Beratung erhalten

DSGVO für KMU — Praktische Anleitung mit Vorlagen, Nachweisen und 30‑Tage‑Plan

Cover Image

DSGVO für KMU — Praktische Anleitung mit Vorlagen, Nachweisen und 30‑Tage‑Plan

Geschätzte Lesezeit: 25 Minuten

Key Takeaways

  • DSGVO für KMU bedeutet klare Pflichten bei der Verarbeitung personenbezogener Daten — pragmatische, nachweisbare Maßnahmen reichen oft aus.
  • Ohne Dokumentation (VVT, AV‑Verträge, TOMs) steigt das Bußgeldrisiko schnell in Richtung fünfstelliger Beträge.
  • Mit einem klaren 30‑, 60‑, 90‑Tage‑Plan lassen sich die Kernanforderungen erreichbar umsetzen.
  • Nutzen Sie Vorlagen (VVT, AV‑Vertrag, DPIA) und Checklisten als Startpunkt — kein Juristendeutsch nötig.

Table of contents

Einleitung

DSGVO für KMU bedeutet klare Pflichten bei der Verarbeitung personenbezogener Daten und erfordert pragmatische, nachweisbare Maßnahmen. Viele kleine und mittlere Unternehmen kennen das Problem: Die Dokumentation fehlt, Prozesse sind nicht geregelt, und das Bußgeldrisiko steigt still im Hintergrund. Dabei können Strafen schnell bei 25.000 € oder mehr liegen — und das oft wegen vermeidbarer Lücken.

Die gute Nachricht: Sie müssen kein Datenschutz‑Experte sein, um compliant zu werden. In diesem Leitfaden erhalten Sie konkrete Umsetzungs‑Schritte, Vorlagen (VVT, AV‑Vertrag Muster, DPIA), Checklisten und Nachweise, die ein KMU in 30–90 Tagen praktisch umsetzen kann. Kein Juristendeutsch, keine Theorie — nur das, was wirklich hilft.

Quellen: mimann.net — DSGVO Praxis für KMU; Sparkasse — DSGVO Checkliste

DSGVO für KMU — TL;DR Checkliste: Ihre Sofort‑To‑Dos

Bevor wir in die Details gehen, hier eine kompakte Übersicht. Diese Tabelle zeigt Ihnen auf einen Blick, was wann zu tun ist, wer verantwortlich ist, und welcher Nachweis am Ende vorliegen muss. So verlieren Sie keine Zeit mit Nebensächlichkeiten.

Priorität | Frist | Aufgabe | Verantwortlich | Nachweis

  • Hoch | 7 Tage | VVT erstellen | GF / DSB‑Vertreter | VVT_Master.xlsx, Änderungslog
  • Hoch | 14 Tage | AV‑Verträge prüfen & unterzeichnen | Einkauf / GF | Unterschriebene AV‑Verträge (PDF)
  • Hoch | 30 Tage | TOMs dokumentieren + Mitarbeiterschulung | IT / HR | Sicherheitskonzept, Schulungsnachweise
  • Mittel | 90 Tage | DPIA‑Screening, Betroffenenrechte‑Prozesse, Incident‑Workflow | DSB‑Vertreter / GF | DPIA‑Bericht, Prozessdokumente
  • Laufend | Jährlich | Review & Audit | GF / DSB‑Vertreter | Review‑Protokolle

– [ ] VVT erstellt und aktuell?
– [ ] AV‑Verträge für alle Dienstleister vorhanden?
– [ ] TOMs dokumentiert (MFA, TLS, Backup)?
– [ ] Mitarbeiterschulung durchgeführt?
– [ ] DPIA für Hochrisiko‑Prozesse durchgeführt?
– [ ] Betroffenenrechte‑Prozess eingerichtet?
– [ ] Incident‑Response‑Workflow definiert?
– [ ] Jährlicher Review im Kalender?

Quellen: mimann.net; DSGVOSchutzteam — Ratgeber; Interconnect — DSGVO Checklisten; unternehmer.de — DSGVO Checkliste; Betrieb‑Machen — Checkliste (PDF); Wolters Kluwer — Checkliste

Zielgruppe & Ausgangslage: Für wen gilt dieser Leitfaden?

DSGVO für KMU gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet — unabhängig von der Betriebsgröße. Das betrifft Sie als Onlineshop‑Betreiber genauso wie als Handwerker mit einer Kundenkartei, als Dienstleister mit E‑Mail‑Newsletter oder als SaaS‑Startup mit Nutzerdatenbank. Kurz gesagt: Wer Namen, E‑Mail‑Adressen oder Zahlungsdaten speichert, ist dabei.

Typische Datenflüsse in KMU sehen so aus:

  • Kundenbestellungen im Onlineshop: Name, Adresse, Zahlungsdaten, Bestellhistorie
  • Bewerbungsunterlagen: Lebensläufe, Zeugnisse, Kontaktdaten
  • Mitarbeiterdaten: Lohn, Krankmeldungen, Personalakten
  • Newsletter‑Verteiler: E‑Mail‑Adressen, ggf. Klickverhalten

Der Unterschied zu Großunternehmen liegt in den Ressourcen. Ein Konzern hat einen hauptamtlichen Datenschutzbeauftragten, ein internes Rechtsteam und ausgefeilte Compliance‑Systeme. Ein KMU mit 10 oder 50 Mitarbeitern hat das nicht. Deshalb lautet das Ziel hier nicht maximale Governance, sondern: pragmatische, nachweisbare Maßnahmen mit minimalem Aufwand.

Sie brauchen kein teures Tool und keinen externen Anwalt für jeden Schritt. Sie brauchen ein klares Minimalset an Dokumenten und Prozessen — und einen Ausbaupfad, der mit Ihnen wächst.

Quellen: mimann.net; Interconnect; Sparkasse — DSGVO Checkliste

Schritt 1 — Bestandsaufnahme & Verantwortlichkeiten im Verzeichnis Verarbeitungstätigkeiten

Bevor Sie irgendetwas dokumentieren, müssen Sie wissen, was überhaupt passiert. Das klingt selbstverständlich, ist aber der Schritt, den die meisten überspringen — und genau da fangen die Probleme an.

Datenflussanalyse: Was Sie erheben müssen

Führen Sie kurze Interviews mit den Abteilungsverantwortlichen durch. Fragen Sie konkret: Welche Daten kommen rein, wofür werden sie genutzt, wer hat Zugriff, wo landen sie? Ergänzen Sie das durch System‑Exporte aus CRM, Buchhaltungssoftware, HR‑Tools und Marketing‑Plattformen.

Für jede Verarbeitung halten Sie folgende Felder fest:

  • Verantwortliche Stelle: Welche Abteilung ist zuständig?
  • Prozessname: z. B. „Kundenbestellung“, „Bewerbungseingang“, „Newsletter‑Versand“
  • Input‑Datenfelder: Vorname, Nachname, E‑Mail, Adresse, Zahlungsdaten
  • Quelle der Daten: Woher kommen die Daten (Webformular, Telefon, Papier)?
  • Verarbeitungszweck: z. B. Vertragserfüllung, Marketing, Gehaltsabrechnung
  • Rechtsgrundlage: Konkret benennen, z. B. „Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)“
  • Empfänger / AV‑Verarbeiter: Welche Dienstleister erhalten die Daten?
  • Speicherdauer: Konkreter Zeitraum oder Löschregel (z. B. „7 Jahre steuerrechtlich“)
  • Technische Speicherung: Systemname (z. B. „Lexoffice“, „HubSpot“)
  • Zugangskontrolle: Wer hat Zugriff auf diese Daten?
  • Drittstaatenübermittlung: Gehen Daten außerhalb der EU (ja/nein)?

Ein fertiger Beispieleintrag könnte so aussehen: „CRM: Kundenmanagement — Felder: Name, E‑Mail, Telefon — Zweck: Vertragserfüllung (Bestellabwicklung) — Rechtsgrundlage: Art. 6(1)(b) — Speicherdauer: 7 Jahre (steuerrechtlich) — Empfänger: Zahlungsanbieter X (AV‑Vertrag vorhanden).“

Rollenverteilung klar regeln

Prüfen Sie zunächst, ob bei Ihnen eine DSB‑Pflicht besteht. Faustregel: Ab mehr als 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten, oder bei Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten), ist ein Datenschutzbeauftragter zu benennen. Wenn das bei Ihnen nicht zutrifft, bestimmen Sie trotzdem einen DSB‑Vertreter — das kann die Geschäftsführung oder ein erfahrener Mitarbeiter sein.

Legen Sie folgende Rollen schriftlich fest:

  • Datenverantwortlicher: Geschäftsführung
  • DSB‑Vertreter: Name + Kontakt
  • Prozessverantwortliche: z. B. CRM‑Manager, HR‑Leitung
  • IT‑Kontakt: Ansprechpartner für technische Maßnahmen

Ergebnis und Nachweise

Das Ergebnis dieses Schritts ist eine Rohliste aller Prozesse in Excel — die Basis für Ihr Verzeichnis Verarbeitungstätigkeiten. Legen Sie sofort eine Änderungslog‑Spalte an mit den Feldern: Änderung_Datum / Änderung_Durch / Kommentar. Gültige Nachweise bei einer Prüfung: ausgefüllte Interview‑Protokolle, Exportlisten aus Ihren Systemen, signierte Verantwortlichkeitsliste.

Quellen: mimann.net; unternehmer.de; Sparkasse; Interconnect

Schritt 2 — Verzeichnis Verarbeitungstätigkeiten (VVT): Aufbau & Template

Das Verzeichnis Verarbeitungstätigkeiten ist das zentrale Dokument Ihrer DSGVO‑Compliance. Art. 30 DSGVO verlangt, dass Verantwortliche ein Verzeichnis mit bestimmten Pflichtfeldern führen. Es ist der erste Nachweis, den eine Aufsichtsbehörde im Prüfungsfall anfordert. Wer kein VVT hat, hat ein Problem.

Pflichtfelder im VVT — die genauen Spalten

Legen Sie Ihre VVT‑Masterdatei mit folgenden Spalten an (für Excel oder CSV):

Spaltenname Beispielinhalt
ID 1, 2, 3 … (fortlaufend)
Prozessname „Newsletter‑Versand“
Verantwortliche Stelle Marketing / Frau Müller
Ansprechpartner marketing@firma.de
Verarbeitungszweck Versand von Marketing‑E‑Mails an Interessenten
Kategorien betroffener Personen Kunden, Interessenten
Kategorien personenbezogener Daten E‑Mail, Name, IP‑Adresse
Rechtsgrundlage Art. 6(1)(a) Einwilligung
Empfänger / Dritte Mailchimp (AV‑Vertrag vorhanden)
Drittlandübermittlung USA (Standardvertragsklauseln)
Speicherdauer / Löschkriterium Bis Widerruf oder 3 Jahre inaktiv
TOMs TLS, Access‑Control
DPIA erforderlich? Nein
Änderungslog 2026‑01‑01 initial / Max Mustermann

Beispiel‑CSV‑Zeile (direkt verwendbar)

1;Newsletter‑Versand;Marketing;marketing@firma.de;Versand von Marketing‑E‑Mails;Interessenten/Kunden;E‑Mail, Name;Art.6(1)(a) Einwilligung;Mailchimp (AV‑Vertrag vorhanden);USA (Standardvertragsklauseln);bis Widerruf oder 3 Jahre inaktiv;TLS, Access‑Control;Nein;2026‑01‑01 initial

Schritt‑für‑Schritt: VVT erstellen

  1. Vorbereitung: Legen Sie die Template‑Datei als Masterdatei in einem zentralen Ordner an (SharePoint, Nextcloud oder vergleichbar). Dateiname: VVT_Master_YYYYMMDD.xlsx
  2. Erhebung: Befragen Sie jede Abteilung mit den 10 Fragen aus Schritt 1. Füllen Sie für jeden Prozess eine Zeile aus.
  3. Konsolidierung: Tragen Sie alle Einträge in die Masterdatei ein. Doppelte Prozesse zusammenführen.
  4. Review: Der DSB‑Vertreter prüft alle Einträge. Die Geschäftsführung gibt schriftlich frei — eine kurze Freigabe‑E‑Mail gilt als Nachweis.
  5. Speicherung: Schreibgeschützte Masterdatei ablegen, zusätzlich CSV‑Export für Audits erstellen.
  6. Aktualisierung: Einmal jährlich Pflichtprüfung, plus innerhalb von 30 Tagen bei jeder Prozessänderung.

Nachweis und Versionierung

Jede VVT‑Datei braucht Metadaten: Ersteller, Version, Freigabedatum, Prüfer. Die Änderungslog‑Tabelle enthält: Version, Datum, Änderung, Verantwortlicher, Genehmiger. So können Sie bei einer Prüfung lückenlos zeigen, was wann geändert wurde.

Quellen: mimann.net; DSGVOSchutzteam; Betrieb‑Machen (PDF)

Schritt 3 — AV‑Vertrag Muster: Auftragsverarbeitung richtig regeln

Jeder Dienstleister, der personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet, benötigt einen AV‑Vertrag gemäß Art. 28 DSGVO. Das betrifft Cloud‑Anbieter, E‑Mail‑Marketing‑Tools, Steuerberater mit Zugriff auf Buchhaltungsdaten, CRM‑Systeme und viele mehr. Ohne AV‑Vertrag verstoßen Sie gegen die DSGVO — auch wenn der Dienstleister selbst DSGVO‑konform ist.

(Bei der Bewertung und dem Onboarding von Drittanbietern hilft eine strukturierte Third‑Party‑Risk‑Management‑Praxis, z. B. Checklisten und Fragebögen.) Third‑Party‑Risk‑Management für KMU

Pflichtklauseln — fertige Textbausteine

Diese Formulierungen können Sie direkt in Ihr AV‑Vertrag Muster übernehmen:

Weisungsgebundenheit:
„Der Verarbeiter verarbeitet personenbezogene Daten ausschließlich auf schriftliche Weisung des Verantwortlichen.“

Subunternehmerklausel:
„Die Einbindung von Subunternehmern bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen; der Verarbeiter stellt eine aktuelle Liste aller Subunternehmer zur Verfügung.“

Löschung / Archivierung:
„Nach Beendigung der Leistung sind alle personenbezogenen Daten binnen [X] Tagen zu löschen oder auf Wunsch des Verantwortlichen sicher zurückzugeben; gesetzliche Aufbewahrungsfristen bleiben unberührt.“

Sicherheitsanforderungen:
„Der Verarbeiter verpflichtet sich, angemessene technische und organisatorische Maßnahmen gemäß Anlage 1 (TOMs) umzusetzen.“ (Sie können dazu auch einen Sicherheitsanhang/Anlage ergänzen: Sicherheitsanhang & Muster)

Auditrecht:
„Der Verantwortliche hat das Recht, Audits durchzuführen oder durch einen benannten Prüfer durchführen zu lassen.“

Unterrichtungspflicht bei Datenpannen:
„Der Verarbeiter informiert den Verantwortlichen unverzüglich über Datenschutzverletzungen.“

Checkliste: Bestehende Dienstleister prüfen

Gehen Sie alle aktuellen Dienstleister durch und prüfen Sie:

  • – AV‑Vertrag vorhanden?
  • – Datum unterschrieben und aktuell?
  • – Geltungsbereich klar definiert?
  • – Subunternehmerregelung enthalten?
  • – Sicherheitsniveau (TOMs) beschrieben?
  • – Drittlandübermittlungen geregelt (z. B. Standardvertragsklauseln)?

Fehlt ein AV‑Vertrag oder ist er veraltet, fordern Sie sofort eine Nachverhandlung an. Als Übergangslösung: schriftliche Zusatzvereinbarung plus Protokoll Ihrer Verhandlungsversuche — das zeigt der Behörde, dass Sie aktiv tätig waren.

Nachweisablage für AV‑Verträge

Legen Sie eine klare Ordnerstruktur an:

/DSGVO/AV‑Verträge/Anbieter_Name/AV_signed.pdf

Metadaten pro Datei: Anbieter, Ansprechpartner, Unterzeichnungsdatum, Gültig bis. Das spart bei einer Prüfung viel Zeit.

Quellen: mimann.net; Interconnect

Schritt 4 — Datenschutz Folgenabschätzung (DPIA): Wann nötig und wie durchführen

Die Datenschutz Folgenabschätzung — kurz DPIA — ist kein bürokratisches Extra, sondern ein Pflichtschritt bei bestimmten Verarbeitungen. Führen Sie eine DPIA durch bei Verarbeitungsvorgängen mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen — zum Beispiel bei Profiling, bei der Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten, oder bei systematischer Überwachung.

Die DPIA zwingt Sie, Risiken systematisch zu bewerten und Gegenmaßnahmen zu dokumentieren. Das ist gut — weil Sie so Probleme erkennen, bevor sie teuer werden.

Screening: Brauchen Sie eine DPIA?

Bevor Sie aufwändig eine vollständige DPIA erstellen, machen Sie das Screening:

  • Ist Profiling beteiligt (automatisierte Auswertung von Personendaten)?
  • Werden besondere Kategorien verarbeitet (Gesundheit, Religion, biometrische Daten)?
  • Findet systematische Überwachung statt (z. B. Kameraüberwachung)?
  • Werden Daten großflächig an Dritte übermittelt?

Wenn Sie eine dieser Fragen mit Ja beantworten: DPIA vollständig durchführen.

DPIA‑Template: Felder und Risikomatrix

Ihr DPIA‑Dokument braucht folgende Felder:

  • Projektbezeichnung und Verantwortlicher
  • Kurzbeschreibung der Verarbeitung
  • Zweck, Datenkategorien, Umfang (Anzahl betroffener Personen)
  • Rechtsgrundlage, Notwendigkeit und Verhältnismäßigkeit
  • Risiken (Liste aller identifizierten Risiken)
  • Eintrittswahrscheinlichkeit (1–5) und Schwere der Folgen (1–5)
  • Risikowert = Wahrscheinlichkeit × Schwere
  • Maßnahmen (technisch und organisatorisch)
  • Restrisiko und Entscheidung (Durchführung / Anpassung / kein Start)
  • Unterschriften: Verantwortlicher + DSB‑Vertreter
  • Review‑Datum

Risikobandbreiten:
1–6: Niedriges Risiko → Maßnahmen dokumentieren, weiter
7–12: Mittleres Risiko → Maßnahmen verstärken, überwachen
13–25: Hohes Risiko → DPIA finalisieren, ggf. Aufsichtsbehörde konsultieren

Bei jedem identifizierten Risiko benennen Sie mindestens eine technische und eine organisatorische Maßnahme. Beispiel: Risiko „unbefugter Zugriff auf Kundendaten“ → technisch: Pseudonymisierung; organisatorisch: Zugriffsregelung auf HR‑Team beschränken.

Nachweis und Versionierung

Dateiname: DPIA_Projektname_V1_YYYYMMDD.pdf. Das Dokument enthält Signaturen und ein Review‑Protokoll. Die Umsetzungsliste zeigt: Maßnahme, Haken (erledigt), Umsetzungsdatum, Verantwortlicher.

Quellen: DSGVOSchutzteam; unternehmer.de

Schritt 5 — Betroffenenrechte Prozesse: Auskunft, Löschung & Co. richtig handhaben

Betroffenenrechte Prozesse sind die operative Seite der DSGVO, die viele KMU unterschätzen. Wenn ein Kunde fragt „Welche Daten haben Sie über mich?“ oder „Löschen Sie bitte mein Konto“ — dann tickt die Uhr. Anfragen sind grundsätzlich innerhalb eines Monats zu beantworten. Bei komplexen Fällen ist eine Verlängerung um zwei weitere Monate möglich, aber nur mit schriftlicher Begründung an den Antragsteller.

Standardisierter Workflow: So läuft eine Anfrage ab

1. Eingang:
Anfrage per E‑Mail oder Brief → sofort Ticket im System anlegen (Felder: Anfrage_ID, Eingang_Datum, Antragsteller_Name, Kontakt, Art_der_Anfrage: Auskunft / Löschung / Berichtigung / Widerspruch / Einschränkung).

2. Identitätsprüfung:
Sie müssen sicherstellen, dass Sie mit der richtigen Person sprechen — aber ohne mehr Daten zu erheben als nötig. Zulässige Methoden: Abfrage von zwei Identitätsmerkmalen (z. B. Geburtsdatum + letzte Rechnungssumme), oder Ausweis‑Kopie per Ende‑zu‑Ende‑verschlüsselter Übertragung. Keine unnötigen Daten sammeln.

3. Recherche:
Die verantwortliche Abteilung durchsucht alle relevanten Systeme (Referenz: VVT‑Eintrag). Interne Frist: 7 Tage für erste Ergebnisse, danach Eskalation an DSB‑Vertreter.

4. Antwort:
Verwenden Sie Standardantworten — vollständig, teilweise oder mit Ablehnung. Jede Antwort enthält folgenden rechtlichen Hinweis: „Sie haben das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen.“

5. Dokumentation:
Alles im Ticket festhalten: Antwortdatum, Versanddatum, Anhänge. Parallel Eintrag in Betroffenenrechte_Log.xlsx (Spalten: ID, Antragsteller, Art, Eingang, Abwicklung, Ergebnis, Fristverlängerung, Notizen).

Technische Unterstützung und KPIs

Für die Bearbeitung empfiehlt sich ein einfaches Ticketing‑System (z. B. Zendesk oder OTRS). Verschlüsselte Uploads für Ausweiskopien, 2‑Faktor‑Authentifizierung für Support‑Mitarbeiter. Logs sollten WORM‑fähig oder gesichert mit Zeitstempel gespeichert werden.

Messen Sie regelmäßig folgende Kennzahlen:

  • Anzahl Anfragen pro Monat
  • Durchschnittliche Bearbeitungszeit in Tagen
  • Anteil fristgerecht beantwortet (Ziel: 100%)
  • Offene Anfragen älter als 30 Tage (Ziel: 0)

Ein monatliches Dashboard für die Geschäftsführung und ein Quartals‑Review im DSGVO‑Meeting reichen für die meisten KMU vollständig aus.

Quellen: unternehmer.de; Betrieb‑Machen (PDF)

Schritt 6 — Technische und organisatorische Maßnahmen: Minimalset für KMU

Technische und organisatorische Maßnahmen — kurz TOMs — sind das, was Ihre Daten tatsächlich schützt. Die DSGVO verlangt „angemessene“ Maßnahmen, aber was genau das bedeutet, hängt von Ihrem Risiko ab. Für KMU gilt: kosteneffizient und prüfbar. Kein Enterprise‑Security‑Budget nötig.

Viele praxisnahe Sicherheitsmaßnahmen: IT‑Sicherheit für KMU — Tipps

Konkrete Maßnahmen mit Nachweis

Zugriffskontrollen:
Rollenbasierte Zugriffsrechte nach dem Least‑Privilege‑Prinzip — jeder bekommt nur, was er wirklich braucht. MFA (Multi‑Faktor‑Authentifizierung) für alle Admin‑Accounts ist Pflicht. Nachweis: Rechte‑Matrix, Screenshot der Benutzerverwaltung, IAM‑Export. Weitere Details zur MFA‑Implementierung: MFA‑Guide für KMU

Verschlüsselung:
TLS 1.2 oder 1.3 für alle Daten im Transport. Ruhende Daten wenn möglich mit AES‑256 verschlüsseln. Nachweis: SSL‑Zertifikate, Konfigurationsscreenshots. Methoden und Systeme zur Verschlüsselung: Datenverschlüsselung für KMU

Backup:
Tägliche Backups mit 30‑ bis 90‑Tage‑Aufbewahrung je nach Datenkategorie. Monatliche Wiederherstellungstests durchführen und protokollieren. Nachweis: Backup‑Protokolle, Testberichte. Backup‑Strategien: Backup‑Lösungen für KMU

Protokollierung / Audit‑Logging:
Zentrale Logs aller Zugriffe auf personenbezogene Daten, Aufbewahrung mindestens 90 Tage. Nachweis: Log‑Export, dokumentierte Log‑Retention‑Policy. Log‑Management & SIEM‑Lösungen: SIEM für KMU

Berechtigungsmanagement:
Passwort‑Manager wie 1Password oder Bitwarden für das ganze Team einführen. Passwortregeln dokumentieren (Mindestlänge, Komplexität, keine Wiederverwendung). Nachweis: Lizenzliste, Rollout‑Protokoll.

Physische Maßnahmen:
Zutrittskontrolle zum Büro und Serverraum, verschlossene Schränke für Papierakten, Aktenvernichtung mit Schredder‑Protokoll.

Priorisierung nach Budget

Sie müssen nicht alles auf einmal umsetzen. Gehen Sie schrittweise vor:

  • Priorität 1 (sofort): MFA für Admins, Passwort‑Manager, TLS aktiv, AV‑Verträge
  • Priorität 2 (30 Tage): Verschlüsselung ruhender Daten, Backups mit Offsite‑Kopie
  • Priorität 3 (90 Tage): Logging‑Lösung, ggf. DLP (Data Loss Prevention)

Cloud‑Provider wie AWS, Azure oder Google Workspace bieten viele Sicherheitsfeatures bereits eingebaut — nutzen Sie diese, bevor Sie in teure Zusatzlösungen investieren. Cloud‑Best Practices: Cloud‑Sicherheit für KMU und Cloud‑Compliance für KMU

Quellen: mimann.net; DSGVOSchutzteam; Betrieb‑Machen (PDF)

Schritt 7 — Dokumentation & Nachweisstrategie: Was bei einer Prüfung vorgelegt werden muss

Eine Prüfung durch die Aufsichtsbehörde kündigt sich selten an. Deshalb müssen Ihre Nachweise jederzeit abrufbereit sein — nicht erst dann, wenn die E‑Mail kommt. Folgende Dokumente werden standardmäßig angefordert:

  • VVT (Excel/CSV) mit vollständiger Versionshistorie
  • AV‑Verträge (PDF, unterschrieben, für alle relevanten Dienstleister)
  • DPIAs (PDF, unterschrieben, mit Maßnahmenliste und Umsetzungsdatum)
  • Betroffenenanfrage‑Log (Excel oder Ticketing‑System‑Export)
  • TOMs‑Dokumentation (Sicherheitskonzept, Testprotokolle, Screenshots)
  • Schulungsnachweise (Teilnehmerliste, Datum, Inhalte, Quiz‑Ergebnisse)
  • Incident‑Reports mit Lessons Learned

Versionierung und Aufbewahrung

Halten Sie folgende Regeln ein:

  • Änderungsprotokolle mindestens 3 Jahre aufbewahren
  • AV‑Verträge: so lange wie die Vertragslaufzeit, plus 3 Jahre danach
  • Dateiname‑Konvention: <DokumentTyp>_<Prozess/Provider>_V<Nummer>_YYYYMMDD.pdf

Für Behördenanfragen vorbereitet sein

Legen Sie einen zentralen ZIP‑Export‑Ordner an, der jederzeit bereit ist. Darin liegt eine Index‑CSV mit folgenden Spalten: Dateiname, Dokumenttyp, Erstellungsdatum, Verantwortlicher. So finden Sie in 5 Minuten alles, was gebraucht wird.

Interne Kontroll‑Checkliste

  • – [ ] VVT aktuell und freigegeben?
  • – [ ] AV‑Verträge für alle Dienstleister vorhanden?
  • – [ ] DPIAs für alle Hochrisiko‑Prozesse durchgeführt?
  • – [ ] TOMs dokumentiert und getestet?
  • – [ ] Betroffenenanfragen alle fristgerecht beantwortet?
  • – [ ] Schulungsnachweise für alle Mitarbeiter vorhanden?

Quellen: mimann.net; DSGVOSchutzteam; Betrieb‑Machen (PDF)

Schritt 8 — DSGVO für KMU: Schulung, Awareness & Prozesseinführung

Datenschutz funktioniert nur, wenn alle mitmachen. Eine DSGVO‑konforme Infrastruktur bringt wenig, wenn Mitarbeiter Passwörter auf Zetteln notieren oder Kundendaten per unverschlüsselter E‑Mail verschicken. Deshalb ist Schulung kein Nice‑to‑have, sondern Pflicht.

Schulungsplan — konkret und umsetzbar

Für alle Mitarbeitenden: 30 Minuten Jahrestraining (Pflicht), als Präsenz‑ oder Online‑Kurs.

Für Verantwortliche und IT: 90 Minuten vertiefend, jährlich.

Modulinhalte:

  1. Warum Datenschutz? (Risiken und Bußgelder konkret)
  2. Was sind personenbezogene Daten? (mit Beispielen aus dem Arbeitsalltag)
  3. Betroffenenrechte Prozesse — wie leite ich eine Anfrage weiter?
  4. Meldepflichten bei Datenpannen — was tue ich, wenn etwas schiefgeht?
  5. Praktische TOMs — Passwort‑Regeln, Phishing erkennen, sicheres Arbeiten
  6. Umgang mit Dienstleistern — wann brauchen wir einen AV‑Vertrag?

Am Ende jedes Moduls: kurzes Online‑Quiz. Mindestpunktzahl: 80%. Wer nicht besteht, wiederholt das Modul. Jeder Teilnehmer erhält eine Teilnahmebescheinigung als PDF.

Neue Mitarbeiter onboarden

Neue Mitarbeitende erhalten ab Tag 1:

  • Datenschutz‑Kurzinfo (2 Seiten, einfache Sprache)
  • Zugangsdaten nur mit klar definierter Rollenzuweisung
  • Unterschrift unter Datenschutzverpflichtungserklärung

Nachweis: Schulungslog führen

Datei: Schulung_Datenschutz_YYYYMMDD.pdf — enthält Teilnehmerliste, Datum, Modul, Quiz‑Ergebnis. Diese Datei gehört in den zentralen DSGVO‑Dokumentenordner.

Quelle: mimann.net

Schritt 9 — Datenschutzverletzungen & Meldeprozesse: Was tun, wenn’s brennt?

Eine Datenpanne passiert schneller als gedacht — ein falscher E‑Mail‑Empfänger, ein gehacktes Passwort, ein verlorener Laptop. Was dann zählt, ist Schnelligkeit und Dokumentation. Die 72‑Stunden‑Meldepflicht an die Aufsichtsbehörde lässt keine Zeit für langes Überlegen.

Sofortmaßnahmen — die ersten Stunden

Sofort nach Entdeckung:
– Zugang sperren, betroffene Systeme isolieren
– Erste Dokumentation: Wer hat was wann entdeckt?

Meldekette (innerhalb 4 Stunden nach Entdeckung):
IT‑Lead → DSB‑Vertreter → Geschäftsführung

Innerhalb 72 Stunden:
– Meldung an zuständige Aufsichtsbehörde (Pflicht bei Risiko für Betroffene)
– Bei hohem Risiko: zusätzlich Betroffene direkt benachrichtigen

Für schnellere Erkennung und Automatisierung von Incident‑Workflows können AIOps‑ und Incident‑Automation‑Ansätze helfen: AIOps für KMU. SIEM/Logging ist hier ebenfalls zentral.

Incident‑Report‑Template — Pflichtfelder

  • Incident_ID und Entdeckt_am / Entdeckt_durch
  • Betroffene Systeme und Datenkategorien
  • Geschätzte Anzahl betroffener Personen
  • Ursache (vorläufig)
  • Sofortmaßnahmen (was wurde bereits getan?)
  • Langfristmaßnahmen (was folgt?)
  • Behörde benachrichtigt? (ja/nein, Datum)
  • Betroffene benachrichtigt? (ja/nein, Datum)
  • Anhänge: Logs, Screenshots
  • Lessons Learned

Mustertext für die Behördenmeldung

„Kurzbeschreibung: Am [Datum] wurde eine Datenschutzverletzung entdeckt. Art der Daten: [z. B. E‑Mail‑Adressen, Zahlungsdaten]. Anzahl betroffener Personen: ca. [X]. Wahrscheinliche Folgen: [kurze Einschätzung]. Bereits getroffene Maßnahmen: [z. B. Zugang gesperrt, Passwörter zurückgesetzt]. Kontaktperson: [Name, E‑Mail, Telefon].“

Für Betroffene gilt: kurze, verständliche Sprache. Sagen Sie konkret, was passiert ist und was sie tun sollen (z. B. Passwort ändern). Nennen Sie eine Kontaktadresse für Rückfragen.

Quellen: unternehmer.de; mimann.net

Monitoring, Review & Audit: DSGVO für KMU langfristig sichern

Datenschutz ist kein Projekt, das man einmal abschließt. Prozesse ändern sich, neue Dienstleister kommen dazu, Gesetze entwickeln sich weiter. Wer einmal ein solides Fundament aufgebaut hat, braucht nur noch regelmäßige Pflege — kein großer Aufwand.

Turnus und Auslöser für Reviews

  • Jährlicher Full‑Review: VVT und TOMs komplett durchgehen, Änderungen dokumentieren
  • Ad‑hoc‑Review: Bei Prozessänderungen, Sicherheitsvorfällen, neuen Dienstleistern oder neuen Produkten
  • Interne Audits: Halbjährlich für kritische Prozesse, jährlich für die Gesamt‑Compliance

KPI‑Monitoring — was gemessen werden sollte

Folgende Kennzahlen gehören in Ihren Quartalsreport an die Geschäftsführung:

  • Betroffenenanfragen pro Monat und durchschnittliche Bearbeitungszeit
  • Anzahl meldepflichtiger Incidents im Quartal
  • Prozentsatz umgesetzter DPIA‑Maßnahmen
  • AV‑Verträge: Wie viel Prozent sind unterschrieben und aktuell?

Vorbereitung auf die Aufsichtsbehörde

Halten Sie einen „Quick‑Pack“ bereit: ZIP‑Datei mit Index‑CSV und allen zentralen Dokumenten. Dazu eine aktuelle Kontaktliste (DSB‑Vertreter, IT‑Lead, Geschäftsführung). So können Sie im Ernstfall binnen einer Stunde reagieren.

Quellen: mimann.net; Wolters Kluwer

Praxisbeispiele: So sieht DSGVO‑Compliance in der Realität aus

Theorie ist gut, Praxis ist besser. Hier drei konkrete Beispiele, die zeigen, wie die Umsetzung in verschiedenen KMU‑Typen aussieht.

Case 1 — Onlineshop

Ein kleiner Onlineshop verarbeitet täglich Bestelldaten. Der VVT‑Eintrag für den Prozess „Bestellabwicklung“ sieht so aus: Datenkategorien: Name, Adresse, Zahlungsdaten; Rechtsgrundlage: Art. 6(1)(b) Vertragserfüllung; Empfänger: Zahlungsdienstleister (AV‑Vertrag vorhanden); Speicherdauer: 7 Jahre (Buchhaltungspflicht); TOMs: TLS, tägliches Backup.

Der AV‑Vertrag Muster mit dem Zahlungsanbieter enthält die Subunternehmerregelung und eine klare Löschklausel nach Vertragsende. Für Zahlungstransaktionen wird ein DPIA‑Screening durchgeführt — bei Nutzung eines zertifizierten Payment‑Service‑Providers ist das Restrisiko in der Regel gering. Pseudonymisierung der Zahlungsdaten reduziert es weiter.

Quelle: mimann.net

Case 2 — Personalverwaltung im Handwerksbetrieb

Ein Handwerksbetrieb mit 15 Mitarbeitern führt Personalakten digital. Der VVT‑Eintrag „Personalverwaltung“ umfasst: Personalstammdaten, Lohn‑ und Gehaltsabrechnungen, ggf. Krankmeldungen (Art. 9 DSGVO — besondere Kategorien); Rechtsgrundlage: Art. 6(1)(b) für reguläre Beschäftigungsdaten, Art. 9(2) bei Gesundheitsdaten; Speicherdauer: gesetzliche Aufbewahrungsfristen (bis zu 30 Jahre für Lohndaten).

TOMs: Zugriff auf Personalakten nur für HR‑Leitung, verschlüsselter Export für Lohnbuchhaltungs‑Software. Besondere Schulung für alle, die mit Personalakten umgehen — inklusive der Betroffenenrechte Prozesse bei Mitarbeiteranfragen.

Quellen: mimann.net; Interconnect

Case 3 — SaaS‑Nutzung: CRM‑Tool

Ein Dienstleister nutzt ein cloudbasiertes CRM‑Tool mit Sitz in den USA. Der VVT‑Eintrag „CRM“ zeigt: Empfänger: SaaS‑Anbieter (AV‑Vertrag erforderlich); Drittland: USA (Standardvertragsklauseln / SCC notwendig). Der AV‑Vertrag Muster enthält: Weisungsrecht, Auditrecht, vollständige Subunternehmer‑Liste des Anbieters.

Wenn das CRM für Profiling oder automatisierte Entscheidungen genutzt wird (z. B. Lead‑Scoring), ist eine Datenschutz Folgenabschätzung Pflicht. Ohne Profiling ist das DPIA‑Risiko in der Regel gering, wenn SCC korrekt implementiert sind. Hilfreiche Ressourcen zu Cloud‑Compliance und Cloud‑Sicherheit: Cloud‑Compliance und Cloud‑Sicherheit.

Quelle: mimann.net

Downloads & Vorlagen: Verzeichnis Verarbeitungstätigkeiten, AV‑Vertrag Muster und mehr

Alle Vorlagen sind als editierbare Dateien verfügbar. Passen Sie Firmendaten, Prozessnamen und Ansprechpartner entsprechend an.

Datei Inhalt Typ
VVT_Template.csv Alle Pflichtfelder nach Art. 30: ID, Prozessname, Verantwortliche, Zweck, Betroffene, Datenkategorien, Rechtsgrundlage, Empfänger, Drittland, Speicherdauer, TOMs, DPIA‑Flag, Änderungslog CSV / XLSX
AV_Vertrag_Muster.docx Komplettpaket mit allen Pflichtklauseln + Anlage TOMs, Subunternehmerformular, Löschprotokoll DOCX / PDF
DPIA_Template.xlsx Risikomatrix mit Scoring (1–5), Maßnahmenplan, Unterschriftsfelder, Review‑Protokoll XLSX
Betroffenenrechte_Formulare.zip Eingangsformular, Antwortvorlagen (vollständig / teilweise / Ablehnung), Identitätsprüfungs‑Checklist ZIP (DOCX + PDF)
Incident_Report_Template.docx Alle Pflichtfelder, Prozessbeschreibung, Meldevorlage für Behörde und Betroffene DOCX
Audit_Checklist_DSGVO.xlsx Zusammenfassung aller Checkpoints: VVT, AV, DPIA, TOMs, Schulung, Incidents XLSX

Quellen: mimann.net; Interconnect; DSGVOSchutzteam; unternehmer.de; Betrieb‑Machen (PDF)

Umsetzungsempfehlung & Zeitplan: Verzeichnis Verarbeitungstätigkeiten und AV‑Vertrag Muster als Startpunkt

Compliance klingt nach viel Arbeit, aber der Kern ist überschaubar. Hier die Prioritätenmatrix mit realistischen Ressourcenangaben:

Phase Maßnahmen Ressourcen Ergebnis
0–7 Tage VVT initial erstellen 1 Person, 1–2 Tage VVT_Master.xlsx
14 Tage AV‑Verträge Top‑10 prüfen & unterzeichnen 1 Person, 1–2 Tage AV_Status_Report.xlsx
30 Tage TOMs dokumentieren + erste Mitarbeiterschulung 2–3 Tage (IT + HR) Sicherheitskonzept + Schulungslog
60–90 Tage DPIA‑Screening + kritische Maßnahmen umsetzen ca. 1 Woche DPIA_Screening_Report
Laufend Jährliches Monitoring & Review halbtägig pro Quartal Review‑Protokolle

Das Minimalset für Basis‑Compliance

Wenn Sie nur einen Startpunkt suchen: Diese vier Elemente bilden Ihr Fundament.

  1. VVT — erstellt, freigegeben, aktuell
  2. Unterschriebene AV‑Verträge für die Top‑10 Dienstleister
  3. Dokumentierte TOMs — mindestens MFA, TLS, Backup
  4. Mitarbeiterschulung — einmal jährlich, mit Nachweis

Ressourcenbedarf realistisch: 1 Person (DSB‑Vertreter oder GF) für Koordination, 0,5 Personentage IT für TOMs, 0,5 Personentage HR für Schulung und Betroffenenrechte.

Quellen: mimann.net; DSGVOSchutzteam

Abschluss & Nächste Schritte: Ihr 30‑Tage‑Plan für DSGVO für KMU

Hier ist Ihre konkrete To‑Do‑Liste für die ersten 30 Tage — mit klaren Ergebnissen, Fristen und Verantwortlichkeiten.

Tag 0–7: Verzeichnis Verarbeitungstätigkeiten anlegen

Aufgabe: VVT erstellen | Ergebnis: VVT_Master.xlsx | Verantwortlich: GF / DSB‑Vertreter | Frist: Tag 7

Starten Sie mit der Bestandsaufnahme: Interviews mit den Abteilungen, Systemexporte auswerten, alle Prozesse in die Template‑Datei eintragen. Fertig ist der erste Nachweis.

Tag 7–14: AV‑Vertrag Muster prüfen und unterzeichnen

Aufgabe: AV‑Verträge Top‑10 Dienstleister prüfen und unterschreiben | Ergebnis: AV_Paket_signed.zip | Verantwortlich: Einkauf / GF | Frist: Tag 14

Gehen Sie Ihre Dienstleisterliste durch. Für jeden ohne gültigen AV‑Vertrag: sofort Kontakt aufnehmen und Muster zusenden. Fehlende Verträge = direktes Compliance‑Risiko.

Tag 14–30: TOMs dokumentieren und Schulung durchführen

Aufgabe: Sicherheitskonzept fertigstellen, 30‑Minuten‑Mitarbeiterschulung abhalten | Ergebnis: Security_Plan.pdf, Schulungslog.xlsx | Verantwortlich: IT / HR | Frist: Tag 30

MFA aktivieren, Backup‑Prozess dokumentieren, TLS prüfen. Schulung mit Quiz und Teilnahmebestätigung abhalten.

Weitere Ressourcen: IT‑Sicherheit für KMU — Tipps; Sicherheitsautomatisierung

Ende Tag 30: DPIA‑Screening starten

Aufgabe: DPIA‑Screening für alle VVT‑Einträge mit DPIA‑Flag | Ergebnis: DPIA_Screening_Report.xlsx | Verantwortlich: DSB‑Vertreter | Frist: Tag 30

Prüfen Sie jeden Eintrag mit DPIA‑Flag aus dem VVT. Für alle mit hohem Risiko: vollständige Datenschutz Folgenabschätzung einleiten.

Bei Unsicherheiten — insbesondere zu komplexen DPIAs oder internationalen Datenübermittlungen — ziehen Sie rechtliche Beratung hinzu. Die Landesdatenschutzbeauftragten (LfDI) stellen kostenlose Vorlagen und Leitfäden zur Verfügung. Nutzen Sie diese.

Laden Sie die Vorlagen herunter, führen Sie die 30‑Tage‑To‑Dos durch und kontaktieren Sie uns bei Fragen zur Anpassung an Ihren Betrieb.

Quelle: mimann.net

FAQ

  • Frage: Muss jedes KMU einen Datenschutzbeauftragten benennen?
    Antwort: Nicht zwingend. Pflicht besteht bei mehr als 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten, oder bei besonderen Verarbeitungen. Dennoch empfiehlt sich die Benennung eines DSB‑Vertreters auch in kleineren Betrieben.
  • Frage: Was ist das wichtigste Dokument für den Start?
    Antwort: Das Verzeichnis Verarbeitungstätigkeiten (VVT) — es ist der erste Nachweis gegenüber der Aufsichtsbehörde und bildet die Grundlage für viele weitere Maßnahmen.
  • Frage: Wie schnell muss ich auf Betroffenenanfragen reagieren?
    Antwort: Innerhalb eines Monats. Bei komplexen Fällen ist eine Verlängerung um zwei Monate möglich, muss aber schriftlich begründet werden.
  • Frage: Reichen Standard‑AV‑Verträge eines Anbieters aus?
    Antwort: Prüfen Sie sie kritisch. Wichtige Punkte sind Weisungsbindung, Subunternehmerregelung, Löschklauseln, TOMs und Auditrechte. Passen Sie Vorlagen gegebenenfalls an.
  • Frage: Was tun bei einer Datenpanne?
    Antwort: Sofort Maßnahmen ergreifen (Zugriff sperren, Systeme isolieren), binnen 72 Stunden Meldung an die Aufsichtsbehörde, Betroffene informieren bei hohem Risiko. Dokumentation ist entscheidend.
Vorheriger Beitrag
Nächster Beitrag

Neueste Beiträge

  • All Posts
  • Audit & Reporting
  • Business & Management
  • Business Continuity & Resilienz
  • Cybersecurity & Infrastructure Security
  • E-Mail & Web Security
  • ESG & Nachhaltigkeit in der IT
  • Governance, Risk & Compliance (GRC)
  • Human Factor & Awareness
  • Identity & Access Management (IAM)
  • Integration & Orchestration
  • IT-Automatisierung & Prozessoptimierung
  • KI & Intelligente Systeme
  • Monitoring & Observability
  • Third-Party & Lieferantenmanagement (TPRM)
  • Tools & Best Practices
  • Vulnerability & Patch Management

Kategorien

Tags

Entdecke unsere Dienstleistungen

Kontaktieren uns noch heute, um zu Erfahren, wie wir dein Unternehmen voranbringen können

Kontakt

Transformiere dein Unternehmen noch heute

Bleibe der Konkurrenz einen Schritt voraus! Abonniere unseren Newsletter für aktuelle Updates, exklusive Angebote und Brancheneinblicke – direkt in dein Postfach geliefert.

Bleib am Ball, abonniere die neuesten Updates und exklusive Inhalte.

Facebook-f Twitter Instagram Tumblr

Quick Links

Home

Services

Blog

Kontakt

About Us

Contact Us

Ressourcen

FAQ

Top KI Tools

Project Management

Legal Resources

Marketing Tools

Business Analytics

Rechtliches

Datenschutzerklärung

Impressum

Cookie Richtilinie

© 2025 IT-Beratung Jochim