- Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet
- Ihr braucht ein Verarbeitungsverzeichnis (auch ohne DSB)
- Datenschutzbeauftragter Pflicht ab 20 Personen mit regelmäßiger Datenverarbeitung
- AV-Verträge mit allen Dienstleistern, die eure Daten verarbeiten
- Bei Verstößen drohen Bußgelder bis 20 Mio. € oder 4% des Jahresumsatzes
Was ist die DSGVO?
Compliance ist kein Hexenwerk – es wurde nur so verkauft.
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten regelt.Sie gilt seit dem 25. Mai 2018 direkt in allen EU-Mitgliedstaaten.
Was sind personenbezogene Daten?
Alle Informationen, die sich auf eine identifizierbare Person beziehen.
Beispiele: Name, Adresse, Telefonnummer, E-Mail-Adresse, IP-Adressen, Kundennummern (wenn zuordenbar), Fotos mit erkennbaren Personen.
Sobald ihr Kunden, Mitarbeiter oder Lieferanten habt, verarbeitet ihr personenbezogene Daten – und die DSGVO gilt.
Jedes Unternehmen mit Kundendaten, Mitarbeiterlisten oder Newsletter-Abonnenten muss die DSGVO einhalten – auch ohne Datenschutzbeauftragten.
Die wichtigsten Pflichten im Überblick
1. Verarbeitungsverzeichnis (Art. 30 DSGVO)
Eine Übersicht aller Verarbeitungstätigkeiten in eurem Unternehmen.
Was muss rein?
- Welche Daten verarbeitet ihr? (z.B. Kundendaten, Mitarbeiterdaten)
- Warum verarbeitet ihr sie? (z.B. Vertragserfüllung, Lohnabrechnung)
- Wer hat Zugriff?
- Wie lange speichert ihr die Daten?
- Welche technischen Schutzmaßnahmen habt ihr?
Verarbeitungsverzeichnis erstellen: 2 Stunden selbst gemacht statt 800€ Berater-Honorar.
2. Informationspflichten (Art. 13/14 DSGVO)
Ihr müsst Betroffene darüber informieren, wie ihr ihre Daten verarbeitet. Das geschieht über:
- Datenschutzerklärung auf der Website
- Hinweise bei Vertragsabschluss (z.B. im Bestellprozess)
- Mitarbeiter-Information bei Einstellung
3. Auftragsverarbeitungsverträge (Art. 28 DSGVO)
Ein Vertrag mit jedem Dienstleister, der in eurem Auftrag Daten verarbeitet.
| Typischer Auftragsverarbeiter | Beispiele |
|---|---|
| Cloud-Anbieter | Microsoft 365, Google Workspace |
| Hosting-Provider | Hetzner, IONOS, AWS |
| E-Mail-Marketing | Mailchimp, Sendinblue, CleverReach |
| CRM-Systeme | HubSpot, Salesforce, Pipedrive |
| Buchhaltung | DATEV, lexoffice, sevDesk |
AV-Verträge prüfen: 1 Stunde Checkliste statt 500€ Datenschutzbeauftragter-Audit.
4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Schutzmaßnahmen für die Daten, die ihr verarbeitet.
- Passwörter und Zugangskontrolle
- Verschlüsselung (E-Mails, Festplatten)
- Regelmäßige Backups
- Firewall und Virenschutz
- Schulung der Mitarbeiter
- Abschließbare Büros/Schränke für Akten
5. Rechte der Betroffenen (Art. 15-22 DSGVO)
Betroffene Personen haben Rechte, die ihr erfüllen müsst.
| Recht | Bedeutung | Frist |
|---|---|---|
| Auskunft | Mitteilen, welche Daten ihr habt | 1 Monat |
| Berichtigung | Falsche Daten korrigieren | unverzüglich |
| Löschung | Daten unter bestimmten Voraussetzungen löschen | unverzüglich |
| Datenübertragbarkeit | Daten in maschinenlesbarem Format herausgeben | 1 Monat |
| Widerspruch | Verarbeitung beenden | unverzüglich prüfen |
Braucht ihr einen Datenschutzbeauftragten?
Kurze Antwort: Kommt auf eure Größe und Tätigkeit an.
Die Details:
In Deutschland: Die 20-Personen-Regel
Nach dem Bundesdatenschutzgesetz (BDSG § 38) müsst ihr einen DSB bestellen, wenn mindestens 20 Personen regelmäßig mit personenbezogenen Daten arbeiten.
"Regelmäßig" bedeutet: Als Teil der normalen Arbeit, nicht nur gelegentlich.
Zählt alle mit PC-Arbeitsplatz, die Zugriff auf Kunden-, Mitarbeiter- oder Lieferantendaten haben.
DSB-Pflicht prüfen: 2 Minuten kostenloser Check statt 2.000€ Datenschutzbeauftragter-Bestellung ohne Notwendigkeit.
Unabhängig von der Größe: DSB-Pflicht bei bestimmten Tätigkeiten
Auch unter 20 Personen braucht ihr einen DSB, wenn:
1. Kerntätigkeit = Datenverarbeitung (Art. 37 Abs. 1 lit. b DSGVO)
- Marktforschungsunternehmen
- Adresshändler, Auskunfteien
- Personalvermittlungen
- Scoring-Unternehmen
2. Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 37 Abs. 1 lit. c DSGVO)
Besondere Kategorien sind Gesundheitsdaten, ethnische Herkunft, politische Meinungen (Art. 9 DSGVO).
- Arztpraxen mit vielen Patienten
- Pflegedienste, Labore
- Psychologische Praxen
3. Systematische Überwachung (Art. 37 Abs. 1 lit. b DSGVO)
- Videoüberwachung öffentlicher Bereiche
- GPS-Tracking von Mitarbeitern
- Umfangreiches Profiling
Nutzt unseren kostenlosen DSB-Check und findet es in 2 Minuten heraus.
Intern oder extern?
| Interner DSB | Externer DSB | |
|---|---|---|
| Vorteile | Kennt das Unternehmen, immer verfügbar | Sofortige Expertise, keine Einarbeitung |
| Nachteile | Braucht Zeit für Qualifikation | Nicht täglich vor Ort |
| Kosten | Arbeitszeit + Schulungen | ca. 150-400 €/Monat |
Praxis-Beispiel: Müller GmbH
Das Unternehmen:
- Name: Müller GmbH (Maschinenbau)
- Mitarbeiter: 25
- Daten: Kundendaten, Mitarbeiterdaten, Lieferantendaten
- IT: Microsoft 365, Buchhaltungssoftware, CRM
Die Analyse:
- DSGVO anwendbar? Ja – verarbeitet personenbezogene Daten
- DSB nötig? Vertrieb (4) + Buchhaltung (2) + Personal (1) + GF (2) + Einkauf (2) + Sekretariat (1) = 12 Personen → Unter 20 → Kein DSB nach BDSG § 38
- Besondere Tätigkeiten? Nein – Maschinenbau ist keine Kerntätigkeit der Datenverarbeitung
- Besondere Datenkategorien (Art. 9 DSGVO)? Nein
- Systematische Überwachung? Nein
Ergebnis: Die Müller GmbH braucht keinen Datenschutzbeauftragten.
Aber: Sie muss trotzdem die DSGVO einhalten.
Das bedeutet: Verarbeitungsverzeichnis (Art. 30), Datenschutzerklärung (Art. 13/14), AV-Verträge (Art. 28) – das komplette Compliance-Paket.
Auch ohne DSB-Pflicht: Grundlagen-Check in 1 Stunde statt 1.500€ Erstberatung durch externen Datenschutzbeauftragten.
Was passiert bei Verstößen?
Bußgelder bei DSGVO-Verstößen treffen auch KMU.
Und sie tun weh.
| Verstoß | Maximales Bußgeld |
|---|---|
| Formale Verstöße (z.B. fehlendes Verarbeitungsverzeichnis) | bis 10 Mio. € oder 2% des Jahresumsatzes (Art. 83 Abs. 4 DSGVO) |
| Schwere Verstöße (z.B. unerlaubte Datenweitergabe) | bis 20 Mio. € oder 4% des Jahresumsatzes (Art. 83 Abs. 5 DSGVO) |
Typische KMU-Bußgelder:
- Fehlendes Verarbeitungsverzeichnis: 5.000 – 20.000 €
- Datenpanne ohne Meldung (Art. 33 DSGVO): 10.000 – 50.000 €
- Fehlende AV-Verträge: 5.000 – 25.000 €
Checkliste: Erste Schritte zur DSGVO-Konformität
Diese Schritte bringen euch auf den richtigen Weg.
- Verarbeitungsverzeichnis erstellen (Art. 30 DSGVO)
- Datenschutzerklärung auf Website prüfen/aktualisieren (Art. 13 DSGVO)
- AV-Verträge mit allen Dienstleistern abschließen (Art. 28 DSGVO)
- DSB-Pflicht prüfen (mit unserem kostenlosen Check)
- Technische Schutzmaßnahmen dokumentieren (Art. 32 DSGVO)
- Prozess für Betroffenenanfragen festlegen (Art. 15-22 DSGVO)
- Mitarbeiter sensibilisieren
Fazit
Fangt mit dem Verarbeitungsverzeichnis an.
Das ist die Grundlage, auf der alles andere aufbaut.
- Verarbeitungsverzeichnis ist Pflicht – auch ohne DSB
- Datenschutzerklärung auf der Website aktuell halten
- AV-Verträge mit allen externen Dienstleistern abschließen
- DSB-Pflicht prüfen – mit unserem kostenlosen Check
- Grundlegende Schutzmaßnahmen dokumentieren
Perfekt muss es nicht sein.
Aber dokumentiert, nachvollziehbar und kontinuierlich verbessert.
Und nebenbei: Das gute Gefühl, datenschutzkonform zu arbeiten – und bei einer Anfrage der Aufsichtsbehörde nicht in Panik zu geraten.
Nutzt unseren kostenlosen DSB-Check und findet es in 2 Minuten heraus.