Was müssen KMU beim Datenschutz beachten?

Fünf Dinge, alle verankert in Transparenz. Bauen Sie drei Kerndossiers auf (Kunden, Personal, Dritte) organisiert um Geschäftsprozesse, damit Sie wissen, welche Daten Sie haben und warum. Benennen Sie einen Datenschutzkoordinator mit einem privacy@-Postfach. Veröffentlichen Sie eine maßgeschneiderte Datenschutzerklärung auf Ihrer Website, die diese Dossiers widerspiegelt und den Koordinator nennt. Geben Sie den Personen, die mit personenbezogenen Daten arbeiten, eine Basisschulung Privacy und Security Awareness. Und regeln Sie Cookies richtig, oder lassen Sie sie ganz weg. Das ist das Minimum. Auftragsverarbeitungsverträge, Datenpannen-Übungen und DSAR-Verfahren folgen mit dem Wachstum.

Ich habe gerade ein SaaS gestartet. Was ist das DSGVO-Minimum, das ich brauche?

Fünf Dinge: ein Inventar der personenbezogenen Daten verteilt auf Kunden, Personal und Dritte; ein benannter Datenschutzkoordinator, erreichbar unter privacy@ihrunternehmen.com; eine maßgeschneiderte Datenschutzerklärung auf Ihrer Website, die widerspiegelt, was Sie wirklich tun, und den Koordinator nennt; eine Basis-Schulung Privacy und Security Awareness für Personal, das mit personenbezogenen Daten arbeitet; und entweder keine nicht essenziellen Cookies oder ein funktionierender Consent-Flow. Das deckt Transparenz ab, das Prinzip, auf dem der Rest der DSGVO ruht. Auftragsverarbeitungsverträge mit Ihren Anbietern kommen danach, mit dem Wachstum.

Brauche ich als Startup einen Datenschutzbeauftragten (DSB/DPO)?

Höchstwahrscheinlich nicht. Ein formaler DSB ist nur erforderlich, wenn Ihre Kerntätigkeit eine großangelegte, regelmäßige Überwachung von Personen oder eine großangelegte Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Biometrie, Religion usw.) ist. Für alle anderen: benennen Sie einen internen Datenschutzkoordinator. Derselbe zentrale Ansprechpartner, ohne die formalen DSB-Pflichten.

Brauche ich eine Datenschutzerklärung, wenn ich noch keine Kunden habe?

Wenn Ihre Website auch nur irgendwelche personenbezogenen Daten erhebt, ein Kontaktformular, eine Newsletter-Anmeldung, ein Analytics-Cookie oder ein Support-Chat-Widget, dann ja. Sobald Daten den Browser des Besuchers verlassen und zu Ihnen oder einem Dritten gelangen, hat der Besucher das Recht zu wissen, wer, warum und auf welcher Grundlage. Veröffentlichen Sie die Erklärung, bevor Sie die Marketingseite live schalten.

Kann ich Cookies einfach weglassen?

Ja, und für viele junge Unternehmen ist es die klügere Wahl. Keine nicht essenziellen Cookies bedeutet kein Cookie-Banner, keine Consent Management Plattform, keine wiederkehrenden Audit-Kosten und eine Sache weniger, auf die eine Aufsichtsbehörde schaut. Datenschutzfreundliche Analytics (server-seitig, IP-anonymisiert oder Cookie-frei) geben Ihnen den Großteil der Sichtbarkeit ohne die Compliance-Last.

Wann reicht das Minimum nicht mehr?

Wenn Ihr Risikoprofil wächst. Mehr Kunden bedeutet mehr potenzielle Rechteanfragen, also brauchen Sie ein dokumentiertes DSAR-Verfahren mit Vorlagen und Register, nicht ad hoc Antworten. Mehr Personal bedeutet eine separate Personal-Datenschutzerklärung und Basisschulung. Mehr Anbieter und Partner bedeutet aktive Verwaltung von Auftragsverarbeitungsverträgen und eine Liste der Unterauftragsverarbeiter. Mehr Umsatz bedeutet, dass Sie ein attraktiveres Ziel werden, für Angreifer wie für Beschwerden. Die vollständige KMU-Checkliste (13 Schritte) ist die nächste Stufe; dieser Artikel deckt das Minimum zum Start ab.

Datenschutz für KMU: Das DSGVO-Minimum auf einen Blick

Die ehrliche, kleinste Version der DSGVO für ein gerade gegründetes Unternehmen: was Transparenz wirklich verlangt, die fünf Must-dos, und wie Sie mit dem Wachstum reifen.

Die eine Idee, die die DSGVO verständlich macht

Wenn Sie gerade ein Unternehmen gegründet haben und zum ersten Mal über die DSGVO lesen, haben Sie wahrscheinlich ein vages Bild aufgeschnappt von viel Papierkram, ein paar Bußgeldern und Cookie-Bannern. Dieses Bild ist zum großen Teil Rauschen.

Das Signal ist einfacher. Die DSGVO hat eine Kernidee: seien Sie transparent gegenüber Menschen, was Sie mit ihren Daten tun, und tun Sie nur, was Sie angekündigt haben. Alles andere, die Register, die Erklärungen, die Verträge, die Rechte, die Meldepflicht, ist Klempnerei, die existiert, um diese eine Idee Wirklichkeit werden zu lassen.

Wenn Sie das verinnerlichen, wird das Minimum deutlich weniger einschüchternd. Sie brauchen keinen Datenschutzanwalt. Keinen Berater. Keinen DSB. Sie müssen ehrlich sein, schriftlich, gegenüber den Menschen, deren Daten Sie haben, und Sie müssen dieses Versprechen halten können, wenn etwas schiefgeht.

Dieser Artikel gibt Ihnen die kleinste, ehrliche Version der DSGVO für ein brandneues Unternehmen. Fünf Must-dos verankert in Transparenz, eine Tag-eins-Checkliste, ein kurzer Leitfaden dazu, was sich je nach Geschäftstyp verschiebt, und eine Karte, um mitzuwachsen.

Das Minimum, in fünf Must-dos

Diese fünf decken ab, was Transparenz an Tag eins wirklich verlangt. Jedes davon ist etwas, das eine Aufsichtsbehörde, ein Kunde oder ein verärgerter Ex-Mitarbeiter von Ihnen einfordern kann, und Sie sollten es vorzeigen können, ohne zu improvisieren.

1. Wissen, welche Daten Sie haben (drei Kerndossiers)

Sie können nicht transparent über etwas sein, das Sie nicht inventarisiert haben. Bevor Sie eine Datenschutzerklärung schreiben oder irgendetwas unterschreiben, brauchen Sie eine ehrliche Antwort auf: welche personenbezogenen Daten fließen in mein Unternehmen, warum und von wem?

Teilen Sie es in drei Dossiers. Jedes Dossier ist um Geschäftsprozesse herum organisiert, und die Datenelemente leben innerhalb der Prozesse, die sie nutzen. Diese Reihenfolge ist wichtig: ein Prozess ist das, was den Daten ihren Zweck, ihre Rechtsgrundlage und ihre Aufbewahrungsfrist verleiht, deshalb sorgt das Erfassen des Prozesses zuerst dafür, dass der Rest der DSGVO an Ort und Stelle fällt.

Kundendossier. Die Prozesse, die Sie betreiben, um Kunden zu finden, an Kunden zu verkaufen und Kunden zu bedienen (Onboarding, Rechnungsstellung, Support, Marketing, Kontoverwaltung), und die Datenelemente, die jeder davon berührt: Namen, E-Mails, Adressen, Rechnungsdaten, Support-Tickets, Kontodaten.
Personaldossier. Die Prozesse, die Sie betreiben, um Personal einzustellen, zu bezahlen und zu verwalten (Recruiting, Beschäftigung, Lohnabrechnung, Krankheit, Beurteilungen, Zeiterfassung, Austritt), einschließlich Freelancern und Auftragnehmern, und die Daten, die jeder Prozess nutzt.
Drittparteien-Dossier. Die Prozesse, die Personen bei Lieferanten, Partnern und Prospects berühren (Einkauf, Lieferantenmanagement, Partner-Enablement, Akquise), und die personenbezogenen Daten, die diese Prozesse enthalten (der Buchhalter des Steuerberaters, der Kundenkontakt der Agentur, der Account Manager des Lieferanten).

Erfassen Sie pro Prozess: was er tut, warum Sie ihn tun (Zweck), auf welcher Rechtsgrundlage (Einwilligung, Vertrag, gesetzliche Verpflichtung, berechtigtes Interesse), welche Datenelemente er nutzt, wie lange sie aufbewahrt werden und wer sie sonst noch sieht (Ihr Hosting-Anbieter, Ihr E-Mail-Tool, Ihr Steuerberater).

GDPRWise baut diese drei Dossiers für Sie über ein geführtes Setup auf, das mit den Prozessen beginnt und die Datenelemente von dort einbindet; Sie können es auch auf einer Tabelle machen, wenn Sie das bevorzugen. Worauf es ankommt: das Register auf Prozessebene existiert, bevor die Erklärung es tut.

2. Benennen Sie einen Datenschutzkoordinator

DSGVO-Transparenz umfasst auch Erreichbarkeit. Menschen, deren Daten Sie haben, haben das Recht, Fragen zu stellen, Beschwerden einzureichen und Rechte auszuüben (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit). Sie müssen wissen, an wen sie sich wenden, und dieser Name gehört in die Datenschutzerklärung, die Sie in Schritt 3 veröffentlichen.

Sie brauchen keinen formalen DSB. Für fast jedes KMU reicht ein Datenschutzkoordinator: eine im Unternehmen benannte Person, die die DSGVO in ihrem Portfolio hat. Seine Aufgabe ist es, die Dossiers aktuell zu halten, eingehende Datenschutzfragen zu beantworten und die Beziehung zu Ihrer Aufsichtsbehörde zu pflegen, wenn etwas schiefgeht.

Richten Sie privacy@ihrunternehmen.com ein und überwachen Sie das Postfach. Tragen Sie sowohl den Namen des Koordinators als auch die Adresse in die Datenschutzerklärung und den Website-Footer ein.

3. Veröffentlichen Sie eine maßgeschneiderte Datenschutzerklärung

Die Datenschutzerklärung ist das Versprechen. Sie sagt Besuchern, Kunden und Personal, was Sie mit ihren Daten tun, wer sie verarbeitet und was sie dagegen tun können.

Die zwei häufigsten Fehler sind gleich verbreitet. Der erste: gar keine Erklärung. Der zweite: eine von einem anderen Unternehmen kopieren und den eigenen Namen draufkleben. Eine Aufsichtsbehörde kann sowohl Ihre Erklärung als auch Ihre tatsächliche Verarbeitung lesen, und wenn die beiden nicht übereinstimmen, ist die Erklärung schlimmer als nutzlos.

Eine konforme Erklärung spiegelt Ihre Dossiers wider: Ihre Verarbeitungstätigkeiten, Ihre Rechtsgrundlagen, Ihre Auftragsverarbeiter, Ihre Aufbewahrungsfristen, Ihre Kontaktdaten und den Datenschutzkoordinator aus Schritt 2. Sie steht unter einer Top-Level-URL, verlinkt aus dem Footer jeder Seite, niemals vergraben in AGB.

Wenn Sie die Schritte 1 und 2 erledigt haben, generiert GDPRWise die Erklärung aus Ihren Dossiers mit vorausgefülltem Koordinator. Lesen Sie Datenschutzerklärung erstellen für die volle Struktur.

4. Schulen Sie das Personal, das mit personenbezogenen Daten arbeitet

Eine Erklärung auf der Website ist nur so gut wie die Menschen, die sie täglich umsetzen. Die konstanteste Quelle von Datenpannen sind nicht Hacker; es ist Personal: Phishing-Klicks, BCC-versus-CC-Fehler, Anhänge an den falschen Empfänger, schwache oder geteilte Passwörter, unverschlüsselte Laptops mit nach Hause, Kundendaten ins falsche Chat-Fenster eingefügt.

Für ein junges Unternehmen ist das Minimum kurz und günstig:

Jeder, der mit Kunden-, Personal- oder Drittparteidaten arbeitet, durchläuft eine Basis-Sensibilisierung Privacy und Security, bevor er echte Daten berührt.
Dieselbe Sitzung wird jährlich aufgefrischt.
Neue Mitarbeitende erhalten sie beim Onboarding.

Es muss kein formales LMS-Rollout sein. Ein Durchgang von 30 bis 60 Minuten, der Phishing, Passworthygiene, Zwei-Faktor-Authentifizierung, sicheren Umgang mit personenbezogenen Daten und das Vorgehen bei Zwischenfällen abdeckt, reicht in dieser Phase. Halten Sie die Teilnahme nach, damit Sie es später belegen können.

Lesen Sie Der menschliche Faktor bei Datenpannen für das vollständige Bild, warum das zählt und wie ein vertretbares Programm aussieht.

5. Cookies richtig regeln oder weglassen

Cookies, die einen Besucher identifizieren können, verarbeiten personenbezogene Daten. Unter DSGVO und ePrivacy-Richtlinie brauchen Sie eine informierte Einwilligung, bevor ein nicht essenzielles Cookie gesetzt wird, und Ablehnen muss genauso einfach sein wie Akzeptieren.

Das ehrliche Minimum hat zwei akzeptable Formen:

Nicht essenzielle Cookies komplett weglassen. Keine Drittanbieter-Analytics mit Cookies, keine Marketing-Pixel, keine Embeds, die beim Laden Tracker setzen. Kein Banner, keine Consent-Plattform, kein Audit-Aufwand. Für ein neues Unternehmen ist das oft die klüger Wahl. Lesen Sie Datenschutzfreundliche Analytics-Alternativen.
Einen echten Consent-Flow betreiben. Nichts feuert vor der Einwilligung, Ablehnen ist genauso prominent wie Akzeptieren, keine vorangekreuzten Kästchen, keine Dark Patterns. Lesen Sie Cookies und Einwilligung: was Sie wissen müssen.

Die inakzeptable Form: Cookies, die beim Laden feuern, ein Banner mit nur Akzeptieren, oder der Hinweis “durch die Nutzung dieser Seite akzeptieren Sie Cookies”. Aufsichtsbehörden ahnden alle drei regelmäßig.

”Aber ich führe ein …” — Minimum je Geschäftstyp

Die fünf Must-dos sind universell. Die Fallstricke unterscheiden sich je nachdem, was Sie verkaufen.

SaaS-Startup. Sie sind Auftragsverarbeiter für die Daten Ihrer Kunden und Verantwortlicher für Ihre eigenen Nutzer. Das bedeutet zweiseitige Auftragsverarbeitungsverträge: Sie schließen Verträge mit Ihren Anbietern ab (Verantwortlicher zu Auftragsverarbeiter), und Ihre Kunden werden Sie bitten, ihren Vertrag zu unterzeichnen (Auftragsverarbeiter zu Unterauftragsverarbeiter). Veröffentlichen Sie einen öffentlichen Vertrag auf Ihrer Seite oder in Ihren Bedingungen. Machen Sie Ihre Hosting-Region klar (EU vs. USA ist für Enterprise-Kunden relevant). Pflegen Sie eine Unterauftragsverarbeiter-Liste und benachrichtigen Sie Kunden bei Änderungen.

Webshop oder E-Commerce. Ihr Traffic-und-Konversion-Stack ist die Gefahrenzone: Tag Manager, Werbepixel, Abbruch-Tracker, Empfehlungsengines und Anti-Betrugs-Tools setzen alle Cookies und schicken Daten an Dritte. Auditieren Sie jedes Skript. Marketing-Einwilligung (Newsletter, Retargeting) ist eine separate Grundlage gegenüber der Bestellung selbst; erfassen Sie jede Einwilligung explizit. Ihre Aufbewahrungsregel muss Bestellhistorie, Buchhaltungspflichten und Garantiezeiten abdecken, die oft kollidieren; dokumentieren Sie die längste zutreffende Frist je Datenkategorie.

B2B-Dienstleistungen, Beratung, Wirtschaftsprüfung, Buchhaltung. Die meisten Ihrer Daten gehören Dritten: den Kunden, Mitarbeitern und Lieferanten Ihres eigenen Kunden. Das macht Sie für fast alles, was Sie anfassen, zum Auftragsverarbeiter. Ihr Minimum ist schwerer bei Auftragsverarbeitungsverträgen (einer mit jedem Kunden, nicht nur mit jedem Anbieter) und bei Zugriffskontrolle (welcher Mitarbeiter sieht welche Kundenakte). Steuerberater und Buchhalter haben zusätzlich eine gesetzliche Aufbewahrungspflicht, die sich mit DSGVO-Fristen überschneidet; dokumentieren Sie die Grundlage (gesetzliche Verpflichtung) für die lange Aufbewahrung und lassen Sie sie nicht in andere Zwecke überlaufen.

Selbstständige oder Freelancer. Die DSGVO gilt auch ohne Mitarbeitende und mit nur einem Kunden. Das Minimum sind dieselben fünf Schritte, nur leichter. Ihre drei Dossiers passen vielleicht pro Stück auf eine Seite. Ihre Datenschutzerklärung kann kurz sein. Ihre Verträge sind meist die Standardexemplare Ihrer SaaS-Anbieter. Die eine Falle: speichern Sie Kundendaten nicht in persönlichen Cloud-Speichern oder persönlicher E-Mail; eine saubere Trennung zwischen privaten und geschäftlichen Konten ist die günstigste Sicherheitsmaßnahme, die Sie haben.

Marketing- oder Designagentur. Oft sind Sie Auftragsverarbeiter und Ihr Kunde ist Verantwortlicher, was umkehrt, wer Auskunftsanfragen beantwortet. Ihre Kundenverträge sollten das ausdrücklich machen. Werkzeuge des Handwerks (Figma, Canva, Mailchimp, Werbeplattformen) brauchen jeweils einen Vertrag. Asset-Bibliotheken und alte Projektordner sind stille Aufbewahrungsverbindlichkeiten; planen Sie Löschung nach Beendigung eines Auftrags.

Die Tag-eins-Fundament-Checkliste

Drucken Sie das aus oder kleben Sie es in Ihren Tracker. Wenn jedes Kästchen unten abgehakt ist, haben Sie ein ehrliches, vertretbares DSGVO-Minimum.

Daten kennen

Kundendossier vollständig (Prozesse mit Datenelementen, Zweck, Rechtsgrundlage, Aufbewahrung, Empfänger)
Personaldossier vollständig (auch wenn nur Sie selbst)
Drittparteien-Dossier vollständig (Lieferanten, Partner, Prospects)

Erreichbar sein

Datenschutzkoordinator intern benannt
privacy@ihrunternehmen.com aktiv und überwacht
Rolle des Koordinators dokumentiert und dem Team bekannt

Den Leuten Bescheid geben

Maßgeschneiderte Kundendatenschutzerklärung veröffentlicht
Datenschutzkoordinator in der Erklärung genannt
Aus dem Footer jeder Seite verlinkt
Spiegelt die Dossiers wider, keine Vorlage
Enthält Betroffenenrechte und Beschwerdeweg zur Aufsichtsbehörde

Team schulen

Jeder, der mit personenbezogenen Daten umgeht, hat eine Basis-Sensibilisierung absolviert
Teilnahme nachgehalten und gespeichert
Jährliche Auffrischung und Onboarding eingeplant

Cookies

Entweder: keine nicht essenziellen Cookies, geprüft im privaten Fenster mit Dev-Tools
Oder: Consent-Flow validiert (nichts vor Einwilligung, Ablehnen genauso prominent wie Akzeptieren, keine vorangekreuzten Kästchen)

Das ist das Fundament. Fünf Must-dos, sechzehn Haken.

Mit der Compliance mitwachsen

Das Minimum oben reicht zum Start. Es reicht nicht für immer. Mit dem Wachstum verschiebt sich Ihr Risikoprofil, und einige zusätzliche Schritte sind nicht länger optional.

Mehr Kunden bedeutet mehr potenzielle Rechteanfragen, also brauchen Sie ein dokumentiertes DSAR-Verfahren mit Vorlagen und Register, statt ad-hoc-Antworten.

Mehr Personal bedeutet eine separate Personal-Datenschutzerklärung (anders als die für Kunden), einen unterzeichneten Verhaltenskodex und die Sensibilisierung aus Schritt 4 formalisiert in etwas Belegbares (Teilnahmelisten, Abschlussregister, Auffrischungsrhythmus).

Mehr Anbieter und Partner bedeutet unterzeichnete Auftragsverarbeitungsverträge mit jeder externen Partei, die in Ihrem Auftrag personenbezogene Daten verarbeitet: Hosting, E-Mail, CRM, Analytics, Zahlungen, Steuerberater, Support-Tools. Die meisten SaaS-Anbieter veröffentlichen einen Vertrag, den Sie in zwei Minuten unterzeichnen können; an kleinere Anbieter schicken Sie Ihren eigenen. Sobald Sie ein paar haben, brauchen Sie auch ein Register, das Ihnen sagt, welche Sie haben, welche erneuert werden müssen und welche Unterauftragsverarbeiter sich im letzten Quartal geändert haben. Lesen Sie Auftragsverarbeitung.

Mehr Umsatz und mehr Daten bedeutet, dass Sie ein größeres Ziel werden. Jährliche Sicherheitsreviews pro System, echte Backup-Restore-Tests, periodische Zugriffsreviews (wer kann was sehen, und braucht er das noch) und ein dokumentiertes Datenpannen-Verfahren, das Sie binnen 72 Stunden von “etwas ist passiert” zu einer Meldung an die Aufsichtsbehörde bringt.

Höher riskante Verarbeitung (großangelegte Überwachung, besondere Kategorien wie Gesundheit oder Biometrie, automatisierte Entscheidungen mit Rechtswirkung) bedeutet eine Datenschutz-Folgenabschätzung (DSFA) und möglicherweise einen formalen DSB.

Die vollständige DSGVO-Checkliste für KMU durchläuft die dreizehn Schritte dieser Reifegradleiter. Behandeln Sie diesen Artikel als das Fundament; behandeln Sie die Checkliste als das Ziel.

Ein Wort dazu, was Sie noch nicht brauchen

Einen formalen DSB. Einen Datenschutzanwalt im Retainer. Eine Beratungsbeauftragung. Eine DSFA für Routineverarbeitungen. Ein ISO-27001-Audit. Ein sechsmonatiges Implementierungsprojekt.

Was Sie brauchen: ein ehrliches Verzeichnis Ihrer Daten, eine Erklärung, die das widerspiegelt, einen benannten Datenschutzkoordinator, Basisschulung für das Team, das mit personenbezogenen Daten arbeitet, und eine saubere Cookie-Geschichte. Das ist das Minimum. Starten Sie dort, wachsen Sie in den Rest.

auto_awesome Fundament in 15 Minuten legen

GDPRWise scannt Ihre Website, baut Ihre drei Dossiers und erstellt eine maßgeschneiderte Datenschutzerklärung. Der kostenlose Scan ist der einfachste Tag-eins-Start.

Starten Sie Ihren kostenlosen Scan

DSGVO-Minimum: Transparenz zuerst, der Rest folgt