Kurz gesagt: Wer als kleines oder mittleres Unternehmen Prozesse digitalisiert, verarbeitet automatisch mehr personenbezogene Daten und fällt damit voll unter die DSGVO. Die Pflichten sind überschaubar, aber konkret: ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), Auftragsverarbeitungsverträge mit jedem Cloud-Dienstleister (Art. 28), angemessene technische und organisatorische Maßnahmen (Art. 32) und eine Meldekette für Datenpannen binnen 72 Stunden (Art. 33). Wenn Sie diese vier Bausteine sauber dokumentieren, sind Sie bei einer Prüfung in der Regel auf der sicheren Seite.
Warum betrifft Datenschutz jedes digitalisierende KMU?
Datenschutz ist keine Frage der Unternehmensgröße. Sobald Sie personenbezogene Daten verarbeiten - also Namen, Kontaktdaten, Personalakten, Kundenbestellungen oder auch nur eine E-Mail-Liste - greift die Datenschutz-Grundverordnung (DSGVO). Mit jedem neuen digitalen Werkzeug, sei es ein CRM, ein Cloud-Speicher, ein Newsletter-Tool oder eine Buchhaltungssoftware, kommen neue Verarbeitungen hinzu.
Der entscheidende Punkt für KMU: Die DSGVO verlangt keinen unbezahlbaren Apparat, sondern angemessene Maßnahmen - gemessen am Risiko und am Stand der Technik (Art. 32 DSGVO). Ein Handwerksbetrieb mit zehn Beschäftigten muss anderes leisten als eine Klinik. Wichtig ist, dass Sie Ihre Verarbeitungen kennen, dokumentieren und absichern. Datenschutz ist dabei zunehmend auch ein Vertrauensargument gegenüber Kunden und Geschäftspartnern.
Welche DSGVO-Pflichten muss ich konkret erfüllen?
Für die meisten KMU lassen sich die Kernpflichten auf wenige, gut greifbare Punkte herunterbrechen:
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO): Eine strukturierte Übersicht, welche Daten Sie zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeiten. Aufsichtsbehörden verlangen dieses Dokument bei einer Prüfung typischerweise als Erstes.
- Rechtsgrundlage und Transparenz (Art. 6, 13 DSGVO): Jede Verarbeitung braucht eine Grundlage - etwa Einwilligung, Vertrag oder berechtigtes Interesse - und betroffene Personen müssen darüber informiert werden (Datenschutzerklärung).
- Betroffenenrechte (Art. 15-17 DSGVO): Auskunft, Berichtigung und Löschung müssen Sie innerhalb der gesetzlichen Frist (grundsätzlich ein Monat) bearbeiten können.
- Meldepflicht bei Datenpannen (Art. 33 DSGVO): Eine meldepflichtige Verletzung müssen Sie der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden melden. Dafür brauchen Sie eine interne Meldekette, bevor der Ernstfall eintritt.
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Nur bei voraussichtlich hohem Risiko erforderlich, etwa bei umfangreicher Überwachung oder sensiblen Daten - für viele KMU nicht alltäglich, aber bei neuen Tools zu prüfen.
Brauche ich einen Datenschutzbeauftragten?
Das hängt von der Konstellation ab. Nach § 38 BDSG müssen Unternehmen in Deutschland einen betrieblichen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Maßgeblich ist also nicht die Gesamtzahl der Beschäftigten, sondern wie viele regelmäßig am Computer mit personenbezogenen Daten arbeiten.
Unabhängig vom Schwellenwert kann eine Benennungspflicht bestehen, wenn die Kerntätigkeit in umfangreicher Verarbeitung besonderer Datenkategorien oder systematischer Überwachung liegt (Art. 37 DSGVO). Auch ohne formale Pflicht kann es sinnvoll sein, die Verantwortung intern klar zuzuordnen oder externe Beratung hinzuzuziehen. Prüfen Sie den genau für Sie geltenden Schwellenwert im Zweifel mit fachkundiger Unterstützung, da Gesetzesstände sich ändern können.
Worauf muss ich bei Cloud-Diensten und Dienstleistern achten?
Sobald ein externer Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet - Cloud-Speicher, Newsletter-Tool, Buchhaltungs- oder CRM-Software, externe IT - liegt eine Auftragsverarbeitung vor. Dafür ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Seriöse Anbieter stellen einen solchen Vertrag standardmäßig bereit.
Zwei Punkte verdienen besondere Aufmerksamkeit:
- Speicherort und Drittlandtransfer: Werden Daten außerhalb der EU/des EWR verarbeitet (etwa bei US-Anbietern), brauchen Sie eine geeignete Garantie wie das EU-US Data Privacy Framework oder Standardvertragsklauseln. Klären Sie das vor Vertragsabschluss.
- Dokumentierte Auswahl: Halten Sie fest, warum Sie einen Dienstleister für geeignet halten und welche Sicherheitszusagen er macht. Diese Sorgfalt ist Teil Ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
Eine Datenschutzerklärung auf der Website und ein AVV-Ordner reichen nicht, wenn Tools im Alltag ohne Prüfung eingeführt werden. Datenschutz sollte bei jeder neuen Software einmal mitgedacht werden - das ist der praktikabelste Hebel für KMU.
Welche technischen und organisatorischen Maßnahmen sind das Minimum?
Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen (TOM), die zum Risiko passen. Für KMU haben sich folgende Bausteine als praktikable Grundausstattung etabliert:
- Zugriffskontrolle: Rollenbasierte Berechtigungen, individuelle Konten statt geteilter Logins, Zwei-Faktor-Authentifizierung für sensible Zugänge.
- Verschlüsselung: Verschlüsselte Übertragung (HTTPS, verschlüsselte E-Mail bei sensiblen Inhalten) und verschlüsselte Speicherung, insbesondere auf mobilen Geräten und Backups.
- Datensicherung: Regelmäßige Backups, getrennt vom Produktivsystem aufbewahrt, und ein getesteter Wiederherstellungsplan - auch als Schutz gegen Ransomware.
- Löschkonzept: Festgelegte Aufbewahrungsfristen und ein Prozess, Daten zu löschen, sobald der Zweck entfällt (Grundsatz der Speicherbegrenzung).
- Mitarbeitersensibilisierung: Kurze, wiederkehrende Schulungen zu Phishing, sicheren Passwörtern und dem Umgang mit Datenanfragen. Der Mensch ist nach wie vor das häufigste Einfallstor.
Datenschutz und IT-Sicherheit greifen hier ineinander: Ohne grundlegende Cybersicherheit lässt sich DSGVO-Konformität faktisch nicht halten. Halten Sie Ihre TOM schriftlich fest - das ist Teil der Nachweisbarkeit.
Was ändert sich 2026 - Stichwort Digital Omnibus?
Die EU-Kommission hat 2025 ein Vereinfachungspaket vorgeschlagen, den sogenannten Digital Omnibus, der unter anderem die DSGVO an einigen Stellen entschlacken soll - etwa bei Dokumentations- und Informationspflichten und mit gezielten Erleichterungen für KMU. Stand Mitte 2026 befindet sich das Paket noch im Gesetzgebungsverfahren; europäische Datenschutzgremien (EDPB/EDPS) haben Zustimmung signalisiert, aber auch Bedenken angemeldet.
Für die Praxis heißt das: Die heutigen Pflichten gelten unverändert weiter, bis Änderungen tatsächlich in Kraft treten. Verlassen Sie sich nicht auf angekündigte Erleichterungen, sondern setzen Sie die bestehenden Anforderungen um. Wer Verzeichnis, AVV und TOM ordentlich pflegt, profitiert ohnehin von künftigen Vereinfachungen, ohne unter Zeitdruck zu geraten. Prüfen Sie den aktuellen Stand des Verfahrens, bevor Sie Entscheidungen darauf stützen.
Häufige Fragen
Gilt die DSGVO auch für sehr kleine Unternehmen und Einzelunternehmer?
Ja. Die DSGVO kennt keine Bagatellgrenze nach Unternehmensgröße. Sobald personenbezogene Daten verarbeitet werden, gelten die Grundsätze. Erleichterungen betreffen einzelne Dokumentationspflichten, nicht die DSGVO als Ganzes. Auch Einzelunternehmer brauchen also etwa eine Datenschutzerklärung und müssen Betroffenenrechte erfüllen.
Ab wann muss ein KMU einen Datenschutzbeauftragten benennen?
In Deutschland nach § 38 BDSG, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zusätzlich kann sich eine Pflicht aus Art. 37 DSGVO ergeben, etwa bei umfangreicher Verarbeitung sensibler Daten oder systematischer Überwachung. Der genaue Schwellenwert sollte im Einzelfall geprüft werden.
Brauche ich für jeden Cloud-Dienst einen Vertrag?
Wenn der Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das betrifft die meisten Cloud-Speicher, CRM-, Newsletter- und Buchhaltungstools. Seriöse Anbieter stellen einen AVV bereit; achten Sie zusätzlich auf den Speicherort und etwaige Drittlandtransfers.
Wie schnell muss ich eine Datenpanne melden?
Eine meldepflichtige Verletzung des Schutzes personenbezogener Daten ist der zuständigen Aufsichtsbehörde nach Art. 33 DSGVO grundsätzlich innerhalb von 72 Stunden nach Bekanntwerden zu melden. Deshalb sollten Sie vorab eine interne Meldekette festlegen, damit im Ernstfall klar ist, wer was wann tut.
Wie hoch können Bußgelder bei DSGVO-Verstößen ausfallen?
Art. 83 DSGVO sieht zwei Stufen vor: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei formellen Verstößen und bis zu 20 Mio. Euro oder 4 % bei Verstößen gegen Grundsätze und Betroffenenrechte - jeweils der höhere Betrag. In der Praxis liegen Bußgelder gegen KMU meist deutlich darunter und richten sich nach Schwere und Umständen.
Quellen
- Art. 30 DSGVO - Verzeichnis von Verarbeitungstätigkeiten (dsgvo-gesetz.de)
- Art. 83 DSGVO - Allgemeine Bedingungen für die Verhängung von Geldbußen (dsgvo-gesetz.de)
- § 38 BDSG - Datenschutzbeauftragte nichtöffentlicher Stellen (gesetze-im-internet.de)
- Digital Omnibus - EDPB and EDPS support simplification (European Data Protection Board)
Hinweis: Zahlen, Fristen und Konditionen ändern sich – bitte am offiziellen Stand prüfen. Stand der Recherche: Juni 2026.
Sie möchten Ihr Unternehmen digitalisieren? tap & type begleitet kleine und mittlere Unternehmen praxisnah – von der Strategie bis zur Umsetzung.
→ Digitalberatung · Softwareentwicklung
✓ Über 20 Jahre Erfahrung · ✓ BVMW-Mitglied · ✓ anbieterneutral · ✓ unverbindlich & kostenlos
