Datenschutz

DSGVO für KMU: Was ihr wirklich wissen müsst

Die DSGVO gilt seit 2018 für jedes Unternehmen. Verarbeitungsverzeichnis, DSB-Pflicht, AV-Verträge – dieser Artikel erklärt die wichtigsten Pflichten ohne Juristendeutsch.

Letzte Aktualisierung: Februar 2026

Datenschutz: Symbolische Darstellung von Datensicherheit mit Schloss und Schutzschild
Das Wichtigste in 30 Sekunden:
  • Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet
  • Ihr braucht ein Verarbeitungsverzeichnis (auch ohne DSB)
  • Datenschutzbeauftragter Pflicht ab 20 Personen mit regelmäßiger Datenverarbeitung
  • AV-Verträge mit allen Dienstleistern, die eure Daten verarbeiten
  • Bei Verstößen drohen Bußgelder bis 20 Mio. € oder 4% des Jahresumsatzes

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten regelt. Sie gilt seit dem 25. Mai 2018 direkt in allen EU-Mitgliedstaaten.

Was sind personenbezogene Daten?
Alle Informationen, die sich auf eine identifizierbare Person beziehen: Name, Adresse, Telefonnummer, E-Mail-Adresse, IP-Adressen, Kundennummern (wenn zuordenbar), Fotos mit erkennbaren Personen.

Sobald ihr Kunden, Mitarbeiter oder Lieferanten habt, verarbeitet ihr personenbezogene Daten – und die DSGVO gilt.

Die wichtigsten Pflichten im Überblick

1. Verarbeitungsverzeichnis (Art. 30 DSGVO)

Eine Dokumentation aller Verarbeitungstätigkeiten in eurem Unternehmen. Was muss rein?

  • Welche Daten verarbeitet ihr? (z.B. Kundendaten, Mitarbeiterdaten)
  • Warum verarbeitet ihr sie? (z.B. Vertragserfüllung, Lohnabrechnung)
  • Wer hat Zugriff?
  • Wie lange speichert ihr die Daten?
  • Welche technischen Schutzmaßnahmen habt ihr?
Wichtig: Das Verarbeitungsverzeichnis ist Pflicht – auch ohne Datenschutzbeauftragten!

2. Informationspflichten (Art. 13/14 DSGVO)

Ihr müsst Betroffene darüber informieren, wie ihr ihre Daten verarbeitet. Das geschieht über:

  • Datenschutzerklärung auf der Website
  • Hinweise bei Vertragsabschluss (z.B. im Bestellprozess)
  • Mitarbeiter-Information bei Einstellung

3. Auftragsverarbeitungsverträge (Art. 28 DSGVO)

Ein Vertrag mit jedem Dienstleister, der in eurem Auftrag Daten verarbeitet:

Typischer Auftragsverarbeiter Beispiele
Cloud-Anbieter Microsoft 365, Google Workspace
Hosting-Provider Hetzner, IONOS, AWS
E-Mail-Marketing Mailchimp, Sendinblue, CleverReach
CRM-Systeme HubSpot, Salesforce, Pipedrive
Buchhaltung DATEV, lexoffice, sevDesk
Gut zu wissen: Die meisten Anbieter haben fertige AV-Verträge – ihr müsst sie nur abschließen. Ohne AV-Vertrag dürft ihr den Dienstleister nicht nutzen!

4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Schutzmaßnahmen für die Daten, die ihr verarbeitet:

  • Passwörter und Zugangskontrolle
  • Verschlüsselung (E-Mails, Festplatten)
  • Regelmäßige Backups
  • Firewall und Virenschutz
  • Schulung der Mitarbeiter
  • Abschließbare Büros/Schränke für Akten

5. Rechte der Betroffenen (Art. 15-22 DSGVO)

Betroffene Personen haben Rechte, die ihr erfüllen müsst:

Recht Bedeutung Frist
Auskunft Mitteilen, welche Daten ihr habt 1 Monat
Berichtigung Falsche Daten korrigieren unverzüglich
Löschung Daten unter bestimmten Voraussetzungen löschen unverzüglich
Datenübertragbarkeit Daten in maschinenlesbarem Format herausgeben 1 Monat
Widerspruch Verarbeitung beenden unverzüglich prüfen

Braucht ihr einen Datenschutzbeauftragten?

Das ist eine der häufigsten Fragen. Die Antwort hängt von mehreren Faktoren ab.

In Deutschland: Die 20-Personen-Regel

Nach dem Bundesdatenschutzgesetz (BDSG § 38) müsst ihr einen DSB bestellen, wenn mindestens 20 Personen regelmäßig mit personenbezogenen Daten arbeiten.

"Regelmäßig" bedeutet: Als Teil der normalen Arbeit, nicht nur gelegentlich. Zählt alle mit PC-Arbeitsplatz, die Zugriff auf Kunden-, Mitarbeiter- oder Lieferantendaten haben.

Unabhängig von der Größe: DSB-Pflicht bei bestimmten Tätigkeiten

Auch unter 20 Personen braucht ihr einen DSB, wenn:

Kerntätigkeit = Datenverarbeitung (Art. 37 Abs. 1 lit. b DSGVO)

  • Marktforschungsunternehmen
  • Adresshändler, Auskunfteien
  • Personalvermittlungen
  • Scoring-Unternehmen

Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 37 Abs. 1 lit. c DSGVO)

  • Arztpraxen mit vielen Patienten
  • Pflegedienste, Labore
  • Psychologische Praxen

Systematische Überwachung (Art. 37 Abs. 1 lit. b DSGVO)

  • Videoüberwachung öffentlicher Bereiche
  • GPS-Tracking von Mitarbeitern
  • Umfangreiches Profiling
Nicht sicher, ob ihr einen DSB braucht?
Nutzt unseren kostenlosen DSB-Check und findet es in 2 Minuten heraus.

Intern oder extern?

Interner DSB Externer DSB
Vorteile Kennt das Unternehmen, immer verfügbar Sofortige Expertise, keine Einarbeitung
Nachteile Braucht Zeit für Qualifikation Nicht täglich vor Ort
Kosten Arbeitszeit + Schulungen ca. 150-400 €/Monat
Wichtig: Der DSB darf keine Interessenkonflikte haben. Geschäftsführer, IT-Leiter oder Personalleiter sind als DSB ungeeignet.

Praxis-Beispiel: Müller GmbH

Schauen wir uns ein konkretes Beispiel an.

Das Unternehmen:

  • Name: Müller GmbH (Maschinenbau)
  • Mitarbeiter: 35
  • Daten: Kundendaten, Mitarbeiterdaten, Lieferantendaten
  • IT: Microsoft 365, Buchhaltungssoftware, CRM

Die Analyse:

  1. DSGVO anwendbar? Ja – verarbeitet personenbezogene Daten
  2. DSB nötig? Vertrieb (5) + Buchhaltung (2) + Personal (1) + GF (2) + Einkauf (3) + Sekretariat (2) = 15 Personen → Unter 20 → Kein DSB nach BDSG § 38
  3. Besondere Tätigkeiten? Nein – Maschinenbau ist keine Kerntätigkeit der Datenverarbeitung
  4. Besondere Datenkategorien? Nein
  5. Systematische Überwachung? Nein

Ergebnis: Die Müller GmbH braucht keinen Datenschutzbeauftragten. Aber: Sie muss trotzdem die DSGVO einhalten – Verarbeitungsverzeichnis, Datenschutzerklärung, AV-Verträge, etc.

Was passiert bei Verstößen?

Die DSGVO ist kein zahnloser Tiger. Die Bußgelder können erheblich sein.

Verstoß Maximales Bußgeld
Formale Verstöße (z.B. fehlendes Verarbeitungsverzeichnis) bis 10 Mio. € oder 2% des Jahresumsatzes
Schwere Verstöße (z.B. unerlaubte Datenweitergabe) bis 20 Mio. € oder 4% des Jahresumsatzes

Typische KMU-Bußgelder:

  • Fehlendes Verarbeitungsverzeichnis: 5.000 – 20.000 €
  • Datenpanne ohne Meldung: 10.000 – 50.000 €
  • Fehlende AV-Verträge: 5.000 – 25.000 €
Zusätzliche Risiken: Abmahnungen durch Wettbewerber, Schadensersatzforderungen von Betroffenen, Imageschaden.

Checkliste: Erste Schritte zur DSGVO-Konformität

  • Verarbeitungsverzeichnis erstellen
  • Datenschutzerklärung auf Website prüfen/aktualisieren
  • AV-Verträge mit allen Dienstleistern abschließen
  • DSB-Pflicht prüfen (mit unserem kostenlosen Check)
  • Technische Schutzmaßnahmen dokumentieren
  • Prozess für Betroffenenanfragen festlegen
  • Mitarbeiter sensibilisieren

Fazit

Die DSGVO klingt kompliziert, ist aber für KMU mit überschaubarem Aufwand umsetzbar. Die wichtigsten Punkte:

  • Verarbeitungsverzeichnis ist Pflicht – auch ohne DSB
  • Datenschutzerklärung auf der Website aktuell halten
  • AV-Verträge mit allen externen Dienstleistern abschließen
  • DSB-Pflicht prüfen – mit unserem kostenlosen Check
  • Grundlegende Schutzmaßnahmen dokumentieren

Perfekt muss es nicht sein. Aber dokumentiert, nachvollziehbar und kontinuierlich verbessert.

Nicht sicher, ob ihr einen Datenschutzbeauftragten braucht?
Nutzt unseren kostenlosen DSB-Check und findet es in 2 Minuten heraus.

Mehr erfahren?

Entdeckt weitere Artikel und Tools zu EU-Compliance für KMU.

Zur Wissensübersicht