Datenschutz im Mittelstand umsetzen bedeutet längst mehr, als ein Verfahrensverzeichnis zu pflegen und einmal pro Jahr eine Mitarbeiterschulung zu organisieren. Die DSGVO wirkt heute in jeden Prozess, von der Websitepflege über die Cloud-Nutzung bis hin zum Einsatz Künstlicher Intelligenz im Tagesgeschäft. Dieser Beitrag arbeitet die wichtigsten Praxiserkenntnisse aus zehn Jahren externer Datenschutzberatung auf und macht sichtbar, welche Strukturen und Routinen ein mittelständisches Unternehmen oder eine Einrichtung im Gesundheitswesen benötigt, um Datenschutz nicht nur dokumentiert, sondern wirksam zu betreiben. Grundlage sind Aussagen von Jörg Höschel, Geschäftsführer der Lcomply UG, aus einem ausführlichen Fachgespräch.
Vom Projekt zur Daueraufgabe: Wie sich der Datenschutz verändert hat
Die Erwartungen an den Datenschutz haben sich in den vergangenen zehn Jahren grundlegend verschoben. Wo früher einzelne Richtlinien und Verzeichnisse genügten, durchdringt der Datenschutz heute alle Unternehmensprozesse. Aufsichtsbehörden, Kunden, Patienten und Mitarbeitende erwarten eine konsistente, gelebte Praxis, nicht nur eine formale Dokumentation in der Schublade.
„Was viele Unternehmen noch immer unterschätzen, ist die Tatsache, dass Datenschutz kein einmaliges Projekt ist. Es reicht nicht, einmal Dokumente anzulegen und danach nichts mehr zu tun. Datenschutz muss im Alltag gelebt werden.“ (Jörg Höschel)
Diese Verschiebung hat Konsequenzen für die Organisation. Wer Datenschutz weiterhin als isoliertes Compliance-Thema betrachtet, riskiert, dass Routinen im Tagesgeschäft (E-Mail-Versand, Datenfreigaben, neue Tools) ohne Schutzlogik laufen. Eine tragfähige Antwort ist ein dauerhafter Steuerungsprozess mit klaren Verantwortlichkeiten, regelmäßigen Reviews und einer Plattform, die Dokumentation, Risiken und Maßnahmen zusammenführt.
KMU und Gesundheitswesen: Zwei Schutzwelten
Die Datenschutzanforderungen im Gesundheitswesen und im klassischen Mittelstand unterscheiden sich erheblich. Patientendaten gehören zur besonderen Kategorie personenbezogener Daten nach Art. 9 DSGVO und unterliegen zusätzlich der ärztlichen Schweigepflicht (§203 StGB) sowie spezifischer Berufs- und Sozialrechtsvorgaben. Daraus folgen strengere Anforderungen an Zugriffsrechte, Verschlüsselung, Protokollierung und Dokumentation als in einem typischen Handwerks- oder Handelsbetrieb.
„Im Gesundheitswesen arbeiten Unternehmen mit besonders sensiblen Daten. (…) Ein Handwerksbetrieb oder ein mittelständisches Unternehmen verarbeitet zwar ebenfalls personenbezogene Daten, aber meist nicht in dieser Sensibilität. Dafür fehlt dort häufig die organisatorische Struktur.“ (Jörg Höschel)
Die praktische Konsequenz: Im Gesundheitswesen ist die rechtliche Grundausstattung meist vorhanden, der Implementierungsgrad in Prozessen aber unterschiedlich. Im klassischen Mittelstand fehlt häufig die organisatorische Basis. Dort braucht es weniger juristische Tiefe, dafür konsequente Pragmatik, klare Zuständigkeiten und einfach handhabbare Routinen.
Warum Datenschutz auch im kleinen Betrieb wirkt
Die Auffassung, Datenschutz sei vor allem ein Konzernthema, hält sich hartnäckig. Sie ist sachlich falsch, weil jede Verarbeitung personenbezogener Daten unter die DSGVO fällt, unabhängig von der Unternehmensgröße. Aufsichtsbehörden prüfen längst nicht mehr nur Großunternehmen.
„Gerade kleine Unternehmen sind oft besonders gefährdet, weil dort Prozesse weniger geregelt sind und die IT-Sicherheit häufig nicht ausreichend mitgewachsen ist. (…) Ein Datenschutzvorfall kann enormen Vertrauensverlust bei Kunden verursachen. Für viele Betriebe ist das wirtschaftlich gefährlicher als ein Bußgeld.“ (Jörg Höschel)
Damit wird Datenschutz zur betriebswirtschaftlichen Frage. Reputationsverlust, Kundenabwanderung und interner Aufwand nach einem Vorfall übersteigen häufig das mögliche Bußgeld. Geschäftsführungen, die Datenschutz nur als Pflicht sehen, übersehen den Wertbeitrag eines belastbaren Schutzkonzepts.
Wie Datenschutzvorfälle in der Praxis entstehen
Bußgelder erscheinen in der öffentlichen Wahrnehmung abstrakt. In der Praxis entstehen meldepflichtige Vorfälle weniger durch spektakuläre Angriffe, sondern durch organisatorische Routinefehler. Häufig betroffen sind die E-Mail-Kommunikation, fehlerhafte Empfängerlisten oder mangelhafte Zugriffsbeschränkungen.
„Besonders häufig geht es um unverschlüsselte Kommunikation, falsche Empfänger von E-Mails oder fehlende Zugriffsbeschränkungen. Gerade im Gesundheitswesen reichen oft schon kleinere organisatorische Fehler aus, damit sensible Informationen an unbefugte Personen gelangen.“ (Jörg Höschel)
Daraus folgt eine klare Schwerpunktsetzung in der Maßnahmenplanung: Schulungen mit konkretem Praxisbezug, technische Absicherung der E-Mail-Kommunikation (zum Beispiel über Transportverschlüsselung und gegebenenfalls Ende-zu-Ende-Lösungen), saubere Rechtevergabe und Vier-Augen-Prüfungen bei Massen-Mails. Diese vier Hebel verhindern in der Praxis einen Großteil der typischen Vorfälle.
KI im Unternehmen: Die neue Datenschutz-Front
Mit der breiten Verfügbarkeit generativer Modelle und KI-Assistenten wandert ein wachsender Teil der Datenverarbeitung in externe Systeme. Häufig ohne klare Freigaben, ohne Auftragsverarbeitungsverträge und ohne dokumentierte Risikobewertung.
„Viele Unternehmen nutzen bereits KI-Systeme, ohne sich bewusst zu sein, welche Daten dort verarbeitet werden. (…) KI ist nicht einfach nur ein neues Werkzeug, sondern muss datenschutzrechtlich und organisatorisch sauber eingebunden werden.“ (Jörg Höschel)
Mittelständische Unternehmen sollten die Nutzung von KI-Werkzeugen in vier Schritten ordnen: Erstens eine verbindliche Nutzungsrichtlinie für Mitarbeitende, zweitens eine freigegebene Werkzeugliste mit dokumentiertem Datenschutzcheck, drittens technische Schutzmaßnahmen wie Account-Trennung und DLP-Mechanismen, viertens eine fortlaufende Beobachtung der regulatorischen Entwicklung (DSGVO, kommende KI-Verordnung der EU). Im Gesundheitswesen ist zusätzlich zu prüfen, ob der Einsatz mit der ärztlichen Schweigepflicht vereinbar ist.
Realistisch starten: Wenig Bürokratie, klare Priorisierung
Wer mit Datenschutz noch nicht systematisch begonnen hat, kommt mit perfektionistischen Konzepten selten weit. Eine pragmatische Reihenfolge, die früh sichtbare Wirkung erzeugt, ist tragfähiger als ein einjähriges Großprojekt ohne Zwischenergebnisse.
„Der wichtigste Schritt ist, überhaupt anzufangen und Datenschutz nicht aufzuschieben. (…) Datenschutz muss verständlich, umsetzbar und wirtschaftlich sinnvoll sein.“ (Jörg Höschel)
Ein bewährter Einstiegspfad umfasst sechs Stationen: Bestandsaufnahme der personenbezogenen Daten, Bewertung der größten Risiken, technische Grundabsicherung (Verschlüsselung, Passwörter, Backup, Zugriffsrechte), Mitarbeitersensibilisierung mit klaren Verhaltensregeln, Aufbau eines Verarbeitungsverzeichnisses und Etablierung wiederkehrender Reviews. Diese Reihenfolge eignet sich für Unternehmen, die Datenschutz innerhalb von drei bis sechs Monaten auf ein belastbares Grundniveau bringen wollen.
Auftragsverarbeitung und Dienstleister: Der häufig übersehene Hebel
Ein wesentlicher Teil der personenbezogenen Daten verlässt das Unternehmen über Dienstleister: IT-Hosting, Cloud-Dienste, Buchhaltung, Marketing-Tools, Praxis- oder Klinikinformationssysteme. Jede dieser Beziehungen verlangt nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Wer hier nachlässig arbeitet, riskiert nicht nur Bußgelder, sondern verlagert haftungsrechtlich relevante Risiken in die eigene Verantwortung zurück.
Praktisch hat sich ein dreistufiges Vorgehen bewährt. Erstens eine Bestandsaufnahme aller Dienstleister mit Zugriff auf personenbezogene Daten, inklusive Sub-Auftragsverarbeiter. Zweitens eine inhaltliche Prüfung der Verträge auf Vollständigkeit, technisch-organisatorische Maßnahmen und Drittlandstransfers. Drittens eine Re-Zertifizierung in einem festen Rhythmus, häufig jährlich oder bei wesentlichen Änderungen beim Dienstleister. Eine zentrale Lieferantenliste mit Statusspalte verhindert, dass Auftragsverarbeitungen unkontrolliert wachsen.
Externer Datenschutzbeauftragter im Mittelstand
Die Bestellpflicht für einen Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO und §38 BDSG. Im klassischen Mittelstand greift sie häufig ab 20 ständig mit der automatisierten Verarbeitung beschäftigten Personen, im Gesundheitswesen wegen der Verarbeitung besonders sensibler Daten oft schon deutlich früher. In der Praxis entscheiden sich viele Unternehmen für eine externe Bestellung, weil Branchenerfahrung, Weisungsunabhängigkeit und ein konstantes Qualitätsniveau intern selten in dieser Tiefe darstellbar sind.
Der externe Datenschutzbeauftragte deckt drei Funktionen ab: rechtliche Beratung der Geschäftsführung, Schulung und Sensibilisierung der Mitarbeitenden, Überwachung der Einhaltung der DSGVO im Unternehmen. Ergänzend übernimmt er die Kommunikation mit der Aufsichtsbehörde im Vorfall und bei Anfragen. Eine Plattform, die Dokumentation, Risiken, Auftragsverarbeitungen und Schulungen zusammenführt, hebt die Effizienz dieser Zusammenarbeit deutlich.
Vorgehensmodell für die nächsten zwölf Monate
Aus den Praxiserfahrungen lässt sich ein realistischer Zeitplan für ein mittelständisches Unternehmen ableiten, das Datenschutz auf ein belastbares Niveau bringen will. In den ersten drei Monaten stehen Bestandsaufnahme und Quick-Wins im Vordergrund: Verzeichnis aller Verarbeitungen, Sichtung der wichtigsten Auftragsverarbeitungsverträge, technische Grundabsicherung, Information der Belegschaft. In den Monaten vier bis sechs folgen die Strukturthemen: Schulungskonzept, Meldekette für Datenschutzvorfälle, Datenschutzfolgenabschätzung für besonders risikobehaftete Verarbeitungen, Aufbau einer Plattform für die laufende Pflege.
Die zweite Jahreshälfte ist auf Verstetigung ausgerichtet. Quartalsweise Reviews mit der Geschäftsführung, regelmäßige Anpassung von Verträgen und Verzeichnissen, vertiefte Auseinandersetzung mit KI-Werkzeugen, Audit der wichtigsten Dienstleister. Wer dieses Vorgehen diszipliniert verfolgt, erreicht in zwölf Monaten ein Schutzniveau, das in Aufsichtsverfahren bestand hat und im Tagesgeschäft funktioniert.
Zum vollständigen Interview
Die hier verdichteten Aussagen stammen aus einem ausführlichen Fachgespräch mit Jörg Höschel, Geschäftsführer der Lcomply UG. Das vollständige Interview mit allen Antworten, einer ausführlichen Bio und einer Praxisbox zum Einstieg in den Datenschutz erscheint parallel im Schwesterportal cyberschutzbetrieb.de unter Externer Datenschutzbeauftragter im Mittelstand: Interview mit Jörg Höschel.
FAQ
Ab welcher Unternehmensgröße muss ein Datenschutzbeauftragter bestellt werden?
Die Bestellpflicht nach §38 BDSG greift in der Regel ab 20 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen. Unabhängig davon kann eine Bestellpflicht nach Art. 37 DSGVO entstehen, zum Beispiel bei umfangreicher Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten.
Welche typischen Fehler führen zu meldepflichtigen Datenschutzvorfällen?
Unverschlüsselte E-Mail-Kommunikation, falsche Empfängerangaben, fehlende oder zu weit gefasste Zugriffsrechte sowie unsichere mobile Endgeräte zählen zu den häufigsten Ursachen.
Wie sollte ein Unternehmen den KI-Einsatz datenschutzrechtlich absichern?
Mit einer verbindlichen Nutzungsrichtlinie, einer freigegebenen Werkzeugliste, dokumentierten Datenschutz-Folgenabschätzungen für risikoreiche Anwendungen und Auftragsverarbeitungsverträgen mit den Anbietern.
Was unterscheidet einen internen von einem externen Datenschutzbeauftragten?
Externe DSB sind weisungsunabhängig, bringen Branchenerfahrung mit und unterliegen nicht dem besonderen Kündigungsschutz interner Beauftragter. Für viele KMU ist die externe Bestellung wirtschaftlicher und fachlich tiefer.
Was kostet Datenschutz im Mittelstand typischerweise?
Die externe DSB-Betreuung bewegt sich in vielen KMU im niedrigen vierstelligen Bereich pro Jahr, hinzu kommen Investitionen in technische Maßnahmen und Schulungen. Im Gesundheitswesen entsprechend höher.
Hinweis: Dieser Beitrag gibt ausschließlich die redaktionellen Ansichten der Redaktion von rechtimunternehmen.de sowie die zitierten Aussagen des Interviewpartners wieder. Er stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt. Für rechtlich verbindliche Auskünfte zu Ihrem konkreten Fall wenden Sie sich bitte an einen zugelassenen Rechtsbeistand.
Verwandte Themen
- Datenschutz-Grundlagen für Unternehmen
- Unternehmenspflichten in der Praxis
- Haftung der Geschäftsführung
