Datenschutz

DSGVO-Checkliste für KMU: Die 10 häufigsten Fehler

Zusammenfassung: Auch kleine und mittlere Unternehmen (KMU) stehen zunehmend im Fokus der Aufsichtsbehörden und Abmahnanwälte. Häufig fehlen grundlegende Dokumentationen wie ein Verarbeitungsverzeichnis (VVT) oder gültige Auftragsverarbeitungsverträge (AVV). Zudem werden Betroffenenrechte oft falsch gehandhabt und Webseiten-Cookies ohne echtes Opt-in gesetzt. Ein systematisches Datenschutz-Audit schützt vor Bußgeldern (bis zu 20 Mio. Euro) und sichert das Vertrauen von Kunden und Geschäftspartnern.

Welche Bußgelder drohen bei DSGVO-Verstößen?

Die Schonfrist für Unternehmen ist lange vorbei. Aufsichtsbehörden prüfen mittlerweile aktiv und gezielt — auch bei KMU. Gemäß Artikel 83 DSGVO können Bußgelder bei schwerwiegenden Verstößen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.

Neben den behördlichen Strafen bergen vor allem Mitbewerber und spezialisierte Kanzleien ein erhebliches Risiko: Abmahnungen wegen fehlerhafter Datenschutzerklärungen oder ungültiger Cookie-Banner sind alltägliche Praxis geworden und verursachen schnell hohe vierstellige Anwaltskosten.

Fehler 1 — Kein Verarbeitungsverzeichnis

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das Herzstück der Datenschutz-Compliance. Viele Unternehmer glauben fälschlicherweise, kleine Betriebe seien davon befreit. Die Realität: Sobald personenbezogene Daten nicht nur gelegentlich verarbeitet werden (was bei Kundendaten, Lohnabrechnung oder E-Mail-Kommunikation immer der Fall ist), ist ein VVT gesetzlich vorgeschrieben (Art. 30 DSGVO).

Fehler 2 — Veraltete oder fehlende Datenschutzerklärung

Eine Datenschutzerklärung auf der Website ist Pflicht. Doch reicht ein vor Jahren generierter Text schon lange nicht mehr aus. Wenn Sie neue Tools wie Google Analytics 4, Meta Pixel, Newsletter-Dienste oder Cloud-CRM-Systeme einführen, muss die Erklärung zwingend aktualisiert werden. Fehlende Transparenz ist der häufigste Grund für kostenpflichtige Abmahnungen.

Fehler 3 — Auftragsverarbeitungsverträge fehlen oder sind unwirksam

Sobald Sie einen externen Dienstleister nutzen, der in Ihrem Auftrag personenbezogene Daten verarbeitet (z.B. Steuerberater, Webhoster, Cloud-Speicher, Newsletter-Tool), benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Fehlt dieser, ist die gesamte Datenweitergabe rechtswidrig.

Fehler 4 — Cookie-Consent ohne echtes Opt-in

Viele Cookie-Banner auf KMU-Webseiten sind unzulässig. "Wir nutzen Cookies. Wenn Sie weitersurfen, stimmen Sie zu" — das ist seit Jahren rechtlich tot. Notwendig ist ein echtes Opt-in. Das bedeutet: Tracking- und Marketing-Cookies dürfen erst gesetzt werden, nachdem der Nutzer aktiv auf "Akzeptieren" geklickt hat. Zudem muss es genauso einfach sein, Cookies abzulehnen wie sie zu akzeptieren.

Fehler 5 — Keine Meldung von Datenpannen

Ein Laptop wird gestohlen, ein Hackerangriff legt den Server lahm oder eine E-Mail mit Kundendaten geht an den falschen Empfänger im offenen CC. Solche Vorfälle (Data Breach) müssen in der Regel binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Wer diese Frist verstreichen lässt, weil kein Notfallprozess existiert, riskiert drastische Strafen.

Fehler 6 — Keine technisch-organisatorischen Maßnahmen

Artikel 32 DSGVO fordert ein "dem Risiko angemessenes Schutzniveau". Werden Laptops nicht verschlüsselt, Passwörter auf Post-its notiert, Backups nicht getestet oder das Büro für jedermann zugänglich gelassen, verstoßen Sie gegen die Pflicht zur Umsetzung sogenannter Technisch-organisatorischer Maßnahmen (TOM). Diese müssen zudem schriftlich dokumentiert sein.

Fehler 7 — Mitarbeiter werden nicht geschult

Der beste IT-Schutz versagt, wenn Mitarbeiter Phishing-Mails anklicken oder sensible Akten im Papiermüll entsorgen. Eine regelmäßige (meist jährliche) Sensibilisierung der Belegschaft für Datenschutz und Datensicherheit ist nicht nur Best Practice, sondern wird von den Aufsichtsbehörden bei Prüfungen explizit abgefragt.

Fehler 8 — Kein Datenschutzbeauftragter trotz Pflicht

In Deutschland gilt: Beschäftigen Sie in der Regel mindestens 20 Personen (auch Teilzeitkräfte und Praktikanten), die ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, müssen Sie einen internen oder externen Datenschutzbeauftragten (DSB) bestellen. Ein Verstoß ist bußgeldbewehrt.

Fehler 9 — Betroffenenrechte werden nicht bedient

Wenn ein Kunde Auskunft darüber verlangt, welche Daten Sie über ihn gespeichert haben, oder die Löschung seiner Daten fordert, läuft die Uhr. Sie haben in der Regel einen Monat Zeit, diese Anfragen formal korrekt, vollständig und kostenlos zu beantworten. Ohne vordefinierte Prozesse in Ihrem Unternehmen geraten Sie hier schnell unter Druck.

Fehler 10 — KI-Tools ohne Compliance-Prüfung einsetzen

Die Nutzung von ChatGPT, Copilot oder DeepL hält massiv Einzug im Mittelstand. Doch Vorsicht: Wenn Mitarbeiter sensible Kundendaten oder firmeninterne Dokumente in unregulierte Cloud-KI-Systeme eingeben, droht ein massiver DSGVO-Verstoß und der Verlust von Geschäftsgeheimnissen. Es braucht klare KI-Richtlinien und DSGVO-konforme Enterprise-Lizenzen der Anbieter.

Wie schützen sich KMU vor DSGVO-Bußgeldern?

Der erste Schritt zur DSGVO-Compliance ist ein ehrliches Datenschutz-Audit. Anstatt in Panik zu verfallen, sollten die identifizierten Lücken nach Risiko priorisiert werden. Die wichtigsten To-Dos lauten:

  • Verarbeitungsverzeichnis aufbauen und aktuell halten.
  • Datenschutzerklärungen auf der Website und für Bewerber/Mitarbeiter prüfen.
  • Fehlende Auftragsverarbeitungsverträge bei Dienstleistern anfordern.
  • Cookie-Banner rechtssicher (Opt-In) konfigurieren.
  • Festlegung eines klaren Notfallplans bei Datenpannen.

Wir unterstützen Sie dabei pragmatisch, rechtssicher und ohne den Geschäftsalltag lahmzulegen.

Rechtliche Beratung benötigt?

EHR.Legal berät Sie bundesweit — persönlich und praxisnah.