DSGVO praktisch für KMU und Handwerk: was wirklich zu tun ist

DSGVO praktisch für KMU und Handwerk: was wirklich zu tun ist

Bei kaum einem Thema schwanken kleine Betriebe so sehr zwischen Achselzucken und Panik wie beim Datenschutz. Die einen denken: "Wir sind doch nur drei Leute, das betrifft uns nicht." Die anderen haben von Abmahnungen gehört und trauen sich kaum noch, eine Webseite online zu stellen. Beide Haltungen kosten Sie am Ende Zeit und Nerven und beide sind falsch.

Die Wahrheit liegt dazwischen und sie ist erstaunlich überschaubar. Die meisten DSGVO-Pflichten lassen sich für einen normalen Handwerks- oder Mittelstandsbetrieb an ein, zwei Nachmittagen erledigen. Es gibt eine Handvoll Dinge, die wirklich jeder braucht. Dazu kommen ein paar Sonderfälle, die nur manche betreffen. In diesem Artikel sortieren wir das für Sie, ohne Juristen-Deutsch und ohne Angstmacherei. Damit Sie danach wissen, was Sie tun müssen, was Sie sich sparen können und wo Sie wirklich aufpassen sollten.

> Hinweis: Dieser Artikel ist kein Rechtsrat. Er gibt Ihnen einen Überblick und eine Orientierung. Im Zweifel, gerade bei besonderen Datenarten oder größeren Vorhaben, fragen Sie einen Steuerberater oder Fachanwalt.

Kurze Antwort (TL;DR)

Brauchen wir einen Datenschutzbeauftragten?

Das ist meistens die erste Frage und sie ist überraschend oft mit "Nein" zu beantworten. Wichtig ist aber: Auch wenn Sie keinen Datenschutzbeauftragten (kurz: DSB) brauchen, sind Sie damit nicht "fertig". Die anderen Pflichten weiter unten gelten trotzdem.

Die 20-Personen-Schwelle, richtig gezählt

Ein DSB ist in Deutschland aktuell (Stand 31.05.2026) Pflicht, sobald in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Das steht in Paragraf 38 Absatz 1 BDSG und gilt seit dem 26.11.2019.

"Automatisiert" klingt technisch, meint aber schlicht: Arbeit am PC oder mit Software, in der Personendaten vorkommen. Wer E-Mails schreibt, im Buchhaltungsprogramm arbeitet oder Kundendaten pflegt, zählt mit.

Und jetzt der Punkt, an dem sich die meisten verschätzen: Bei dieser Zählung zählt jede Person voll, unabhängig von den Wochenstunden. Eine Teilzeitkraft zählt wie eine Vollzeitkraft. Der Minijobber zählt voll. Azubis mit Datenzugriff, Werkstudenten, Aushilfen und fest eingebundene freie Mitarbeiter zählen je als eine ganze Person. Wer also "gefühlt" zwölf Leute hat, kommt nach korrekter Zählung schnell auf zwanzig.

Wann ein DSB trotzdem Pflicht ist, auch im Kleinbetrieb

Es gibt Fälle, in denen Sie unabhängig von der Mitarbeiterzahl einen DSB brauchen. Das betrifft Sie, wenn Sie umfangreich besondere Datenkategorien verarbeiten (Artikel 9 DSGVO, zum Beispiel Gesundheitsdaten), wenn systematische Überwachung Ihre Kerntätigkeit ist, oder wenn eine sogenannte Datenschutz-Folgenabschätzung (DSFA, Artikel 35 DSGVO) nötig wird.

Im Klartext: Schon ein einzelner Vorgang mit hohem Risiko kann die DSB-Pflicht auslösen, auch in einem Drei-Personen-Betrieb. Ein typisches Beispiel ist eine größere Videoüberwachung. Wer also denkt "wir sind zu klein für sowas", übersieht manchmal genau diesen Auslöser.

Die geplante Änderung: noch nicht verlassen darauf

Sie haben vielleicht gehört, dass die 20-Personen-Schwelle abgeschafft werden soll. Das stimmt, ist aber noch nicht passiert. Die Bundesregierung will Paragraf 38 Absatz 1 BDSG bis zum 31.12.2026 aufheben (Bund-Länder-Beschluss vom 04.12.2025, Teil der sogenannten Föderalen Modernisierungsagenda). Dann würde die nationale 20er-Grenze wegfallen und nur noch die engeren DSGVO-Kriterien aus Artikel 37 gelten.

Entscheidend ist das Wörtchen "noch nicht". Bis zur tatsächlichen Gesetzesänderung gilt weiterhin die 20-Personen-Grenze. Verlassen Sie sich also nicht vorab darauf. Wenn Sie heute über der Schwelle liegen, brauchen Sie heute einen DSB.

Die vier Pflichten, die wirklich jeder Betrieb hat

Hier wird es praktisch. Diese vier Dinge gelten unabhängig vom DSB und unabhängig von Ihrer Größe. Auch der Drei-Personen-Betrieb braucht sie.

1. Das Verzeichnis der Verarbeitungstätigkeiten (VVT)

Das klingt nach Behörde, ist aber im Kern eine Liste: Was machen wir mit welchen Personendaten? Geregelt ist es in Artikel 30 DSGVO.

Ein häufiger Irrtum: "Unter 250 Mitarbeitern sind wir doch ausgenommen." Auf dem Papier stimmt das (Artikel 30 Absatz 5). In der Praxis greift diese Ausnahme aber fast nie. Sie entfällt nämlich, sobald die Verarbeitung nicht nur gelegentlich passiert, ein Risiko birgt oder besondere Datenkategorien betrifft. Da praktisch jeder Betrieb regelmäßig Kunden- und Mitarbeiterdaten verarbeitet, muss faktisch fast jeder ein VVT führen. Rechnen Sie also damit, dass es Sie betrifft.

Hineingehören: Name und Kontakt des Verantwortlichen, die Zwecke der Verarbeitung, welche Personengruppen und Datenarten betroffen sind, an welche Empfänger-Kategorien Daten gehen, gegebenenfalls Übermittlungen in Drittländer, die Löschfristen und eine allgemeine Beschreibung Ihrer Schutzmaßnahmen. Die Form ist frei: Eine Excel-Tabelle reicht völlig. Sie müssen das Verzeichnis nicht einreichen, sondern nur vorlegen können, wenn die Aufsichtsbehörde danach fragt.

2. AV-Verträge mit allen Dienstleistern

Sobald ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie mit ihm einen Vertrag zur Auftragsverarbeitung (AVV, Artikel 28 DSGVO). Das betrifft mehr Betriebe, als die meisten denken.

Typische Fälle: Microsoft 365, Google Workspace, Ihr Webhosting, ein Newsletter-Tool, die Cloud-Buchhaltung oder Lohnabrechnung, Ihr CRM, eine Webanalyse. Überall dort liegen Ihre Kundendaten bei einem Anbieter.

Die gute Nachricht: Microsoft, Google, AWS und die meisten seriösen Anbieter stellen fertige AV-Verträge bereit (oft "Data Processing Addendum" genannt). Die schlechte: Diese regeln sich nicht von allein. Sie müssen den AVV aktiv abschließen oder akzeptieren und das dokumentieren. Das bloße Nutzen von Microsoft 365 reicht nicht. Und prüfen Sie den Standard-Vertrag: Oft fehlt die konkrete Beschreibung der Schutzmaßnahmen, die als Anlage ergänzt werden muss. Ein unvollständiger AVV ist bußgeldrelevant.

3. Die Datenschutzerklärung auf der Webseite

Sobald Ihre Webseite personenbezogene Daten erhebt, brauchen Sie eine Datenschutzerklärung (Artikel 13 DSGVO). Und "erheben" passiert schneller, als Sie denken: Schon die Server-Logs Ihres Hosters oder ein simples Kontaktformular reichen aus. Praktisch braucht also jede Webseite eine.

Hinein gehören unter anderem: wer Verantwortlicher ist und wie man ihn erreicht, gegebenenfalls der Kontakt des DSB, die Zwecke und Rechtsgrundlagen der Verarbeitung, die Empfänger, die Speicherdauer, die Rechte der Betroffenen (Auskunft, Löschung, Widerspruch, Datenübertragbarkeit), das Widerrufsrecht bei Einwilligungen und das Beschwerderecht bei der Aufsichtsbehörde.

Besonders wichtig: Die Erklärung muss jeden eingesetzten Dienst benennen. Hosting, Kontaktformular, eingebundene Schriftarten, Karten, Webanalyse, eingebettete Videos. Genau hier liegt der häufigste Fehler. Eine kopierte oder unvollständige Datenschutzerklärung, in der Dienste fehlen, ist einer der häufigsten Anlässe für Abmahnungen durch Wettbewerber und für Beanstandungen durch die Aufsicht. Die Erklärung muss außerdem leicht auffindbar und vor dem Absenden eines Formulars erreichbar sein.

4. Technische und organisatorische Maßnahmen (TOM)

Jeder, der Personendaten verarbeitet, muss sie auch angemessen schützen (Artikel 32 DSGVO). Das Gesetz nennt vier Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Ausdrücklich erwähnt werden Pseudonymisierung und Verschlüsselung.

Der Maßstab ist risikobasiert. Das ist die entlastende Nachricht für kleine Betriebe: Ein Handwerksbetrieb braucht weniger als ein Krankenhaus mit Gesundheitsdaten. Es geht um Angemessenheit, nicht um Perfektion.

Ein praktisches Minimum für KMU und Handwerk sieht so aus:

• Starke Passwörter (mindestens 12 Zeichen) plus Zwei-Faktor-Authentifizierung
• Verschlüsselung von Festplatten und Geräten
• TLS/HTTPS für die Webseite
• Firewall und aktueller Virenschutz
• Regelmäßige Backups, am besten automatisch und nachweislich getestet
• Ein Berechtigungskonzept (nur wer Daten wirklich braucht, sieht sie)
• Sensibilisierung und Schulung der Mitarbeiter
• Abgeschlossene AV-Verträge
• Ein dokumentiertes Löschkonzept

Wichtig: TOM sind keine Formsache zum Abhaken. Im Schadensfall prüfen die Behörden, ob die dokumentierten Maßnahmen tatsächlich gelebt werden. Eine Backup-Strategie auf dem Papier, die nie getestet wurde, hilft Ihnen weder im Ernstfall noch vor der Aufsicht.

Brauchen wir wirklich ein Cookie-Banner?

Hier gibt es oft Verwirrung und die Antwort lautet erfreulich häufig: Nein.

Geregelt ist die Cookie-Einwilligung in Paragraf 25 TDDDG (das ist seit dem 14.05.2024 der Nachfolger des TTDSG, der Inhalt zur Cookie-Einwilligung blieb gleich). Eine Einwilligung ist nur nötig, sobald Sie nicht-essenzielle Cookies oder Tracking setzen. Das sind zum Beispiel Google Analytics, Matomo mit Cookies, der Google Tag Manager, dynamisch nachgeladene Google Fonts oder eingebettete YouTube-Videos und Karten.

Im Umkehrschluss: Eine reine Visitenkarten-Webseite ohne Tracking und ohne solche externen Einbindungen braucht keinen Banner. Viele Handwerksbetriebe könnten sich ihren Banner schlicht sparen.

Wenn Sie aber Tracking einsetzen und einen Banner brauchen, dann richtig: Ablehnen muss genauso einfach sein wie Zustimmen (gleichwertige Buttons). Es dürfen keine Häkchen vorangekreuzt sein. Und das Entscheidende: Das Tracking darf erst nach der aktiven Einwilligung starten, nicht schon beim Laden der Seite. Ein Banner, hinter dem das Tracking längst läuft, ist schlimmer als gar keiner.

Was kosten Verstöße wirklich?

Der Bußgeldrahmen der DSGVO klingt furchteinflößend: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei formellen Verstößen (etwa fehlender DSB, fehlender AVV, mangelhafte TOM) und bis zu 20 Millionen Euro oder 4 Prozent bei materiellen Verstößen gegen Verarbeitungsgrundsätze oder Betroffenenrechte. Es gilt jeweils der höhere Betrag.

Diese Zahlen verfehlen bei kleinen Betrieben aber die Realität. Bußgelder gegen kleine Betriebe und Selbstständige lagen bisher überwiegend zwischen rund 100 und 10.000 Euro. Die Behörden skalieren nach Unternehmensgröße. Die riesigen Summen treffen Konzerne: So gab es im Juni 2025 ein Bußgeld von 45 Millionen Euro gegen Vodafone, davon allein 15 Millionen wegen mangelhafter Auftragsverarbeitung. Das ist eine andere Welt als Ihr Betrieb.

Die häufigsten Anlässe für Bußgelder sind übrigens genau die Themen aus diesem Artikel: fehlende Rechtsgrundlage, mangelhafte IT-Sicherheit und Schutzmaßnahmen sowie fehlende oder unvollständige AV-Verträge. Wer diese Basis sauber hat, hat das Gröbste im Griff.

Datenschutz bei neuer Software von Anfang an mitdenken

Wenn Sie eine neue Software einführen oder bauen lassen, die mit Personendaten arbeitet, kommen die Datenschutz-Themen alle zusammen. Genau das ist der Moment, in dem man sie am besten gleich miterledigt, statt sie nachträglich anzuflanschen. Fachleute nennen das "Privacy by Design".

Konkret bedeutet jede neue Software, die Personendaten verarbeitet:

1. Das VVT wird um die neue Verarbeitungstätigkeit ergänzt.
2. Mit jedem beteiligten Dienstleister oder Hoster wird ein AV-Vertrag geschlossen.
3. Die Schutzmaßnahmen (TOM) werden dokumentiert, auch in der Anlage zum AVV.
4. Die Datenschutzerklärung wird um die neuen Datenflüsse aktualisiert.
5. Bei hohem Risiko kommt gegebenenfalls eine Datenschutz-Folgenabschätzung hinzu, die wiederum die DSB-Pflicht auslösen kann.

Das ist kein Hexenwerk, aber es gehört in die Planung und nicht ans Ende. Wir bei fero-solutions denken diese Punkte bei Software-Projekten von Anfang an mit, damit Sie am Ende nicht mit einer fertigen Anwendung dastehen, an die der Datenschutz erst mühsam angebaut werden muss. Wenn Sie wissen wollen, was so ein Vorhaben kostet, hilft Ihnen der Kostenrechner für eine erste Orientierung.

Häufige Fragen

Wir sind nur drei Personen. Müssen wir überhaupt etwas tun?

Ja. Die DSB-Pflicht entfällt zwar unter 20 Personen, aber VVT, AV-Verträge, Datenschutzerklärung und Schutzmaßnahmen gelten unabhängig davon. Auch ein Drei-Personen-Betrieb verarbeitet Kunden- und Mitarbeiterdaten und braucht diese vier Bausteine. Der Aufwand ist bei kleinen Betrieben aber überschaubar.

Reicht eine kopierte Datenschutzerklärung von einer anderen Webseite?

Nein. Und das ist riskant. Ihre Datenschutzerklärung muss genau die Dienste benennen, die Sie tatsächlich einsetzen (Hosting, Kontaktformular, Schriftarten, Karten, Analyse). Eine fremde Erklärung passt fast nie und ist unvollständig. Unvollständige Erklärungen sind einer der häufigsten Abmahn-Anlässe. Nutzen Sie lieber einen seriösen Generator und prüfen Sie jeden eingesetzten Dienst durch.

Microsoft 365 regelt den Datenschutz doch selbst, oder?

Nur zur Hälfte. Microsoft stellt einen fertigen AV-Vertrag bereit, aber Sie müssen ihn aktiv abschließen oder akzeptieren und das dokumentieren. Das reine Nutzen genügt nicht. Außerdem fehlen in Standard-Verträgen oft konkrete Angaben zu den Schutzmaßnahmen, die als Anlage zu ergänzen sind. Prüfen Sie das, statt es ungeprüft zu übernehmen.

Stimmt es, dass der Datenschutzbeauftragte bald abgeschafft wird?

Die nationale 20-Personen-Schwelle für den DSB soll bis zum 31.12.2026 aufgehoben werden (Beschluss vom 04.12.2025). Aber: Das ist Stand Mai 2026 noch nicht in Kraft. Bis zur tatsächlichen Gesetzesänderung bleibt die 20er-Grenze bindend. Verlassen Sie sich also nicht vorab darauf. Liegen Sie heute über der Schwelle, brauchen Sie heute einen DSB.

Wir haben eine Videoüberwachung am Hof. Ändert das etwas?

Möglicherweise ja. Eine größere Videoüberwachung kann eine Datenschutz-Folgenabschätzung nötig machen und schon ein einzelner solcher Vorgang kann die DSB-Pflicht auslösen, auch bei weniger als 20 Personen. Hier lohnt sich eine konkrete Prüfung, im Zweifel mit fachlicher Beratung.

Wie zählen Teilzeitkräfte und Minijobber bei der 20-Personen-Grenze?

Voll. Jede Person zählt als eine ganze Person, unabhängig von den Wochenstunden. Teilzeit, Minijob, Azubi mit Datenzugriff, Werkstudent, Aushilfe und fest eingebundene Freie zählen je einzeln. Dadurch unterschätzen viele Betriebe ihre tatsächliche Zahl. Zählen Sie ehrlich durch, bevor Sie sich auf "unter 20" verlassen.

Fazit

Datenschutz im kleinen Betrieb ist kein Grund zur Panik, aber auch nichts, was Sie einfach aussitzen können. Die wichtigsten Pflichten sind klar benennbar: ein Verzeichnis der Verarbeitungstätigkeiten, AV-Verträge mit allen Dienstleistern, eine vollständige Datenschutzerklärung und gelebte Schutzmaßnahmen wie 2FA, Verschlüsselung und getestete Backups. Diese vier braucht praktisch jeder, unabhängig von der Größe.

Ein fester Datenschutzbeauftragter ist erst ab in der Regel 20 Personen mit PC-Datenzugriff Pflicht, mit ein paar Sonderfällen wie der Videoüberwachung. Ein Cookie-Banner brauchen Sie nur bei echtem Tracking. Und die gefürchteten Millionen-Bußgelder treffen Konzerne, nicht den Handwerksbetrieb von nebenan.

Wer die Basis sauber aufsetzt, hat das Wesentliche im Griff und kann das Thema entspannt abhaken. Besonders gut funktioniert das, wenn Sie Datenschutz bei neuer Software gleich von Anfang an mitdenken, statt ihn später nachzurüsten. Wenn Sie ein Software-Vorhaben planen und sicherstellen wollen, dass der Datenschutz von Beginn an mitgedacht ist, sprechen Sie uns gern an.

Kostenlos anfragen