● Recht & Compliance

DSGVO für kleine Unternehmen: die wichtigsten Pflichten

Datenschutz klingt nach Konzernthema, betrifft aber auch dich als Selbstständige oder kleines Unternehmen. Die gute Nachricht: Die DSGVO ist besser machbar, als ihr Ruf vermuten lässt. Hier bekommst du eine ruhige Übersicht über die Pflichten, die für kleine Betriebe wirklich zählen, damit du weißt, was du brauchst und Bußgelder vermeidest.

Das Wichtigste in 30 Sekunden

  • Gilt für alle: Sobald du personenbezogene Daten verarbeitest, gilt die DSGVO, unabhängig von deiner Größe.
  • Website-Basics: Eine rechtssichere Datenschutzerklärung und ein Cookie-Consent-Tool sind Pflicht, sobald Daten verarbeitet werden.
  • AV-Vertrag mit Dienstleistern: Wer für dich Daten verarbeitet (IT, Hosting, Newsletter), braucht einen Auftragsverarbeitungsvertrag.
  • Nachweisen können: VVT, TOM und dokumentierte Prozesse gehören zur Rechenschaftspflicht, sonst drohen hohe Bußgelder.

Gilt die DSGVO auch für kleine Unternehmen?

Kurz gesagt: ja. Die Datenschutz-Grundverordnung gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet, unabhängig von Größe oder Mitarbeiterzahl. Das betrifft dich schon, wenn du Kundendaten speicherst, Rechnungen verschickst oder eine Website mit Kontaktformular betreibst. In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) ergänzt.

Hinter der Verordnung stehen ein paar klare Grundsätze, die du kennen solltest:

  • Rechtmäßigkeit und Transparenz: Jede Verarbeitung braucht eine Rechtsgrundlage (z.B. Einwilligung) und die Betroffenen müssen offen informiert werden.
  • Zweckbindung und Datenminimierung: Nur die Daten erheben, die du wirklich für einen festen Zweck brauchst.
  • Speicherbegrenzung: Daten nur so lange aufbewahren, wie nötig, danach löschen oder anonymisieren.
  • Integrität und Vertraulichkeit: Daten mit technischen und organisatorischen Maßnahmen vor unbefugtem Zugriff schützen.
  • Rechenschaftspflicht: Du musst die Einhaltung nachweisen können, etwa durch Datenschutzerklärung, VVT und AV-Verträge.
i
Betroffene haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit. Solche Anfragen musst du in der Regel innerhalb eines Monats bearbeiten. Prüfe die Identität des Anfragenden und dokumentiere den Vorgang.

Datenschutz auf der Website

Deine Website ist der sichtbarste Berührungspunkt mit dem Datenschutz. Zwei Dinge sind hier praktisch immer nötig: eine leicht erreichbare Datenschutzerklärung und, sobald du trackst, ein Cookie-Consent-Tool.

Datenschutzerklärung

Eine Datenschutzerklärung ist Pflicht, sobald auf deiner Website personenbezogene Daten verarbeitet werden, also bei Kontaktformularen, Analysetools oder eingebetteten Diensten wie Google Maps oder YouTube. Sie muss informieren, welche Daten du erhebst, zu welchem Zweck, wie lange du sie speicherst und welche Rechte Betroffene haben. Für gewerblich genutzte Social-Media-Kanäle ist zusätzlich eine eigene Datenschutzerklärung sinnvoll.

Cookie-Consent-Tool

Sobald du Tracking-Cookies oder vergleichbare Technologien zur Analyse des Nutzerverhaltens einsetzt, brauchst du eine echte Einwilligung der Nutzer. Ein bloßer Cookie-Hinweis („Diese Seite nutzt Cookies“) reicht dafür nicht aus.

Zusammenarbeit mit Dienstleistern

Kaum ein Betrieb macht heute alles selbst. Sobald ein Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet, also dein Hoster, dein Newsletter-Tool, deine IT oder deine Buchhaltung, brauchst du einen Auftragsverarbeitungsvertrag (AV-Vertrag).

Der AV-Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten und legt fest, dass der Dienstleister die Daten nur nach deiner Weisung verarbeitet. Fehlt ein solcher Vertrag, ist das ein Datenschutzverstoß und kann zu Bußgeldern und Haftungsrisiken führen.

!
Werden Daten außerhalb der EU verarbeitet (etwa bei US-Anbietern), reicht der AV-Vertrag allein oft nicht. Dann müssen zusätzlich Standardvertragsklauseln (SCC) ein ausreichendes Datenschutzniveau im Drittland sicherstellen.

Mitarbeiterdatenschutz

Sobald du Menschen beschäftigst, verarbeitest du auch deren Daten, von Gehalt über Krankmeldungen bis zu Leistungsbeurteilungen. Diese Daten dürfen nur rechtmäßig, zweckgebunden und sicher verarbeitet werden.

Im laufenden Arbeitsverhältnis brauchst du klare Regeln für Zeiterfassung, E-Mail- und IT-Nutzung sowie den Zugriff auf Personalakten. Nach dem Ende des Arbeitsverhältnisses müssen Daten fristgerecht gelöscht werden. Wichtig: Deine Mitarbeiter müssen über die Datenverarbeitung informiert und für das Thema sensibilisiert werden.

Auch im Bewerbungsverfahren gilt Datenminimierung: Nur für die Einstellungsentscheidung relevante Daten dürfen erhoben werden. Daten abgelehnter Bewerber musst du nach Ablauf der gesetzlichen Fristen löschen, eine Aufbewahrung für spätere Stellen ist nur mit Einverständnis erlaubt.

DSB, VVT, TOM und DSFA

Hinter diesen Abkürzungen stecken die Dokumentationspflichten. Keine Sorge, für kleine Betriebe ist das meist überschaubar.

  • Datenschutzbeauftragter (DSB): In der Regel erst Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG). Bei besonders risikoreichen Verarbeitungen, etwa umfangreicher Videoüberwachung, kann er auch bei weniger Personen nötig sein.
  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Grundsätzlich muss jedes Unternehmen ein VVT führen (Art. 30 DSGVO). Für Betriebe unter 250 Mitarbeitern gibt es Ausnahmen, in der Praxis solltest du als kleines Unternehmen aber trotzdem eines führen, weil die meisten Verarbeitungen regelmäßig erfolgen.
  • Technische und organisatorische Maßnahmen (TOM): Du musst dein Schutzniveau dem Risiko anpassen (Art. 32 DSGVO), zum Beispiel durch Verschlüsselung, Zugriffskontrollen und regelmäßige Überprüfung.
  • Datenschutz-Folgenabschätzung (DSFA): Nötig, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen bedeutet (Art. 35 DSGVO), etwa bei systematischer Überwachung.

Datenpannen und Bußgelder

Trotz aller Vorsicht kann etwas schiefgehen. Bei einer Datenpanne, die voraussichtlich ein Risiko für die Rechte Betroffener bedeutet, musst du die zuständige Aufsichtsbehörde unverzüglich informieren, möglichst binnen 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Besteht ein hohes Risiko, musst du auch die betroffenen Personen benachrichtigen (Art. 34 DSGVO).

!
Die Bußgelder sind real: Bei Verstößen sind bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich, je nachdem, welcher Wert höher ist (Art. 83 DSGVO). Dazu können Schadensersatzansprüche der Betroffenen kommen.
Der beste Schutz ist keine Panik, sondern Struktur: Erledige die Website-Basics, schließe deine AV-Verträge, führe ein VVT und halte deine Fristen und Aufgaben nachvollziehbar fest. Dann bist du gut aufgestellt.
PDF
DSGVO-Checkliste für kleine Unternehmen 2025/2026

Kompakt zum Abhaken, als PDF zum Ausdrucken.

Kostenlos herunterladen
◆ Wie unternio hilft

DSGVO-Aufgaben und Fristen an einem ruhigen Ort

Datenschutz ist keine Einmalaufgabe, sondern eine Daueraufgabe mit vielen kleinen Fristen und To-dos. Mit dem Kontrollregister von unternio legst du deine Datenschutzaufgaben einmal an, von der jährlichen Prüfung der Datenschutzerklärung bis zum Löschen von Bewerberdaten, und wirst rechtzeitig erinnert. So erfüllst du deine Rechenschaftspflicht, ohne den Überblick zu verlieren.

Datenschutzaufgaben und Fristen zentral verwalten Automatische Erinnerungen vor Fälligkeit DSGVO, Hosting in Deutschland
unternio kostenlos testen

Häufige Fragen

Gilt die DSGVO auch für kleine Unternehmen und Selbstständige?
Ja. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet, unabhängig von Größe oder Mitarbeiterzahl. Schon das Speichern von Kundendaten oder ein Kontaktformular auf der Website reicht aus.
Muss ich als Kleinunternehmer einen Datenschutzbeauftragten bestellen?
In der Regel erst ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Bei bestimmten risikoreichen Verarbeitungen kann ein DSB aber auch bei weniger Personen Pflicht sein.
Benötige ich für meine Website ein Cookie-Consent-Tool?
Ja, sobald du Tracking-Cookies oder vergleichbare Technologien zur Analyse des Nutzerverhaltens einsetzt. Dann brauchst du eine echte Einwilligung. Ein bloßer Cookie-Hinweis reicht nicht aus.
Was passiert, wenn ich die DSGVO nicht beachte?
Es drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Zusätzlich können Betroffene Schadensersatz verlangen.

Behalte dein Unternehmen im Griff

Aufgaben, Fristen, Verträge und Kunden an einem ruhigen, klaren Ort.

Jetzt kostenlos starten

Quellen und Rechtsgrundlagen: Datenschutz-Grundverordnung (DSGVO) · Bundesdatenschutzgesetz (BDSG) · Digitale-Dienste-Gesetz (DDG)

Redaktionell verantwortlich gemäß § 18 Abs. 2 MStV: Jan Pulfer, Pik Production GmbH, Georgstraße 38, 30159 Hannover.