DSGVO im Alltag: Was kleine Unternehmen wirklich wissen müssen

DSGVO für KMU: Was wirklich Pflicht ist — und was nicht

Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedstaaten. Für viele kleine Unternehmen hat das zu erheblicher Verunsicherung geführt: Brauche ich einen Datenschutzbeauftragten? Ist mein Kontaktformular konform? Darf ich noch Kundendaten speichern?

Dieser Artikel gibt einen praxisorientierten Überblick — ohne Panikmache, aber ohne Verharmlosung.

Wer muss die DSGVO beachten?

Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von Personen in der EU verarbeitet. Personenbezogene Daten sind alle Informationen, die einer natürlichen Person zugeordnet werden können:

• Name, Adresse, Telefonnummer
• E-Mail-Adresse
• IP-Adresse (gilt als personenbezogen)
• Fotos von Personen
• Bankdaten, Gesundheitsdaten

Praktisch bedeutet das: Jedes Unternehmen, das Kunden hat, Mitarbeiter beschäftigt oder eine Website betreibt, ist betroffen.

Die wichtigsten DSGVO-Pflichten für KMU

1. Datenschutzerklärung auf der Website

Jede Website muss eine Datenschutzerklärung haben. Sie muss verständlich erklären:

• Welche Daten gesammelt werden (Server-Logs, Kontaktformular, Cookies, Analyse-Tools)
• Zu welchem Zweck (z.B. Kontaktanfragen bearbeiten)
• Auf welcher Rechtsgrundlage (Einwilligung, Vertragserfüllung, berechtigtes Interesse)
• Wie lange die Daten gespeichert werden
• An wen sie weitergegeben werden (z.B. Hosting-Anbieter, Newsletter-Tools)
• Welche Rechte Betroffene haben (Auskunft, Löschung, Berichtigung)

Die Datenschutzerklärung muss von jeder Seite der Website erreichbar sein (üblicherweise im Footer).

Häufiger Fehler: Veraltete Datenschutzerklärungen, die noch auf alte Tools verweisen (z.B. Google Analytics Universal, das seit 2023 abgeschaltet wurde).

2. Cookie-Banner und Einwilligungen

Nicht alle Cookies brauchen eine Einwilligung — aber viele:

Keine Einwilligung nötig:

• Technisch notwendige Cookies (Session-Cookie, Warenkorb)
• Sicherheits-Cookies

Einwilligung erforderlich:

• Analyse-Cookies (Google Analytics 4, Matomo mit vollständiger IP)
• Marketing-Cookies (Facebook Pixel, Google Ads)
• Personalisierungs-Cookies

Wichtig: Der Cookie-Banner muss echte Wahlmöglichkeiten bieten. "Ablehnen" muss genauso leicht erreichbar sein wie "Akzeptieren" — "X zum Schließen" ohne Ablehnoption ist nicht zulässig.

3. Kontaktformulare datenschutzkonform gestalten

Jedes Kontaktformular muss einen Datenschutzhinweis enthalten — direkt beim Formular oder als Pflichtfeld-Checkbox:

"Ich habe die Datenschutzerklärung gelesen und stimme der Verarbeitung meiner Daten zur Bearbeitung meiner Anfrage zu." (mit Link zur Datenschutzerklärung)

Daten aus Kontaktformularen dürfen nur so lange gespeichert werden, wie es für die Bearbeitung der Anfrage nötig ist — in der Regel 6 Monate nach Abschluss des Vorgangs.

4. E-Mail-Marketing und Newsletter

Für Newsletter und Marketing-E-Mails gilt in Deutschland ein doppeltes Opt-in-Verfahren:

1. Nutzer trägt E-Mail-Adresse ein
2. Nutzer erhält Bestätigungs-E-Mail und klickt auf Bestätigungslink

Erst dann darf die E-Mail-Adresse für Marketing-Zwecke verwendet werden. Das Datum der Einwilligung und die IP-Adresse müssen dokumentiert werden.

Bestandskunden dürfen für ähnliche Produkte und Dienstleistungen per E-Mail kontaktiert werden — mit aktivem Widerspruchsrecht in jeder E-Mail.

5. Auftragsverarbeitungsverträge (AVV)

Wenn Sie externe Dienste nutzen, die personenbezogene Daten in Ihrem Auftrag verarbeiten, brauchen Sie einen Auftragsverarbeitungsvertrag:

• E-Mail-Marketing (Mailchimp, Brevo, CleverReach)
• Cloud-Dienste (Microsoft 365, Google Workspace)
• Buchhaltungssoftware (Lexoffice, sevDesk)
• CRM-Systeme
• Hosting-Anbieter

Seriöse Anbieter stellen den AVV auf Anfrage oder automatisch im Kundenkonto bereit.

6. Verarbeitungsverzeichnis

Pflicht für Unternehmen über 250 Mitarbeiter oder für kleinere Betriebe, wenn die Verarbeitung regelmäßig zu Risiken für Betroffene führt.

Für die meisten kleinen Handwerksbetriebe, Kanzleien oder Einzelhändler ist ein Verarbeitungsverzeichnis zwar nicht zwingend vorgeschrieben, aber empfehlenswert — es dokumentiert, wie Sie mit Daten umgehen und vereinfacht die Rechenschaftspflicht gegenüber Aufsichtsbehörden.

7. Datenschutzbeauftragter (DSB) — wann Pflicht?

Ein benannter Datenschutzbeauftragter ist für KMU in den meisten Fällen nicht verpflichtend:

Pflicht besteht wenn:

• Mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
• Besonders sensible Daten verarbeitet werden (Gesundheitsdaten, Gewerkschaftszugehörigkeit, biometrische Daten) — das betrifft Arztpraxen, Krankenhäuser, bestimmte HR-Prozesse

Für die meisten kleinen Unternehmen in Brandenburg ist ein DSB freiwillig aber durchaus sinnvoll.

Branchenspezifische Besonderheiten

Arztpraxen und Gesundheitswesen

Gesundheitsdaten gehören zu den besonders schützenswerten Kategorien nach Art. 9 DSGVO. Das bedeutet:

• Erhöhte Sicherheitsanforderungen
• Dokumentationspflicht (TOM-Dokumentation)
• In der Regel Pflicht zum Datenschutzbeauftragten
• Strikte Regelungen für Praxisverwaltungssoftware (Patientendaten auf deutschen Servern)

Anwaltskanzleien

Berufsgeheimnisse kollidieren mit DSGVO-Auskunftsrechten. Mandantendaten genießen besonderen Schutz. Die Bundesrechtsanwaltskammer hat eigene Handlungsempfehlungen herausgegeben.

Handwerksbetriebe

Für typische Handwerksbetriebe sind die Anforderungen überschaubar:

• Kundendaten (Name, Adresse, Auftragsdaten) dürfen für die Vertragsabwicklung gespeichert werden
• Aufbewahrungspflichten nach Handels- und Steuerrecht (10 Jahre für Rechnungen) haben Vorrang vor DSGVO-Löschpflichten
• Mitarbeiterdaten unterliegen dem Beschäftigtendatenschutz

Technische und organisatorische Maßnahmen (TOMs)

Artikel 32 DSGVO verpflichtet zur Umsetzung "geeigneter technischer und organisatorischer Maßnahmen":

Technisch:

• Verschlüsselung von Datenübertragungen (HTTPS)
• Verschlüsselung gespeicherter Daten (besonders bei Laptops und mobilen Geräten)
• Zugangskontrollen (Passwörter, 2FA)
• Regelmäßige Updates und Sicherheitspatches
• Virenschutz

Organisatorisch:

• Zugriffsrechte auf "need-to-know"-Basis
• Vertraulichkeitsverpflichtungen für Mitarbeiter
• Datenschutzschulung
• Löschkonzept

Was bei Datenschutzverstößen passiert

Bei einem Datenschutzverstoß (z.B. Datenleck) gilt:

• Meldepflicht an Aufsichtsbehörde innerhalb von 72 Stunden, wenn das Risiko für Betroffene erheblich ist
• Information der Betroffenen bei hohem Risiko
• Mögliche Bußgelder: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes — in der Praxis für kleine Unternehmen deutlich geringer, aber empfindlich

In Brandenburg ist die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA Brandenburg) die zuständige Aufsichtsbehörde.

Praktischer Einstieg: Was Sie jetzt tun sollten

Priorität 1 — sofort:

• Datenschutzerklärung auf der Website aktuell halten
• Cookie-Banner korrekt einrichten (mit funktionsfähigem Ablehnen-Button)
• Kontaktformular mit Datenschutzhinweis versehen

Priorität 2 — kurzfristig:

• AVVs mit allen relevanten Dienstleistern abschließen
• Mitarbeiter kurz einweisen
• Passwortrichtlinie einführen

Priorität 3 — mittelfristig:

• Löschkonzept erstellen
• Verarbeitungsverzeichnis anlegen (auch wenn nicht Pflicht)
• Regelmäßige Überprüfung mindestens jährlich

Häufig gestellte Fragen (FAQ)

Darf ich Kundenadressen unbegrenzt speichern? Nein — personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck benötigt werden. Steuerliche Aufbewahrungspflichten (10 Jahre für Rechnungen) gehen jedoch vor.

Was ist der Unterschied zwischen Einwilligung und berechtigtem Interesse? Die Einwilligung ist eine aktive Zustimmung des Nutzers. Das berechtigte Interesse (Art. 6 Abs. 1 f DSGVO) erlaubt Verarbeitung ohne Einwilligung, wenn das Interesse des Unternehmens das Interesse der betroffenen Person überwiegt — z.B. bei Kundenkontakt für bestehende Verträge.

Muss jede Mitarbeiter-E-Mail-Adresse in der Datenschutzerklärung genannt werden? Nein — es reicht eine allgemeine Kontaktadresse. Individuelle Mitarbeiter-E-Mails müssen nicht separat aufgeführt werden.