Datenschutzorganisation im Unternehmen

Eine gut strukturierte Datenschutzorganisation ist wichtig, um gesetzliche Vorgaben einzuhalten und das Vertrauen von Kunden sowie Geschäftspartnern zu stärken. Denn besonders kleine und mittlere Unternehmen stehen oft vor großen Herausforderungen, die Datenschutzvorgaben umzusetzen. Mithilfe der folgenden Punkte können Unternehmen die Aufgaben aus DSGVO und BDSG jedoch Stück für Stück abarbeiten und so den Berg der To-dos in bewältigbare Häppchen aufteilen.

1. Verantwortlichkeiten klären

Die Geschäftsleitung trägt die Hauptverantwortung für den Datenschutz. Unternehmen mit mehr als 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten benennen. Aber auch in kleineren Betrieben ist es sinnvoll, eine Person festzulegen, die sich um Datenschutzfragen kümmert, damit Pflichten zuverlässig erfüllt werden.

2. Dokumentationspflichten

Laut DSGVO müssen Unternehmen nachweisen können, dass sie die Datenschutzvorgaben einhalten. Dazu gehören das Führen eines Verzeichnisses von Verarbeitungstätigkeiten, die Durchführung einer Datenschutz-Folgenabschätzungen (falls nötig) und Dokumentationen zu technischen und organisatorischen Maßnahmen (TOMs).

3. Technische und organisatorische Maßnahmen (TOMs)

Um personenbezogene Daten zu schützen, sind passende Sicherheitsmaßnahmen erforderlich. Dazu zählen:
  • Zugriffskontrollen (z.B. sichere Passwörter, Zwei-Faktor-Authentifizierung)
  • Verschlüsselung (z.B. Schutz von E-Mails und gespeicherten Daten)
  • Datensicherung (z.B. Regelmäßige Backups an sicheren Orten)
  • Mitarbeiterschulungen (Sensibilisierung für Datenschutzrisiken)
Im Internet finden sich zum Teil sehr lange und detaillierte Aufstellungen von TOMs, die auf den Formularen einfach angekreuzt werden können. Gerade bei diesen Formularen aber auch bei TOMs im Allgemeinen geht es nicht darum möglichst viel abhaken zu können, sondern diejenigen Maßnahmen für sein Unternehmen zu wählen die auch tatsächlich Sinn machen. So braucht beispielsweise nicht jedes Unternehmen eine biometrische Zugangskontrolle mit Irisscanner. In der Regel wird ein einfaches Sicherheitsschloss ausreichen.

4. Umgang mit Betroffenenrechten

Personen, deren Daten verarbeitet werden, haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit. Unternehmen müssen diese Anfragen innerhalb eines Monats bearbeiten. Es empfiehlt sich, feste Abläufe dafür festzulegen, um Fristen einzuhalten. Weitere Informationen finden Sie hier Betroffenenrechte.

5. Datenschutz im Arbeitsalltag

Unternehmen sollten einen datenschutzsensiblen Umgang mit personenbezogenen Daten pflegen. Es sollte selbstverständlich sein, dass Daten nur erfasst werden, wenn es wirklich notwendig ist. Besonders in der Kundenkommunikation, z. B. per E-Mail, sollten keine sensiblen Daten unverschlüsselt versendet werden.

6. Externe Dienstleister und Auftragsverarbeitung

Wenn externe Dienstleister mit personenbezogenen Daten arbeiten (z. B. IT-Support oder Lohnbuchhaltung), muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Unternehmen sollten außerdem prüfen, ob der Dienstleister angemessene Sicherheitsstandards einhält. Dazu sollten die TOMs des Dienstleisters als Anhang zu dem AVV genommen werden.
Der Thüringer Landesdatenschutzbeauftragte hält auf seiner Internetseite ein Muster eines Auftragsverarbeitungsvertrages bereit.

7. Notfall- und Meldeverfahren

Wenn personenbezogene Daten unbefugt weitergegeben oder verloren gehen, muss dies innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Ein klares internes Meldeverfahren hilft, Datenschutzvorfälle schnell zu erkennen und richtig zu reagieren.

8. Regelmäßige Überprüfung und Anpassung

Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Unternehmen sollten regelmäßig überprüfen, ob ihre Maßnahmen noch aktuell sind. Interne Prüfungen oder externe Datenschutzberatungen können helfen, Schwachstellen zu identifizieren und zu beheben.
Eine gut organisierte Datenschutzstruktur reduziert Risiken und schafft Vertrauen bei Kunden und Geschäftspartnern. Gerade Kleinstunternehmen sollten praktikable Lösungen entwickeln, um den Datenschutz effizient und gesetzeskonform umzusetzen.


Stand: 25. März 2025