Skip to content
DSGVO-Pflichten calendar_today Aktualisiert: 7. Mai 2026 schedule 9 Min. Lesezeit

DSGVO-Checkliste für KMU: 3 Teile, 13 Schritte

verified Zuletzt überprüft 7. Mai 2026 · das GDPRWise Rechtsteam

Eine praktische, abhakbare DSGVO-Checkliste für KMU. Dreizehn Punkte in drei Prioritätsblöcken, mit Vorlagen und Tools, ohne Juristensprache.

summarize Kernaussagen
  • check_circle Dreizehn konkrete Prüfungen, nach Priorität geordnet; die ersten fünf sind die Grundlagen, die jede Aufsichtsbehörde prüft
  • check_circle Die meisten KMU bringen die Grundlagen in zwei bis vier Wochen bei wenigen Stunden pro Woche in Ordnung
  • check_circle Sie brauchen keinen DSB, keine DSFA und keinen externen Berater für die Grundlagen; sehr wohl Disziplin und die richtigen Vorlagen
  • check_circle Compliance ist eine laufende Operation, kein einmaliges Projekt; die letzten drei Prüfungen halten sie lebendig

So nutzen Sie diese Checkliste

Dies ist eine Checkliste mit dreizehn Schritten, die ein KMU-Inhaber oder Office Manager ohne juristische Ausbildung durchgehen kann. Die Punkte sind nach Priorität geordnet. Die ersten fünf sind die Grundlagen, die jede Aufsichtsbehörde prüft. Die nächsten vier sind operative Essentials. Die letzten vier halten Ihre Compliance über die Zeit lebendig.

Sie müssen nicht alle dreizehn auf einmal erledigen. Die meisten KMU bringen die ersten fünf in zwei bis vier Wochen bei wenigen Stunden pro Woche in Ordnung und legen den Rest danach drauf.

Gerade gegründet und selbst das fühlt sich nach zu viel an für Tag eins? Starten Sie mit Datenschutz für KMU: das DSGVO-Minimum auf einen Blick, einer schlankeren Basis in fünf Schritten verankert in Transparenz. Sobald die steht, kommen Sie hierher zurück, um den Rest aufzubauen.

Teil 1 - Die Grundlagen (Schritte 1 bis 5)

Schritt 1: Einen Datenschutzkoordinator benennen

Die Prüfung: eine namentlich benannte Person in Ihrer Organisation ist für die DSGVO verantwortlich.

Das ist keine formelle DSB-Rolle; die ist Organisationen vorbehalten, die umfangreiche Überwachung betreiben oder besondere Kategorien personenbezogener Daten in großem Umfang verarbeiten. Für die meisten KMU ist “Datenschutzkoordinator” der richtige Titel: derselbe einzige Ansprechpartner, ohne formelle DSB-Pflichten, ohne Unabhängigkeitsanforderungen.

Aufgabe des Koordinators: diese Checkliste grün halten, eingehende Datenschutzfragen und Beschwerden entgegennehmen und der Gesprächspartner Ihrer Aufsichtsbehörde sein, falls etwas schiefgeht.

  • Ein Datenschutzkoordinator ist benannt und über eine eigene Mailbox erreichbar (z. B. privacy@ihrunternehmen.com).
  • Die Rolle ist dokumentiert und im Team bekannt.

Brauchen Sie wirklich einen DSB? Lesen Sie DSB: was ist ein Datenschutzbeauftragter und brauchen Sie einen?.

Schritt 2: Ein DSGVO-Verarbeitungsverzeichnis führen

Die Prüfung: ein einziges Dokument, das jede Aktivität auflistet, in der Sie personenbezogene Daten verarbeiten.

Das ist das Erste, was Ihre Aufsichtsbehörde verlangt, wenn sie an Ihre Tür klopft. Es ist auch Ihr eigenes Master-Inventar: wenn Sie nicht wissen, welche Daten Sie verarbeiten, können Sie nichts anderes auf dieser Liste einhalten.

Für jede Verarbeitungstätigkeit erfassen Sie:

  • Zweck (warum Sie die Daten verarbeiten)
  • Rechtsgrundlage (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse oder berechtigte Interessen)
  • Datenkategorien (Namen, E-Mails, Finanzdaten, Gesundheit usw.)
  • Betroffene (Kunden, Mitarbeiter, Lieferanten, Interessenten)
  • Empfänger / Dritte (Steuerberater, CRM-Anbieter, Hosting usw.)
  • Aufbewahrungsfrist
  • Sicherheitsmaßnahmen

Führen Sie getrennte Abschnitte für Tätigkeiten, in denen Sie der Verantwortliche sind, und solche, in denen Sie Auftragsverarbeiter für jemand anderen sind. Lesen Sie Verzeichnis von Verarbeitungstätigkeiten für die vollständige Struktur.

  • Verarbeitungsverzeichnis existiert und enthält jede Tätigkeit, die personenbezogene Daten berührt.
  • Tätigkeiten als Verantwortlicher und als Auftragsverarbeiter sind getrennt erfasst.
  • Termin für die jährliche Überprüfung steht im Kalender.

Schritt 3: Eine maßgeschneiderte Kunden-Datenschutzerklärung

Die Prüfung: eine Datenschutzerklärung auf Ihrer Website, speziell für Ihr Unternehmen geschrieben.

Die DSGVO ist hier explizit: vage Boilerplates, kopierte Erklärungen oder juristisches Kauderwelsch, das nicht widerspiegelt, was Sie tatsächlich tun, sind nicht konform. Die Erklärung muss Ihre Prozesse, Ihre Rechtsgrundlagen und Ihre Auftragsverarbeiter beschreiben.

Eine konforme KMU-Datenschutzerklärung deckt ab:

  1. Wer Sie sind (Verantwortlicher, Kontakt-E-Mail, Adresse).
  2. Die Verarbeitungstätigkeiten, die Sie durchführen (auf hoher Ebene, gespiegelt zu Ihrem Verzeichnis).
  3. Die Rechtsgrundlage je Tätigkeit.
  4. Datenkategorien und Empfänger (einschließlich Plattformen wie Mailchimp, Stripe, Google Workspace).
  5. Aufbewahrungsfristen.
  6. Internationale Datenübermittlungen, falls vorhanden.
  7. Betroffenenrechte und wie sie auszuüben sind.
  8. Beschwerdeweg zu Ihrer Aufsichtsbehörde.

Veröffentlichen Sie die Erklärung als Top-Level-Link im Footer jeder Seite. Verstecken Sie sie nicht in den AGB.

Kopieren Sie keine Erklärung von einer anderen Unternehmenssite. Lesen Sie Datenschutzerklärung erstellen für den vollständigen Leitfaden.

  • Kunden-Datenschutzerklärung ist veröffentlicht.
  • Vom Footer jeder Seite verlinkt.
  • Spiegelt wider, was Sie tatsächlich tun (kein Boilerplate).
  • Enthält Betroffenenrechte und Beschwerdeweg.

Schritt 4: Auftragsverarbeitungsverträge mit jedem Auftragsverarbeiter abschließen

Die Prüfung: ein unterzeichneter Auftragsverarbeitungsvertrag (AVV) mit jeder externen Partei, die personenbezogene Daten in Ihrem Auftrag verarbeitet.

Ohne AVV dürfen Sie keine personenbezogenen Daten an einen Auftragsverarbeiter senden. Das gilt auch, wenn der Auftragsverarbeiter ein bekannter Name wie Google oder Microsoft ist; die Verpflichtung liegt bei Ihnen, den Vertrag in Ordnung zu haben.

Typische Auftragsverarbeiter eines KMU:

  • E-Mail- und Marketingplattform (Mailchimp, ActiveCampaign, Brevo usw.)
  • CRM (HubSpot, Pipedrive, Salesforce usw.)
  • Cloud-Speicher und Office (Google Workspace, Microsoft 365)
  • Webhosting und CDN
  • Zahlungsdienstleister (Stripe, Mollie, Adyen)
  • Lohnbuchhaltung und Buchhaltung
  • Kundensupport-Tools

Die meisten großen SaaS-Anbieter veröffentlichen einen Standard-AVV, den Sie elektronisch unterzeichnen können. Für kleinere Lieferanten verwenden Sie Ihren eigenen.

description

Vorlage: Auftragsverarbeitungsvertrag (AVV)

Ein einsatzbereiter Auftragsverarbeitungsvertrag, den Sie an jeden Auftragsverarbeiter senden können, der noch keinen eigenen hat.

Vorlage ansehen arrow_forward
  • Jeder Auftragsverarbeiter in Ihrem Verzeichnis hat einen unterzeichneten AVV im Dossier.
  • AVVs sind zentral abgelegt und auffindbar.

Die Prüfung: ein Cookie-Banner, der die Einwilligung vor dem Setzen nicht-essenzieller Cookies einholt und eine echte Ablehnoption bietet.

Cookies, die einen Besucher identifizieren können, verarbeiten personenbezogene Daten. Unter DSGVO plus ePrivacy-Richtlinie braucht es Einwilligung vor dem Setzen, und diese Einwilligung muss informiert sein, freiwillig und genauso leicht zu verweigern wie zu erteilen.

Häufige Fehler, die Aufsichtsbehörden mit Bußgeldern belegen:

  • Cookies werden beim Seitenaufruf gesetzt, bevor ein Banner erscheint.
  • “Akzeptieren”-Button prominent dargestellt, während “Ablehnen” versteckt oder schwerer zu finden ist.
  • Vorab angekreuzte Felder.
  • “Mit der Nutzung dieser Seite akzeptieren Sie Cookies” - das ist keine Einwilligung, das ist ein Hinweis.

Testen Sie Ihre eigene Site: öffnen Sie sie in einem privaten Fenster, lehnen Sie Cookies ab und schauen Sie in die Cookie-Liste der Entwicklertools. Wenn dort etwas Nicht-Essenzielles steht, ist Ihr Einwilligungsfluss kaputt.

Eine ruhigere Option: überhaupt keine nicht-essenziellen Cookies einsetzen. Viele KMU laufen einwandfrei ohne Drittanbieter-Tracking.

Lesen Sie Cookies und Einwilligung: was Sie wissen müssen für das vollständige Bild.

description

Vorlage: Cookie-Audit

Tabellenkalkulationsvorlage zur Inventarisierung jedes Cookies auf Ihrer Site, mit Klassifikation (essenziell / funktional / Marketing / Tracking) und Entscheidung, welche zu behalten sind.

Vorlage ansehen arrow_forward
  • Kein nicht-essenzieller Cookie wird vor der Einwilligung gesetzt.
  • Ablehnen ist genauso prominent wie Akzeptieren.
  • Cookie-Inventar existiert, mit Zweck und Aufbewahrungsdauer pro Cookie.

Teil 2 - Operationen (Schritte 6 bis 9)

Schritt 6: Betroffenenrechte operationalisieren

Die Prüfung: ein dokumentiertes Verfahren zur Bearbeitung von Anfragen, mit Vorlagen und einem Register.

Personen, deren Daten Sie verarbeiten, können Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch verlangen. Sie haben einen Monat Zeit zu antworten (verlängerbar auf drei Monate für komplexe Fälle). Die Frist zu verpassen ist ein Lieblingsbußgeld der Aufsichtsbehörden.

Was Sie brauchen:

  • Eine überwachte Mailbox, in der Anfragen landen (oft die privacy@-Adresse aus Schritt 1).
  • Ein dokumentierter interner Prozess: wer triagiert, wer bearbeitet, wer freigibt.
  • Vorlagen für die Standardantworten.
  • Ein Register, mit dem Sie nachweisen können, dass Sie früheren Anfragen fristgerecht nachgekommen sind.

Lesen Sie DSGVO-Betroffenenrechte für alle neun Rechte.

description

Vorlage: Antwort auf Auskunftsanfrage

Standardantworten für Auskunfts-, Berichtigungs- und Löschanfragen, plus ein Anfragenregister.

Vorlage ansehen arrow_forward
  • Datenschutz-Mailbox wird überwacht.
  • Verfahren zur Bearbeitung von Anfragen ist dokumentiert.
  • Antwortvorlagen und Register sind bereit.

Schritt 7: Datenpannen-Verfahren und 72-Stunden-Meldung

Die Prüfung: ein dokumentiertes Verfahren, das Sie von “etwas ist schiefgegangen” zu einer Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden bringt.

Eine Datenpanne ist nicht nur ein Hacker. Sie umfasst einen Kollegen, der Kundendaten an den falschen Empfänger sendet, einen verlorenen USB-Stick, einen gestohlenen Laptop, versehentliches Löschen oder ein falsch konfiguriertes Backup, das Datensätze nach außen leakt.

Was Sie brauchen:

  • Ein internes Pannenregister (jeder Vorfall, unabhängig davon, ob meldepflichtig).
  • Einen klaren Test: was an die Aufsichtsbehörde zu melden ist (wahrscheinliches Risiko für die Rechte und Freiheiten der Betroffenen) und was an die Betroffenen selbst (hohes Risiko).
  • Kontaktdaten Ihrer Aufsichtsbehörde im Verfahren vorab eingetragen: kein Hektik in Stunde Null.
  • Meldungsvorlagen bereit.

Lesen Sie Personenbezogene Datenpanne: was zu tun ist.

description

Vorlage: Datenpannen-Meldung

Meldeformular für die Aufsichtsbehörde und Vorlage für die Benachrichtigung der Betroffenen.

Vorlage ansehen arrow_forward
  • Datenpannen-Verfahren ist dokumentiert und dem Team bekannt.
  • Internes Pannenregister existiert.
  • Meldungsvorlagen sind mit den Daten Ihrer Aufsichtsbehörde vorab ausgefüllt.

Schritt 8: Direktmarketing - Quelle und Opt-out

Die Prüfung: jede Direktmarketing-E-Mail oder -SMS enthält einen funktionierenden Opt-out, und Sie können nachweisen, woher die Daten des Empfängers stammen.

DSGVO plus ePrivacy fügen zwei Anforderungen hinzu, an denen KMU oft scheitern:

  1. Quellenangabe. Sie müssen einem Empfänger sagen können, woher seine personenbezogenen Daten stammen (Anmeldung auf Ihrer Site, Auslesen aus einer öffentlichen Liste, Kauf von einem Partner usw.). Das impliziert einen Prozess, um die Quelle bei jedem Listenimport und jeder Anmeldung festzuhalten.
  2. Opt-out in jeder Nachricht. Ein funktionierender “Abmelden”-Link in jeder Direktmarketing-E-Mail. Die meisten Marketingplattformen (Mailchimp, Brevo usw.) regeln das standardmäßig, aber prüfen Sie nach.

Sobald sich jemand abmeldet, darf er keine ähnlichen Nachrichten mehr erhalten, dauerhaft. Ihn später wieder anzumelden, weil er über einen anderen Funnel hereinkam, ist ein Bußgeld.

Lesen Sie Direktmarketing unter der DSGVO.

  • Jede Marketing-E-Mail hat eine Ein-Klick-Abmeldung.
  • Datenquelle wird für jeden Listeneintrag erfasst.
  • Sperrliste wird in allen Tools (CRM, Marketingplattform, Werbezielgruppen) respektiert.

Schritt 9: Eine separate Datenschutzerklärung für Mitarbeiter

Die Prüfung: eine eigene Datenschutzerklärung für Mitarbeiter und Auftragnehmer, getrennt von der für Kunden.

Die Daten, die Sie über Mitarbeiter verarbeiten (Lohn, Leistung, Krankheit, Beurteilungen, Zeiterfassung), unterscheiden sich stark von Kundendaten. Sie sind auch die Quelle der meisten DSGVO-Beschwerden, wenn ein Arbeitsverhältnis zerbricht. Eine eigene Mitarbeitererklärung schützt Sie.

Was hineingehört:

  • HR-Systeme und was sie enthalten.
  • Leistung, Krankheit, Beurteilungen.
  • Monitoring (Mail, Internet, Gebäudezugang, Kameras) und auf welcher Rechtsgrundlage.
  • Aufbewahrung: wie lange nach dem Austritt Sie das Dossier behalten.
  • Ihre Rechte und wie sie sie ausüben.

Lesen Sie Mitarbeiter-Datenschutzrichtlinie: was Sie Ihrem Personal mitteilen müssen.

  • Mitarbeiter-Datenschutzerklärung existiert und wird jedem neuen Mitarbeiter ausgehändigt.
  • Verlinkt oder dem Arbeitsvertrag beigefügt.
  • Jährlich überprüft.

Teil 3 - Erhöhte Sorgfalt (Schritte 10 bis 13)

Schritt 10: Prüfung auf besondere Datenkategorien

Die Prüfung: Sie haben explizit festgestellt, ob Sie besondere Kategorien personenbezogener Daten verarbeiten, und wenn ja, auf welcher Rechtsgrundlage.

Artikel 9 DSGVO verbietet die Verarbeitung des Folgenden, außer eine von neun spezifischen Ausnahmen greift:

  • Rassische oder ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische oder biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Die meisten KMU verarbeiten davon absichtlich nichts. Aber Sie berühren es vielleicht unbeabsichtigt: eine Krankheitsabwesenheit (Gesundheit), eine Ernährungspräferenz für ein Event (möglicherweise Religion), eine Uniformgröße (möglicherweise Gesundheit), ein Lebenslauf mit Foto (möglicherweise Herkunft).

Gehen Sie Ihr Verarbeitungsverzeichnis durch und markieren Sie alles, was die obige Liste berührt. Dokumentieren Sie für jeden die Ausnahme aus Artikel 9 (meistens: ausdrückliche Einwilligung, arbeitsrechtliche Verpflichtung oder lebenswichtige Interessen). Finden Sie keine Rechtsgrundlage, stoppen Sie die Verarbeitung.

  • Jeder Eintrag im Verarbeitungsverzeichnis ist auf besondere Kategorien geprüft.
  • Wo vorhanden, ist die Ausnahme aus Artikel 9 dokumentiert.

Schritt 11: Sicherheitspraktiken prüfen

Die Prüfung: die Sicherheitsmaßnahmen hinter jedem System in Ihrem Verzeichnis sind dokumentiert und angemessen.

Kein Datenschutz ohne Sicherheit. Die Aufsichtsbehörde und ein etwaiges Bußgeld bewerten “angemessen” relativ zur Sensibilität der Daten, dem Stand der Technik und den Kosten. Ein KMU braucht also keine Sicherheit auf Bankenniveau, wohl aber verteidigungsfähige Grundlagen.

Gehen Sie Ihr Verzeichnis System für System durch. Prüfen Sie für jedes:

Physische Sicherheit

  • Für Cloud-gehostete SaaS: verlassen Sie sich auf die Zertifizierungen des Anbieters (ISO 27001, SOC 2). Bewahren Sie den Nachweis in Ihrem AVV-Dossier.
  • Für selbst-gehostete Geräte: Serverraum, Aktenschrank und Büro verschließen. Lesen Sie Sicherheit für Papierdokumente für was nicht auf einem Bildschirm ist.

System- und Software-Sicherheit

  • Aktuelle Sicherheitspatches eingespielt.
  • Starke Passwörter erzwungen; Zwei-Faktor-Authentifizierung, wo das System sie unterstützt.
  • Zugriff auf Need-to-know-Basis; halbjährliche Überprüfung, wer Zugriff hat.
  • Lesen Sie Periodische Zugriffskontrolle.

Datensicherheit

Lieferantensicherheit

  • AVV im Dossier (in Schritt 4 abgedeckt).

  • Für Auftragsverarbeiter mit hoher Sensibilität: Liste der Subauftragsverarbeiter überprüft.

  • Jedes System im Verzeichnis hat eine dokumentierte Sicherheitsüberprüfung.

  • Backups werden mindestens jährlich mit einer echten Wiederherstellung getestet.

  • Zugriffsüberprüfungen sind geplant.

Schritt 12: Datenschutz-Sensibilisierung und Verhaltenskodex

Die Prüfung: jeder Mitarbeiter, der personenbezogene Daten behandelt, hat in den letzten zwölf Monaten eine Basis-Datenschutzschulung absolviert.

Der menschliche Faktor ist die ständigste Quelle von Datenpannen: Phishing, BCC-statt-CC-Fehler, Anhänge an den falschen Empfänger, schwache Passwörter, geteilte Konten, unverschlüsselte Laptops mit nach Hause genommen. Keiner davon ist ein technisches Versagen. Es sind Schulungsversagen.

Ein verteidigungsfähiges KMU-Schulungsprogramm:

  • Jährliche Datenschutz- und Sicherheitsschulung für das gesamte Personal (online, 30 bis 60 Minuten).
  • Onboarding-Session für Neuzugänge, bevor sie personenbezogene Daten anfassen.
  • Ein Verhaltenskodex, den jeder unterzeichnet, mit Datenschutz, Sicherheit und ethischem Verhalten.

Lesen Sie Der menschliche Faktor bei Datenpannen und Datenschutz und Ethik: Verhaltenskodex.

  • Schulung wird jährlich und beim Onboarding gegeben.
  • Teilnahme wird erfasst und gespeichert.
  • Verhaltenskodex ist von jedem Mitarbeiter unterzeichnet.

Schritt 13: Internationale Aspekte und jährliche Überprüfung

Die Prüfung (falls zutreffend): wenn Sie EU-Kunden von außerhalb der EU bedienen oder in mehreren EU-Ländern tätig sind, sind die grenzüberschreitenden Spezifika geregelt.

Sie sind außerhalb der EU, verkaufen aber hinein: Artikel 27 verlangt einen in der EU ansässigen Vertreter. Der günstigste Weg ist ein kommerzieller Article-27-Representative-Service.

Sie operieren in mehreren EU-Ländern: identifizieren Sie Ihre federführende Aufsichtsbehörde, das ist die des Landes, in dem sich Ihre Hauptniederlassung (oder die Hauptentscheidungen über die Verarbeitung) befindet. Diese Behörde führt jedes grenzüberschreitende Dossier nach dem One-Stop-Shop-Mechanismus.

Grenzüberschreitende Datenübermittlungen: übermitteln Sie personenbezogene Daten außerhalb der EU/EWR, dokumentieren Sie pro System den Übermittlungsmechanismus (Angemessenheitsbeschluss, Standardvertragsklauseln, Verbindliche Unternehmensregeln). Lesen Sie Genehmigte Drittländer für Übermittlungen außerhalb der EU.

Die jährliche Überprüfung: gehen Sie einmal jährlich jede Prüfung dieses Artikels erneut durch und bestätigen Sie, dass sie noch aktuell, korrekt und vollständig ist. Neue Tools, neue Mitarbeiter, neue Prozesse und neue Subauftragsverarbeiter schleichen sich über das Jahr ein; die jährliche Überprüfung ist es, was die Checkliste ehrlich statt nur ambitioniert hält.

Achten Sie besonders auf diese vier Punkte, wo die Drift am häufigsten ist:

  • Verarbeitungsverzeichnis erneut durchgegangen - jeder Eintrag überprüft, neue Tätigkeiten hinzugefügt, eingestellte entfernt.
  • Jede verlinkte Erklärung ist noch aktuell - Kunden-Datenschutzerklärung, Mitarbeiter-Datenschutzerklärung, Cookie-Richtlinie, interne Verfahren.
  • Sicherheitsüberprüfung pro System erneut durchgeführt - Patches, Zugriffsüberprüfung, Backup-Restore-Test, Verschlüsselungsstatus.
  • Mitarbeiterschulung aufgefrischt - alle haben die jährliche Session absolviert; Neuzugänge eingewiesen; unterzeichneter Verhaltenskodex im Dossier.

Und die grenzüberschreitenden Spezifika:

  • Article-27-Vertreter ist vorhanden, falls Sie aus dem Ausland in die EU verkaufen.
  • Federführende Aufsichtsbehörde für grenzüberschreitende Operationen ist identifiziert.
  • Internationale Übermittlungen sind pro System dokumentiert.
  • Termin der nächsten jährlichen Überprüfung steht im Kalender.

Hauptcheckliste (kompakte Version)

Drucken Sie diese Seite aus oder kopieren Sie das Folgende in Ihren Tracker.

Dokumentation

  • Datenschutzkoordinator benannt, privacy@-Mailbox aktiv
  • Verarbeitungsverzeichnis vollständig
  • Kunden-Datenschutzerklärung veröffentlicht, im Footer verlinkt
  • Mitarbeiter-Datenschutzerklärung jedem Neuzugang ausgehändigt
  • AVVs mit jedem Auftragsverarbeiter unterzeichnet
  • Cookie-Inventar und Einwilligungsfluss validiert

Operationen

  • Verfahren und Vorlagen für Betroffenenanfragen bereit
  • Datenpannen-Verfahren und 72-Stunden-Meldevorlagen bereit
  • Direktmarketing: Quelle erfasst, Opt-out funktioniert, Sperrliste respektiert
  • Besondere Kategorien identifiziert und rechtlich begründet

Sicherheit und Menschen

  • System-für-System-Sicherheitsüberprüfung dokumentiert
  • Backups mit echter Wiederherstellung getestet
  • Jährliche Datenschutz- und Sicherheitsschulung von jedem absolviert
  • Verhaltenskodex unterzeichnet
  • Article-27-Vertreter, falls außerhalb der EU
  • Termin der jährlichen Überprüfung im Kalender

Verbreitete Mythen und was Sie wirklich nicht brauchen

lightbulb Lassen Sie sich nicht reinlegen

Die DSGVO wird oft schwerer dargestellt, als sie für ein KMU ist. Ein Teil dessen, was Sie hören, ist Mythos, und ein Teil dessen, was Ihnen verkauft wird, ist nicht wirklich erforderlich. Die Liste unten ordnet beides ein.

Verbreitete KMU-Mythen

  • “DSGVO gilt nur für große Unternehmen.” Sie gilt für jeden, der personenbezogene Daten verarbeitet, unabhängig von der Größe. Weiterlesen.

  • “Kleine Unternehmen bekommen nie ein Bußgeld.” Doch, und die Bußgelder skalieren mit dem, was ein KMU zahlen kann. Weiterlesen.

  • “DSGVO geht nur um Cookies.” Cookies sind ein Teil; die Pflichten decken die gesamte Verarbeitung personenbezogener Daten ab. Weiterlesen.

  • “Ich habe keine personenbezogenen Daten.” Wenn Sie Kunden, Mitarbeiter oder Lieferanten haben, haben Sie sie fast sicher. Weiterlesen.

  • “Die Behörden haben kein Interesse an mir.” Die meiste Durchsetzung beginnt mit einer Beschwerde einer Einzelperson, nicht mit einer proaktiven Prüfung. Weiterlesen.

Was Sie überspringen können (als KMU)

  • Einen formellen DSB - es sei denn, Sie betreiben großflächige Überwachung oder großflächige Verarbeitung besonderer Kategorien. Der Datenschutzkoordinator aus Schritt 1 deckt den Rest ab.

  • Eine DSFA für Routineverarbeitung - sie ist nur erforderlich für neue Hochrisikoverarbeitung (großflächige systematische Überwachung, großflächige besondere Kategorien, automatisierte Entscheidungen mit Rechtswirkung).

  • Einen teuren externen Berater - die Grundlagen sind intern handhabbar mit den richtigen Vorlagen und Tools.

  • Einen Datenschutzanwalt auf Vertrag - die Website Ihrer Aufsichtsbehörde bietet KMU-orientierte Anleitung, und eine einmalige juristische Prüfung am Jahresende reicht reichlich.

auto_awesome Die Checkliste in 15 Minuten abschließen?

GDPRWise scannt Ihre Website und füllt automatisch den Großteil dieser Checkliste aus: Verarbeitungsverzeichnis, Datenschutzerklärung, Cookie-Audit und eine maßgeschneiderte Aktionsliste.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.