Was muessen KMU beim Datenschutz beachten?

Fuenf Dinge, alle verankert in Transparenz. Bauen Sie drei Kerndossiers auf (Kunden, Personal, Dritte) organisiert um Geschaeftsprozesse, damit Sie wissen, welche Daten Sie haben und warum. Benennen Sie einen Datenschutzkoordinator mit einem privacy@-Postfach. Veroeffentlichen Sie eine massgeschneiderte Datenschutzerklaerung auf Ihrer Website, die diese Dossiers widerspiegelt und den Koordinator nennt. Geben Sie den Personen, die mit personenbezogenen Daten arbeiten, eine Basisschulung Privacy und Security Awareness. Und regeln Sie Cookies richtig, oder lassen Sie sie ganz weg. Das ist das Minimum. Auftragsverarbeitungsvertraege, Datenpannen-Uebungen und DSAR-Verfahren folgen mit dem Wachstum.

Ich habe gerade ein SaaS gestartet. Was ist das DSGVO-Minimum, das ich brauche?

Fuenf Dinge: ein Inventar der personenbezogenen Daten verteilt auf Kunden, Personal und Dritte; ein benannter Datenschutzkoordinator, erreichbar unter privacy@ihrunternehmen.com; eine massgeschneiderte Datenschutzerklaerung auf Ihrer Website, die widerspiegelt, was Sie wirklich tun, und den Koordinator nennt; eine Basis-Schulung Privacy und Security Awareness fuer Personal, das mit personenbezogenen Daten arbeitet; und entweder keine nicht essenziellen Cookies oder ein funktionierender Consent-Flow. Das deckt Transparenz ab, das Prinzip, auf dem der Rest der DSGVO ruht. Auftragsverarbeitungsvertraege mit Ihren Anbietern kommen danach, mit dem Wachstum.

Brauche ich als Startup einen Datenschutzbeauftragten (DSB/DPO)?

Hoechstwahrscheinlich nicht. Ein formaler DSB ist nur erforderlich, wenn Ihre Kerntaetigkeit eine grossangelegte, regelmaessige Ueberwachung von Personen oder eine grossangelegte Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Biometrie, Religion usw.) ist. Fuer alle anderen: benennen Sie einen internen Datenschutzkoordinator. Derselbe zentrale Ansprechpartner, ohne die formalen DSB-Pflichten.

Brauche ich eine Datenschutzerklaerung, wenn ich noch keine Kunden habe?

Wenn Ihre Website auch nur irgendwelche personenbezogenen Daten erhebt, ein Kontaktformular, eine Newsletter-Anmeldung, ein Analytics-Cookie oder ein Support-Chat-Widget, dann ja. Sobald Daten den Browser des Besuchers verlassen und zu Ihnen oder einem Dritten gelangen, hat der Besucher das Recht zu wissen, wer, warum und auf welcher Grundlage. Veroeffentlichen Sie die Erklaerung, bevor Sie die Marketingseite live schalten.

Kann ich Cookies einfach weglassen?

Ja, und fuer viele junge Unternehmen ist es die klugere Wahl. Keine nicht essenziellen Cookies bedeutet kein Cookie-Banner, keine Consent Management Plattform, keine wiederkehrenden Audit-Kosten und eine Sache weniger, auf die eine Aufsichtsbehoerde schaut. Datenschutzfreundliche Analytics (server-seitig, IP-anonymisiert oder Cookie-frei) geben Ihnen den Grossteil der Sichtbarkeit ohne die Compliance-Last.

Wann reicht das Minimum nicht mehr?

Wenn Ihr Risikoprofil waechst. Mehr Kunden bedeutet mehr potenzielle Rechteanfragen, also brauchen Sie ein dokumentiertes DSAR-Verfahren mit Vorlagen und Register, nicht ad hoc Antworten. Mehr Personal bedeutet eine separate Personal-Datenschutzerklaerung und Basisschulung. Mehr Anbieter und Partner bedeutet aktive Verwaltung von Auftragsverarbeitungsvertraegen und eine Liste der Unterauftragsverarbeiter. Mehr Umsatz bedeutet, dass Sie ein attraktiveres Ziel werden, fuer Angreifer wie fuer Beschwerden. Die vollstaendige KMU-Checkliste (13 Schritte) ist die naechste Stufe; dieser Artikel deckt das Minimum zum Start ab.

Datenschutz fuer KMU: Das DSGVO-Minimum auf einen Blick

Die ehrliche, kleinste Version der DSGVO fuer ein gerade gegruendetes Unternehmen: was Transparenz wirklich verlangt, die fuenf Must-dos, und wie Sie mit dem Wachstum reifen.

Die eine Idee, die die DSGVO verstaendlich macht

Wenn Sie gerade ein Unternehmen gegruendet haben und zum ersten Mal ueber die DSGVO lesen, haben Sie wahrscheinlich ein vages Bild aufgeschnappt von viel Papierkram, ein paar Bussgeldern und Cookie-Bannern. Dieses Bild ist zum grossen Teil Rauschen.

Das Signal ist einfacher. Die DSGVO hat eine Kernidee: seien Sie transparent gegenueber Menschen, was Sie mit ihren Daten tun, und tun Sie nur, was Sie angekuendigt haben. Alles andere, die Register, die Erklaerungen, die Vertraege, die Rechte, die Meldepflicht, ist Klempnerei, die existiert, um diese eine Idee Wirklichkeit werden zu lassen.

Wenn Sie das verinnerlichen, wird das Minimum deutlich weniger einschuechternd. Sie brauchen keinen Datenschutzanwalt. Keinen Berater. Keinen DSB. Sie muessen ehrlich sein, schriftlich, gegenueber den Menschen, deren Daten Sie haben, und Sie muessen dieses Versprechen halten koennen, wenn etwas schiefgeht.

Dieser Artikel gibt Ihnen die kleinste, ehrliche Version der DSGVO fuer ein brandneues Unternehmen. Fuenf Must-dos verankert in Transparenz, eine Tag-eins-Checkliste, ein kurzer Leitfaden dazu, was sich je nach Geschaeftstyp verschiebt, und eine Karte, um mitzuwachsen.

Das Minimum, in fuenf Must-dos

Diese fuenf decken ab, was Transparenz an Tag eins wirklich verlangt. Jedes davon ist etwas, das eine Aufsichtsbehoerde, ein Kunde oder ein veraergerter Ex-Mitarbeiter von Ihnen einfordern kann, und Sie sollten es vorzeigen koennen, ohne zu improvisieren.

1. Wissen, welche Daten Sie haben (drei Kerndossiers)

Sie koennen nicht transparent ueber etwas sein, das Sie nicht inventarisiert haben. Bevor Sie eine Datenschutzerklaerung schreiben oder irgendetwas unterschreiben, brauchen Sie eine ehrliche Antwort auf: welche personenbezogenen Daten fliessen in mein Unternehmen, warum und von wem?

Teilen Sie es in drei Dossiers. Jedes Dossier ist um Geschaeftsprozesse herum organisiert, und die Datenelemente leben innerhalb der Prozesse, die sie nutzen. Diese Reihenfolge ist wichtig: ein Prozess ist das, was den Daten ihren Zweck, ihre Rechtsgrundlage und ihre Aufbewahrungsfrist verleiht, deshalb sorgt das Erfassen des Prozesses zuerst dafuer, dass der Rest der DSGVO an Ort und Stelle faellt.

Kundendossier. Die Prozesse, die Sie betreiben, um Kunden zu finden, an Kunden zu verkaufen und Kunden zu bedienen (Onboarding, Rechnungsstellung, Support, Marketing, Kontoverwaltung), und die Datenelemente, die jeder davon beruehrt: Namen, E-Mails, Adressen, Rechnungsdaten, Support-Tickets, Kontodaten.
Personaldossier. Die Prozesse, die Sie betreiben, um Personal einzustellen, zu bezahlen und zu verwalten (Recruiting, Beschaeftigung, Lohnabrechnung, Krankheit, Beurteilungen, Zeiterfassung, Austritt), einschliesslich Freelancern und Auftragnehmern, und die Daten, die jeder Prozess nutzt.
Drittparteien-Dossier. Die Prozesse, die Personen bei Lieferanten, Partnern und Prospects beruehren (Einkauf, Lieferantenmanagement, Partner-Enablement, Akquise), und die personenbezogenen Daten, die diese Prozesse enthalten (der Buchhalter des Steuerberaters, der Kundenkontakt der Agentur, der Account Manager des Lieferanten).

Erfassen Sie pro Prozess: was er tut, warum Sie ihn tun (Zweck), auf welcher Rechtsgrundlage (Einwilligung, Vertrag, gesetzliche Verpflichtung, berechtigtes Interesse), welche Datenelemente er nutzt, wie lange sie aufbewahrt werden und wer sie sonst noch sieht (Ihr Hosting-Anbieter, Ihr E-Mail-Tool, Ihr Steuerberater).

GDPRWise baut diese drei Dossiers fuer Sie ueber ein gefuehrtes Setup auf, das mit den Prozessen beginnt und die Datenelemente von dort einbindet; Sie koennen es auch auf einer Tabelle machen, wenn Sie das bevorzugen. Worauf es ankommt: das Register auf Prozessebene existiert, bevor die Erklaerung es tut.

2. Benennen Sie einen Datenschutzkoordinator

DSGVO-Transparenz umfasst auch Erreichbarkeit. Menschen, deren Daten Sie haben, haben das Recht, Fragen zu stellen, Beschwerden einzureichen und Rechte auszuueben (Auskunft, Berichtigung, Loeschung, Datenuebertragbarkeit). Sie muessen wissen, an wen sie sich wenden, und dieser Name gehoert in die Datenschutzerklaerung, die Sie in Schritt 3 veroeffentlichen.

Sie brauchen keinen formalen DSB. Fuer fast jedes KMU reicht ein Datenschutzkoordinator: eine im Unternehmen benannte Person, die die DSGVO in ihrem Portfolio hat. Seine Aufgabe ist es, die Dossiers aktuell zu halten, eingehende Datenschutzfragen zu beantworten und die Beziehung zu Ihrer Aufsichtsbehoerde zu pflegen, wenn etwas schiefgeht.

Richten Sie privacy@ihrunternehmen.com ein und ueberwachen Sie das Postfach. Tragen Sie sowohl den Namen des Koordinators als auch die Adresse in die Datenschutzerklaerung und den Website-Footer ein.

3. Veroeffentlichen Sie eine massgeschneiderte Datenschutzerklaerung

Die Datenschutzerklaerung ist das Versprechen. Sie sagt Besuchern, Kunden und Personal, was Sie mit ihren Daten tun, wer sie verarbeitet und was sie dagegen tun koennen.

Die zwei haeufigsten Fehler sind gleich verbreitet. Der erste: gar keine Erklaerung. Der zweite: eine von einem anderen Unternehmen kopieren und den eigenen Namen draufkleben. Eine Aufsichtsbehoerde kann sowohl Ihre Erklaerung als auch Ihre tatsaechliche Verarbeitung lesen, und wenn die beiden nicht uebereinstimmen, ist die Erklaerung schlimmer als nutzlos.

Eine konforme Erklaerung spiegelt Ihre Dossiers wider: Ihre Verarbeitungstaetigkeiten, Ihre Rechtsgrundlagen, Ihre Auftragsverarbeiter, Ihre Aufbewahrungsfristen, Ihre Kontaktdaten und den Datenschutzkoordinator aus Schritt 2. Sie steht unter einer Top-Level-URL, verlinkt aus dem Footer jeder Seite, niemals vergraben in AGB.

Wenn Sie die Schritte 1 und 2 erledigt haben, generiert GDPRWise die Erklaerung aus Ihren Dossiers mit vorausgefuelltem Koordinator. Lesen Sie Datenschutzerklaerung erstellen fuer die volle Struktur.

4. Schulen Sie das Personal, das mit personenbezogenen Daten arbeitet

Eine Erklaerung auf der Website ist nur so gut wie die Menschen, die sie taeglich umsetzen. Die konstanteste Quelle von Datenpannen sind nicht Hacker; es ist Personal: Phishing-Klicks, BCC-versus-CC-Fehler, Anhaenge an den falschen Empfaenger, schwache oder geteilte Passwoerter, unverschluesselte Laptops mit nach Hause, Kundendaten ins falsche Chat-Fenster eingefuegt.

Fuer ein junges Unternehmen ist das Minimum kurz und guenstig:

Jeder, der mit Kunden-, Personal- oder Drittparteidaten arbeitet, durchlaeuft eine Basis-Sensibilisierung Privacy und Security, bevor er echte Daten beruehrt.
Dieselbe Sitzung wird jaehrlich aufgefrischt.
Neue Mitarbeitende erhalten sie beim Onboarding.

Es muss kein formales LMS-Rollout sein. Ein Durchgang von 30 bis 60 Minuten, der Phishing, Passworthygiene, Zwei-Faktor-Authentifizierung, sicheren Umgang mit personenbezogenen Daten und das Vorgehen bei Zwischenfaellen abdeckt, reicht in dieser Phase. Halten Sie die Teilnahme nach, damit Sie es spaeter belegen koennen.

Lesen Sie Der menschliche Faktor bei Datenpannen fuer das vollstaendige Bild, warum das zaehlt und wie ein vertretbares Programm aussieht.

5. Cookies richtig regeln oder weglassen

Cookies, die einen Besucher identifizieren koennen, verarbeiten personenbezogene Daten. Unter DSGVO und ePrivacy-Richtlinie brauchen Sie eine informierte Einwilligung, bevor ein nicht essenzielles Cookie gesetzt wird, und Ablehnen muss genauso einfach sein wie Akzeptieren.

Das ehrliche Minimum hat zwei akzeptable Formen:

Nicht essenzielle Cookies komplett weglassen. Keine Drittanbieter-Analytics mit Cookies, keine Marketing-Pixel, keine Embeds, die beim Laden Tracker setzen. Kein Banner, keine Consent-Plattform, kein Audit-Aufwand. Fuer ein neues Unternehmen ist das oft die klueger Wahl. Lesen Sie Datenschutzfreundliche Analytics-Alternativen.
Einen echten Consent-Flow betreiben. Nichts feuert vor der Einwilligung, Ablehnen ist genauso prominent wie Akzeptieren, keine vorangekreuzten Kaestchen, keine Dark Patterns. Lesen Sie Cookies und Einwilligung: was Sie wissen muessen.

Die inakzeptable Form: Cookies, die beim Laden feuern, ein Banner mit nur Akzeptieren, oder der Hinweis “durch die Nutzung dieser Seite akzeptieren Sie Cookies”. Aufsichtsbehoerden ahnden alle drei regelmaessig.

”Aber ich fuehre ein …” — Minimum je Geschaeftstyp

Die fuenf Must-dos sind universell. Die Fallstricke unterscheiden sich je nachdem, was Sie verkaufen.

SaaS-Startup. Sie sind Auftragsverarbeiter fuer die Daten Ihrer Kunden und Verantwortlicher fuer Ihre eigenen Nutzer. Das bedeutet zweiseitige Auftragsverarbeitungsvertraege: Sie schliessen Vertraege mit Ihren Anbietern ab (Verantwortlicher zu Auftragsverarbeiter), und Ihre Kunden werden Sie bitten, ihren Vertrag zu unterzeichnen (Auftragsverarbeiter zu Unterauftragsverarbeiter). Veroeffentlichen Sie einen oeffentlichen Vertrag auf Ihrer Seite oder in Ihren Bedingungen. Machen Sie Ihre Hosting-Region klar (EU vs. USA ist fuer Enterprise-Kunden relevant). Pflegen Sie eine Unterauftragsverarbeiter-Liste und benachrichtigen Sie Kunden bei Aenderungen.

Webshop oder E-Commerce. Ihr Traffic-und-Konversion-Stack ist die Gefahrenzone: Tag Manager, Werbepixel, Abbruch-Tracker, Empfehlungsengines und Anti-Betrugs-Tools setzen alle Cookies und schicken Daten an Dritte. Auditieren Sie jedes Skript. Marketing-Einwilligung (Newsletter, Retargeting) ist eine separate Grundlage gegenueber der Bestellung selbst; erfassen Sie jede Einwilligung explizit. Ihre Aufbewahrungsregel muss Bestellhistorie, Buchhaltungspflichten und Garantiezeiten abdecken, die oft kollidieren; dokumentieren Sie die laengste zutreffende Frist je Datenkategorie.

B2B-Dienstleistungen, Beratung, Wirtschaftspruefung, Buchhaltung. Die meisten Ihrer Daten gehoeren Dritten: den Kunden, Mitarbeitern und Lieferanten Ihres eigenen Kunden. Das macht Sie fuer fast alles, was Sie anfassen, zum Auftragsverarbeiter. Ihr Minimum ist schwerer bei Auftragsverarbeitungsvertraegen (einer mit jedem Kunden, nicht nur mit jedem Anbieter) und bei Zugriffskontrolle (welcher Mitarbeiter sieht welche Kundenakte). Steuerberater und Buchhalter haben zusaetzlich eine gesetzliche Aufbewahrungspflicht, die sich mit DSGVO-Fristen ueberschneidet; dokumentieren Sie die Grundlage (gesetzliche Verpflichtung) fuer die lange Aufbewahrung und lassen Sie sie nicht in andere Zwecke ueberlaufen.

Selbststaendige oder Freelancer. Die DSGVO gilt auch ohne Mitarbeitende und mit nur einem Kunden. Das Minimum sind dieselben fuenf Schritte, nur leichter. Ihre drei Dossiers passen vielleicht pro Stueck auf eine Seite. Ihre Datenschutzerklaerung kann kurz sein. Ihre Vertraege sind meist die Standardexemplare Ihrer SaaS-Anbieter. Die eine Falle: speichern Sie Kundendaten nicht in persoenlichen Cloud-Speichern oder persoenlicher E-Mail; eine saubere Trennung zwischen privaten und geschaeftlichen Konten ist die guenstigste Sicherheitsmassnahme, die Sie haben.

Marketing- oder Designagentur. Oft sind Sie Auftragsverarbeiter und Ihr Kunde ist Verantwortlicher, was umkehrt, wer Auskunftsanfragen beantwortet. Ihre Kundenvertraege sollten das ausdruecklich machen. Werkzeuge des Handwerks (Figma, Canva, Mailchimp, Werbeplattformen) brauchen jeweils einen Vertrag. Asset-Bibliotheken und alte Projektordner sind stille Aufbewahrungsverbindlichkeiten; planen Sie Loeschung nach Beendigung eines Auftrags.

Die Tag-eins-Fundament-Checkliste

Drucken Sie das aus oder kleben Sie es in Ihren Tracker. Wenn jedes Kaestchen unten abgehakt ist, haben Sie ein ehrliches, vertretbares DSGVO-Minimum.

Daten kennen

Kundendossier vollstaendig (Prozesse mit Datenelementen, Zweck, Rechtsgrundlage, Aufbewahrung, Empfaenger)
Personaldossier vollstaendig (auch wenn nur Sie selbst)
Drittparteien-Dossier vollstaendig (Lieferanten, Partner, Prospects)

Erreichbar sein

Datenschutzkoordinator intern benannt
privacy@ihrunternehmen.com aktiv und ueberwacht
Rolle des Koordinators dokumentiert und dem Team bekannt

Den Leuten Bescheid geben

Massgeschneiderte Kundendatenschutzerklaerung veroeffentlicht
Datenschutzkoordinator in der Erklaerung genannt
Aus dem Footer jeder Seite verlinkt
Spiegelt die Dossiers wider, keine Vorlage
Enthaelt Betroffenenrechte und Beschwerdeweg zur Aufsichtsbehoerde

Team schulen

Jeder, der mit personenbezogenen Daten umgeht, hat eine Basis-Sensibilisierung absolviert
Teilnahme nachgehalten und gespeichert
Jaehrliche Auffrischung und Onboarding eingeplant

Cookies

Entweder: keine nicht essenziellen Cookies, geprueft im privaten Fenster mit Dev-Tools
Oder: Consent-Flow validiert (nichts vor Einwilligung, Ablehnen genauso prominent wie Akzeptieren, keine vorangekreuzten Kaestchen)

Das ist das Fundament. Fuenf Must-dos, sechzehn Haken.

Mit der Compliance mitwachsen

Das Minimum oben reicht zum Start. Es reicht nicht fuer immer. Mit dem Wachstum verschiebt sich Ihr Risikoprofil, und einige zusaetzliche Schritte sind nicht laenger optional.

Mehr Kunden bedeutet mehr potenzielle Rechteanfragen, also brauchen Sie ein dokumentiertes DSAR-Verfahren mit Vorlagen und Register, statt ad-hoc-Antworten.

Mehr Personal bedeutet eine separate Personal-Datenschutzerklaerung (anders als die fuer Kunden), einen unterzeichneten Verhaltenskodex und die Sensibilisierung aus Schritt 4 formalisiert in etwas Belegbares (Teilnahmelisten, Abschlussregister, Auffrischungsrhythmus).

Mehr Anbieter und Partner bedeutet unterzeichnete Auftragsverarbeitungsvertraege mit jeder externen Partei, die in Ihrem Auftrag personenbezogene Daten verarbeitet: Hosting, E-Mail, CRM, Analytics, Zahlungen, Steuerberater, Support-Tools. Die meisten SaaS-Anbieter veroeffentlichen einen Vertrag, den Sie in zwei Minuten unterzeichnen koennen; an kleinere Anbieter schicken Sie Ihren eigenen. Sobald Sie ein paar haben, brauchen Sie auch ein Register, das Ihnen sagt, welche Sie haben, welche erneuert werden muessen und welche Unterauftragsverarbeiter sich im letzten Quartal geaendert haben. Lesen Sie Auftragsverarbeitung.

Mehr Umsatz und mehr Daten bedeutet, dass Sie ein groesseres Ziel werden. Jaehrliche Sicherheitsreviews pro System, echte Backup-Restore-Tests, periodische Zugriffsreviews (wer kann was sehen, und braucht er das noch) und ein dokumentiertes Datenpannen-Verfahren, das Sie binnen 72 Stunden von “etwas ist passiert” zu einer Meldung an die Aufsichtsbehoerde bringt.

Hoeher riskante Verarbeitung (grossangelegte Ueberwachung, besondere Kategorien wie Gesundheit oder Biometrie, automatisierte Entscheidungen mit Rechtswirkung) bedeutet eine Datenschutz-Folgenabschaetzung (DSFA) und moeglicherweise einen formalen DSB.

Die vollstaendige DSGVO-Checkliste fuer KMU durchlaeuft die dreizehn Schritte dieser Reifegradleiter. Behandeln Sie diesen Artikel als das Fundament; behandeln Sie die Checkliste als das Ziel.

Ein Wort dazu, was Sie noch nicht brauchen

Einen formalen DSB. Einen Datenschutzanwalt im Retainer. Eine Beratungsbeauftragung. Eine DSFA fuer Routineverarbeitungen. Ein ISO-27001-Audit. Ein sechsmonatiges Implementierungsprojekt.

Was Sie brauchen: ein ehrliches Verzeichnis Ihrer Daten, eine Erklaerung, die das widerspiegelt, einen benannten Datenschutzkoordinator, Basisschulung fuer das Team, das mit personenbezogenen Daten arbeitet, und eine saubere Cookie-Geschichte. Das ist das Minimum. Starten Sie dort, wachsen Sie in den Rest.

auto_awesome Fundament in 15 Minuten legen

GDPRWise scannt Ihre Website, baut Ihre drei Dossiers und erstellt eine massgeschneiderte Datenschutzerklaerung. Der kostenlose Scan ist der einfachste Tag-eins-Start.

Starten Sie Ihren kostenlosen Scan

DSGVO-Minimum: Transparenz zuerst, der Rest folgt