

Datenschutz mit ERP XT

Gerade kleinere Betriebe fragen sich, wie sie die rechtlichen Anforderungen erfüllen, um rechtliche Verletzungen auszuschließen. Das beweisen auch die vielen Checklisten für DSGVO und Co., die es im Internet speziell für Kleinunternehmen gibt. Mit einer rechtskonformen Software zur Rechnungsstellung sind Geschäftsinhaber auf der sicheren Seite. Start-ups und kleine Betriebe können ihr Geschäft mit Comarch ERP XT digital und rechtskonform abwickeln. Denn ERP XT ist DSGVO-konform und verfügt über ein eigenes DSGVO-Management-Tool. Dies ermöglicht Anwendern, alle Einwilligungsdokumente der Kunden zu hinterlegen. Zudem lassen sich Personen, die im Unternehmen Daten verarbeiten, verwalten und ihre Zugriffsberechtigungen auf bestimmte Bereiche beschränken.

Damit dir die Umsetzung der DSGVO in deinem Unternehmen problemlos gelingt haben wir einen ausführlichen DSGVO-Guide erstellt. Darin findest du eine praktische Anleitung für die Umsetzung des Datenschutzrechts. 

Comarch ERP XT

Comarch ist ein weltweiter Anbieter von IT-Lösungen (ERP, CRM & Marketing, BI, EDI, ECM, ICT, Financials, Cloud-Lösungen u.v.a.) für den Mittelstand, größere Unternehmen, kleine Betriebe, Banken & Versicherungen, Telekommunikation sowie Healthcare. Über 6.300 Mitarbeiter sind rund um den Globus in zahlreichen Ländern im Einsatz. Dank hoher Investitionen in Forschung und Entwicklung bietet Comarch ein umfassendes Spektrum innovativer IT-Lösungen, welche bei Kunden und Analysten einen hohen Stellenwert genießen. Weitere Informationen unter: www.comarch.de

Comarch ERP XT

Comarch ist ein weltweiter Anbieter von IT-Lösungen (ERP, CRM & Marketing, BI, EDI, ECM, ICT, Financials, Cloud-Lösungen u.v.a.) für den Mittelstand, größere Unternehmen, kleine Betriebe, Banken & Versicherungen, Telekommunikation sowie Healthcare. Über 6.300 Mitarbeiter sind rund um den Globus in zahlreichen Ländern im Einsatz. Dank hoher Investitionen in Forschung und Entwicklung bietet Comarch ein umfassendes Spektrum innovativer IT-Lösungen, welche bei Kunden und Analysten einen hohen Stellenwert genießen. Weitere Informationen unter: www.comarch.de

Gratisaktion bei Registrierung bis zum 31.10.2021!

Volle Funktionalität
3 Monate lang unverbindlich