Wenn Sie diese 5 DSGVO-Fehler machen, drohen Ihnen 20.000 € Strafe – und Sie merken es nicht einmal!

Die unsichtbare Gefahr: DSGVO-Verstöße im Mittelstand

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft, doch für viele kleine und mittlere Unternehmen bleibt sie ein undurchsichtiges Regelwerk mit erheblichem Risikopotenzial. Die Wahrheit ist: Viele KMU begehen täglich Datenschutzverstöße, ohne sich dessen bewusst zu sein. Während spektakuläre Millionen-Bußgelder gegen Tech-Giganten für Schlagzeilen sorgen, werden jährlich hunderte kleiner Unternehmen mit Bußgeldern zwischen 5.000 und 50.000 Euro belegt – meist für Verstöße, die leicht vermeidbar gewesen wären.

"Die größte Gefahr liegt nicht in bewussten Verstößen, sondern in der Unwissenheit und dem falschen Gefühl der Sicherheit", erklärt Sabesan von der DoWorks GmbH. "Viele Geschäftsführer glauben, mit einer Datenschutzerklärung auf der Website sei alles erledigt. Doch die eigentlichen Risiken lauern im täglichen Betrieb."

Fehler 1: Fehlende Auftragsverarbeitungsverträge (AVV) mit Dienstleistern

Wenn Sie personenbezogene Daten durch externe Dienstleister verarbeiten lassen – sei es der Cloud-Speicher, das CRM-System oder der externe IT-Support – benötigen Sie einen Auftragsverarbeitungsvertrag (AVV). Dieser regelt, wie der Dienstleister mit Ihren Daten umgehen darf und muss. Das Problem: Laut einer Umfrage der Bitkom haben 38% der befragten Unternehmen keine oder nur unvollständige AVVs mit ihren Dienstleistern abgeschlossen. Besonders bei langjährigen Geschäftsbeziehungen oder bei der Nutzung von Standardsoftware wird dieser Punkt häufig übersehen. Die Folgen können gravierend sein: Bußgelder von bis zu 10.000 Euro sind keine Seltenheit, selbst bei kleineren Unternehmen. Zudem haften Sie vollumfänglich, wenn Ihr Dienstleister Daten verliert oder missbraucht.

Fehler 2: Unverschlüsselte E-Mail-Kommunikation mit sensiblen Daten

Die E-Mail ist das meistgenutzte Kommunikationsmittel im Geschäftsalltag – und gleichzeitig eine der größten Datenschutzlücken. Wenn Sie personenbezogene Daten wie Gesundheitsinformationen, Personalnummern oder Finanzdaten unverschlüsselt per E-Mail versenden, begehen Sie einen klaren DSGVO-Verstoß. Besonders brisant: In einer Stichprobe von 100 mittelständischen Unternehmen fand das Bayerische Landesamt für Datenschutzaufsicht bei 72% unverschlüsselte E-Mails mit sensiblen Inhalten. Die Behörden verhängten in solchen Fällen bereits Bußgelder zwischen 5.000 und 25.000 Euro. Das Tückische: Viele Mitarbeiter sind sich der Tragweite nicht bewusst, wenn sie etwa Bewerbungsunterlagen, Krankmeldungen oder Kundendaten per unverschlüsselter E-Mail weiterleiten.

Fehler 3: Fehlende Löschroutinen für personenbezogene Daten

Die DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck der Verarbeitung notwendig ist. Doch in der Praxis werden Daten oft unbegrenzt aufbewahrt. "Viele Unternehmen haben keine dokumentierten Löschkonzepte", berichtet ein Datenschutzbeauftragter aus NRW. "Ehemalige Mitarbeiter bleiben jahrelang in Systemen, Kundendaten werden nie bereinigt, und alte Bewerbungen verstauben digital auf Servern." Die Datenschutzbehörden prüfen bei Kontrollen gezielt die Existenz und Umsetzung von Löschkonzepten. Fehlen diese, drohen Bußgelder ab 7.500 Euro – selbst wenn noch kein konkreter Datenschutzvorfall eingetreten ist.

Fehler 4: Unzureichende Zugriffskontrollen und fehlende Berechtigungskonzepte

In vielen KMU haben alle Mitarbeiter Zugriff auf nahezu alle Daten – ein klarer Verstoß gegen das Prinzip der Datenminimierung. Die DSGVO verlangt, dass nur diejenigen Personen Zugriff auf personenbezogene Daten haben dürfen, die diese für ihre Arbeit benötigen. Besonders kritisch wird es bei sensiblen Daten wie Gesundheitsinformationen, Gehaltsdaten oder Leistungsbeurteilungen. Hier müssen strenge Zugriffskontrollen implementiert werden. Ein typisches Szenario: In einem Unternehmen mit 25 Mitarbeitern können alle auf den zentralen Fileserver zugreifen, wo auch die Personalakten gespeichert sind. Nach einer Beschwerde verhängte die zuständige Behörde ein Bußgeld von 12.000 Euro – und forderte die sofortige Implementierung eines Berechtigungskonzepts.

Fehler 5: Fehlende Dokumentation von Datenschutzmaßnahmen

Die DSGVO folgt dem Grundsatz der Rechenschaftspflicht: Unternehmen müssen nicht nur datenschutzkonform handeln, sondern dies auch nachweisen können. In der Praxis fehlt jedoch oft die notwendige Dokumentation. Besonders problematisch: Bei einer Datenschutzprüfung oder nach einem Sicherheitsvorfall müssen Sie belegen können, welche technischen und organisatorischen Maßnahmen (TOMs) Sie ergriffen haben, um personenbezogene Daten zu schützen. "Es reicht nicht aus, Datenschutz umzusetzen – Sie müssen es auch dokumentieren", erklärt Sabesan. "Denn nur so können Sie im Ernstfall nachweisen, dass Sie alles getan haben, um die Daten Ihrer Kunden und Mitarbeiter zu schützen."

Wie kann ich sicherstellen, dass meine Dienstleister datenschutzkonform arbeiten?

Um sicherzustellen, dass Ihre Dienstleister datenschutzkonform arbeiten, sollten Sie folgende Schritte unternehmen:

1. Schließen Sie Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern ab, die personenbezogene Daten verarbeiten.

2. Prüfen Sie regelmäßig die Datenschutzmaßnahmen Ihrer Dienstleister und dokumentieren Sie die Ergebnisse.

3. Führen Sie Schulungen für Ihre Mitarbeiter durch, um das Bewusstsein für Datenschutz zu erhöhen.

4. Implementieren Sie strenge Zugriffskontrollen und Berechtigungskonzepte, um sicherzustellen, dass nur berechtigte Personen Zugriff auf sensible Daten haben.

5. Dokumentieren Sie alle getroffenen Datenschutzmaßnahmen und bewahren Sie die Dokumente sicher auf.