19.08.2024
Gerade kleine Unternehmen haben beim Punkt Datenschutz eine ganz spezielle Meinung: „Sollen doch erstmal die Großen was machen.“ Diese Einstellung hören wir oft, sei es in Gesprächen oder bei Vorträgen in der Handwerkskammer. Viele kleine Betriebe fühlen sich ungerecht behandelt und meinen, dass die Großen ungeschoren davonkommen.
Doch stimmt das wirklich? In diesem etwas anderen Artikel möchten wir uns weniger mit den Inhalten des Datenschutzes beschäftigen, sondern vielmehr mit der Einstellung, die dahintersteht. Wir schauen uns an, ob große Unternehmen wirklich nichts tun und wie die eigene Haltung sich selbst helfen oder schaden kann. Wir zeigen einige aufschlussreiche Beispiele auf, die zeigen, dass auch die Großen kräftig zur Kasse gebeten werden.
Ein weit verbreiteter Mythos unter kleinen Unternehmen ist die Annahme, dass zunächst die großen Konzerne ihre Datenschutzpflichten erfüllen sollten, bevor man selbst aktiv wird. Diese Einstellung dient oft als Beruhigung des eigenen schlechten Gewissens und gibt das Gefühl, dass man selbst nicht handeln muss, solange die "Großen" angeblich nichts tun. Doch diese Sichtweise ist trügerisch und gefährlich.
Große Unternehmen wie Google, Lieferando und Facebook stehen ständig unter der Beobachtung von Datenschutzbehörden und erhalten bei Verstößen erhebliche Strafen. Beispielsweise musste Google 90 Millionen Euro Bußgeld zahlen, weil die Cookie-Ablehnung intransparent und umständlich gestaltet war. Lieferando erhielt ein Millionenbußgeld, weil sie Quittungen unsachgemäß entsorgt hatten. Facebook musste auf Druck der EU ein Abomodell einführen, um den Datenschutzanforderungen gerecht zu werden.
Diese Beispiele zeigen deutlich, dass auch große Unternehmen nicht ungeschoren davonkommen. Für kleine Unternehmen ist es daher wichtig zu erkennen, dass sie unabhängig vom Verhalten der Großen ihre Datenschutzpflichten ernst nehmen müssen. Die Aufsichtsbehörden kümmern sich um alle Unternehmen gleichermaßen, und bei einem Verstoß kann es schnell zu hohen Strafen und einem erheblichen Verwaltungsaufwand kommen. Anstatt auf andere zu zeigen, sollten kleine Unternehmen ihre eigene Datenschutzstrategie überdenken und umsetzen, um sicherzustellen, dass sie den gesetzlichen Anforderungen entsprechen und ruhig schlafen können.
Es gibt zahlreiche Beispiele, die verdeutlichen, dass auch große Unternehmen für Datenschutzverstöße zur Verantwortung gezogen werden. Google wurde beispielsweise mit einer Strafe von 90 Millionen Euro belegt, weil die Ablehnung von Cookies zu intransparent und umständlich gestaltet war. Gerade dieses Thema haben wir in unserem vorigen Blogartikel auch betrachtet, dass Webseiten oftmals veraltete Cookie-Banner haben oder auch nicht alle Cookies angezeigt werden. Dies zeigte deutlich, dass selbst Tech-Giganten nicht ungeschoren davonkommen, wenn sie gegen Datenschutzrichtlinien verstoßen. Wobei sie natürlich auch ein anderes Budget haben, als Firmen im unteren Mittelstand.
Ein weiteres Beispiel ist Lieferando, der bekannte und beliebte Lieferdienst, der bereits 2023 ein Millionenbußgeld erhielt, nachdem Quittungen unsachgemäß auf einer öffentlichen Mülldeponie entsorgt wurden. Dieser Vorfall unterstreicht die Wichtigkeit des ordnungsgemäßen Umgangs mit sensiblen Daten. Dazu gehört natürlich auch das richtige Löschkonzept und Schulungen der Mitarbeiter, die mit der Vernichtung von Daten beauftragt sind. Somit gilt es, die eigenen organisatorischen Maßnahmen auch zu prüfen, passt denn die Norm des Aktenshredders zu meinem Gewerk? Wie wird in meinem Unternehmen mit Papierabfall verfahren?
Auch die Deutsche Wohnen musste eine erhebliche Strafe von 14,5 Millionen Euro hinnehmen, da sie Mieterdaten jahrelang ohne Löschkonzept aufbewahrte. Aufbewahrungspflichten und damit verbundene Löschpflichten können auch in kleinen Betrieben schnell Beschwerden durch Kunden auslösen. Diese Fälle illustrieren, dass die Datenschutzbehörden rigoros durchgreifen, unabhängig von der Unternehmensgröße.
Facebooks Einführung eines Abomodells, um den EU-Datenschutzanforderungen zu entsprechen, ist ein weiteres Beispiel. Das Unternehmen musste sich dem Druck beugen und eine Option anbieten, bei der Nutzer keine Werbung sehen und nicht getrackt werden. Facebook führte aufgrund diesem Drucks das 10,00 Euro Abomodell ein. Viele User nahmen Facebook das als "Abzocke" übel, aber der Konzern hatte keine andere Möglichkeit.
Diese Beispiele zeigen eindrucksvoll, dass große Unternehmen erhebliche Strafen und Auflagen erhalten, wenn sie Datenschutzvorgaben nicht einhalten. Daher sollten kleine Unternehmen nicht glauben, dass die Großen ungeschoren davonkommen und sich dadurch in falscher Sicherheit wiegen.
Kleine Unternehmen sollten sich nicht auf die Vorstellung verlassen, dass die Großen die Hauptlast der Datenschutzverpflichtungen tragen. Auch wenn es verlockend erscheinen mag, den eigenen Mangel an Maßnahmen mit dem Verhalten größerer Unternehmen zu rechtfertigen, schützt dies nicht vor Konsequenzen. Datenschutz ist ein verbindliches Recht, das jeden Gewerbetreibenden betrifft, unabhängig von der Unternehmensgröße. Wenn ein kleines Unternehmen ins Visier der Aufsichtsbehörde gerät, hilft es nicht, auf die Versäumnisse großer Konzerne hinzuweisen.
Die Aufsichtsbehörden erwarten von jedem Unternehmen, dass es die Mindestanforderungen des Datenschutzes erfüllt. Die Fälle von Google, Lieferando und der Deutschen Wohnen zeigen, dass große Unternehmen zwar harte Strafen erhalten, aber das entbindet kleine Unternehmen nicht von ihrer Verantwortung. Ein Verstoß kann für ein kleines Unternehmen existenzbedrohend sein, da die finanziellen und rechtlichen Konsequenzen erheblich sein können. Zudem beruhigt das Zeigen auf andere lediglich das eigene schlechte Gewissen, ohne tatsächliche Sicherheit zu bieten.
Statt darauf zu hoffen, dass die Aufsichtsbehörden nur die Großen ins Visier nehmen, sollten kleine Unternehmen proaktiv handeln, um ihre Datenschutzpflichten zu erfüllen. Dies ermöglicht nicht nur eine rechtliche Absicherung, sondern schafft auch Vertrauen bei Kunden und Partnern.
Um den Datenschutz im eigenen Unternehmen effektiv umzusetzen, ist es wichtig, einige grundlegende Schritte zu befolgen. Zunächst sollte eine Bestandsaufnahme der vorhandenen Daten durchgeführt werden: Welche personenbezogenen Daten werden erhoben, wie werden sie verarbeitet und wo werden sie gespeichert? Anschließend ist es essenziell, ein Datenschutzkonzept zu entwickeln, das klare Richtlinien und Verfahren zur Datenverarbeitung und -sicherung enthält. Dazu gehört auch die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, wie es von der DSGVO gefordert wird.
Die Sensibilisierung und Schulung der Mitarbeiter zum Thema Datenschutz ist ein weiterer wichtiger Schritt. Sie sollten regelmäßig über die Datenschutzrichtlinien des Unternehmens informiert und geschult werden, um sicherzustellen, dass sie diese im Arbeitsalltag umsetzen. Technische und organisatorische Maßnahmen (TOMs) wie Verschlüsselung, Zugriffskontrollen und regelmäßige Datensicherungen sollten implementiert werden, um die Datensicherheit zu gewährleisten.
Ein weiterer zentraler Punkt ist die Erstellung und Pflege eines Löschkonzepts, um sicherzustellen, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden. Zudem ist es ratsam, regelmäßig Audits und Überprüfungen durchzuführen, um die Einhaltung der Datenschutzbestimmungen sicherzustellen und eventuelle Schwachstellen zu identifizieren und zu beheben. Für individuelle Unterstützung und konkrete Tipps können kleine Unternehmen auf unsere Beratungsdienste mit dem DSGVO Erste Hilfe Koffer zurückgreifen, der maßgeschneiderte Lösungen anbieten.
Exklusiv für Solo und Kleinunternehmen bis 19 Mitarbeiter im Büro
Zusammenfassend lässt sich sagen, dass Datenschutz nicht nur ein Thema für große Unternehmen ist, sondern auch für kleine Betriebe von großer Bedeutung. Die Beispiele von Google, Lieferando, Deutsche Wohnen und Facebook zeigen, dass Datenschutzverstöße schwerwiegende Konsequenzen nach sich ziehen, unabhängig von der Unternehmensgröße.
Kleine Unternehmen sollten daher proaktiv handeln, um ihre eigenen Datenschutzpflichten zu erfüllen. Ein solides Datenschutzkonzept, die Sensibilisierung der Mitarbeiter und die Implementierung von Sicherheits-Maßnahmen sind unerlässlich, um rechtlichen Anforderungen gerecht zu werden und keine Datenverluste zu erleiden.
Und wie gut geht es einem, wenn man den Datenschutz dann auch umgesetzt hat? Und nicht das Damoklesschwert einer Beschwerde oder Prüfung durch die Aufsichtsbehörde über einem schwebt.
Man sollte frühzeitig Chancen nutzen, um mögliche Stolperfallen zu vermeiden und das Unternehmen rechtlich abzusichern.
Sie haben Fragen zu diesem Thema oder wollen Ihr Unternehmen generell DSGVO-fit machen? Nehmen Sie einfach hier Kontakt mit uns auf!
Haben Sie diese Artikel bereits gelesen?
„Wir sind die Ersten im Datenschutzdschungel, die ausschließlich auf Solo- und Kleinunternehmen spezialisiert sind und es gemeinsam mit ihnen innerhalb von 4 Stunden einfach und verständlich umsetzen!
Bereits seit 1991 schützen wir unsere Kunden vor Datenverlusten!“