Seit 2018 lässt die DSGVO kleine und mittlere Unternehmen zittern. Geschichten über Bußgelder in Höhe von 20 Millionen Euro machen die Runde und lähmen kleine Unternehmer, die denken: „Ich bin erledigt, ich bin nicht konform".
Die Realität ist einfacher. Die CNIL hat noch nie ein kleines Unternehmen sanktioniert, das sich um angemessene Konformität bemüht. Sie geht gegen die Tech-Giganten vor, gegen Unternehmen, die Personendaten verkaufen, gegen Wiederholungstäter. Nicht gegen den Klempner, der eine Excel-Kundendatei hat.
Das bedeutet nicht, dass Sie nichts tun müssen. Aber der erforderliche Aufwand ist durchaus zu bewältigen.
Die 5 Maßnahmen, die 80% Ihrer Verpflichtungen abdecken
Maßnahme 1: Das Verarbeitungsverzeichnis (die Grundlage)
Dies ist das zentrale Dokument der DSGVO. Es listet die Personendaten auf, die Sie erfassen, warum und wie lange Sie diese aufbewahren.
Für ein typisches kleines Unternehmen passt das auf eine Seite:
| Verarbeitung | Erfasste Daten | Zweck | Aufbewahrungsdauer |
|---|---|---|---|
| Kundendatei | Name, E-Mail, Telefon, Adresse | Geschäftsverkehr | 3 Jahre nach letztem Kontakt |
| Buchhaltung | Name, Adresse, Rechnungsnummer | Gesetzliche Verpflichtung | 10 Jahre |
| Lohnabrechnung (falls Mitarbeiter) | Personalien, Sozialversicherungsnummer, Kontonummer | Gehaltsabwicklung | 5 Jahre nach Ausscheiden |
| Website | Cookies, IP, Kontaktformular | Marketing, Analytics | 13 Monate (Cookies), 3 Jahre (Formular) |
| Newsletter | Kommunikation | Bis zur Abmeldung |
Die CNIL stellt ein kostenloses Muster auf ihrer Website zur Verfügung. Füllen Sie es in 30 Minuten aus und aktualisieren Sie es einmal pro Jahr.
Maßnahme 2: Information der betroffenen Personen
Sie müssen die Personen, deren Daten Sie erfassen, informieren. In der Praxis:
-
Auf Ihrer Website: eine Seite „Datenschutzrichtlinie" (oder „Datenschutz") im Footer. Beschreiben Sie in einfacher Sprache, welche Daten Sie erfassen, warum, wie lange Sie diese aufbewahren und wie man seine Rechte ausüben kann.
-
Auf Ihren Formularen: ein Satz unter jedem Kontaktformular: „Die erfassten Daten werden verwendet, um auf Ihre Anfrage zu antworten. Sie können Ihre Rechte geltend machen, indem Sie uns unter [E-Mail] kontaktieren. Siehe unsere Datenschutzrichtlinie."
-
Für Ihre Mitarbeiter: ein Dokument bei der Einstellung mit der Liste der im Rahmen des Arbeitsverhältnisses erfassten Daten.
Maßnahme 3: Cookie-Verwaltung
Wenn Ihre Website Cookies zur Zielgruppenmessung (Google Analytics, Matomo) oder Werbung verwendet, müssen Sie die explizite Zustimmung des Besuchers einholen, BEVOR diese Cookies gespeichert werden.
Die Maßnahme: Installieren Sie ein konformes Cookie-Banner. Kostenlose Lösungen wie Tarteaucitron.js oder Cookiebot (kostenlos bis 100 Seiten) erledigen die Arbeit.
Ausnahme: Cookies, die für das Funktionieren der Website erforderlich sind (Authentifizierung, Warenkorb), benötigen keine Zustimmung.
Alternative: Verwenden Sie Matomo in der Konfiguration „zustimmungsfrei" (CNIL-Erklärung). Sie behalten Ihre Analytics ohne Cookie-Banner.
Maßnahme 4: Datensicherheit
Die DSGVO verlangt den Schutz personenbezogener Daten durch „angemessene technische und organisatorische Maßnahmen". Für ein kleines Unternehmen bedeutet das:
- Sichere und einzigartige Passwörter (siehe Cybersicherheits-Artikel)
- Angewandte Sicherheitsupdates
- Regelmäßige Sicherungen
- Eingeschränkter Zugriff auf Daten (nicht jeder greift auf alles zu)
- Verschlüsselung von Laptops
Das ist nicht mehr und nicht weniger als die guten Cybersicherheitspraktiken, die Sie ohnehin anwenden sollten.
Maßnahme 5: Verwaltung der Rechte der betroffenen Personen
Die DSGVO gibt Personen Rechte auf ihre Daten: Zugriff, Berichtigung, Löschung, Datenportabilität. In der Praxis erhalten kleine Unternehmen sehr wenige solche Anfragen.
Die Maßnahme: Benennen Sie einen Ansprechpartner (Sie selbst oder einen Mitarbeiter) und eine E-Mail-Adresse (z. B. datenschutz@ihrunternehmen.de). Wenn eine Anfrage kommt, antworten Sie innerhalb eines Monats. Das ist alles.
Was noch warten kann
Der Datenschutzbeauftragte (DPO) — erforderlich nur für Unternehmen, die Daten in großem Maßstab oder sensible Daten verarbeiten. Ein kleines Unternehmen mit 5 Personen braucht keinen DPO.
Die Datenschutz-Folgenabschätzung (DSFA) — erforderlich nur für Verarbeitungen mit hohem Risiko (großflächige Videoüberwachung, systematische Profilierung, Gesundheitsdaten). Die Kundendatei Ihres Schreiners ist keine Verarbeitung mit hohem Risiko.
DSGVO-Zertifizierung — keine Zertifizierung ist erforderlich. Unternehmen, die Ihnen „DSGVO-Zertifizierungen" verkaufen, nutzen die Angst aus. Konformität ist ein kontinuierlicher Prozess, kein Label.
Im Falle einer Datenverletzung
Wenn personenbezogene Daten austreten (Hackerangriff, verlorener USB-Stick, E-Mail an den falschen Empfänger), haben Sie 72 Stunden Zeit, die CNIL zu benachrichtigen, wenn die Verletzung ein Risiko für die Personen darstellt.
Das Benachrichtigungsformular ist auf der Website der CNIL verfügbar. Füllen Sie es ehrlich aus: was passiert ist, wie viele Personen betroffen sind, welche Maßnahmen Sie ergriffen haben.
Die CNIL ist nachsichtiger mit einem Unternehmen, das schnell benachrichtigt, als mit einem Unternehmen, das den Vorfall vertuscht.
Die DSGVO ist kein Bürokratiemonster für kleine Unternehmen. Es ist ein Rahmen aus gesundem Menschenverstand: Schützen Sie die Daten Ihrer Kunden so, wie Sie sich wünschen würden, dass Ihre eigenen geschützt werden.