Jetzt Mitglied werden!
eRecht24.de

Datenschutz für kleine Unternehmen

DSGVO ohne Stress: Was kleine Unternehmen wirklich brauchen und was nicht

Fachlich geprüft von: Katharina Steinröder Katharina Steinröder
(0 Bewertungen, 0 von 5)

Das Wichtigste in Kürze

  • Die Vorgaben der DSGVO gelten für Kleinunternehmen genauso wie für Großkonzerne.
  • Wer die gesetzlichen Vorgaben nicht kennt oder unterschätzt, riskiert Abmahnungen, Bußgelder und Reputationsverluste.
  • Mit klaren internen Prozessen und Strukturen, den richtigen Tools und Schulungen der Mitarbeiter erfüllen auch kleine Unternehmen die Anforderungen der DSGVO.
Ich möchte mich ausführlich informieren Ich möchte mein Unternehmen absichern

Worum geht's?

Viele Selbstständige, Start-ups und Unternehmen mit wenigen Mitarbeitenden fragen sich oft, ob sich die DSGVO wirklich auf sie auswirkt oder nicht eher ein Thema für große Konzerne ist. Tatsächlich ist Datenschutz für jedes Unternehmen von großer Bedeutung, unabhängig von der Größe – denn im Arbeitskontext werden in der Regel täglich personenbezogene Daten (z. B. von Kunden, Mitarbeitern und Geschäftspartnern) verarbeitet. Die gute Nachricht: Auch für kleine Unternehmen muss ein Datenschutzkonzept weder kompliziert oder teuer sein – wenn man weiß, worauf es ankommt.

 

1. Gilt die DSGVO auch für kleine Unternehmen?

Die Datenschutz-Grundverordnung gilt unabhängig von der Unternehmensgröße und damit auch für kleine Unternehmen, sobald diese Daten verarbeiten, die Rückschlüsse auf konkrete Personen zulassen. Wenn Unternehmen solche personenbezogenen Daten nutzen – ob von Kunden, Geschäftspartnern, Mitarbeitenden oder Bewerbern – sind sie laut der DSGVO dazu verpflichtet, für einen angemessenen Schutz dieser Daten zu sorgen.

Oft besteht der Irrtum, kleine Unternehmen seien “zu unbedeutend” für die DSGVO. Doch entscheidend ist nicht die Mitarbeiterzahl oder der Umsatz, sondern ob und wie Sie Daten in Ihrem Unternehmen verarbeiten. Schon das Speichern von Kundenadressen, das Versenden von Rechnungen per E-Mail oder der Betrieb einer Website mit Kontaktformular reichen aus, damit Sie die Datenschutzvorschriften der DSGVO erfüllen müssen.

Sören Siebert
Sören SiebertRechtsanwalt

Die Datenschutz-Grundverordnung gilt seit 2018 EU-weit und wird auf nationaler Ebene in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt.

Die wichtigsten Grundsätze der DSGVO

Zu den wichtigsten Grundsätzen der DSGVO gehören:

  • Rechtmäßigkeit, Fairness und Transparenz: Daten müssen nachvollziehbar verarbeitet werden. Die Verarbeitung erfordert eine Rechtsgrundlage (z. B. Einwilligung, berechtigtes Interesse) und die betroffenen Personen müssen transparent darüber informiert werden, was mit ihren Daten passiert.
  • Zweckbindung: Daten dürfen nur für vorher festgelegte und legitime Zwecke verarbeitet werden. Eine ungefragte spätere Nutzung für andere Zwecke ist unzulässig.
  • Datenminimierung: Sie dürfen nur Daten erheben, die für den jeweiligen Zweck notwendig sind. Unnötige Abfragen oder das Speichern auf Vorrat sind nicht erlaubt.
  • Richtigkeit: Sie sind verpflichtet, die Richtigkeit der Daten zu gewährleisten. Die Daten müssen auf dem aktuellen Stand sein und sind ansonsten zu berichtigen bzw. zu löschen.
  • Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den konkreten Zweck gebraucht werden. Ist der Zweck erfüllt, müssen Sie die Daten löschen bzw. anonymisieren.
  • Integrität und Vertraulichkeit: Sie sind für IT-Sicherheit und den Schutz der erhobenen Daten verantwortlich und müssen durch technische und organisatorische Maßnahmen (TOM) sicherstellen, dass Unbefugte keinen Zugriff darauf haben.
  • Rechenschaftspflicht: Die Einhaltung der Datenschutzvorschriften müssen Sie nachweisen, z. B. durch eine Datenschutzerklärung, Dokumentationen, AV-Verträge und ein Verzeichnis der Verarbeitungstätigkeiten.

Betroffenenrechte und Umgang mit Betroffenenanfragen

Personen, deren Daten Sie verarbeiten, haben laut der DSGVO umfangreiche Rechte. Dazu gehören z. B. das Recht auf

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit

Diese Betroffenenrechte müssen Sie auch als kleines Unternehmen beachten: Geht die Anfrage einer betroffenen Person ein, sind Sie verpflichtet, diese ordnungsgemäß zu bearbeiten. In der Regel haben Sie dafür einen Monat Zeit. Prüfen Sie vor der Bearbeitung die Identität der Person und dokumentieren Sie die Anfrage.

PRAXIS-TIPP

Zu spät, unvollständig oder gar nicht bearbeitete Anfragen gehören zu den häufigsten Datenschutzverstößen. Damit Ihnen das nicht passiert, sollten Sie intern Abläufe festlegen, wie mit ihnen umzugehen ist:

  • Wer nimmt Betroffenenanfragen entgegen?
  • Wo sind die relevanten Daten gespeichert?
  • Wie wird eine fristgerechte Bearbeitung sichergestellt?

Sie können entweder einen internen Leitfaden erstellen oder auf eine professionelle Datenschutzlösung zurückgreifen, um Betroffenenanfragen rechtssicher zu bearbeiten.

2. Datenschutz auf der Website: Was Kleinunternehmen beachten müssen

Ihre Firmenwebsite ist für viele Kunden und Geschäftspartner die erste Anlaufstelle, um mit Ihnen in Kontakt zu treten. Als digitales Aushängeschild ist sie aber auch oft eine der größten Baustellen in Sachen Datenschutz. Unerlässlich sind daher eine leicht erreichbare Datenschutzerklärung und ein DSGVO-konformes Cookie Consent Tool.

Datenschutzerklärung

Sobald Sie auf Ihrer Website personenbezogene Daten verarbeiten, ist eine Datenschutzerklärung Pflicht. Das ist z. B. der Fall, wenn Interessierte Sie über ein Kontaktformular erreichen können, Analysetools wie Google Analytics eingesetzt werden oder Sie Dienste wie Google Maps oder YouTube-Videos einbetten. Auch wenn Sie einen Onlineshop betreiben, werden dort personenbezogene Daten erhoben.

In der Datenschutzerklärung müssen Sie Nutzer informieren

  • welche Daten und Datenkategorien Sie erheben,
  • zu welchem Zweck Sie diese verarbeiten,
  • wie lange Sie die Daten speichern und
  • welche Rechte die betroffenen Personen haben.
Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

Wichtig: Neben Website und Onlineshop brauchen Sie für Ihre geschäftlichen Social Media Kanäle eine eigene Social-Media-Datenschutzerklärung.

Cookie Consent Tool

Sobald Sie Tracking-Cookies oder vergleichbare Technologien einsetzen, um das Verhalten der Nutzer auf Ihrer Website zu analysieren, benötigen Sie ein Cookie Consent Tool. Mit diesem holen Sie sich die Einwilligung der Nutzer ein, die Sie unbedingt brauchen, damit der Einsatz zulässig ist. Wichtig: Ein bloßer Cookie-Hinweis reicht nicht aus.

Alles, was Sie noch zum Thema Cookies und Tracking wissen müssen, finden Sie auf unserer Übersichtsseite “Cookies, Tracking & Datenschutz: Alle Infos im Überblick”.

3. Was gilt datenschutzrechtlich für die Zusammenarbeit mit Dienstleistern?

Als Unternehmer arbeiten Sie oft mit Dienstleistern zusammen, etwa bei IT-Leistungen, Hosting, Buchhaltung, Newsletter-Versand oder der Nutzung von Software. Da der Anbieter bzw. das Tool in diesem Zusammenhang personenbezogene Daten in Ihrem Auftrag verarbeitet (z. B. von Kunden, Mitarbeitern), müssen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen.

Der AV-Vertrag dient dazu, die datenschutzrechtlichen Rechte und Pflichten beider Parteien zu regeln. Er legt beispielsweise fest, dass die Datenerhebung und -verarbeitung nur nach Weisung des Auftraggebers erfolgen darf. Fehlt der AVV, kann dies einen Datenschutzverstoß nach sich ziehen – auch wenn der Anbieter seriös ist.

Zusätzlich zum AVV kann bzw. muss der Datenschutz über Standardvertragsklauseln geregelt werden. Diese kommen ins Spiel, wenn Daten außerhalb der EU und damit dem Geltungsbereich der DSGVO verarbeitet werden: Sie legen fest, dass ein ausreichender Datenschutz im betreffenden Drittland durch den Anbieter gewährleistet wird.

ACHTUNG

Auch bei der Beauftragung von Dienstleistern oder der Nutzung externer Tools bleiben Sie als kleines Unternehmen für den Datenschutz verantwortlich und müssen sicherstellen, dass die DSGVO eingehalten wird. Ohne AV-Vertrag drohen Bußgelder und Haftungsrisiken.

Tools und Software-Anbieter stellen Auftragsverarbeitungsverträge in der Regel selbst bereit. Alternativ haben wir Ihnen auf eRecht24 Premium einen AV-Vertrags-Generator bereitgestellt, mit dem Sie einen AV-Vertrag zugeschnitten auf Ihren Use Case erstellen können.

4. Mitarbeiterdatenschutz in kleinen Unternehmen

Ob für Gehaltsabrechnung, Urlaubsplanung oder im Recruiting: Der Datenschutz spielt auch in Bezug auf Ihre Mitarbeitenden eine wichtige Rolle. Als Arbeitgeber müssen Sie deren Daten schützen und zugleich dafür sorgen, dass Ihre Angestellten selbst datenschutzkonform arbeiten.

Datenschutz im laufenden Arbeitsverhältnis

Die Daten Ihrer Angestellten unterliegen strengen datenschutzrechtlichen Vorgaben: Angaben zum Gehalt, Krankmeldungen oder Leistungsbeurteilungen dürfen nur rechtmäßig, zweckgebunden und sicher verarbeitet werden. Eine unzulässige Überwachung der Mitarbeiter ist tabu.

Achten Sie beim Datenschutz von Mitarbeiterdaten u. a. auf klare Regeln für:

  • Zeiterfassung von Arbeitszeiten
  • E-Mail und IT-Nutzung
  • Zugriff auf Personalakten
  • Speicherung und Löschung von Daten

Mit Beendigung des Arbeitsverhältnisses müssen Sie prüfen, welche Daten wann zu löschen sind, um den Datenschutz für ausgeschiedene Mitarbeiter sicherzustellen.

Unser Tipp: Auf eRecht24 Premium finden Sie einen Generator, mit dem Sie eine Datenschutzerklärung für Ihre Angestellten erstellen können. So kommen Sie Ihrer gesetzlichen Pflicht nach, Mitarbeitende transparent darüber zu informieren, wie und warum Sie deren Daten erfassen und verarbeiten.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

WICHTIG ZU WISSEN

Nicht nur Arbeitgeber tragen die Verantwortung für den Datenschutz in kleinen Unternehmen, sondern auch die einzelnen Mitarbeiter. Sensibilisieren Sie Ihre Angestellten in Punkten wie der Nutzung von internen Systemen, im Umgang mit vertraulichen Informationen und der Weitergabe personenbezogener Informationen (z. B. von Kunden). Klare Anweisungen und Datenschutzschulungen helfen, Rechtsverstöße zu verhindern.

Datenschutz im Bewerbungsverfahren

In Bewerbungsprozessen dürfen Sie nur Daten erheben, die für die Entscheidung über die Einstellung erforderlich sind. Entscheiden Sie sich gegen einen Kandidaten, müssen Sie dessen Daten nach Ablauf der gesetzlichen Aufbewahrungspflichten löschen.

Möchten Sie eine Bewerbungsmappe für eine potenziell spätere Stelle aufbewahren, geht das nur mit dem Einverständnis der betroffenen Person. Auch für die Aufnahme in einen Bewerberpool sollten Sie sich das Einverständnis für die längeren Aufbewahrungsfristen einholen, um keine Verstöße gegen den Datenschutz bei Bewerbungen zu riskieren.

5. Künstliche Intelligenz und Datenschutz

Auch kleinere Unternehmen setzen zunehmend künstliche Intelligenz ein, beispielsweise zur Erstellung von Texten und Newslettern, im Kundensupport, dem Bewerbermanagement oder der internen Organisation. Oft kommt es dabei zur Verarbeitung personenbezogener Daten, wenn diese z. B. bei ChatGPT, Gemini & Co. eingegeben werden.

Datenschutzrechtlich birgt das erhebliche Risiken, denn aufgrund des Blackbox-Effekts lässt sich bei generativer KI nie vollständig nachvollziehen, was mit den eingegebenen Informationen passiert. Es ist daher umso wichtiger, die Tools datenschutzfreundlich einzustellen und fremde, personenbezogene Daten gar nicht erst einzugeben, sofern das Tool nicht DSGVO-konform ist.

Checkliste
KI-Tools datenschutzkonform nutzen
  • Anonymisieren oder pseudonymisieren Sie wo möglich personenbezogene Daten.
  • Aktivieren Sie erweiterte Datenschutzeinstellungen, sodass Daten nicht zu Trainingszwecken genutzt werden.
  • Prüfen Sie, ob Sie den Einsatz des KI-Tools in Ihrer Datenschutzerklärung oder in internen Datenschutzhinweisen aufführen müssen.
  • Schließen Sie in diesem Fall einen AV-Vertrag mit dem Anbieter ab.
  • Bei Hochrisiko-Anwendungen ist eine Datenschutz-Folgenabschätzung erforderlich.
  • Schulen Sie Ihre Mitarbeiter regelmäßig. Achtung: KI-Schulungen sind gesetzlich auch für kleine Unternehmen faktisch verpflichtend.

 

Alles, was Sie zum Thema KI und Datenschutz sonst noch wissen müssen, finden Sie auf unserer Übersichtsseite “Datenschutz, Haftung, Urheberrecht & Co.: So verwenden Sie KI rechtssicher im Unternehmen” sowie in den folgenden Beiträgen:

6. Brauche ich einen Datenschutzbeauftragten als kleines Unternehmen?

Verpflichtend ist ein Datenschutzbeauftragter (DSB) nicht für jedes Unternehmen. Ob Sie einen Datenschutzbeauftragten brauchen oder nicht, hängt davon ab:

  • wie viele Personen regelmäßig personenbezogene Daten verarbeiten.
  • ob die Datenverarbeitung eine Kerntätigkeit des Unternehmens ist.
  • ob besonders sensible Daten betroffen sind (z. B. Gesundheitsdaten).
  • ob das Unternehmen gemäß DSGVO zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist.

WICHTIG

Die Bestellung eines Datenschutzbeauftragten ist u. a. Pflicht, sobald in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dazu zählen nicht nur Angestellte, sondern auch freie Mitarbeiter, Praktikanten und Leiharbeiter.

Wie die einzelnen Voraussetzungen für die Bestellungspflicht zu verstehen sind, lesen Sie ausführlich im Artikel “Wann die Bestellung eines Datenschutzbeauftragten für Ihr Unternehmen unabdingbar ist”.

Auch ohne Pflicht kann ein DSB sinnvoll sein, denn gerade kleinere Unternehmen fühlen sich häufig mit den zahlreichen Dokumentations-, Auskunft- und Nachweispflichten der DSGVO überfordert. Hier kann ein externer Datenschutzbeauftragter (z. B. ein spezialisierter Anwalt) als Ansprechpartner Führungskräfte und Mitarbeitende unterstützen.

Wer auf die freiwillige Bestellung eines persönlichen Datenschutzbeauftragten verzichten bzw. sich bei Bedarf später dafür entscheiden möchte, für den kann ein Datenschutz-Managementsystem wie DatenschutzPro eine gute Wahl sein: Das Angebot eines DSB lässt sich hier optional hinzubuchen.

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

7. Was droht bei Datenschutzverstößen?

Datenschutzverstöße können erhebliche rechtliche Folgen haben – auch für kleine Unternehmen. Es drohen:

  • DSGVO-Bußgelder von Aufsichtsbehörden
  • DSGVO-Abmahnungen durch Mitbewerber
  • Schadensersatzansprüche betroffener Personen
  • Vertrauensverlust bei Kunden und Geschäftspartnern

Kleinunternehmen mit wenigen Mitarbeitenden und Solo-Selbstständige unterschätzen oftmals, dass auch scheinbar “kleine” Fehler wie eine fehlende Datenschutzerklärung auf der Website relevant sind und abgemahnt werden können. Sichern Sie Ihr Unternehmen daher umfassend ab, um unnötige Kosten zu vermeiden.

Sören Siebert
Sören SiebertRechtsanwalt

8. So setzen Sie Datenschutz in kleinen Unternehmen richtig um

Datenschutz muss kein Bürokratiemonster sein – auch dann nicht, wenn Sie ein kleines Business führen oder solo-selbstständig sind. Entscheidend ist ein strukturierter Ansatz, der auf Ihre Bedürfnisse zugeschnitten ist.

Wichtig beim Datenschutz für kleine Unternehmen sind insbesondere:

  • Datenschutzerklärung für Website und Social Media Kanäle
  • klare Zuständigkeiten und interne Richtlinien für Mitarbeitende
  • Dokumentation der technischen und organisatorischen Maßnahmen
  • regelmäßige Mitarbeiterschulungen
  • AV-Verträge mit Dienstleistern und Tools
  • kontinuierliche Überprüfung und Aktualisierung der Datenschutzmaßnahmen
  • Erstellung eines Verarbeitungsverzeichnis nach DSGVO
  • ggf. Bestellung eines Datenschutzbeauftragten

Unser Tipp: Mit eRecht24 Premium helfen wir Ihnen dabei, die zahlreichen Anforderungen der DSGVO und des BDSG auch ohne eigenen Vollzeit-Datenschutzbeauftragten umzusetzen. Von Datenschutz-Generatoren über Cookie-Consent-Lösungen bis hin zum Muster-AV-Vertrag und unserem Managementsystem DatenschutzPro finden Sie alle wichtigen Tools an einem Ort, um Ihr Unternehmen datenschutzrechtlich abzusichern.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

9. FAQ: Häufig gestellte Fragen zum Datenschutz für kleine Unternehmen


Müssen auch kleine Unternehmen die DSGVO einhalten?

Ja, auch kleine Unternehmen (Solo-Selbstständige, Kleinstunternehmen) müssen die DSGVO einhalten, da diese unabhängig von der Unternehmensgröße und Anzahl der Mitarbeitenden gilt. Die Datenschutzgrundverordnung greift, sobald personenbezogene Daten verarbeitet werden – beispielsweise von Kunden, Angestellten oder Bewerbern.


Welche Datenschutzpflichten haben Unternehmen?

Unternehmen müssen personenbezogene Daten rechtmäßig, zweckgebunden und sicher verarbeiten. Sie brauchen u. a. eine Datenschutzerklärung für Website, Onlineshop und Ihre Social Media Kanäle, müssen technische und organisatorische Maßnahmen ergreifen, um die Daten zu schützen und sind dazu verpflichtet, bei der Nutzung von Tools mit dem Anbieter einen Auftragsverarbeitungsvertrag abzuschließen, wenn dieser als Auftragsverarbeiter tätig wird.


Für wen ist eine Datenschutzerklärung Pflicht?

Sobald Sie personenbezogene Daten – ob online oder offline – verarbeiten, ist eine Datenschutzerklärung Pflicht. Diese informiert die betroffenen Personen, was mit ihren Daten passiert, warum und wie lange diese verarbeitet werden und welche Betroffenenrechte sie haben.

Wann ist ein Datenschutzbeauftragter Pflicht?

Ein Datenschutzbeauftragter ist Pflicht, wenn in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn in der Kerntätigkeit umfangreich sensible Daten wie z. B. Gesundheitsdaten verarbeitet werden. Unternehmen, die zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet sind, brauchen immer einen Datenschutzbeauftragten – unabhängig von der Mitarbeiterzahl.


 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Katharina Steinröder
Katharina Steinröder, Ass. jur.
Legal Writerin

Katharina Steinröder ist Volljuristin und TÜV-zertifizierte Datenschutzbeauftragte. Seit 2023 ist Sie als Legal Writerin Teil des Redaktionsteams von eRecht24. Bei eRecht24 schreibt sie vor allem Inhalte mit Bezug zum Internet- und Datenschutzrecht.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details