Diese 4 DSGVO Pflichten müssen Sie als KMU beachten!
Sie sind Unternehmer und haben ein Klein- oder Mittelunternehmen?
Dann haben Sie sich wahrscheinlich schon einmal gefragt, ob die gesetzlichen Vorschriften der DSGVO auch für Sie gelten. Die Antwort ist JA! Die DSGVO macht auch keinen Halt vor einem KMU.
Sogar Vereine oder eine selbstständige Yoga-Lehrerin können betroffen sein. Denn 99,9% der Unternehmen arbeiten mit personenbezogenen Daten. Es reicht schon aus, wenn Sie den Namen eines Kunden abspeichern!
Damit Sie Klarheit darüber erlangen, welchen DSGVO Pflichten Sie als KMU nachkommen müssen, haben wir das in 4 Punkten für Sie zusammengefasst!
Diese 4 DSGVO Pflichten betreffen auch Sie, als KMU!






1. Dokumentationspflicht
Die DSGVO sieht vor, dass gewisse Aktivitäten, Vorgänge und Prozesse dokumentiert werden müssen.
Diese Pflicht umfasst mehrere „Aufgaben“:
Auch für KMUs sind gewisse Dokumentationen verpflichtend. Diese sind laut Gesetz für alle Unternehmen, die von der DSGVO betroffen sind, Vorschrift. Zu diesen Dokumentationen gehören z.B. ein Verzeichnis Ihrer Verarbeitungstätigkeiten, die TOMs (technische und organisatorische Maßnahmen) und ein Löschkonzept.
Den Aufwand sollten Sie hier auf keinen Fall unterschätzen. Denn alleine das Verarbeitungsverzeichnis kann einen Umfang von bis zu 250 Seiten annehmen. Außerdem sollten Sie diese Dokumentationen laufend aktualisieren!
Unser Tipp: In den Paketen des DSGVO Schutzteams ist die Erstellung dieser Dokumente inkludiert. Damit können Sie Ihren Aufwand reduzieren!
Ein gestohlener Firmenlaptop, eine falsch adressierte E-Mail oder ein verlorener USB-Stick mit Kundendaten. Das alles sind Datenpannen und sie passieren schneller als Sie denken. Wenn in Ihrem Unternehmen so eine Panne geschieht, dürfen Sie das nicht einfach ignorieren!
Datenpannen müssen dokumentiert und bewertet werden! In einigen Fällen müssen Sie sie außerdem spätestens 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde melden und die Personen, deren Daten betroffen sind informieren. Geben Sie also Acht und nehmen Sie eine Datenpanne nicht auf die leichte Schulter!
In unserem Beitrag „Achtung, Datenpanne“ erfahren Sie mehr darüber, wie Sie handeln müssen, wenn Ihnen eine Datenpanne passiert.
Auch als KMU können Sie Auftragsverarbeiter sein. Dies ist der Fall, wenn Sie personenbezogene Daten im Auftrag Ihres Kunden verarbeiten.
Beispiele dafür sind:
Wenn Sie feststellen, dass Sie ein Auftragsverarbeiter sind, haben Sie einige zusätzliche Pflichten. Beispielsweise die Erstellung eines Auftragsverarbeitervertrages oder das Führen eines Auftragsverarbeiterverzeichnisses. Um zu erfahren, ob auch Sie ein Auftragsverarbeiter sind, lesen Sie unseren Beitrag „Auftragsverarbeiter laut DSGVO – Gehöre ich dazu?“.
2. Informationspflicht
Verarbeiten Sie personenbezogene Daten von einer Person, müssen Sie sie im Vorhinein darüber informieren, spätestens zum Zeitpunkt der Erhebung. Die Information sollte dabei unter anderem Angaben, wie die Kontaktdaten des Datenschutz-Verantwortlichen, den Verarbeitungszweck und die Rechtsgrundlage und die Speicherdauer der Daten umfassen. Mehr darüber, was zur Erfüllung Ihrer Informationspflichten alles zu beachten ist, erfahren Sie in unserem Beitrag „DSGVO Informationspflichten“!
Wenn Sie als KMU eine eigene Homepage haben, sollten Sie nicht vergessen, dass auch hier die Informationspflichten erfüllt werden müssen.
Folgende Regeln sollten Sie dabei unbedingt beachten:
Detailliertere Informationen dazu erhalten Sie in unserem Beitrag „DSGVO & Homepage – Die 5 häufigsten Fehler“.
3. Erfüllung der Betroffenenrechte
Die Personen, von denen Sie als KMU Daten verarbeiten, haben Ihnen gegenüber einige Rechte. Diese müssen Sie nach den gesetzlichen Regelungen der DSGVO erfüllen.
Diese Forderungen können Betroffene an Sie stellen:
Jeder Mitarbeiter, Kunde, Lieferant, Besucher Ihrer Website etc. hat das Recht, eine Anfrage an Sie zu stellen. Dies kann die Auskunft, Löschung, Berichtigung oder auch die Einschränkung zur Verarbeitung ihrer Daten umfassen.
Nachdem die anfragende Person eindeutig identifiziert wurde, haben Sie 30 Tage Zeit, um die Anfrage zu beantworten. Die Antwort unterliegt dabei gewissen Vorschriften.
Beispielsweise muss sie Folgendes beinhalten:
- Verarbeitungszwecke
- Löschfristen
- Rechtsgrundlagen
- Kategorien personenbezogener Daten
- Empfänger oder Kategorien von Empfängern
4. Pflicht zur laufenden Sicherstellung des Datenschutzes
Um den Datenschutz laufend in Ihrem KMU zu gewährleisten, sollten Sie einige Maßnahmen setzten.
Dazu gehören:
Auch als KMU können Sie dazu verpflichtet sein, einen Datenschutzbeauftragten zu bestellen. Ab wann ein solcher benötigt wird, ist länderspezifisch geregelt.


Auch wenn Sie nicht dazu verpflichtet sind einen Datenschutzbeauftragten zu bestimmen, kann es für Ihr KMU hilfreich sein, eine Beratung durch einen Datenschutzexperten in Anspruch zu nehmen!
Mehr darüber, was ein Datenschutzbeauftragter eigentlich tut, erfahren Sie in unserem Beitrag „Aufgaben eines Datenschutzbeauftragten„!
Um einen umfangreichen und fehlerlosen Datenschutz in Ihrem KMU zu gewährleisten, verlangt die DSGVO den Einsatz von geeigneten technischen und organisatorischen Maßnahmen.
Das sind Vorkehrungen, die die Daten im Unternehmen vor Gefahren, wie z.B. einem Fremdzugriff, schützen. Dazu gehören beispielsweise die Verwendung einer Alarmanlage oder das regelmäßige Ändern von Passwörtern. Mehr dazu erfahren Sie in unserem Beitrag „Technische & organisatorische Maßnahmen – Grundlagen“!
Die DSGVO soll auch für KMUs nicht nur eine gesetzliche Richtlinie sein. Wichtiger ist es, dass Datenschutz in Ihrer Unternehmensphilosophie verankert ist.
Dabei ist es essenziell, Ihre Mitarbeiter regelmäßig zu schulen. Alle sollten auf dem neuesten Stand sein und sich ihrer Pflichten bewusst sein. Es hilft nichts, wenn Sie ein korrektes Datenverarbeitungsverzeichnis führen, Ihr Mitarbeiter aber täglich vertrauliche Daten via WhatsApp mit seinen Freunden teilt!
Außerdem sollten Sie regelmäßig ein Datenschutzaudit durchführen. Das ist eine allgemeine Prüfung der Einhaltung und Umsetzung der DSGVO in einem Unternehmen. Es hilft Ihnen festzustellen, ob Sie Ihre DSGVO-Pflichten erfüllen, wo möglicherweise Risiken bestehen und wie Sie diesen Risiken gegenübertreten sollten.
Im besten Fall sollte die DSGVO ein Teil Ihres Unternehmensalltags werden!
Wollen Sie mehr über Ihre Möglichkeiten zur Erfüllung der DSGVO Pflichten für KMUs wissen?
Dann buchen Sie jetzt ein unverbindliches Beratungsgespräch mit einem unserer Datenschutzexperten!
Wir informieren Sie gerne über alle Details. Weiters klären wir persönlich Ihre offenen Fragen. Garantiert kostenlos und unverbindlich!


Sie haben Fragen?
Die Juristen und Datenschutzbeauftragten des DSGVO Schutzteams helfen Ihnen gerne!
Kostenfrei
Unverbindlich
Kostenfrei
Unverbindlich


Hallo, mein Name ist Walter Lukmann und ich bin zertifizierter Datenschutzberater & Geschäftsführer der Lukmann Consulting GmbH. Wir beraten Sie gerne in Sachen Datenschutz!