// Ratgeber

Datenschutz-Grundlagen für kleine Betriebe

Datenschutz nach DSGVO betrifft jeden Betrieb, der personenbezogene Daten verarbeitet. Für kleine Betriebe zählt die pragmatische Umsetzung der Grundlagen — nicht perfektionistische Bürokratie.

Aktualisiert: 2026-06-19

Sofortmaßnahmen

1. 1Verzeichnis der Verarbeitungstätigkeiten anlegen: Welche Daten, wofür, wie lange, mit welchen Tools?
2. 2Rechtsgrundlage je Verarbeitung klären (Art. 6 DSGVO: Vertrag, berechtigtes Interesse, Einwilligung).
3. 3Datensparsamkeit und Zugriffsrechte: nur erheben, was nötig ist; Zugriff auf das Nötige beschränken.
4. 4Technische und organisatorische Maßnahmen (TOM): Verschlüsselung, Backups, Zwei-Faktor-Authentifizierung, Updates.
5. 5Auftragsverarbeitungs-Verträge (AVV) mit Dienstleistern (Cloud, Newsletter, IT) abschließen.
6. 6Prozess für Betroffenenrechte (Auskunft, Löschung) und für Datenpannen (Meldung binnen 72 Stunden) vorbereiten.
7. 7Mitarbeitende sensibilisieren — der häufigste Schwachpunkt ist der Faktor Mensch.

Was Sie nicht tun sollten

• Keine Daten „auf Vorrat“ sammeln, die Sie nicht benötigen.
• Keine Cloud-/Tool-Nutzung ohne AVV und ohne Prüfung der Datenübermittlung.
• Eine Datenpanne nicht verschweigen — fehlende Meldung kann teurer werden als der Vorfall selbst.

Häufige Fragen

Brauche ich einen Datenschutzbeauftragten?

Das hängt von Betriebsgröße und Art der Verarbeitung ab. Die genaue Schwelle prüfen Sie anhand der aktuellen Vorgaben (BDSG) — im Zweifel bei der zuständigen Aufsichtsbehörde.

Wann muss ich eine Datenpanne melden?

Bei einem Risiko für Betroffene in der Regel innerhalb von 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde — deshalb sollte der Prozess vorbereitet sein.

Reichen Standard-Tools (Cloud, Newsletter)?

Oft ja — aber nur mit Auftragsverarbeitungs-Vertrag und passenden technischen Maßnahmen sowie Prüfung der Datenübermittlung (z. B. in die USA).

Quellen

• LDI NRW — Datenschutz für Unternehmen
• BSI für Unternehmen und Organisationen