KMU-Digitalcheck LogoKMU-Digitalcheck — Der einfache & schnelle Digitalcheck für kleine & mittlere Unternehmen
Compliance9 Min.

DSGVO für KMU — Die 10 häufigsten Fehler (und wie Sie sie vermeiden)

Die Landesdatenschutzbehörden prüfen inzwischen aktiver als noch vor zwei Jahren — und sie fangen bei den Kleinen an. Nicht mit Millionen-Bußgeldern wie bei Meta, aber mit 5.000 oder 20.000 Euro. Für einen 5-Mann-Betrieb ist das ein Monatsgehalt.

Die 10 häufigsten DSGVO-Fehler bei KMU

In der Beratungspraxis treffen bei den meisten KMU mindestens drei dieser Punkte zu:

  • Kein Verarbeitungsverzeichnis (VVT): Die Mehrheit der KMU hat keins — obwohl es Pflicht ist. Das VVT dokumentiert, welche Daten Sie zu welchem Zweck verarbeiten.
  • Datenschutzerklärung von 2018 nie aktualisiert: Seit 2018 hat sich vieles geändert — Google Analytics 4, neue Cookie-Urteile, Cloud-Dienste. Ihre Datenschutzerklärung muss den aktuellen Stand abbilden.
  • Cookie-Banner mit vorangekreuzten Checkboxen: Seit dem BGH-Urteil von 2020 sind Opt-in-Checkboxen Pflicht. Vorangekreuzte Kästchen sind rechtswidrig.
  • Kein „Alle ablehnen"-Button im Cookie-Banner: Seit 2022 verlangt die Datenschutzkonferenz einen gleichwertigen Ablehnen-Button auf der ersten Ebene.
  • Kundendaten in unverschlüsselten Excel-Listen per Mail verschickt: Personenbezogene Daten gehören nicht in unverschlüsselte E-Mail-Anhänge. Nutzen Sie verschlüsselte Cloud-Freigaben.
  • Keine Auftragsverarbeitungsverträge (AVV) mit Cloud-Anbietern: Für jeden Cloud-Dienst, der personenbezogene Daten verarbeitet (E-Mail, CRM, Buchhaltung), brauchen Sie einen AVV.
  • Mitarbeiter nie zum Datenschutz geschult: Eine jährliche 30-Minuten-Schulung reicht als Basis. Dokumentieren Sie die Teilnahme.
  • Datenpannen nicht innerhalb von 72 Stunden gemeldet: Auch ein verlorener USB-Stick oder eine falsch adressierte E-Mail kann meldepflichtig sein.
  • Keine technisch-organisatorischen Maßnahmen (TOMs) dokumentiert: Art. 32 DSGVO verlangt dokumentierte Schutzmaßnahmen — Passwortrichtlinie, Backup-Konzept, Zugriffsrechte.
  • Löschkonzept fehlt — alte Kundendaten ewig gespeichert: Sie dürfen Daten nur so lange speichern, wie es einen Zweck gibt. Danach müssen sie gelöscht werden.

Was ein Bußgeld wirklich kostet

In den Nachrichten hört man immer von den Millionen-Strafen gegen Google und Meta. Die Bußgelder für KMU sind deutlich kleiner. Aber relativ zum Umsatz treffen sie härter:

Was ein Bußgeld wirklich kostet
VerstoßTypisches Bußgeld
Fehlende Datenschutzerklärung2.000–10.000 €
Kein Verarbeitungsverzeichnis5.000–25.000 €
Nicht gemeldete Datenpanne10.000–50.000 €
Fehlende AVVs mit Cloud-Anbietern5.000–20.000 €
Unverschlüsselte Kundendaten10.000–50.000 €

Trend 2025/2026: Die Datenschutzbehörden fokussieren sich zunehmend auf IT-Sicherheit und Cloud-Nutzung. Viele aktuelle Bußgelder betreffen unverschlüsselte Kundendaten in der Cloud.

Schnell-Check: 5 Fragen für Ihren Betrieb

Beantworten Sie diese 5 Fragen ehrlich. Jedes „Nein" bedeutet Handlungsbedarf:

  • Haben Sie ein aktuelles Verarbeitungsverzeichnis (VVT)?
  • Ist Ihre Datenschutzerklärung aktuell (nicht älter als 12 Monate)?
  • Haben Sie AVVs mit allen Cloud-Diensten (E-Mail, Buchhaltung, CRM)?
  • Können Sie eine Datenpanne innerhalb von 72 Stunden melden?
  • Sind Ihre Mitarbeiter zum Datenschutz geschult (mit Nachweis)?

Sofort-Maßnahmen: Was Sie diese Woche tun können

Drei Maßnahmen decken die größten Risiken ab und lassen sich innerhalb einer Woche umsetzen:

  • Verarbeitungsverzeichnis anlegen: Listen Sie alle Prozesse auf, bei denen Sie personenbezogene Daten verarbeiten. Vorlagen gibt es kostenlos bei den Landesdatenschutzbehörden.
  • AVVs prüfen: Loggen Sie sich bei Ihren Cloud-Diensten ein und suchen Sie in den Einstellungen nach „Auftragsverarbeitung" oder „DPA". Viele Anbieter bieten AVVs zum Online-Abschluss an.
  • Cookie-Banner aktualisieren: Prüfen Sie, ob Ihr Banner einen gleichwertigen „Ablehnen"-Button hat und keine vorangekreuzten Checkboxen enthält.

Häufige Fragen

Brauche ich als Einzelunternehmer ein Verarbeitungsverzeichnis?+

Ja, wenn Sie regelmäßig personenbezogene Daten verarbeiten — und das tut praktisch jeder Betrieb (Kundendaten, Mitarbeiterdaten, Lieferantendaten). Die Ausnahme in Art. 30 Abs. 5 DSGVO greift nur bei wirklich gelegentlicher Verarbeitung.

Reicht ein Cookie-Hinweis ohne Einwilligung?+

Nein. Seit dem BGH-Urteil (2020) und dem TDDDG (ehemals TTDSG, § 25 TDDDG) brauchen Sie eine aktive Einwilligung (Opt-in) für alle nicht-essentiellen Cookies. Ein reiner Hinweisbanner ohne Wahlmöglichkeit ist rechtswidrig.

Was mache ich bei einer Datenpanne?+

Sie haben 72 Stunden Zeit, die zuständige Datenschutzbehörde zu informieren (Art. 33 DSGVO). Dokumentieren Sie den Vorfall intern: Was ist passiert? Welche Daten sind betroffen? Welche Maßnahmen haben Sie ergriffen? Bei hohem Risiko müssen Sie auch die betroffenen Personen informieren.

Kann ich als KMU einen externen Datenschutzbeauftragten bestellen?+

Ja, und das ist für die meisten KMU die sinnvollste Lösung. Ein externer DSB kostet ca. 200–500 € pro Monat und bringt Fachkenntnis mit, die intern oft fehlt. Pflicht ist ein DSB nach § 38 BDSG, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Achtung: „ständig beschäftigt" wird weit ausgelegt — auch Mitarbeiter, die regelmäßig eine Kunden-App nutzen oder Fotos mit Adresszuordnung hochladen, können mitzählen. Im Zweifel prüfen lassen.

Digitalcheck für Ihre Branche

🏥Arztpraxis⚖️Rechtsanwalt❤️Pflegedienst
← Alle Ratgeber-Artikel
Cookie-Einstellungen

Wir verwenden Google Analytics 4, um die Nutzung unserer Website zu analysieren und unser Angebot zu verbessern. Dabei werden Cookies gesetzt (_ga), die anonymisierte Nutzungsdaten erfassen. Es werden keine personenbezogenen Daten erhoben. Weitere Informationen finden Sie in unserer Datenschutzerklärung.