Die Datenschutz-Grundverordnung gilt fuer jedes Unternehmen — unabhaengig von Groesse oder Branche. Doch gerade kleine Betriebe sind oft unsicher, was genau von ihnen verlangt wird. Diese Checkliste gibt Ihnen einen klaren Ueberblick ueber die wichtigsten Pflichten.
Grundlagen: Was verlangt die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) regelt, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden duerfen. Personenbezogene Daten sind alle Informationen, die eine natuerliche Person direkt oder indirekt identifizierbar machen — Name, E-Mail-Adresse, IP-Adresse, Kundennummer und vieles mehr.
Verstoesze gegen die DSGVO koennen mit Busgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Fuer kleine Unternehmen bedeutet das: Auch wenn die absoluten Zahlen kleiner sind, ist das Risiko real und ernst zu nehmen.
Die DSGVO-Checkliste fuer kleine Unternehmen
Checkliste: Datenschutz-Basics
- Datenschutzerklaerung auf der Website vollstaendig und aktuell
- Cookie-Banner korrekt implementiert (Opt-in, kein Opt-out)
- Verzeichnis von Verarbeitungstaetigkeiten (VVT) angelegt
- Auftragsverarbeitungsvertraege (AVV) mit allen Dienstleistern
- Technische und organisatorische Massnahmen (TOMs) dokumentiert
- Datenschutzbeauftragter bestellt (falls erforderlich)
- Mitarbeiter regelmaessig geschult
- Meldepflicht bei Datenpannen bekannt und Prozess definiert
1. Datenschutzerklaerung
Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklaerung. Das gilt schon ab dem Einsatz von Google Analytics, einem Kontaktformular oder eingebetteten YouTube-Videos. Die Erklaerung muss klar, verstaendlich und vollstaendig sein — und alle eingesetzten Tools sowie deren Datenuebertragungen ins Ausland benennen.
2. Verzeichnis von Verarbeitungstaetigkeiten (VVT)
Das VVT ist eine interne Dokumentation aller Prozesse, bei denen personenbezogene Daten verarbeitet werden. Dazu gehoeren Kundenverwaltung, Buchhaltung, E-Mail-Marketing, HR-Prozesse und viele mehr. Das Verzeichnis muss auf Anfrage der Datenschutzbehoerde vorgelegt werden koennen.
3. Auftragsverarbeitungsvertraege (AVV)
Immer wenn ein externer Dienstleister Zugang zu Ihren Kundendaten hat — sei es ein Cloud-Anbieter, ein E-Mail-Marketingtool oder Ihr IT-Dienstleister — benoetigen Sie einen Auftragsverarbeitungsvertrag. Viele Anbieter stellen diese Vertraege standardisiert bereit, zum Beispiel als Teil ihrer AGB oder als separates Dokument.
4. Betroffenenrechte sicherstellen
Personen, deren Daten Sie verarbeiten, haben umfangreiche Rechte: Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit und Widerspruch. Sie muessen in der Lage sein, auf diese Anfragen innerhalb von 30 Tagen zu reagieren. Richten Sie einen klaren internen Prozess ein, wer solche Anfragen bearbeitet.
5. Datenpannen melden
Wenn personenbezogene Daten unrechtmaessig offengelegt, veraendert oder vernichtet werden, muessen Sie dies innerhalb von 72 Stunden der zustaendigen Datenschutzbehoerde melden. Bei hohem Risiko fuer Betroffene sind auch diese direkt zu informieren. Definieren Sie jetzt schon, wer in Ihrem Unternehmen fuer solche Meldungen verantwortlich ist.
Fazit
DSGVO-Konformitaet ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Mit der richtigen Dokumentation und klaren internen Prozessen ist es aber auch fuer kleine Unternehmen gut handhabbar. Lassen Sie sich von einem Experten begleiten — das spart Zeit und vermeidet teure Fehler.
Brauchen Sie Hilfe?
Unsere IT-Experten beraten Sie kostenlos und unverbindlich.
