DSGVO hat bei vielen Geschäftsführern kleiner Betriebe eine Mischung aus Resignation und Überforderung ausgelöst. Zu viel, zu komplex, zu teuer, und wozu? Praxen und Unternehmen, die sich nicht gemeldet haben, waren bisher auch nicht dicht.
Das stimmt bis zu einem gewissen Punkt. Die Behörden gehen nicht systematisch auf Kleinstbetriebe los. Aber: Wenn ein Datenschutzvorfall passiert, ein Mitarbeiter eine Beschwerde einreicht oder ein Kunde seine Rechte geltend macht, schaut die Behörde genau hin. Wer dann gar nichts hat, steht schlecht da. Wer die wesentlichen Pflichten erfüllt hat, hat eine vertretbare Position.
Dieser Artikel beschreibt, was wirklich getan werden muss, was sinnvoll aber nicht zwingend ist, und worüber man sich als kleiner Betrieb weniger Sorgen machen sollte.
Das Verzeichnis von Verarbeitungstätigkeiten
Das ist die Grundlage. Nach Art. 30 DSGVO muss fast jedes Unternehmen ein Verzeichnis führen, in dem alle Vorgänge dokumentiert sind, bei denen personenbezogene Daten verarbeitet werden.
Personenbezogene Daten: alles, was einer natürlichen Person zugeordnet werden kann. Name, Adresse, E-Mail, Telefonnummer, IP-Adresse, Mitarbeiter-Daten, Kundendaten, Lieferantendaten.
Das Verzeichnis ist kein öffentliches Dokument und muss nicht bei einer Behörde eingereicht werden. Es muss aber auf Anfrage der Datenschutzbehörde sofort vorlegen werden können.
Was pro Verarbeitungsvorgang dokumentiert wird:
- Bezeichnung und Zweck (zum Beispiel: „Kundenverwaltung, Zweck: Auftragsabwicklung")
- Rechtsgrundlage (typisch: Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, oder berechtigtes Interesse nach lit. f)
- Betroffene Personen (Kunden, Interessenten, Mitarbeiter, Lieferanten)
- Genutzte Tools und Systeme
- Empfänger der Daten (Steuerberater, IT-Dienstleister, Cloud-Anbieter)
- Speicherfristen und Löschkonzept
- Technische Schutzmaßnahmen
Ein einfaches Tabellenformat reicht. Das Verzeichnis muss nicht in einer DSGVO-Software gepflegt werden, ein Excel-Dokument oder ein Word-Tabelle tun es. Entscheidend ist, dass es existiert, aktuell ist und jemanden gibt, der es kennt.
Ein Betrieb mit 10 Mitarbeitern hat typischerweise 8 bis 15 Verarbeitungsvorgänge: Kundenverwaltung, Rechnungsstellung, Personalakten, Bewerberdaten, Lohnbuchhaltung, Newsletter, Website-Analyse, IT-Monitoring.
Technisch-organisatorische Maßnahmen
Technisch-organisatorische Maßnahmen (TOMs) sind das, was Sie konkret tun, um personenbezogene Daten zu schützen. Art. 32 DSGVO fordert ein dem Risiko angemessenes Schutzniveau.
Das klingt abstrakt. Konkret bedeutet es für einen KMU-Betrieb:
Zugriffsschutz. Wer hat Zugriff auf welche Daten? Mitarbeiter sollten nur auf die Daten zugreifen können, die sie für ihre Arbeit brauchen. Das setzt Benutzerkonten mit individuellen Passwörtern voraus, keine gemeinsam genutzten Konten, und Berechtigungen, die auf die jeweilige Rolle abgestimmt sind.
Passwörter und MFA. Starke Passwörter (mindestens 12 Zeichen, keine einfachen Wörter) und Multi-Faktor-Authentifizierung für alle Systeme, die von außen erreichbar sind. E-Mail, VPN, Cloud-Zugänge.
Datenverschlüsselung. Laptops und Smartphones mit Firmendaten müssen verschlüsselt sein. Windows-Geräte: BitLocker. macOS: FileVault. Mobile Geräte: Geräteverschlüsselung aktivieren. Externe Datenträger: verschlüsseln, bevor sensible Daten draufkommen.
Backup. Regelmäßige Datensicherung, verschlüsselt, mit Offsite-Kopie und dokumentierten Wiederherstellungstests. (Zum Thema Backup-Strategie gibt es auf dieser Website einen eigenen Artikel.)
Updates und Patch-Management. Betriebssysteme, Browser und Anwendungen zeitnah aktualisieren. Veraltete Software mit bekannten Sicherheitslücken ist eines der häufigsten Einfallstore.
Physische Sicherheit. Abschließbarer Serverraum oder zumindest abgeschlossenes Büro. Bildschirmsperren nach Inaktivität. Ausdrucke mit sensiblen Daten nicht offen liegen lassen.
Diese TOMs müssen dokumentiert sein. Nicht als Versprechen, sondern als Beschreibung der tatsächlich umgesetzten Maßnahmen. Diese Dokumentation gehört zum Datenschutzkenntnisstand des Unternehmens und ist im Schadensfall das erste, was eine Behörde prüft.
Datenschutzbeauftragter: ab wann Pflicht
Die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) ist eng gefasst. Nach § 38 BDSG besteht sie, wenn:
- mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonders sensibler Datenkategorien besteht (Gesundheitsdaten, biometrische Daten, Daten über Straftaten), oder
- eine umfangreiche, regelmäßige und systematische Beobachtung von Personen stattfindet (zum Beispiel bei Betrieb von Überwachungskameras im großen Maßstab).
Ein Handwerksbetrieb mit 15 Mitarbeitern hat in aller Regel keinen Pflicht-DSB. Gleiches gilt für einen kleinen Händler oder eine Beratungsfirma mit weniger als 20 Personen in der Datenverarbeitung.
Wichtig: Wenn kein Pflicht-DSB besteht, heißt das nicht, dass niemand die Datenschutzverantwortung trägt. Diese Verantwortung liegt beim Geschäftsführer, der sie an einen Mitarbeiter delegieren kann (aber nicht extern outsourcen muss).
Ein freiwilliger externer DSB kann sinnvoll sein, wenn die DSGVO-Pflichten regelmäßig geprüft und dokumentiert werden sollen, ohne eigene Kapazität dafür aufzubauen.
Betroffenenrechte: Was Kunden und Mitarbeiter verlangen können
Jede natürliche Person, deren Daten verarbeitet werden, hat Rechte. Diese Rechte müssen Sie als Unternehmen erfüllen, wenn sie geltend gemacht werden.
Auskunftsrecht (Art. 15): Eine Person kann verlangen zu erfahren, welche Daten von ihr verarbeitet werden, zu welchem Zweck, wie lange, und wer sie erhält. Frist für die Antwort: einen Monat.
Berichtigungsrecht (Art. 16): Falsche Daten müssen korrigiert werden.
Löschungsrecht (Art. 17): Das Recht auf Löschung gilt, wenn der Verarbeitungszweck entfallen ist, keine gesetzliche Aufbewahrungspflicht besteht und keine anderen berechtigten Gründe vorliegen. Nicht absolut, aber real.
Widerspruchsrecht (Art. 21): Gegen Verarbeitung auf Basis berechtigten Interesses kann Widerspruch eingelegt werden.
Für KMU bedeutet das: Es muss einen definierten Prozess geben, wie mit solchen Anfragen umgegangen wird. Wer ist zuständig? Wie wird die Identität des Anfragenden geprüft? Wo liegen die Daten, damit sie innerhalb eines Monats ausgeliefert werden können?
Das muss kein aufwändiges System sein. Eine interne Checkliste und die Kenntnis, wo welche Daten liegen, reichen als Ausgangspunkt.
Auftragsverarbeitung: Wann ein Vertrag nötig ist
Immer wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Dieser Vertrag legt fest, wie der Dienstleister mit den Daten umgehen darf, welche Sicherheitsmaßnahmen er einhält und dass er keine eigene Kontrolle über die Daten hat.
Typische AVV-Pflichten für KMU:
- IT-Dienstleister mit Zugriff auf Systeme (darunter fällt fast jeder Managed-IT-Anbieter)
- Cloud-Dienste (Microsoft 365, Google Workspace, Buchhaltungssoftware in der Cloud)
- E-Mail-Marketing-Tools
- Lohnbuchhaltungs-Software oder externer Lohnbuchhalter
- Steuerberater mit Zugriff auf digitale Unterlagen (in bestimmten Konstellationen)
Kein AVV nötig: Wenn der Dienstleister die Daten eigenverantwortlich verarbeitet (zum Beispiel ein Anwalt oder eine Bank), handelt es sich um eine eigenverantwortliche Verarbeitung, nicht Auftragsverarbeitung.
In der Praxis stellen die meisten großen Cloud-Anbieter den AVV online zur Verfügung. Bei Microsoft 365 ist er im Admin Center abrufbar. Bei kleineren IT-Dienstleistern muss er aktiv eingefordert werden.
Zu AVV-Verträgen im Detail und zur Frage, wann eine Datenübertragung ins Nicht-EU-Ausland zulässig ist, gibt es einen eigenen Artikel auf dieser Website.
Datenpannen: Was bei einem Vorfall zu tun ist
Wenn personenbezogene Daten verloren gehen, gestohlen werden, unbeabsichtigt veröffentlicht werden oder nicht mehr zugänglich sind (zum Beispiel nach einem Ransomware-Angriff), liegt eine Datenpanne vor.
Die DSGVO unterscheidet nach Risiko für die betroffenen Personen:
- Geringes Risiko: keine Meldepflicht gegenüber Behörde oder Betroffenen, aber interne Dokumentation Pflicht.
- Mittleres Risiko: Meldung an die Datenschutzbehörde innerhalb von 72 Stunden.
- Hohes Risiko: Zusätzlich direkte Information der betroffenen Personen.
Die 72-Stunden-Frist läuft ab dem Zeitpunkt, an dem Sie von der Panne Kenntnis erlangen. Das ist kein Startzeitpunkt für eine abgeschlossene Analyse, sondern für die erste Meldung. Wenn noch nicht alle Details feststehen, wird das in der Meldung vermerkt und nachgeliefert.
Was in der Meldung stehen muss: Art des Vorfalls, Kategorien und Anzahl betroffener Personen und Datensätze, wahrscheinliche Folgen, bereits ergriffene Maßnahmen.
Die zuständige Behörde ist das Landesamt für Datenschutz Ihres Bundeslandes. In Baden-Württemberg der LfDI, in Rheinland-Pfalz der LfDI Rheinland-Pfalz.
Realistische Prioritäten für kleine Betriebe
Nicht alles auf einmal. Diese Reihenfolge funktioniert für die meisten KMU:
Schritt 1: Verarbeitungsverzeichnis erstellen. Eine Tabelle, alle Datenverarbeitungsvorgänge, Zweck, Rechtsgrundlage, Löschfrist. Realistischer Aufwand: ein Halbtag, einmal jährlich aktualisieren.
Schritt 2: TOMs dokumentieren. Was schon getan wird (Passwörter, Backup, Zugriffsschutz) schriftlich festhalten. Was fehlt, umsetzen. Realistischer Aufwand: Halbtag für Bestandsaufnahme, dann laufend.
Schritt 3: AVV mit IT-Dienstleister und Cloud-Anbietern. Prüfen, ob vorhanden. Wenn nicht: einfordern oder abschließen. Meistens ist das ein 30-Minuten-Vorgang.
Schritt 4: Datenpannen-Protokoll. Eine Seite: was ist eine Datenpanne, wen rufe ich an, was melde ich wo. Ausdrucken, an die verantwortliche Person.
Schritt 5: Mitarbeiter informieren. Nicht ein Seminar, aber eine einseitige Kurzinformation: was sind personenbezogene Daten, was darf nicht passieren, an wen wende ich mich.
ITCC betreut KMU in Speyer und Wiesbaden bei der DSGVO-konformen IT-Konfiguration: Benutzerrechte, Verschlüsselung, Backup, AVV. Was den organisatorischen Teil angeht (Verarbeitungsverzeichnis, Richtlinien), arbeiten wir mit datenschutzrechtlichen Partnern zusammen. Wenn Sie nicht wissen, wo Sie anfangen sollen, ist ein Erstgespräch der einfachste Weg zu einer ehrlichen Einschätzung.
Häufige Fragen
Verwandte Themen
- ComplianceAV-Verträge richtig nutzen: Was KMU beachten müssen
Was ein Auftragsverarbeitungsvertrag ist, wann er Pflicht ist und welche Lücken im Mittelstand am häufigsten vorkommen. Mit konkreten Hinweisen zu Art. 28 DSGVO.
- ComplianceBSI IT-Grundschutz für Unternehmer: Das Whitepaper
Was der BSI IT-Grundschutz ist, wie die Bausteine aufgebaut sind, welche Absicherungsstufe für KMU passt und wie der Weg von der Bestandsaufnahme zur Umsetzung aussieht.
- ComplianceNIS2 für Unternehmen: Was Geschäftsführer jetzt wissen müssen
Wen NIS2 wirklich trifft, welche 10 Maßnahmen Pflicht sind, wie die persönliche Geschäftsführerhaftung funktioniert und was KMU jetzt konkret tun sollten.