Daten und Zwecke
Welche Daten werden verarbeitet, warum und in welchen Systemen? Das ist die Grundlage für fast alle weiteren Schritte.
Datenschutz für kleine Unternehmen
Auch kleine Unternehmen verarbeiten täglich personenbezogene Daten: Kunden, Beschäftigte, Bewerber, Websitebesucher oder Ansprechpartner bei Dienstleistern. Ich helfe, die wichtigsten Datenschutzpflichten zu sortieren und pragmatisch umzusetzen.
Kurz gesagt
Viele kleine Unternehmen hoffen, dass Datenschutz erst für größere Betriebe wichtig wird. So einfach ist es leider nicht. Entscheidend ist, ob personenbezogene Daten verarbeitet werden. Das ist fast immer der Fall.
Die gute Nachricht: Kleine Unternehmen brauchen meist keine große Datenschutzabteilung. Sie brauchen eine klare Übersicht, saubere Grunddokumente und einfache Abläufe für die Fälle, die wirklich vorkommen.
KI kann dabei unterstützen, erste Listen oder Entwürfe zu erstellen. Sie ersetzt aber nicht die Frage, ob die Unterlagen wirklich zum Unternehmen passen und welche Punkte rechtlich zuerst gelöst werden sollten.
DSGVO Checkliste
Welche Daten werden verarbeitet, warum und in welchen Systemen? Das ist die Grundlage für fast alle weiteren Schritte.
Website, Kontaktformular, Newsletter, Bewerbungen, Cookies und externe Dienste müssen verständlich beschrieben werden.
Cloud, Hosting, IT-Support, Newsletter, Lohnabrechnung und SaaS-Tools brauchen eine Prüfung und oft eine AVV.
Die wichtigsten Verarbeitungstätigkeiten sollten nachvollziehbar dokumentiert sein: Zweck, Daten, Empfänger, Löschung und Sicherheit.
Zugriffe, Passwörter, Backups, Geräte, Berechtigungen und Löschfristen müssen zum Risiko passen.
Es sollte klar sein, wer informiert wird, wenn Daten verloren gehen, falsch versendet werden oder Unbefugte Zugriff hatten.
Prioritäten
Datenschutz wird leichter, wenn zuerst die größten Risiken geordnet werden. Für viele kleine Unternehmen sind das Website und externe Tools, Beschäftigtendaten, Kundendaten, Dienstleister und der Umgang mit Auskunfts- oder Löschanfragen.
Datenschutzerklärung, Kontaktformular, Analyse, Karten, Schriftarten, Newsletter und Terminbuchung sollten zusammen geprüft werden. Mehr dazu: Website-Datenschutz prüfen.
Bewerbungen, Krankheit, Zeiterfassung, E-Mail-Postfächer und IT-Zugriffe sind sensible Alltagsthemen. Mehr dazu: Beschäftigtendatenschutz.
Bei Cloud- und Softwarediensten lohnt sich eine einfache Liste: Welcher Anbieter verarbeitet welche Daten? Gibt es eine AVV? Mehr dazu: AVV prüfen.
Bei KI sollte klar geregelt sein, welche Daten nicht eingegeben werden dürfen. Mehr dazu: KI und Datenschutz.
DSB-Pflicht
Das hängt nicht nur von der Größe ab. In Deutschland ist zwar die 20-Personen-Regel wichtig. Gemeint sind aber Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Zusätzlich können besondere Datenverarbeitungen eine Pflicht auslösen.
Wenn keine Pflicht besteht, sollte das Ergebnis trotzdem kurz dokumentiert werden. Die übrigen Datenschutzpflichten bleiben bestehen.
Pragmatischer Start
Für den Anfang reicht oft eine schlanke Bestandsaufnahme. Danach ist klar, was sofort erledigt werden sollte und welche Punkte später sauber nachgezogen werden können.
Website, E-Mail, CRM, Buchhaltung, HR, Cloudspeicher, Newsletter und KI-Tools erfassen.
Wichtige AVV, Dienstleisterunterlagen und Datenschutzhinweise sichten.
Was betrifft viele Personen? Was betrifft sensible Daten? Was kann bei einem Fehler besonders schaden?
Kurze Liste mit Verantwortlichkeit, Priorität und nächstem Schritt erstellen.
Angebot
Einmalig
Für kleine Unternehmen, die wissen möchten, wo sie stehen und was zuerst erledigt werden sollte.
Nach Umfang
Für Unternehmen, die ihre wichtigsten Datenschutzunterlagen und Abläufe aufbauen möchten.
Retainer
Für Unternehmen, die regelmäßig kurze Datenschutzfragen klären möchten.
FAQ
Ja. Sobald personenbezogene Daten verarbeitet werden, kann die DSGVO gelten. Typische Beispiele sind Kundendaten, Beschäftigtendaten, Bewerbungen, Lieferantendaten oder Daten von Websitebesuchern.
Wichtig sind vor allem Rechtsgrundlagen, Datenschutzerklärung, AV-Verträge, Verzeichnis der Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen, Löschregeln, Betroffenenrechte und ein Plan für Datenpannen.
Nicht jeder Fall ist gleich. Die DSGVO enthält eine Ausnahme für Unternehmen mit weniger als 250 Personen, aber diese Ausnahme greift nicht immer. Gerade wenn Verarbeitungen nicht nur gelegentlich stattfinden, Risiken bestehen oder besondere Daten verarbeitet werden, sollte das Verzeichnis geprüft werden.
Das hängt von der konkreten Verarbeitung ab. Die DSB-Pflicht sollte gesondert geprüft und kurz dokumentiert werden.
Ein Generator oder KI-Entwurf kann ein Anfang sein. Entscheidend ist aber, dass die Erklärung zur tatsächlichen Website und zu den tatsächlich eingesetzten Diensten passt. Genau dort entstehen in der Praxis die meisten Fehler.
Nächster Schritt
Schicken Sie eine kurze Nachricht mit Branche, Unternehmensgröße, Website und den wichtigsten eingesetzten Tools. Dann lässt sich meist schnell klären, ob ein kurzer Check reicht oder ein Grundpaket sinnvoll ist.