AI Automation

DSGVO für ein Team von sechs: Das Compliance-Theater, das Sie weglassen können

Das DSGVO-Gespräch für kleine Betriebe wird von Menschen geführt, die von Ihrer Angst profitieren. Berater, Overlay-Anbieter und Cousins, die einen Artikel gelesen haben, verbreiten alle dieselbe Botschaft: Die DSGVO ist gewaltig, die Bußgelder sind ruinös, kaufen Sie das Komplettpaket. Ein Sechs-Personen-Betrieb zahlt am Ende für einen Datenschutzapparat, der für einen Konzern dimensioniert ist, und erledigt dennoch nicht die wenigen Dinge, die tatsächlich zählen. Die nützliche Frage lautet also nicht "wie erledige ich die gesamte DSGVO". Sie lautet "was muss ein Betrieb meiner Größe wirklich tun, und was ist Theater, das ich weglassen kann". Die Verordnung ist real, und die Muss-Liste ist kurz. Der überverkaufte Teil ist das meiste von dem, was verkauft wird. Dieser Beitrag ist allgemeine Orientierung, keine Rechtsberatung, und ein wirklich riskanter Datenumgang verdient einen echten Datenschutz-Spezialisten. Für einen gewöhnlichen kleinen Dienstleistungs- oder Handwerksbetrieb ist hier die ehrliche Aufteilung.

Joshua Agonya Pi'Rwot

By Joshua Agonya Pi'Rwot

Founder, Business Growth Accelerator

Executive summary

Die meiste DSGVO-Arbeit in einem Sechs-Personen-Betrieb ist angstgetriebener Overkill, verkauft von Beratern, die von der Angst profitieren. Hier ist die kurze Muss-Liste, die Sie wirklich schützt.

Section 1

Die echte Muss-Liste

Diese Dinge sind günstig, sie zählen, und sie zu überspringen ist die Stelle, an der kleine Betriebe tatsächlich gebissen werden. • Eine Datenschutzerklärung auf Ihrer Website. Vorgeschrieben, Standard und von seriösen Werkzeugen gut erzeugt. Das ist das mit Abstand häufigste, was Aufsichtsbehörden und Abmahnanwälte prüfen, weil es öffentlich ist. • Eine Rechtsgrundlage für das, was Sie erheben, und Datensparsamkeit. Erheben Sie nicht, was Sie nicht brauchen. Für einen kleinen Betrieb bedeutet das meist: Kontaktformulare fragen das Minimum ab, und Sie können begründen, warum Sie jede Kategorie von Daten halten. • Grundlegende Datensicherheit. Gesperrte Geräte, sinnvolle Passwörter, auf die Notwendigen beschränkter Zugriff, Backups. Unglamourös, und es ist das, was aus einem verlorenen Laptop statt eines Vorfalls einen Nicht-Vorfall macht. • Verträge mit Ihren Auftragsverarbeitern (Auftragsverarbeitung, AVV). Wenn ein Dritter personenbezogene Daten für Sie verarbeitet (Ihr Newsletter-Tool, Ihre Cloud-Buchhaltung, Ihr IT-Dienstleister), brauchen Sie einen Auftragsverarbeitungsvertrag. Die Anbieter liefern die Vorlage. Sie unterschreiben und legen sie ab. • Ein Verzeichnis von Verarbeitungstätigkeiten (das Artikel-30-Verzeichnis). Menschen glauben, die Zeile "weniger als 250 Mitarbeiter" befreie sie. Lesen Sie Artikel 30(5): Die Ausnahme entfällt, wenn die Verarbeitung nicht nur gelegentlich erfolgt, was auf jeden Betrieb zutrifft, der Löhne abrechnet und eine Kundenliste führt. Also brauchen Sie fast sicher ein Verzeichnis. Die gute Nachricht ist, dass es für einen Sechs-Personen-Betrieb eine kurze, ehrliche Liste dessen ist, was Sie verarbeiten und warum, kein Konzern-Wälzer. Diese Liste ist die eigentliche Arbeit. Das meiste davon sind ein paar Nachmittage und danach leichte Pflege.

Section 2

Das Theater, das Sie meist weglassen können

Hier überverkauft die Angstwirtschaft einem Betrieb von sechs. • Ein bestellter Datenschutzbeauftragter (DSB), in den meisten Fällen. Das deutsche Recht (Paragraph 38 BDSG) verlangt einen förmlichen DSB, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein Sechs-Personen-Laden liegt weit unter dieser Linie und muss normalerweise keinen bestellen. Klären Sie Ihre konkrete Situation, denn besondere Datenkategorien können Sie unabhängig von der Kopfzahl hineinziehen, doch der Standardreflex "einen DSB einstellen" ist bei Ihrer Größe fehl am Platz. • Dokumentationsordner in Konzerngröße. Das 80-seitige Richtlinienwerk, das jährliche Datenschutz-Managementsystem, die Folgenabschätzungen für Routineverarbeitung. Diese existieren, um große Organisationen mit großem Risiko zu schützen. Ein Betrieb, der gewöhnliche Kontakt- und Lohndaten hält, erzeugt dieses Risiko nicht und braucht den dafür gebauten Papierkram nicht. • Overlay- und "Sofort-Compliance"-Widgets. Das Ein-Zeilen-Skript, das verspricht, Ihre Website DSGVO-konform zu machen. Compliance dreht sich darum, was Sie tatsächlich mit Daten tun, und ein Widget kann keinen Prozess beheben, den es nicht sehen kann. Der Grund, das Theater zu benennen, ist nicht Leichtsinn. Es ist, dass jede Stunde, die für überdimensionierte Dokumentation aufgewendet wird, eine Stunde ist, die nicht für die fünf Dinge aufgewendet wird, die Sie wirklich schützen, und kleine Betriebe verdrehen das regelmäßig.

Section 3

Die Linie, die zu beobachten ist

Zwei Dinge bewegen einen kleinen Betrieb aus dem leichten Regime in das schwerere, kennen Sie sie also: • Besondere Datenkategorien (Gesundheit, Biometrie und Ähnliches nach Artikel 9). Wenn Sie damit umgehen, verschärfen sich die Ausnahmen, und Sie sollten sich beraten lassen. • Verarbeitung als Kerntätigkeit in großem Umfang oder das Überschreiten der 20-Personen-Schwelle bei automatisierter Verarbeitung, was die DSB-Pflicht auslöst. Wenn keines zutrifft, sind Sie im leichten Regime, und die Muss-Liste oben ist nahezu die gesamte Arbeit.

Section 4

Der Fitnesstest

Ihre DSGVO-Arbeit ist richtig dimensioniert, wenn: • Sie die Datenschutzerklärung, die Auftragsverarbeitungsverträge und ein kurzes Verzeichnis haben und alle drei in unter fünf Minuten finden. • Sie nicht für einen DSB oder einen Konzern-Richtlinienordner zahlen, den Ihre Größe und Ihre Daten nicht verlangen. • Sie keine besonderen Datenkategorien verarbeiten und unter der 20-Personen-Linie bei automatisierter Verarbeitung bleiben, sodass das schwere Regime nicht gilt. Wenn Sie den Ordner, aber nicht das Verzeichnis haben, haben Sie das Theater gekauft und die Substanz übersprungen. Drehen Sie es um. Erledigen Sie die fünf echten Dinge, lassen Sie den überdimensionierten Rest weg, und schauen Sie nur erneut hin, wenn Ihre Daten oder Ihre Kopfzahl die oben genannten Linien überschreiten.

FAQ

Direct answers for operators.

Muss ein Sechs-Personen-Betrieb einen Datenschutzbeauftragten (DSB) bestellen?

Normalerweise nein. Das deutsche Recht (Paragraph 38 BDSG) verlangt einen förmlichen DSB, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein Sechs-Personen-Laden liegt weit unter dieser Linie. Besondere Datenkategorien können Sie unabhängig von der Kopfzahl hineinziehen, klären Sie also Ihre konkrete Situation.

Sind wir von einem Verzeichnis befreit, weil wir weniger als 250 Mitarbeiter haben?

Fast sicher nicht. Die Ausnahme des Artikels 30(5) entfällt in dem Moment, in dem die Verarbeitung nicht nur gelegentlich erfolgt, was auf jeden Betrieb zutrifft, der Löhne abrechnet und eine Kundenliste führt. Sie brauchen also wahrscheinlich ein Verzeichnis von Verarbeitungstätigkeiten. Für einen Betrieb von sechs ist es eine kurze, ehrliche Liste dessen, was Sie verarbeiten und warum, kein Konzern-Wälzer.

Was muss ein kleiner Betrieb für die DSGVO wirklich tun?

Eine Datenschutzerklärung auf der Website, eine Rechtsgrundlage mit Datensparsamkeit, grundlegende Datensicherheit, Auftragsverarbeitungsverträge (AVV) mit Dritten, die Ihre Daten verarbeiten, und ein kurzes Verzeichnis. Das sind ein paar Nachmittage Arbeit und danach leichte Pflege.

Kann ein Compliance-Widget meine Website DSGVO-konform machen?

Nein. Compliance dreht sich darum, was Sie tatsächlich mit Daten tun, und ein Overlay- oder "Sofort-Compliance"-Skript kann keinen Prozess beheben, den es nicht sehen kann. Diese Widgets sind Theater, und jede Stunde, die für überdimensionierte Dokumentation aufgewendet wird, ist eine Stunde, die nicht für die fünf Dinge aufgewendet wird, die Sie wirklich schützen.

Joshua Agonya Pi'Rwot

Written by

Joshua Agonya Pi'Rwot

Founder, Business Growth Accelerator · Country Director, AVODA Group Uganda · EMBA

Joshua helps service-business operators turn scattered marketing into a clear path from first attention to booked call. He is Founder of Business Growth Accelerator and Country Director of AVODA Group Uganda.