17.10.2018

Umsetzung der EU-Datenschutzgrundverordnung Die häufigsten DSGVO-Fehler von kleinen Unternehmen

Falsche Ansprechpartner, falsche Annahmen, falsche Schlussfolgerungen: Bei der Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) unterlaufen Unternehmen weiterhin gravierende Fehler. Erfahren Sie hier welche das sind.

von Kristina Kalkschmidt

Gerade den kleinen Unternehmen fällt das komplizierte Thema "Datenschutz" sichtlich schwer und es werden Fehler gemacht. Wie es dazu kommen kann? Meist handelt es sich um eine Mischung aus mangelndem Wissen und Ressourcenproblemen.

DSGVO-Fehler Nummer 1: Falsche Personalpolitik

„Beim Thema DSGVO tappen gerade kleinere Unternehmen in eine ähnliche Falle wie Unternehmen bei der Umsetzung der Compliance-Richtlinien vor zehn bis 15 Jahren“, sagt Datenschutzexperte René Rautenberg von ER Secure. Damals hatte man in den Abteilungen von IT bis BWL das Thema bevorzugt an Mitarbeiter delegiert, die gerade verfügbar gewesen sind. Ein Fehler, den besonders kleinere Unternehmen begehen, die keine personellen Ressourcen haben.

Rautenberg: „Wer die DSGVO vom erstbesten verfügbaren Personal umsetzen lässt, provoziert nicht nur zeitintensive Nachfragen und Schleifen, sondern schlimmstenfalls teure Regelverstöße. Vor allem aber vergeben Unternehmen die Chance, bei diesem zugleich strategischen Thema auch Wertemaßstäbe zu transportieren. DSGVO kann für das einzelne Unternehmen nach Innen und Außen bedeuten: Wir wissen um den Wert von Datenschutz und gehen aus Prinzip sorgsam damit um.“

Ein weiterer häufiger Fehler beim Thema DSGVO: Fehleinschätzungen

Noch immer gibt es gravierende Wissenslücken rund um die neue Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft getreten ist. Viele Unternehmen wissen nicht, f ür welche Fälle sie eine Einwilligung brauchen und wann es ein Kopplungsverbot gibt. Rund neun von zehn Einwilligungen, die geprüft werden, sind fehlerhaft.

Eine andere Fehleinschätzung : Unternehmen reduzieren die DSGVO auf digitale Prozesse oder sind der Meinung, dass eine Mitarbeiterschulung oder ein externer Datenschutzbeauftragter reichen. Wieder andere wähnen sich in Sicherheit, weil bisher noch keine Bußgelder verhängt worden sind. Dabei betrifft die DSGVO auch analoge Unternehmensbereiche bis zum Gebäudemanagement und ist mehr als eine Dokumentationsaufgabe. Die gröbste Fehleinschätzung sei jedoch, die DSGVO ignorieren zu können.

Unterschätzte Rechte und Pflichten durch Auftragsdatenverarbeitung

Häufig sind kleinere Mittelständler der Meinung, dass die DSGVO nur interne Prozesse abbildet. Allerdings müssen Unternehmen vollumfänglich einen regelkonformen Datenschutz garantieren. Bis heute ist einigen nicht bewusst, dass sie sämtliche Dienstleister ebenfalls in die Pflicht nehmen müssen, da sie für deren Fehler haften. Wie schnell das passieren kann, haben jüngste Datenpannen bei Hosting-Dienstleistern oder Mailanbietern gezeigt.

Eine saubere Auftragsdatenverarbeitung befreit ein Unternehmen als Auftraggeber nicht von den Pflichten. Vielmehr fixiert sie, dass der Auftraggeber den Auftragnehmer so ausgewählt hat, dass dieser eine sichere Datenverarbeitung gewährleistet. Allerdings sollte zuvor geklärt werden, in welchen Fällen überhaupt ein Vertrag abgeschlossen werden muss. Auch beim Thema Informationspflichten kommt es zu Fehlern, etwa bei den Angaben zur rechtlichen Grundlage oder bei Festlegung und Angaben zu den Aufbewahrungsfristen.