AGIDAT – Datenschutz | Informationssicherheit
KMU

DSGVO für KMU: Der pragmatische Einstieg

Viele kleine und mittlere Unternehmen wissen nicht, wo sie bei der DSGVO anfangen sollen. Dieser Artikel gibt einen strukturierten Überblick über die wichtigsten ersten Schritte.

AGIDAT ·

Warum die DSGVO auch kleine Unternehmen betrifft

Die Datenschutz-Grundverordnung gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten — unabhängig von ihrer Größe. Das bedeutet: Auch ein Handwerksbetrieb mit 5 Mitarbeitenden muss datenschutzkonform arbeiten, wenn er Kunden- oder Mitarbeiterdaten verarbeitet.

Die gute Nachricht: Die DSGVO ist skalierbar. Was für einen Großkonzern 50 Dokumente bedeutet, kann für ein KMU in wenigen, gut durchdachten Schritten umgesetzt werden.

Die 5 wichtigsten ersten Schritte

1. Bestandsaufnahme: Was verarbeiten Sie überhaupt?

Bevor Sie irgendwelche Maßnahmen umsetzen, sollten Sie wissen, welche Daten in Ihrem Unternehmen fließen. Stellen Sie sich folgende Fragen:

  • Welche Kundendaten erheben und speichern Sie?
  • Welche Mitarbeiterdaten verarbeiten Sie?
  • Welche externen Dienstleister haben Zugang zu Ihren Daten?
  • Welche Software und SaaS-Dienste nutzen Sie?

2. Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT ist die Kernpflicht nach Art. 30 DSGVO. Es dokumentiert, welche Daten Sie zu welchem Zweck verarbeiten, wie lange Sie diese aufbewahren und wer Zugang dazu hat.

Für ein KMU reicht oft eine gut strukturierte Tabelle. Wichtig ist, dass das Verzeichnis vollständig und aktuell ist.

3. Auftragsverarbeitungsverträge (AVV) mit Dienstleistern

Wenn Sie externe Dienstleister einsetzen, die Zugang zu personenbezogenen Daten haben — etwa ein E-Mail-Provider, eine Buchhaltungssoftware oder ein Cloud-Speicher — brauchen Sie einen AVV. Das gilt auch für viele gängige SaaS-Dienste.

4. Technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen” zum Schutz der Daten. In der Praxis bedeutet das für KMU:

  • Aktuelle Software und Sicherheitsupdates
  • Passwortrichtlinien
  • Verschlüsselung sensibler Daten
  • Zugriffsberechtigungen nach dem Need-to-know-Prinzip
  • Regelmäßige Backups

5. Datenschutzerklärung und Website-Check

Ihre Website muss eine aktuelle Datenschutzerklärung enthalten. Prüfen Sie außerdem, ob Sie Cookies oder Tracking-Technologien einsetzen — diese erfordern in der Regel eine aktive Einwilligung.

Wann brauchen Sie einen Datenschutzbeauftragten?

In Deutschland sind Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn mindestens 20 Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Bei bestimmten Datenarten (z. B. Gesundheitsdaten) gilt die Pflicht unabhängig von der Mitarbeiterzahl.

Aber auch ohne Pflicht kann ein externer DSB sinnvoll sein — er signalisiert Kunden und Partnern Seriosität und gibt Ihnen Sicherheit.

Fazit

DSGVO-Compliance ist kein Sprint, sondern ein Prozess. Der wichtigste Schritt ist der erste: eine ehrliche Bestandsaufnahme. Danach lässt sich alles systematisch angehen.

Haben Sie Fragen zu Ihrer konkreten Situation? Wir bieten ein kostenloses Erstgespräch an.