DSGVO für kleine Firmen: das Minimum, das Sie haben müssen
24 June 2026 · 7 Min. Lesezeit
Viele kleine Firmen denken, Datenschutz betreffe nur große Unternehmen. Tut er nicht. In dem Moment, in dem Sie Daten von Menschen verarbeiten — Mitarbeiter, Kunden, Lieferanten — gelten Pflichten für Sie: die DSGVO, und je nach Standort ergänzende nationale Datenschutzgesetze. Die gute Nachricht: Für eine kleine Firma ist das „Minimum“ erreichbar; die schlechte: „nichts“ ist keine Option. Dies ist keine Rechtsberatung, sondern ein praktischer Überblick, wo Sie anfangen.
Erstens: wissen, welche Daten Sie überhaupt haben
Sie können nicht schützen, von dem Sie nicht wissen, dass Sie es haben. Der nützlichste erste Schritt ist ein Verzeichnis der Verarbeitungstätigkeiten:
- Welche personenbezogenen Daten Sie erheben (Namen, Kontakte, Ausweisnummern, Personalakten, Videoüberwachung...).
- Wo sie gespeichert sind (Systeme, Dateien, Cloud-Dienste, Papier).
- Warum Sie sie verarbeiten und auf welcher Grundlage (Vertrag, gesetzliche Pflicht, Einwilligung...).
- Wer Zugriff hat und mit wem Sie sie teilen (z. B. Steuerberater, Lieferanten).
Dieses Verzeichnis ist die Grundlage für alles Weitere, und für die meisten Firmen offenbart es Daten, von denen sie nicht einmal wussten, dass sie sie halten.
Zweitens: eine Grundlage haben und transparent sein
Jede Verarbeitung muss eine Rechtsgrundlage haben und für die Menschen klar sein, deren Daten Sie verarbeiten:
- Eine Datenschutzerklärung, die klar sagt, was Sie speichern, warum und wie lange.
- Einwilligung, wo die Einwilligung die Grundlage ist — freiwillig, klar und widerrufbar, nicht im Kleingedruckten versteckt.
- Achtung der Rechte der Menschen: Auskunft über ihre Daten, Berichtigung und Löschung, wenn Gründe vorliegen.
Transparenz ist günstig, und ihr Fehlen ist eine häufige Ursache für Beschwerden.
Drittens: technischer und organisatorischer Schutz
Das Gesetz verlangt „geeignete Maßnahmen“, keine Wunder. Für eine kleine Firma bedeutet das praktisch die Hygiene, die Sie ohnehin haben sollten:
- Zugriffskontrolle — jeder sieht nur, was er für seine Arbeit braucht.
- Verschlüsselung sensibler Daten und Geräte (Laptops, Handys).
- Mehr-Faktor-Anmeldung und starke Passwörter.
- Backup und ein Wiederherstellungsplan.
- Löschen von Daten, sobald ihr Zweck entfällt — nicht alles für immer „für alle Fälle“ aufbewahren.
Ein Großteil der Konformität überschneidet sich mit guter IT-Sicherheit; das sind keine zwei getrennten Projekte.
Viertens: Verträge mit denen, die Daten für Sie verarbeiten
Wenn jemand von außen Daten für Sie verarbeitet — ein Cloud-Anbieter, ein Steuerberater, ein Mailing-Tool — bleibt die Verantwortung auch bei Ihnen. Das Minimum ist ein Vertrag (Auftragsverarbeitung), der regelt, wie diese Partner die Daten nutzen dürfen und wie sie sie schützen. Wählen Sie Anbieter, die das nachweisen können, nicht nur versprechen.
Fünftens: wissen, was Sie bei einem Leck tun
Ein Datenvorfall ist keine Frage des „ob“, sondern des „wann“. Entscheiden Sie im Voraus:
- Wer intern einen Vorfall erkennt und meldet.
- Welche Fristen und an wen Sie eine Meldepflicht haben (die Aufsichtsbehörde und in manchen Fällen die Betroffenen).
- Wie Sie dokumentieren, was passiert ist und was Sie dagegen getan haben.
Ein fertiges, auch kurzes Verfahren ist der Unterschied zwischen einer kontrollierten Reaktion und Panik.
Wo kleine Firmen am häufigsten scheitern
Typische Lücken, die leicht zu schließen sind:
- Daten „für immer“ aufbewahren, ohne Zweck und ohne Frist.
- Einwilligung, die keine echte Einwilligung ist (vorangekreuzt, unklar).
- Zugriff, den alle haben, weil „es so einfacher ist“.
- Kein Verarbeitungsverzeichnis, sodass die Firma nicht einmal weiß, wo ihre Daten sind.
Konformität ist kein einmaliges Dokument, das man ausfüllt und vergisst, sondern eine Arbeitsweise. Für eine kleine Firma ist das Minimum machbar: wissen, welche Daten Sie halten, eine Grundlage und Transparenz haben, sie mit Grundmaßnahmen schützen, die Beziehungen zu Anbietern regeln und ein Verfahren für Vorfälle vorbereiten. Für die konkreten Pflichten und Fristen, die für Ihre genaue Branche gelten, sprechen Sie mit einem Anwalt — dieser Text hilft Ihnen zu wissen, welche Fragen Sie stellen müssen.