DSGVO für kleine Unternehmen: Compliance-Leitfaden für KMU (2026)

Die DSGVO gilt für jedes kleine Unternehmen, das personenbezogene Daten von Personen in der EU verarbeitet; eine pauschale Ausnahme nach Unternehmensgröße gibt es nicht. Artikel 30 Absatz 5 sieht eine eng gefasste Ausnahme von der Dokumentationspflicht für Organisationen mit weniger als 250 Beschäftigten vor, allerdings nur, wenn die Verarbeitung gelegentlich erfolgt, ein geringes Risiko birgt und keine besonderen Kategorien personenbezogener Daten umfasst. Die meisten kleinen Unternehmen erfüllen nicht alle drei Voraussetzungen zugleich.
Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der Europäischen Union verarbeitet: ein Einzelunternehmer in Wien, ein Online-Shop mit zehn Beschäftigten in Warschau und ein US-amerikanisches SaaS-Start-up mit europäischen Kunden unterliegen ihr allesamt. Die Größe ist für die Anwendbarkeit unerheblich.
Allerdings ist die DSGVO keine Regelung nach dem Prinzip "eine Größe für alle". Mehrere Bestimmungen richten sich nach Art und Umfang der Verarbeitung und nicht allein nach der Beschäftigtenzahl, und die EU hat zuletzt eine weitere Verringerung des Verwaltungsaufwands für kleinere Organisationen vorgeschlagen. Zu verstehen, welche Pflichten uneingeschränkt gelten, welche reduziert sind und welche derzeit reformiert werden, ist der praktische Ausgangspunkt für jedes kleine Unternehmen.
Dieser Leitfaden behandelt, was für Ihr KMU gilt, die Dokumentationsausnahme nach Artikel 30 Absatz 5 und ihre tatsächlichen Grenzen, die Frage des Datenschutzbeauftragten, den Digital-Omnibus-Vorschlag vom November 2025, branchenspezifische Beispiele, praktische kostengünstige Maßnahmen sowie aktuelle Durchsetzungsfälle, die kleine Unternehmen kennen sollten. Einen grundlegenden Überblick über die Verordnung finden Sie unter Was ist die DSGVO.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Fachperson für Datenschutzrecht.
Gilt die DSGVO für Ihr kleines Unternehmen?
Die kurze Antwort lautet: fast sicher ja, sofern Sie personenbezogene Daten mit Bezug zu Personen in der EU verarbeiten.
Die Europäische Kommission äußert sich hierzu unmissverständlich: Die Anwendbarkeit der DSGVO richtet sich nach der Art Ihrer Tätigkeiten, nicht nach der Größe oder dem Standort Ihres Unternehmens. Nach Artikel 3 der Verordnung gilt die DSGVO, wenn eine der folgenden Voraussetzungen zutrifft:
- Sie sind in der EU niedergelassen und verarbeiten personenbezogene Daten im Rahmen Ihrer Tätigkeiten, unabhängig davon, wo die Verarbeitung stattfindet.
- Sie sind außerhalb der EU niedergelassen, bieten aber Personen in der EU Waren oder Dienstleistungen an, etwa eine kostenlose App, eine Website, die Bestellungen aus der EU annimmt, oder einen an EU-Leser gerichteten Newsletter.
- Sie sind außerhalb der EU niedergelassen, beobachten aber das Verhalten von Personen in der EU, etwa durch Website-Analysen, Werbe-Pixel oder Standortverfolgung.
Was zählt für ein kleines Unternehmen als personenbezogene Daten?
Die meisten kleinen Unternehmen verarbeiten mehr personenbezogene Daten, als ihnen bewusst ist. Zu den üblichen Verarbeitungstätigkeiten, die DSGVO-Pflichten auslösen, zählen unter anderem:
- Namen, E-Mail-Adressen, Postanschriften und Kaufhistorien von Kunden
- Beschäftigten- und Auftragnehmerdaten: Gehaltsdaten, Personalakten, Leistungsbeurteilungen und Bewerbungsunterlagen
- Website-Cookies, Analysewerkzeuge und Pixel für verhaltensbasierte Werbung
- Abonnentenlisten für E-Mail-Marketing
- Videoüberwachungsaufnahmen von Personen in oder in der Nähe der Geschäftsräume
- Online-Buchungs- und Reservierungssysteme
- Zahlungsdaten (auch wenn die Zahlungsabwicklung von einem Dritten übernommen wird)
- An EU-Nutzer gerichtete Social-Media-Werbung
Die Verarbeitung eines dieser Punkte im Zusammenhang mit Personen in der EU unterstellt Ihr Unternehmen der DSGVO in vollem Umfang.

Die Dokumentationsausnahme nach Artikel 30 Absatz 5: Was sie tatsächlich abdeckt
Artikel 30 der DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Artikel 30 Absatz 5 sieht eine teilweise Ausnahme für kleinere Organisationen vor:
"Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für ein Unternehmen oder eine Einrichtung mit weniger als 250 Mitarbeitern, sofern die von ihm beziehungsweise ihr vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 umfasst."
Vereinfacht ausgedrückt: Eine Organisation mit weniger als 250 Beschäftigten ist von der Dokumentationspflicht nur dann befreit, wenn alle drei folgenden Voraussetzungen gleichzeitig erfüllt sind:
- Die Verarbeitung birgt voraussichtlich kein Risiko für die Rechte und Freiheiten der Betroffenen.
- Die Verarbeitung erfolgt gelegentlich: nicht routinemäßig oder systematisch.
- Die Verarbeitung umfasst keine besonderen Datenkategorien (Gesundheitsdaten, biometrische Daten, genetische Daten, rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung) oder Daten über strafrechtliche Verurteilungen.
Das Positionspapier des EDSA zur Ausnahme nach Artikel 30 Absatz 5 bestätigt, dass es sich um eine eng gefasste Ausnahme handelt. Die Verarbeitung von Kundendaten, die Führung einer Gehaltsabrechnung, der Betrieb einer E-Mail-Marketingliste oder einer Website mit Analysewerkzeugen scheitern allesamt am Kriterium der "Gelegentlichkeit". Dabei handelt es sich um wiederkehrende, systematische Tätigkeiten, auf die die Ausnahme nicht anwendbar ist.
Die praktische Realität
Die Ausnahme war für tatsächlich einmalige Verarbeitungsvorgänge gedacht, etwa für eine kleine Organisation, die gelegentlich einmalig eine Teilnehmerliste einer Veranstaltung verarbeitet und darüber hinaus regelmäßig keine personenbezogenen Daten verarbeitet. In der Praxis erfüllt kaum ein aktives Unternehmen diese Voraussetzungen vollständig.
Die Empfehlung lautet unabhängig von der technischen Ausnahme stets: Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten. Es ist Ihr Nachweis der Rechenschaftspflicht, Ihre Referenz bei Anfragen der Aufsichtsbehörde und Ihr Werkzeug zur Bearbeitung von Anfragen Betroffener. Eine einfache Tabelle, die erfasst, welche Daten Sie verarbeiten, warum, wo sie gespeichert sind, wer Zugriff hat und wie lange sie aufbewahrt werden, genügt für die meisten kleinen Unternehmen.
Wann ein kleines Unternehmen einen Datenschutzbeauftragten benötigt
Die Pflicht zur Bestellung eines Datenschutzbeauftragten nach Artikel 37 ist nicht an die Beschäftigtenzahl geknüpft. Sie richtet sich nach Art und Umfang der Kerntätigkeiten. Ein Datenschutzbeauftragter ist in drei Fällen verpflichtend:
- Die Organisation ist eine Behörde oder öffentliche Stelle (auf die meisten kleinen Unternehmen nicht anwendbar).
- Die Kerntätigkeit der Organisation erfordert eine regelmäßige und systematische umfangreiche Überwachung von Personen, etwa bei einem Unternehmen, dessen Hauptprodukt verhaltensbasierte Werbetechnologie oder umfangreiche Nutzerüberwachung ist.
- Die Kerntätigkeit umfasst eine umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten, sexuelle Orientierung usw.) oder personenbezogener Daten über strafrechtliche Verurteilungen.
Der KMU-Leitfaden des EDSA zu Datenschutzbeauftragten ist eindeutig: Eine kleine Organisation benötigt in der Regel keinen Datenschutzbeauftragten. Ein lokales Einzelhandelsgeschäft, eine kleine Marketingagentur, ein Softwareunternehmen mit zehn Beschäftigten oder eine Anwaltskanzlei mit zwei Partnern erfüllt diese Kriterien nicht.
Branchenspezifische Nuancen
Manche KMU sind in Branchen tätig, in denen die Frage nach dem Datenschutzbeauftragten weniger eindeutig ist:
- Kleine Praxis oder Arztpraxis: Die Verarbeitung von Gesundheitsdaten von Patienten ist eine Verarbeitung besonderer Kategorien nach Artikel 9. Ob sie "umfangreich" ist, hängt vom Umfang und Kontext ab. Eine Praxis mit zwei Ärzten, die einen lokalen Patientenstamm behandelt, gilt in der Regel nicht als umfangreich. Eine regionale Klinikkette mit zehntausenden Patientenakten wirft eine schwierigere Frage auf. Viele EU-Mitgliedstaaten haben branchenspezifische Leitlinien für Gesundheitsdienstleister veröffentlicht.
- HR-Software-Start-up: Verarbeitet Ihr Produkt systematisch Beschäftigtendaten für große Kundenorganisationen, kann Ihre eigene Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien umfassen. Holen Sie spezifischen Rechtsrat ein.
- Marketingagentur: Profiling und verhaltensbasiertes Targeting in großem Umfang für Kunden können Sie näher an die Schwelle der systematischen Überwachung heranführen als ein typisches KMU.
Freiwillige Bestellung
Sie können einen Datenschutzbeauftragten auch dann freiwillig bestellen, wenn dies nicht vorgeschrieben ist. In diesem Fall gelten automatisch die vollständigen DSGVO-Vorschriften zur Unabhängigkeit, den Ressourcen, den Aufgaben und dem Kündigungsschutz des Datenschutzbeauftragten. Viele kleine Unternehmen finden es praktikabler, intern eine für Datenschutz zuständige Person zu benennen, die Anfragen und Ersuchen bearbeitet, ohne die formale Bezeichnung "Datenschutzbeauftragter" zu verwenden.

Der Digital-Omnibus-Vorschlag vom November 2025: Geplante Vereinfachung für KMU
Am 19. November 2025 veröffentlichte die Europäische Kommission ihr Digital-Omnibus-Paket, ein Bündel gezielter Änderungen an der DSGVO, der ePrivacy-Richtlinie, dem Datengesetz, der NIS-2-Richtlinie und dem KI-Gesetz. Das Paket ist Teil der umfassenderen Wettbewerbsfähigkeitsagenda der Kommission zur Verringerung des regulatorischen Aufwands für europäische Unternehmen, wobei KMU als besondere Priorität genannt werden.
Was die Kommission für Artikel 30 Absatz 5 der DSGVO vorgeschlagen hat
Der Vorschlag der Kommission würde zwei wesentliche Änderungen an der Dokumentationsausnahme vornehmen:
- Anhebung der Beschäftigtenschwelle von weniger als 250 auf weniger als 750 Beschäftigte und Ausweitung der Erleichterung auf eine von der Kommission als "kleine Unternehmen mittlerer Kapitalisierung" bezeichnete Kategorie.
- Neustrukturierung der Voraussetzungen: Statt der drei derzeitigen ausschließenden Faktoren (Risiko, keine Gelegentlichkeit, besondere Datenkategorien) würde die Ausnahme gelten, sofern die Verarbeitung nicht "voraussichtlich ein hohes Risiko" im Sinne von Artikel 35 (der Schwelle für die Datenschutz-Folgenabschätzung) birgt. Der Vorschlag streicht die Bezugnahmen auf "gelegentliche Verarbeitung" und auf besondere Datenkategorien als eigenständige ausschließende Faktoren.
Die Position des EU-Rates (September 2025)
Vor der Veröffentlichung der Kommission im November verbreitete der EU-Rat im September 2025 eine noch weiterreichende Position: Organisationen mit weniger als 1.000 Beschäftigten, die risikobehaftete Verarbeitungen durchführen, müssten nur ein Verzeichnis über jene spezifischen Verarbeitungstätigkeiten führen, die voraussichtlich ein hohes Risiko bergen, und nicht ein vollständiges Verzeichnis aller Verarbeitungen.
Reaktion von EDSA und EDSB
Der EDSA und der EDSB begrüßten die Vereinfachung in ihrer gemeinsamen Erklärung und unterstützten das allgemeine Ziel, den Verwaltungsaufwand für KMU zu verringern. Sie merkten an, dass der Vorschlag gezielt und begrenzt sei, und forderten weitere Klarstellungen zum Zusammenspiel mit den Rechenschaftspflichten. Entscheidend ist, dass sie betonten, dass andere Pflichten (einschließlich Transparenz, Rechtsgrundlage, Betroffenenrechte und Sicherheit) unabhängig von Vereinfachungen bei der Dokumentation uneingeschränkt weitergelten.
Aktueller Stand: Aktive Verhandlung, noch kein geltendes Recht
Stand Mai 2026 befinden sich die DSGVO-Änderungen des Digital-Omnibus in aktiver Verhandlung zwischen dem Europäischen Parlament und dem Rat im Rahmen des Gesetzgebungsfahrplans. Trilog-Gespräche werden voraussichtlich bis weit ins Jahr 2026 andauern. Bis zur endgültigen Verabschiedung und einer etwaigen Übergangsfrist bleibt der derzeitige Wortlaut von Artikel 30 Absatz 5 (Schwelle von 250 Beschäftigten mit drei ausschließenden Voraussetzungen) das geltende Recht.
Passen Sie Ihren Compliance-Ansatz nicht an die vorgeschlagenen Änderungen an. Handeln Sie weiterhin nach den derzeit geltenden Vorschriften, bis die Änderungen förmlich verabschiedet sind und in Kraft treten.
Zentrale Pflichten, die uneingeschränkt für alle kleinen Unternehmen gelten
Während bestimmte Verwaltungspflichten nach Umfang gestaffelt sind, gelten die folgenden DSGVO-Anforderungen ohne Einschränkung für Organisationen jeder Größe.
1. Rechtsgrundlage für jede Verarbeitungstätigkeit
Jede Verarbeitungstätigkeit benötigt eine dokumentierte Rechtsgrundlage nach Artikel 6. Die drei für kleine Unternehmen relevantesten Grundlagen sind:
- Vertragliche Erforderlichkeit (Artikel 6 Absatz 1 Buchstabe b): Verarbeitung, die zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist, etwa die Verarbeitung einer Lieferadresse zum Versand einer Bestellung oder die Verarbeitung von Gehaltsdaten zur Bezahlung eines Mitarbeiters.
- Berechtigte Interessen (Artikel 6 Absatz 1 Buchstabe f): Ein echtes, verhältnismäßiges geschäftliches Interesse, das die Interessen der betroffenen Person nicht überwiegt, etwa einfaches Direktmarketing an Bestandskunden, Betrugsprävention oder Netzwerksicherheit. Erfordert eine dokumentierte Interessenabwägung.
- Einwilligung (Artikel 6 Absatz 1 Buchstabe a): Die betroffene Person stimmt für einen bestimmten, klar benannten Zweck freiwillig zu. Die Einwilligung ist widerruflich und begründet laufende Verwaltungspflichten. Sie wird von kleinen Unternehmen häufig überstrapaziert, wo eine andere Rechtsgrundlage einfacher und beständiger wäre.
Eine ausführliche Behandlung der Frage, wann eine Einwilligung die richtige Grundlage ist und wann nicht, finden Sie unter Einwilligungsanforderungen der DSGVO.
2. Datenschutzhinweise
Jede Person, deren Daten Sie erheben, muss zum Zeitpunkt der Erhebung darüber informiert werden, wer Sie sind, welche Daten Sie erheben, warum, auf welcher Rechtsgrundlage, wie lange Sie die Daten aufbewahren, mit wem Sie sie teilen und welche Rechte ihr zustehen. Das gilt für Ihre Website, Ihre Formulare vor Ort, Ihre Beschäftigungsunterlagen und jeden anderen Punkt der Datenerhebung.
Ein Datenschutzhinweis muss nicht lang sein. Er muss klar, zugänglich und vollständig sein. Der Bereich mit den praktischen Ressourcen des EDSA bietet kostenlose Vorlagen.
3. Betroffenenrechte
Die acht individuellen Rechte der DSGVO gelten für alle Organisationen. Kleine Unternehmen müssen:
- Betroffenen eine klare, zugängliche Möglichkeit bieten, Anfragen einzureichen (eine E-Mail-Adresse genügt).
- Anfragen innerhalb eines Kalendermonats erkennen und beantworten (bei komplexen Anfragen um zwei Monate verlängerbar, mit entsprechender Mitteilung an die anfragende Person).
- Die erste Kopie der personenbezogenen Daten als Antwort auf ein Auskunftsersuchen kostenlos bereitstellen.
- Löschungs-, Berichtigungs-, Widerspruchs- und Übertragbarkeitsersuchen ordnungsgemäß bearbeiten und die Antworten dokumentieren.
Ein rumänisches Unternehmen wurde mit 15.000 Euro Bußgeld belegt, weil es auf ein Auskunftsersuchen drei Monate lang nicht reagierte und anschließend unvollständige Informationen bereitstellte. Dies ist die Art von Durchsetzung, die kleine Unternehmen trifft.
4. Technische und organisatorische Sicherheitsmaßnahmen
Artikel 32 verlangt angemessene, dem Risiko und der Art der Daten entsprechende Sicherheitsmaßnahmen. Verhältnismäßigkeit bedeutet, dass das, was für ein Steuerbüro mit zwei Personen angemessen ist, sich von dem unterscheidet, was für einen Gesundheitsdienstleister mit 200 Beschäftigten angemessen ist, aber beide müssen über Maßnahmen verfügen.
Praktische Grundmaßnahmen für kleine Unternehmen:
- Zwei-Faktor-Authentifizierung für alle Geschäftskonten aktivieren (E-Mail, Cloud-Speicher, Buchhaltungssoftware).
- Einen Passwort-Manager verwenden und starke, individuelle Passwörter durchsetzen.
- Laptops, externe Festplatten und Mobilgeräte mit personenbezogenen Daten verschlüsseln.
- Den Zugriff auf personenbezogene Daten auf Beschäftigte beschränken, die ihn für ihre Rolle tatsächlich benötigen.
- Software- und Betriebssystem-Updates zeitnah einspielen.
- Regelmäßige, getestete Backups getrennt von den Primärdaten aufbewahren.
- Eine schriftliche Richtlinie zum Umgang mit personenbezogenen Daten führen und sicherstellen, dass die Belegschaft sie versteht.
- Physische Akten mit personenbezogenen Informationen unter Verschluss halten.
5. Meldung von Datenschutzverletzungen
Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für Betroffene birgt, müssen Sie Ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung benachrichtigen. Birgt der Vorfall voraussichtlich ein hohes Risiko für Betroffene, müssen Sie zusätzlich die betroffenen Personen direkt benachrichtigen. Das vollständige Verfahren finden Sie unter 72-Stunden-Meldepflicht der DSGVO.
Ein häufiger Fehler kleiner Unternehmen besteht in der Annahme, nur groß angelegte Hackerangriffe seien meldepflichtige Verletzungen. Ein gestohlener Laptop mit unverschlüsselten Kundendaten, eine an den falschen Empfänger versendete E-Mail mit sensiblen Informationen oder ein Ransomware-Angriff auf ein gemeinsam genutztes Laufwerk stellen allesamt Datenschutzverletzungen dar, die eine Meldung erforderlich machen können.
6. Auftragsverarbeitungsverträge mit Dienstleistern
Nach Artikel 28 benötigen Sie, sobald Sie personenbezogene Daten mit einem Dritten teilen, der sie in Ihrem Auftrag verarbeitet (Cloud-Hosting-Anbieter, E-Mail-Marketing-Plattformen, Lohnbuchhaltungsdienste, Buchhaltungssoftware, Zahlungsdienstleister, Website-Analysewerkzeuge), einen Auftragsverarbeitungsvertrag. Die meisten großen Anbieter integrieren inzwischen DSGVO-konforme Auftragsverarbeitungsverträge in ihre Standard-Nutzungsbedingungen oder stellen sie auf Anfrage bereit. Überprüfen Sie diese und stellen Sie sicher, dass sie vorliegen.

Die DSGVO in der Praxis: Drei Branchenbeispiele
Ein kleiner Online-Shop (10 Beschäftigte)
Ein Online-Händler mit zehn Beschäftigten, der Kleidung an EU-Kunden verkauft, verarbeitet täglich Namen, Adressen, E-Mail-Adressen und Kaufhistorien von Kunden. Diese Verarbeitung ist nicht gelegentlich, sie ist zentraler Bestandteil jeder Transaktion.
Zentrale Pflichten: Rechtsgrundlage für die Auftragsabwicklung (vertragliche Erforderlichkeit), gesonderte Grundlage für Marketing-E-Mails (Einwilligung oder berechtigte Interessen), Cookie-Einwilligungsbanner für Analysewerkzeuge und Werbe-Pixel, Datenschutzhinweis auf der Website, Auftragsverarbeitungsverträge mit dem Zahlungsdienstleister und der E-Mail-Plattform sowie ein klares Verfahren für Auskunfts- und Löschungsersuchen.
Die Ausnahme nach Artikel 30 Absatz 5 gilt hier nicht, weil die Verarbeitung nicht gelegentlich erfolgt. Der Händler sollte ein Verzeichnis in Tabellenform führen. Ein Datenschutzbeauftragter ist nicht erforderlich. Eine benannte Person aus der Belegschaft bearbeitet Anfragen zu Betroffenenrechten.
Eine lokale Praxis oder Hausarztpraxis (5 Mitarbeitende)
Eine kleine Arztpraxis verarbeitet täglich Gesundheitsdaten von Patienten. Gesundheitsdaten sind besondere Datenkategorien nach Artikel 9 und erfordern eine Rechtsgrundlage sowohl nach Artikel 6 als auch nach Artikel 9 Absatz 2. Die für einen Gesundheitsdienstleister, der Patienten behandelt, in der Regel einschlägige Grundlage nach Artikel 9 ist Artikel 9 Absatz 2 Buchstabe h: medizinische Diagnostik und Behandlung.
Die Ausnahme nach Artikel 30 Absatz 5 gilt hier nicht, weil die Verarbeitung besondere Datenkategorien (Gesundheitsdaten) betrifft. Die Praxis muss ein vollständiges Verarbeitungsverzeichnis führen. Ob ein Datenschutzbeauftragter erforderlich ist, hängt davon ab, ob die Verarbeitung im jeweiligen Kontext als "umfangreich" gilt; die meisten europäischen Datenschutzbehörden sehen eine kleine lokale Praxis in der Regel unterhalb dieser Schwelle, wobei die Leitlinien der Mitgliedstaaten variieren.
Weitere zentrale Pflichten: strenge Zugriffskontrollen für Patientenakten, dem Sensibilitätsgrad von Gesundheitsdaten angemessene Sicherheitsmaßnahmen, Datenweitergabevereinbarungen mit genutzten Drittsystemen (Laborergebnisse, Terminplattformen) sowie ein sorgfältiger Umgang mit jeglicher Patientenkommunikation per E-Mail.
Eine kleine Digitalmarketingagentur (15 Beschäftigte)
Eine Marketingagentur, die Kampagnen durchführt und im Auftrag von Kunden Daten von EU-Verbrauchern verarbeitet, befindet sich in einer komplexeren Position. Die Agentur agiert sowohl als Verantwortlicher (für die Daten der eigenen Belegschaft und Geschäftskontakte) als auch als Auftragsverarbeiter (bei der Bearbeitung von Kundendaten im Auftrag des Kunden).
Als Auftragsverarbeiter muss die Agentur: mit jedem Kunden einen Auftragsverarbeitungsvertrag abschließen, der Art, Zweck und Dauer der Verarbeitung festlegt; angemessene Sicherheitsmaßnahmen nach Weisung des Verantwortlichen umsetzen; jeden Vorfall unverzüglich dem Kunden melden; und keine Unterauftragsverarbeiter ohne Genehmigung des Kunden einsetzen.
Für Kampagnen mit verhaltensbasierter Werbung unter Einsatz von Tracking-Pixeln und Cookies gelten die Einwilligungsanforderungen der DSGVO für Cookies. Die Agentur sollte zudem wissen, dass die Nutzung von Google Ads seit März 2024 die Implementierung von Consent Mode v2 erfordert, um Einwilligungsentscheidungen der Nutzer korrekt zu übermitteln.
Häufige Compliance-Fehler von KMU
Die Annahme, die Größe schaffe eine Ausnahme
"Wir sind ein kleines Unternehmen" ist nach der DSGVO keine rechtliche Verteidigung. Aufsichtsbehörden haben Einzelunternehmer und Kleinstunternehmen für grundlegende Verstöße mit Bußgeldern belegt. Bußgelder werden verhältnismäßig verhängt, aber sie werden verhängt.
Übermäßige Nutzung der Einwilligung als Rechtsgrundlage
Viele kleine Unternehmen fügen jedem Formular ein Einwilligungskästchen hinzu, weil es sicher erscheint. In der Praxis ist die Einwilligung häufig die falsche Grundlage: Sie begründet Widerrufsrechte, die komplex zu verwalten sind, und sollte nur dort eingesetzt werden, wo die betroffene Person eine echte freie Wahl hat. Wo sich vertragliche Erforderlichkeit oder berechtigte Interessen heranziehen lassen, sind diese Grundlagen oft praktikabler und beständiger.
Unwirksame Cookie-Einwilligung
Der Hinweis "durch die Nutzung dieser Website akzeptieren Sie Cookies" in der Fußzeile stellt keine gültige DSGVO-Einwilligung dar. Die Einwilligung für nicht notwendige Cookies erfordert einen klaren Opt-in-Mechanismus, der es Nutzern ermöglicht, Cookies zu akzeptieren oder abzulehnen, bevor sie gesetzt werden. Vorangekreuzte Kästchen und stillschweigende Einwilligung sind nicht konform.
Keine Löschkonzept
Der Grundsatz der Speicherbegrenzung nach Artikel 5 Absatz 1 Buchstabe e verlangt, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden. Kundendaten unbegrenzt aufzubewahren oder Akten ehemaliger Mitarbeiter niemals zu löschen, verstößt gegen diesen Grundsatz. Legen Sie für jede Datenkategorie Aufbewahrungsfristen fest und implementieren Sie ein Verfahren zur Löschung nach Fristablauf.
Vergessene Beschäftigtendaten
Die DSGVO gilt für Beschäftigtendaten ebenso wie für Kundendaten. Personalakten, Gehaltsinformationen, Disziplinarakten und von Bewerbern eingereichte Lebensläufe erfordern allesamt denselben Schutz. Viele kleine Unternehmen konzentrieren ihre Compliance-Bemühungen auf Kundendaten und vernachlässigen ihre Personalpflichten vollständig.
Kein Notfallplan für Datenschutzverletzungen
Ohne Plan überschreitet eine Datenschutzverletzung wahrscheinlich die 72-Stunden-Meldefrist, während die Belegschaft überlegt, was zu tun ist. Ein einfaches schriftliches Verfahren, das die Erkennung eines Vorfalls, die Bewertung seiner Schwere, die Zuständigkeit für die Meldung sowie die Eindämmung und Dokumentation regelt, kostet nichts und kann ein Bußgeld verhindern.
Fehlende Auftragsverarbeitungsverträge mit Dienstleistern
Die Nutzung von Cloud-Speicher, E-Mail-Marketing-Werkzeugen oder Lohnbuchhaltungssoftware, ohne zu prüfen, ob ein Auftragsverarbeitungsvertrag vorliegt, ist eine häufige Lücke. Sie ist zudem ein einfaches Durchsetzungsziel für Aufsichtsbehörden, weil sich ein fehlendes Dokument leicht nachweisen lässt.
Kostengünstige Compliance-Schritte für kleine Unternehmen
Compliance erfordert keine großen Budgets oder Spezialsoftware. Die folgenden sechs Schritte decken die wichtigsten DSGVO-Anforderungen mit minimalem Aufwand ab.
Schritt 1: Datenbestandsaufnahme (kostenlos): Listen Sie jede Art von personenbezogenen Daten auf, die Sie verarbeiten: was es ist, wem es gehört, warum Sie es aufbewahren, wo es gespeichert ist, wer Zugriff hat und wie lange Sie es aufbewahren. Eine Tabelle genügt. Aktualisieren Sie diese, wann immer Sie ein neues Werkzeug oder Verfahren einführen.
Schritt 2: Datenschutzhinweis (kostenlos): Verfassen Sie einen verständlichen Datenschutzhinweis, der alle nach Artikel 13 und 14 erforderlichen Informationen abdeckt. Veröffentlichen Sie ihn auf Ihrer Website und machen Sie ihn an jedem Punkt der Datenerhebung verfügbar. Nutzen Sie die kostenlosen Vorlagen des EDSA als Ausgangspunkt.
Schritt 3: Cookie-Einwilligung (kostenlos bis kostengünstig): Verwendet Ihre Website nicht notwendige Cookies (Analyse, Werbung, Social-Media-Buttons), implementieren Sie ein konformes Opt-in-Banner. Mehrere kostenlose und kostengünstige Werkzeuge bieten DSGVO-konformes Einwilligungsmanagement.
Schritt 4: Überprüfung der Auftragsverarbeitungsverträge (kostenlos): Gehen Sie Ihre Liste der Dienstleister durch und stellen Sie sicher, dass mit jedem Anbieter, der personenbezogene Daten in Ihrem Auftrag verarbeitet, ein Auftragsverarbeitungsvertrag besteht. Die meisten großen Anbieter stellen entsprechende Verträge in ihren Bedingungen oder auf Anfrage bereit.
Schritt 5: Grundlegende Sicherheit (kostenlos bis kostengünstig): Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Geschäftskonten. Setzen Sie einen Passwort-Manager ein. Verschlüsseln Sie Ihre Geräte. Halten Sie Software aktuell. Diese Maßnahmen sind größtenteils kostenlos und adressieren die häufigsten Ursachen von Datenschutzverletzungen bei kleinen Unternehmen.
Schritt 6: Verfahren für Betroffenenrechte und Vorfallreaktion (kostenlos): Benennen Sie eine namentlich bekannte Ansprechperson für Anfragen Betroffener. Führen Sie ein einfaches Protokoll, das Anfragen, ihre Art, das Eingangsdatum und das Erledigungsdatum erfasst. Verfassen Sie eine einseitige Checkliste zur Reaktion auf Datenschutzverletzungen, die die 72-Stunden-Meldepflicht abdeckt.
Zusammenfassung der DSGVO-Pflichten für KMU
| Pflicht | Gilt für KMU? | Hinweise |
|---|---|---|
| Rechtsgrundlage der Verarbeitung | Ja | Für jede Tätigkeit dokumentieren |
| Datenschutzhinweis | Ja | Klar und zugänglich |
| Betroffenenrechte (8 Rechte) | Ja | Antwortfrist von einem Monat |
| Verarbeitungsverzeichnis (Artikel 30) | Meist ja | Ausnahme ist eng gefasst; Verzeichnis trotzdem führen |
| Sicherheitsmaßnahmen (Artikel 32) | Ja | Verhältnismäßig zum Risiko |
| Meldung von Datenschutzverletzungen (72 Stunden) | Ja | Bei Risiko für Betroffene |
| Bestellung eines Datenschutzbeauftragten | Selten | Die meisten KMU benötigen keinen |
| Datenschutz-Folgenabschätzung | Manchmal | Nur bei risikobehafteter Verarbeitung |
| Auftragsverarbeitungsverträge | Ja | Mit jedem Auftragsverarbeiter Ihrer Daten |
| Mechanismen für internationale Übermittlungen | Ja | Bei Übermittlung außerhalb der EU/EWR |
| Cookie-Einwilligung | Ja | Für nicht notwendige Cookies |
Kostenlose offizielle Ressourcen für kleine Unternehmen
EDSA-Datenschutzleitfaden für kleine Unternehmen: Der KMU-Leitfaden des EDSA ist die umfassendste kostenlose offizielle Ressource. Er behandelt alle wichtigen DSGVO-Themen mit Videos, interaktiven Ablaufdiagrammen, Infografiken und Praxisbeispielen. Der Bereich mit praktischen Ressourcen enthält herunterladbare Vorlagen für Verarbeitungsverzeichnisse, Datenschutzhinweise, Einwilligungsformulare und Auftragsverarbeitungsverträge. Seit 2024 in 17 EU-Sprachen verfügbar.
Beratung der ICO für kleine Organisationen: Die britische Information Commissioner's Office bietet speziell auf kleine und mittlere Organisationen zugeschnittene Hinweise sowie ein Selbstbewertungswerkzeug für den Datenschutz, das einen maßgeschneiderten Aktionsplan erstellt.
Your-Europe-Unternehmensportal: Das Your-Europe-Portal bietet DSGVO-Hinweise in allen EU-Amtssprachen für Unternehmen, die im Binnenmarkt tätig sind.
Nationale Aufsichtsbehörden: Die Datenschutzbehörde jedes EU-Mitgliedstaats veröffentlicht eigene KMU-Ressourcen. Die irische DPC, die französische CNIL, die niederländische AP und die deutschen Landesdatenschutzbehörden bieten allesamt kostenlose Werkzeuge und Beratungsstellen für kleine Unternehmen in ihrer jeweiligen Zuständigkeit an.
Was sich durch den geplanten Digital Omnibus ändern würde (nach Inkrafttreten)
Sollten die Digital-Omnibus-Änderungen wie vorgeschlagen verabschiedet werden, ergäben sich für KMU folgende praktische Änderungen:
- Organisationen mit weniger als 750 Beschäftigten müssten kein Verarbeitungsverzeichnis mehr führen, sofern die Verarbeitung nicht voraussichtlich ein hohes Risiko birgt (die Schwelle für die Datenschutz-Folgenabschätzung nach Artikel 35).
- Routinemäßige, risikoarme Verarbeitungen (Kunden-E-Mail-Listen, Personalakten, Online-Buchungen) müssten von diesen Organisationen nicht mehr förmlich dokumentiert werden.
- Alle anderen Pflichten bleiben unverändert: Rechtsgrundlage, Datenschutzhinweise, Betroffenenrechte, Sicherheit, Meldung von Datenschutzverletzungen und Auftragsverarbeitungsverträge gelten weiterhin uneingeschränkt.
Die Vereinfachung ist real, aber begrenzt. Der weit überwiegende Teil Ihrer Compliance-Pflichten bleibt unberührt. Setzen Sie Ihre derzeitige Compliance-Praxis fort und verfolgen Sie den Gesetzgebungsprozess, bevor Sie Änderungen vornehmen.
Verwandte DSGVO-Leitfäden
- Was ist die DSGVO für einen umfassenden Überblick über die Verordnung
- DSGVO-Compliance-Checkliste für eine schrittweise Compliance-Anleitung
- Einwilligungsanforderungen der DSGVO für gültige Einwilligungsstandards und wann eine Einwilligung die richtige Grundlage ist
- Betroffenenrechte nach der DSGVO für alle acht individuellen Rechte
- DSGVO-Bußgelder und Strafen für Durchsetzungsdaten und Bußgeldberechnung
- 72-Stunden-Meldepflicht der DSGVO für das Meldeverfahren bei Datenschutzverletzungen
- EU-Cookie-Recht (ePrivacy-Richtlinie) für Anforderungen an die Cookie-Einwilligung
- EU-Datenschutzrecht für den vollständigen Überblick über den EU-Datenschutzrahmen
Frequently Asked Questions
Gilt die DSGVO für kleine Unternehmen?
Ja. Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet, unabhängig von ihrer Größe. Ein Einzelunternehmer, ein Start-up und ein Unternehmen mit 200 Beschäftigten unterliegen ihr allesamt, sofern sie personenbezogene Daten von Personen in der EU verarbeiten. Eine pauschale Ausnahme für kleine Unternehmen gibt es nicht. Die Compliance-Pflichten richten sich nach Art und Risiko Ihrer Verarbeitungstätigkeiten, nicht nach Ihrer Beschäftigtenzahl.
Benötigen kleine Unternehmen einen Datenschutzbeauftragten?
Die meisten nicht. Ein Datenschutzbeauftragter ist nach Artikel 37 nur verpflichtend für Behörden, Organisationen, deren Kerntätigkeit eine regelmäßige und systematische umfangreiche Überwachung von Personen erfordert, sowie Organisationen, deren Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten, genetische Daten usw.) umfasst. Ein typisches kleines Einzelhandels-, Dienstleistungs- oder Technologieunternehmen erfüllt diese Kriterien nicht. Eine freiwillige Bestellung ist möglich, dann gelten jedoch die vollständigen DSGVO-Vorschriften zur Unabhängigkeit und zum Schutz des Datenschutzbeauftragten.
Sind kleine Unternehmen von der DSGVO-Dokumentationspflicht befreit?
Die Ausnahme nach Artikel 30 Absatz 5 für Organisationen mit weniger als 250 Beschäftigten ist enger gefasst, als viele annehmen. Sie gilt nur, wenn alle drei Voraussetzungen gleichzeitig erfüllt sind: Die Verarbeitung erfolgt gelegentlich, sie birgt kein Risiko für Betroffene und sie umfasst keine besonderen Datenkategorien. Die meisten kleinen Unternehmen verarbeiten regelmäßig Kunden- oder Beschäftigtendaten, wodurch sie das Kriterium der Gelegentlichkeit nicht erfüllen und weiterhin ein Verzeichnis führen müssen. Empfohlen wird, unabhängig davon aus guter Praxis heraus ein Verzeichnis zu führen.
Was ist der DSGVO-Digital-Omnibus und hilft er kleinen Unternehmen?
Der Digital Omnibus ist ein Paket gezielter DSGVO-Änderungen, das die Europäische Kommission am 19. November 2025 veröffentlicht hat. Es schlägt vor, die Dokumentationsausnahme von Organisationen mit weniger als 250 Beschäftigten auf solche mit weniger als 750 Beschäftigten auszuweiten und die Dokumentationspflicht auf risikobehaftete Verarbeitungen zu beschränken. Der EDSA und der EDSB begrüßten die Vereinfachung. Stand Mai 2026 befindet sich der Vorschlag in Trilog-Verhandlungen und ist nicht in Kraft getreten. Die derzeitige Schwelle von 250 Beschäftigten mit der Drei-Voraussetzungen-Prüfung bleibt geltendes Recht, bis die Änderungen förmlich verabschiedet sind.
Kann ein kleines Unternehmen nach der DSGVO mit einem Bußgeld belegt werden?
Ja. DSGVO-Bußgelder gelten für Organisationen jeder Größe, gestaffelt nach der Schwere des Verstoßes. Aufsichtsbehörden müssen sicherstellen, dass Bußgelder wirksam, verhältnismäßig und abschreckend sind, was bedeutet, dass ein kleines Unternehmen in der Regel ein niedrigeres absolutes Bußgeld erhält als ein multinationaler Konzern, die Sanktionen können jedoch weiterhin erheblich ausfallen. Bußgelder erreichen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen. Dokumentierte Fälle umfassen Bußgelder gegen kleine Gesundheitsdienstleister, die medizinische Behandlung von einer Marketingeinwilligung abhängig machten, sowie gegen kleine Unternehmen, die Auskunftsersuchen ignorierten.
Was sind die wichtigsten DSGVO-Schritte für ein kleines Unternehmen?
Beginnen Sie mit sechs Prioritäten: (1) eine Bestandsaufnahme aller verarbeiteten personenbezogenen Daten und der Gründe hierfür erstellen; (2) einen klaren Datenschutzhinweis verfassen und veröffentlichen; (3) für jede Verarbeitungstätigkeit eine dokumentierte Rechtsgrundlage sicherstellen; (4) grundlegende Sicherheitsmaßnahmen umsetzen, einschließlich Zwei-Faktor-Authentifizierung und Geräteverschlüsselung; (5) ein einfaches Verfahren zur Bearbeitung von Anfragen zu Betroffenenrechten innerhalb eines Monats einrichten; und (6) sicherstellen, dass mit allen Dienstleistern, die personenbezogene Daten in Ihrem Auftrag verarbeiten, Auftragsverarbeitungsverträge bestehen.
Gilt die DSGVO für ein Unternehmen außerhalb der EU, das an EU-Kunden verkauft?
Ja. Nach Artikel 3 Absatz 2 gilt die DSGVO für Organisationen außerhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbieten oder ihr Verhalten beobachten. Ein US-amerikanischer Online-Shop mit EU-Kunden, ein kanadischer SaaS-Anbieter mit EU-Nutzern und ein britisches Unternehmen, das EU-Kunden nach dem Brexit bedient, müssen allesamt konform handeln. Durch den Brexit unterliegen britische Unternehmen, die EU-Kunden bedienen, für ihre EU-Tätigkeiten der EU-DSGVO sowie zusätzlich der separaten britischen DSGVO für ihre Tätigkeiten im Vereinigten Königreich.
Benötige ich auf meiner Website ein Cookie-Einwilligungsbanner?
Verwendet Ihre Website nicht notwendige Cookies (einschließlich Analyse-Cookies, Werbe-Pixel, Social-Media-Buttons oder anderer Tracking-Technologien), benötigen Sie einen konformen Einwilligungsmechanismus. Eine gültige Einwilligung erfordert ein aktives Opt-in, bevor nicht notwendige Cookies gesetzt werden, eine ebenso einfache Möglichkeit zur Ablehnung sowie keine vorangekreuzten Kästchen. Ein bloßer Hinweis in der Fußzeile, dass Ihre Website Cookies verwendet, genügt nicht. Die vollständigen Anforderungen finden Sie im Leitfaden zum EU-Cookie-Recht.
Sources and References
- Vollständiger Text der DSGVO — Verordnung (EU) 2016/679(eur-lex.europa.eu).gov
- Europäische Kommission — Gilt die DSGVO für KMU?(commission.europa.eu).gov
- EDSA-Datenschutzleitfaden für kleine Unternehmen(edpb.europa.eu).gov
- EDSA — Praktische Ressourcen für KMU (Vorlagen und Werkzeuge)(edpb.europa.eu).gov
- EDSA-KMU-Leitfaden — Datenschutzbeauftragter(edpb.europa.eu).gov
- EDSA — Positionspapier zur Ausnahme nach Artikel 30 Absatz 5(edpb.europa.eu).gov
- EDSA/EDSB — Begrüßung der Vereinfachung der Dokumentationspflicht (2025)(edpb.europa.eu).gov
- Europäische Kommission — Benötigt meine Organisation einen Datenschutzbeauftragten?(commission.europa.eu).gov
- Europäische Kommission — Vereinfachungsvorschlag DSGVO-Omnibus (November 2025)(commission.europa.eu).gov
- Your Europe — Datenschutz nach der DSGVO(europa.eu).gov
- ICO — Beratung für kleine Organisationen(ico.org.uk).gov
- ICO — Wer muss Verarbeitungstätigkeiten dokumentieren?(ico.org.uk).gov
- ICO — Datenschutz-Selbstbewertung für kleine Unternehmen(ico.org.uk).gov
- ICO — Marketing und Datenschutz im Detail(ico.org.uk).gov
- EDSA — FAQ für KMU(edpb.europa.eu).gov
- Gesetzgebungsfahrplan des Europäischen Parlaments — Digitalpaket(europarl.europa.eu).gov
- GDPR-Info.eu — Artikel 30 Verzeichnis von Verarbeitungstätigkeiten(gdpr-info.eu)