Datenschutz ernst nehmen im KMU-Alltag — Schritt für Schritt

Kernaussage: Datenschutz ist kein Zusatzaufwand, sondern betrieblicher Grundschutz; mit klaren Zuständigkeiten, einfachen Prozessen und regelmässiger Kontrolle reduzieren Sie Risiken und erfüllen rechtliche Pflichten effizient.

Verantwortung klar zuweisen
In KMU fehlt oft eine eindeutige Verantwortung für Datenschutz. Bestimmen Sie eine verantwortliche Person (Datenschutzbeauftragte/r oder -verantwortliche/r). Die Zuständigkeit umfasst Verträge prüfen, Verarbeitungsverzeichnisse pflegen und Löschfristen überwachen. Beispiel: In einer Buchhaltungsfirma übernimmt die Teamleiterin Finanzen die Verantwortung und erhält eine monatliche Checkliste zur Datenverarbeitung. Dokumentieren Sie die Ernennung schriftlich im internen Handbuch.

Verarbeitungen und Risiken erfassen
Erstellen Sie ein einfaches Verzeichnis der Verarbeitungstätigkeiten: Welche Daten werden erhoben, zu welchem Zweck, wer hat Zugriff, wie lange werden sie gespeichert? Nutzen Sie dafür eine einfache Tabelle mit Spalten für Zweck, Rechtsgrundlage, Datenkategorien und Aufbewahrungsfrist. Beispiel: Ein Handwerksbetrieb erfasst Kundendaten für Auftragsabwicklung und Garantie; personenbezogene Gesundheitsdaten von Mitarbeitenden bei Unfallberichten sind nur bei begründeter Notwendigkeit zugänglich.

Datensparsamkeit und Zugriffsbeschränkung
Sammeln Sie nur die Daten, die Sie wirklich brauchen. Begrenzen Sie Zugriffe nach dem Need-to-know-Prinzip. Praktisch heisst das: Kunden-CRM hat keine Personalakten, und Buchhaltungszugriffe sind auf die Finanzabteilung beschränkt. Richten Sie einfache Rollen in Ihren Systemen ein. Beispiel: Eine Agentur trennt Zugang zu Kundenprojekten und zur Lohnabrechnung durch getrennte Login-Gruppen.

Technische und organisatorische Massnahmen umsetzen
Setzen Sie pragmatische Schutzmassnahmen um: verschlüsselte Geräte, regelmässige Backups, Passwortpolitik, Zwei-Faktor-Authentisierung für sensible Dienste. Dokumentieren Sie die Massnahmen in einer Sicherheitsübersicht. Beispiel: Praxis, die Patientenunterlagen digital führt, verschlüsselt Tablets und verlangt für Zugriffe auf die Praxissoftware eine Zwei-Faktor-Authentisierung.

Schulung und Bewusstsein schaffen
Mitarbeitende sind die grösste Schwachstelle. Führen Sie kurze, wiederkehrende Schulungen ein: Phishing erkennen, sichere Dateiablage, datenschutzkonformes Verhalten beim Homeoffice. Verwenden Sie konkrete Fallbeispiele aus dem Betriebsalltag. Beispiel: Ein Verkaufsteam erhält monatliche Kurzlektionen mit Übungsphishing-Mails und Anweisungen zum Umgang mit Kundenanfragen per Telefon.

Typische Fehler und Korrekturen
Fehler 1: Fehlende Dokumentation von Verarbeitungstätigkeiten. Korrektur: Erstellen Sie sofort eine einfache Tabelle mit Zweck, Datenkategorie, Empfängern und Aufbewahrungsfristen und aktualisieren Sie sie vierteljährlich.
Fehler 2: Ungeprüfte Datenweitergabe an Dienstleister. Korrektur: Schliessen Sie Auftragsverarbeitungsverträge ab und prüfen Sie die technischen und organisatorischen Massnahmen des Dienstleisters anhand einer kurzen Checkliste.
Fehler 3: Keine Löschkonzepte. Korrektur: Definieren Sie verbindliche Aufbewahrungsfristen in Arbeitsanweisungen und führen Sie halbjährliche Löschläufe mit Nachweis durch.

Kontrolle und kontinuierliche Verbesserung
Führen Sie einfache Kontrollen ein: interne Audits, Stichproben und Vorfall-Reporting. Legen Sie Prozesse für Datenschutzverletzungen fest: Meldewege, Fristen für Meldungen an Aufsichtsbehörde und Betroffene, und Massnahmen zur Schadensbegrenzung. Beispiel: Ein KMU legt fest, dass jeder Datenschutzvorfall innerhalb von 24 Stunden an die Datenschutzverantwortliche gemeldet wird und innerhalb einer Woche eine Ursachenanalyse erfolgt.

Handlungsanleitung für die nächsten 14–30 Tage

Ernennen Sie schriftlich eine Datenschutzverantwortliche oder ein kleines Datenschutzteam.

Erstellen Sie eine einfache Tabelle mit allen Verarbeitungstätigkeiten (Zweck, Datenkategorie, Zugriff, Aufbewahrung).

Prüfen Sie alle Dienstleister: Auftragsverarbeitungsverträge abschliessen oder nachholen.

Definieren Sie klare Aufbewahrungsfristen und planen Sie den ersten Löschlauf innerhalb von 30 Tagen.

Führen Sie eine Kurzschulung (30–60 Minuten) für alle Mitarbeitenden zum Thema Phishing und sicherer Umgang mit Kundendaten durch.

Implementieren Sie mindestens zwei technische Massnahmen (z. B. Geräteverschlüsselung, Zwei-Faktor-Authentisierung).

Planen Sie ein internes Audit oder eine Stichprobe zur Überprüfung der Umsetzung in 30 Tagen und dokumentieren Sie Ergebnisse und nächste Schritte.

Mit diesen Schritten schützen Sie Kundendaten, erfüllen Pflichten und reduzieren Reputations- und Haftungsrisiken ohne unnötigen Aufwand.