DSGVO für Unternehmer 2026: Was du wirklich umsetzen musst

Die Datenschutz-Grundverordnung ist seit 2018 in Kraft und hat bei vielen Unternehmern vor allem eins erzeugt: Panik. Seitdem sind 8 Jahre vergangen, und die Realität sieht anders aus als die Horrorgeschichten vermuten lassen. Die allermeisten DSGVO-Bußgelder treffen Großkonzerne, nicht den Handwerksbetrieb mit 12 Mitarbeitern. Im Jahr 2025 wurden in Deutschland rund 150 Bußgelder verhängt, davon betrafen 85 % Unternehmen mit mehr als 250 Mitarbeitern.

Aber: Das bedeutet nicht, dass kleine Unternehmen sich zurücklehnen können. DSGVO-Abmahnungen durch Wettbewerber oder spezialisierte Abmahnkanzleien treffen auch Einzelunternehmer und kleine GmbHs, besonders wenn die Datenschutzerklärung auf der Website fehlt oder der Cookie-Banner nicht korrekt eingerichtet ist. Kosten pro Abmahnung: 1.500 bis 5.000 Euro.

Dieser Artikel zeigt dir die 7 konkreten DSGVO-Pflichten, die wirklich kontrolliert werden, und wie du sie als Unternehmerin oder Unternehmer in 2 Tagen umsetzt, ohne Panik, ohne Jura-Studium.

DSGVO-Panik vs. Realität

Lass uns zuerst aufräumen, was die DSGVO für dich als Unternehmerin oder Unternehmer wirklich bedeutet. Die Datenschutz-Grundverordnung regelt den Umgang mit personenbezogenen Daten. Personenbezogene Daten sind: Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Bankverbindung, Gesundheitsdaten, Standortdaten. Kurz: Alles, was sich einer identifizierbaren Person zuordnen lässt.

Wenn du ein Unternehmen betreibst, verarbeitest du personenbezogene Daten. Immer. Du hast Kunden mit Namen und Adressen. Du hast Mitarbeiter mit Gehaltsdaten. Du hast eine Website, die IP-Adressen erfasst. Du nutzt ein CRM, einen E-Mail-Newsletter, ein Buchhaltungstool. All das fällt unter die DSGVO.

Die gute Nachricht: Die DSGVO-Strafen für kleine Verstöße sind moderat. Das Bußgeld richtet sich nach Schwere, Dauer und Art des Verstoßes. Für ein kleines Unternehmen, das erstmalig auffällt, liegt das Bußgeld typischerweise bei 500 bis 50.000 Euro. Die Millionen-Bußgelder (bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes) treffen Meta, Google und Amazon, nicht dich.

Die DSGVO ist kein Monster. Sie ist eine Checkliste. Wenn du die 7 Punkte abhakst, bist du zu 95 % sicher. Und das ist genug.

Die 7 konkreten Pflichten

Pflicht 1: Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis (Art. 30 DSGVO) ist die Pflicht Nummer 1, und gleichzeitig die, die am häufigsten fehlt. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern greift nur, wenn die Verarbeitung gelegentlich erfolgt, was in der Praxis fast nie der Fall ist.

Was rein muss: Name und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Kategorien der Betroffenen und Daten, Empfänger der Daten, Übermittlung in Drittländer, Löschfristen und technisch-organisatorische Maßnahmen. Klingt kompliziert, ist es aber nicht. Ein einfaches Excel-Sheet mit 10 bis 15 Zeilen reicht für die meisten kleinen Unternehmen.

Pflicht 2: Datenschutzerklärung Website

Jede Website braucht eine Datenschutzerklärung. Sie muss von jeder Seite der Website aus erreichbar sein (typischerweise als Link im Footer) und in verständlicher Sprache beschreiben, welche Daten du erhebst, warum und auf welcher Rechtsgrundlage. Konkret: Hosting-Daten (Server-Logs), Kontaktformular, Newsletter, Analyse-Tools (Google Analytics, Matomo), Social-Media-Plugins, Cookies.

Die Datenschutzerklärung ist gleichzeitig der häufigste Angriffspunkt für DSGVO-Abmahnungen. Fehlende oder unvollständige Datenschutzerklärungen sind leicht zu finden und leicht abzumahnen. Wenn du deine AGB gerade überarbeitest, nimm die Datenschutzerklärung gleich mit.

Pflicht 3: Cookie-Banner

Seit dem TTDSG ist ein Cookie-Banner Pflicht, wenn du Cookies setzt, die nicht technisch notwendig sind. Das betrifft: Analyse-Tools (Google Analytics), Werbecookies (Facebook Pixel, Google Ads), Social-Media-Plugins, A/B-Testing-Tools.

Der Cookie-Banner muss eine aktive Einwilligung (Opt-In) ermöglichen, nicht nur informieren. Der „Akzeptieren"-Button darf nicht hervorgehoben sein gegenüber dem „Ablehnen"-Button (Dark Patterns sind seit 2024 explizit verboten). Technisch notwendige Cookies (Session-Cookies, Warenkorb-Cookies) brauchen keine Einwilligung.

Pflicht 4: Auftragsverarbeitungsvertrag (AVV)

Wenn ein Dritter in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Das betrifft: Cloud-Hosting (AWS, Hetzner), E-Mail-Marketing (Mailchimp, Brevo), CRM (HubSpot, Salesforce), Buchhaltungssoftware (Lexoffice, sevDesk), Lohnabrechnung (DATEV, Paychex), Newsletter-Dienste.

Die meisten SaaS-Anbieter stellen einen AVV als Download bereit. Du musst ihn nur herunterladen, ausfüllen und archivieren. Zeitaufwand pro AVV: 15 bis 30 Minuten. Tipp: Erstelle eine Liste aller Dienstleister, die Zugriff auf personenbezogene Daten haben, und prüfe, ob für jeden ein AVV vorliegt.

Pflicht 5: Datenschutzbeauftragter

Die Datenschutzbeauftragter-Pflicht greift ab 20 Mitarbeitern, die regelmäßig mit personenbezogenen Daten arbeiten. Oder unabhängig von der Mitarbeiterzahl, wenn du besondere Kategorien personenbezogener Daten verarbeitest (Gesundheitsdaten, religiöse Überzeugungen) oder wenn deine Kerntätigkeit in der Datenverarbeitung liegt (z. B. Adresshandel, Auskunfteien).

Für die meisten kleinen Unternehmen gilt: Unter 20 Mitarbeiter = kein Datenschutzbeauftragter nötig. Aber: Auch ohne Pflicht zum DSB musst du die DSGVO einhalten. Ein externer Datenschutzbeauftragter kostet 150 bis 500 Euro pro Monat und kann sich lohnen, wenn du dir die Umsetzung selbst nicht zutraust.

Pflicht 6: Betroffenenrechte

Jede Person, deren Daten du verarbeitest, hat das Recht auf Auskunft, das Recht auf Löschung (Recht auf Vergessenwerden), das Recht auf Berichtigung und das Recht auf Datenübertragbarkeit. Du musst in der Lage sein, diese Rechte innerhalb von 30 Tagen zu erfüllen.

Konkret: Wenn ein Kunde verlangt, dass du alle seine Daten löschst, musst du das tun, es sei denn, gesetzliche Aufbewahrungspflichten stehen dagegen (z. B. Steuerrecht: 10 Jahre für Rechnungen). In der Praxis passiert das selten, aber du musst einen Prozess haben. Bei der Buchführung solltest du deshalb dokumentieren, welche Daten wo gespeichert sind.

Pflicht 7: Meldepflicht bei Datenpannen

Wenn personenbezogene Daten unbefugt offengelegt, gestohlen oder verloren gehen, musst du die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO). Wenn die Datenpanne ein hohes Risiko für die Betroffenen darstellt, musst du auch die Betroffenen selbst informieren.

Beispiele: Ein Laptop mit Kundendaten wird gestohlen. Ein Mitarbeiter schickt eine Kundenliste versehentlich an den falschen Empfänger. Ein Hacker verschafft sich Zugang zu deinem CRM. In all diesen Fällen: 72-Stunden-Frist einhalten, Vorfall dokumentieren, Maßnahmen ergreifen.

Verarbeitungsverzeichnis und Datenschutzerklärung

Diese beiden Dokumente sind die Basis deiner DSGVO-Compliance. Ohne sie bist du im Ernstfall komplett ungeschützt.

Verarbeitungsverzeichnis erstellen

Erstelle eine Tabelle mit folgenden Spalten: Verarbeitungstätigkeit (z. B. „Kundendaten CRM"), Zweck (z. B. „Vertragserfüllung"), Rechtsgrundlage (z. B. „Art. 6 Abs. 1 lit. b DSGVO"), Kategorien Betroffener (z. B. „Kunden"), Kategorien Daten (z. B. „Name, E-Mail, Adresse, Telefon"), Empfänger (z. B. „HubSpot Inc., USA"), Löschfrist (z. B. „3 Jahre nach Vertragsende"), technisch-organisatorische Maßnahmen (z. B. „Verschlüsselung, Zugangsbeschränkung").

Typische Einträge für ein kleines Unternehmen: Kundenverwaltung, Lohnbuchhaltung (Mitarbeiterdaten), Website-Hosting, E-Mail-Kommunikation, Newsletter, Buchhaltung, Bewerbermanagement. Zeitaufwand für die Ersterfassung: 3 bis 5 Stunden.

Datenschutzerklärung aktualisieren

Deine Datenschutzerklärung muss alle Verarbeitungstätigkeiten widerspiegeln, die auch im Verarbeitungsverzeichnis stehen. Nutze einen Datenschutz-Generator (z. B. von der Kanzlei Dr. Schwenke oder eRecht24) als Ausgangspunkt und passe ihn an deine tatsächlichen Verarbeitungen an. Zeitaufwand: 1 bis 2 Stunden.

Auftragsverarbeitung: Wann du einen AVV brauchst

Die Faustregel: Wenn ein externer Dienstleister in deinem Auftrag Zugriff auf personenbezogene Daten hat, brauchst du einen Auftragsverarbeitungsvertrag. Das gilt unabhängig davon, ob der Dienstleister die Daten aktiv nutzt oder nur speichert.

AVV nötig: Cloud-Hosting, E-Mail-Provider (als Dienstleister, nicht als Kommunikationstool), Newsletter-Dienst, Buchhaltungssoftware in der Cloud, CRM-Systeme, externe IT-Dienstleister mit Fernzugriff, externe Lohnabrechnung.

Kein AVV nötig: Steuerberater (eigenverantwortliche Verarbeitung), Rechtsanwalt (eigenverantwortliche Verarbeitung), Bank (eigenverantwortliche Verarbeitung), Post/Kurierdienst (Transport, keine Verarbeitung).

Achte bei Auftragsverarbeitungsverträgen besonders auf die Datenübermittlung in Drittländer. Seit dem Schrems-II-Urteil ist die Übermittlung personenbezogener Daten in die USA nur unter bestimmten Bedingungen zulässig (EU-US Data Privacy Framework). Prüfe, ob dein Dienstleister unter dem DPF zertifiziert ist.

DSGVO-konform in 2 Tagen

Hier ist deine DSGVO-Checkliste für die Umsetzung in 2 Arbeitstagen:

Tag 1: Bestandsaufnahme und Dokumentation

Vormittag (4 Stunden): Liste aller Verarbeitungstätigkeiten erstellen. Verarbeitungsverzeichnis anlegen (Excel oder Google Sheet). Liste aller Dienstleister erstellen, die Zugriff auf personenbezogene Daten haben.

Nachmittag (4 Stunden): AVVs von allen relevanten Dienstleistern herunterladen und archivieren. Datenschutzerklärung der Website prüfen und aktualisieren. Cookie-Banner prüfen (Opt-In, kein Dark Pattern, „Ablehnen"-Button gleichwertig).

Tag 2: Prozesse und Schulung

Vormittag (4 Stunden): Prozess für Betroffenenrechte definieren (wer bearbeitet Anfragen, wo sind die Daten gespeichert, wie wird gelöscht). Meldeprozess für Datenpannen definieren (wer meldet, an wen, innerhalb welcher Frist). Löschkonzept erstellen (welche Daten werden nach welcher Frist gelöscht).

Nachmittag (4 Stunden): Mitarbeiter briefen (was dürfen sie, was nicht, wie gehen sie mit Kundendaten um). Datenschutz-Audit der wichtigsten Systeme (CRM, E-Mail, Cloud-Speicher): Sind Zugänge beschränkt? Gibt es Passwortrichtlinien? Ist Zwei-Faktor-Authentifizierung aktiviert?

Das war's. Zwei Tage konzentrierte Arbeit, und du bist zu 95 % DSGVO-konform. Die restlichen 5 % betreffen Sonderfälle (Datenschutz-Folgenabschätzung, besondere Kategorien personenbezogener Daten, komplexe Drittland-Übermittlungen), die für die meisten kleinen und mittleren Unternehmen nicht relevant sind. Wenn du dir unsicher bist, ob dein Unternehmen in diesen Sonderfällen steckt, kann ein Datenschutz-Audit Klarheit schaffen.

Und als Geschäftsführerin oder Geschäftsführer trägst du die Verantwortung für die DSGVO-Compliance persönlich. DSGVO-Verstöße können zur persönlichen Haftung des Geschäftsführers führen. Nimm das ernst, aber verfalle nicht in Panik. Die 2-Tages-Checkliste gibt dir die Grundlage.

Dein nächster Schritt: Starte mit dem Verarbeitungsverzeichnis. Wenn du das hast, fällt der Rest wie Dominosteine. Und wenn du deine Unternehmensfinanzen gleichzeitig auf DSGVO-konforme Beine stellen willst, buche ein kostenloses Erstgespräch.