DSGVO für kleine Unternehmen: Praxis-Leitfaden 2026
DSGVO für kleine Unternehmen: Praxis-Leitfaden 2026
Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 – und sie gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet. Auch für den Handwerksbetrieb mit 3 Mitarbeitern, die Arztpraxis oder das Reinigungsunternehmen mit 50 Teilzeitkräften. CERTISCAN ist selbst vollständig DSGVO-konform: AES-256-Verschlüsselung, Hosting bei Hetzner in Deutschland, regelmäßige Penetrationstests und Auftragsverarbeitungsvertrag (AVV) inklusive.
Warum die DSGVO auch für KMU wichtig ist
Viele kleine Unternehmen glauben, die DSGVO betreffe nur Großkonzerne. Das ist ein gefährlicher Irrtum. Die Aufsichtsbehörden der Bundesländer haben ihre Prüfkapazitäten in den letzten Jahren massiv ausgebaut und gehen zunehmend auch gegen KMU vor. Die Berliner Datenschutzaufsicht hat 2025 allein 847 Bußgelder gegen Unternehmen mit weniger als 50 Mitarbeitern verhängt. Hinzu kommen Abmahnungen durch Wettbewerber und Beschwerden von Kunden oder Mitarbeitern bei der Aufsichtsbehörde.
Die häufigsten Auslöser für Datenschutzverfahren gegen KMU sind:
- Beschwerden von Kunden (fehlende Auskunft, unzulässige Werbung)
- Beschwerden von (ehemaligen) Mitarbeitern
- Meldung durch Wettbewerber
- Anlassbezogene Prüfung nach Datenpanne
- Branchenweite Schwerpunktprüfungen der Aufsichtsbehörden
Die 10 wichtigsten DSGVO-Pflichten für KMU
Pflicht 1: Verarbeitungsverzeichnis (Art. 30 DSGVO)
Jedes Unternehmen muss dokumentieren, welche personenbezogenen Daten es zu welchem Zweck verarbeitet. Das Verarbeitungsverzeichnis muss mindestens enthalten:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und Daten
- Empfänger der Daten
- Übermittlungen in Drittländer
- Löschfristen
- Technische und organisatorische Maßnahmen
Pflicht 2: Datenschutzbeauftragter (§38 BDSG)
| Kriterium | DSB erforderlich? |
|---|---|
| Ab 20 Mitarbeitern mit automatisierter Datenverarbeitung | Ja |
| Kerntätigkeit: umfangreiche Verarbeitung besonderer Daten | Ja, unabhängig von Mitarbeiterzahl |
| Kerntätigkeit: systematische Überwachung von Personen | Ja, unabhängig von Mitarbeiterzahl |
| Weniger als 20 MA, keine besonderen Daten | Nein (aber empfohlen) |
| Unternehmen mit Videoüberwachung öffentlicher Bereiche | Ja (umstritten, aber empfohlen) |
Pflicht 3: Informationspflichten (Art. 13/14 DSGVO)
Bei jeder Datenerhebung müssen Betroffene informiert werden – in klarer, verständlicher Sprache. Die Information muss den Zweck der Verarbeitung, die Rechtsgrundlage, die Speicherdauer und die Betroffenenrechte umfassen. Typische Anwendungsfälle:
- Datenschutzerklärung auf der Website (Art. 13 DSGVO)
- Datenschutzhinweis bei Bewerbungen
- Information bei Kundendatenerfassung
- Hinweis bei Videoüberwachung (Beschilderung)
- Information für Mitarbeiter bei Einstellung
Pflicht 4: Auftragsverarbeitungsverträge (Art. 28 DSGVO)
Wenn Sie Dienstleister einsetzen, die in Ihrem Auftrag personenbezogene Daten verarbeiten, benötigen Sie einen AVV. Ohne AVV riskieren Sie ein Bußgeld. Typische Auftragsverarbeiter:
- Cloud-Dienste und SaaS-Anbieter (z.B. CERTISCAN – AVV inklusive)
- Lohnbüro und Steuerberater (bei elektronischer Verarbeitung)
- IT-Dienstleister mit Fernzugriff
- Newsletter-Anbieter (z.B. Mailchimp, Sendinblue)
- Hosting-Provider
- Aktenvernichtungsunternehmen
Pflicht 5: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Angemessene Schutzmaßnahmen für personenbezogene Daten – der Umfang richtet sich nach dem Risiko der Verarbeitung:
- Verschlüsselung (z.B. AES-256 bei CERTISCAN)
- Zugangskontrollen und Berechtigungskonzepte
- Regelmäßige Backups mit Wiederherstellungstests
- Pseudonymisierung wo möglich
- Mitarbeiterschulungen (jährlich empfohlen)
- Passwortrichtlinien und Zwei-Faktor-Authentifizierung
- Aktuelle Software und Sicherheitsupdates
Pflicht 6: Meldepflicht bei Datenpannen (Art. 33/34 DSGVO)
Datenschutzverletzungen müssen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Bei hohem Risiko für Betroffene müssen auch diese informiert werden. Beispiele für meldepflichtige Datenpannen: Verlust eines Laptops mit Kundendaten, Hackerangriff auf die Kundendatenbank, versehentlicher E-Mail-Versand an falschen Empfänger mit sensiblen Daten.
Pflicht 7: Betroffenenrechte (Art. 15-22 DSGVO)
Betroffene haben umfangreiche Rechte, die Sie innerhalb eines Monats beantworten müssen:
- Auskunftsrecht (Art. 15): Welche Daten sind gespeichert?
- Berichtigungsrecht (Art. 16): Falsche Daten korrigieren
- Löschungsrecht (Art. 17): „Recht auf Vergessenwerden"
- Einschränkungsrecht (Art. 18): Verarbeitung sperren
- Datenübertragbarkeit (Art. 20): Daten in maschinenlesbarem Format
- Widerspruchsrecht (Art. 21): Verarbeitung beenden
Pflicht 8: Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Bei Verarbeitungen mit hohem Risiko muss vor Beginn eine Folgenabschätzung durchgeführt werden. Dies betrifft KMU vor allem bei Videoüberwachung, systematischem Monitoring von Mitarbeitern und Verarbeitung von Gesundheitsdaten.
Pflicht 9: Privacy by Design (Art. 25 DSGVO)
Neue Systeme und Prozesse müssen von Anfang an datenschutzfreundlich gestaltet werden. CERTISCAN setzt dieses Prinzip konsequent um: Datensparsamkeit, Pseudonymisierung und rollenbasierte Zugriffsrechte sind Standard. Keine unnötigen Daten werden erhoben, und der Zugriff ist auf das Notwendige beschränkt.
Pflicht 10: Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Sie müssen jederzeit nachweisen können, dass Sie die DSGVO einhalten. Dokumentation ist daher entscheidend – und hier hilft der revisionssichere Audit-Trail von CERTISCAN, der jede Datenverarbeitung mit SHA-256-Hash-Chain protokolliert.
Bußgelder in der Praxis: Was droht KMU wirklich?
Die theoretischen Maximalbußgelder von 20 Mio. EUR treffen in der Praxis nur Großkonzerne. Für KMU sieht die Realität anders aus – aber die Beträge sind dennoch schmerzhaft:
| Verstoß | Typisches Bußgeld KMU | Beispiel |
|---|---|---|
| Fehlende Datenschutzerklärung | 5.000 – 15.000 EUR | Website ohne DSE |
| Kein Verarbeitungsverzeichnis | 5.000 – 25.000 EUR | Prüfung durch Aufsichtsbehörde |
| Fehlender AVV | 5.000 – 10.000 EUR | Cloud-Dienst ohne Vertrag |
| Datenpanne nicht gemeldet | 10.000 – 50.000 EUR | Laptop mit Kundendaten verloren |
| Unzulässige Videoüberwachung | 5.000 – 20.000 EUR | Kamera im Pausenraum |
| Fehlende Einwilligung (Newsletter) | 5.000 – 10.000 EUR | Werbemails ohne Opt-in |
| Kein DSB trotz Pflicht | 10.000 – 25.000 EUR | Ab 20 MA ohne DSB |
| Unzulässige Weitergabe an Dritte | 10.000 – 30.000 EUR | Kundendaten ohne AVV weitergegeben |
DSGVO-konform mit CERTISCAN
CERTISCAN erfüllt als B2B-SaaS-Plattform selbst höchste Datenschutzanforderungen:
- AES-256-Verschlüsselung: Alle sensitiven Daten (Steuer-ID, SV-Nummer, IBAN) werden verschlüsselt gespeichert
- Hosting in Deutschland: Hetzner Cloud, Standort Nürnberg, ISO 27001 zertifiziert
- AVV inklusive: Auftragsverarbeitungsvertrag für alle Kunden verfügbar
- Audit-Trail: SHA-256 Hash-Chain dokumentiert jede Datenverarbeitung revisionssicher
- Rollenbasierte Zugriffskontrolle: RBAC mit granularen Berechtigungen
- Keine Drittanbieter-Cookies: Kein Google Analytics, kein Facebook Pixel
- EU Data Act: Vollständiger Datenexport jederzeit möglich
Vergleich: Datenschutz-Lösungen für KMU
| Kriterium | CERTISCAN | Datenschutz-Generator | Externen DSB beauftragen | Selbst machen |
|---|---|---|---|---|
| AVV inklusive | Ja | Nein | Ja (stellt bereit) | Manuell erstellen |
| Verarbeitungsverzeichnis | Im Audit-Trail | Template | Ja (erstellt) | Manuell erstellen |
| Kosten/Monat | Ab 29 EUR | 0-50 EUR | 200-500 EUR | 0 EUR (+ hoher Zeitaufwand) |
| Hosting DE | Ja | Teilweise | – | – |
| Mitarbeiterschulung | FAQ + Docs | Nein | Ja | Manuell |
| Audit-Trail | SHA-256 | Nein | Nein | Nein |
| Datenpannen-Prozess | Integriert | Nein | Ja | Manuell |
Fazit: DSGVO ist kein Hexenwerk
Die DSGVO stellt Anforderungen, die für KMU durchaus umsetzbar sind. Die wichtigsten Schritte: Verarbeitungsverzeichnis führen, AVVs mit Dienstleistern abschließen, Datenschutzerklärung aktuell halten und Mitarbeiter regelmäßig sensibilisieren. Mit einem DSGVO-konformen Tool wie CERTISCAN reduzieren Sie Ihr Risiko erheblich – und können sich auf Ihr Kerngeschäft konzentrieren. Prüfen Sie Ihren ESG- und Compliance-Status mit dem kostenlosen Check.
Häufig gestellte Fragen
Gilt die DSGVO auch für Kleinunternehmer und Freiberufler?
Ja, die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – unabhängig von der Größe. Auch ein Einzelunternehmer, der Kundendaten in einer Excel-Tabelle speichert, unterliegt der DSGVO. Es gibt keine Bagatellgrenze.
Ab wie vielen Mitarbeitern brauche ich einen Datenschutzbeauftragten?
In Deutschland muss ein Datenschutzbeauftragter bestellt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§38 BDSG). Unabhängig von der Mitarbeiterzahl ist ein DSB nötig, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht.
Wie hoch sind die Bußgelder bei DSGVO-Verstößen?
Die DSGVO sieht Bußgelder von bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes vor (Art. 83 DSGVO). In der Praxis bei KMU bewegen sich die Bußgelder typischerweise zwischen 5.000 und 50.000 EUR.
Muss ich ein Verarbeitungsverzeichnis führen?
Grundsätzlich ja. Art. 30 DSGVO verpflichtet zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern greift in der Praxis fast nie.
Ist Ihr Unternehmen konform?
Testen Sie CERTISCAN 14 Tage kostenlos und bringen Sie Ihre Compliance auf den neuesten Stand.