DSGVO-Checkliste für KMU: Was du 2026 zwingend umsetzen musst

Die Datenschutz-Grundverordnung gilt seit 2018 — aber viele KMU haben die Anforderungen bis heute nicht vollständig umgesetzt. Laut Bitkom-Umfragen hat jedes zweite kleine Unternehmen in Deutschland nach wie vor Lücken bei der DSGVO-Compliance. Gleichzeitig verschärfen die Datenschutzbehörden ihre Kontrollen und verhängen zunehmend Bußgelder, die auch für kleinere Betriebe spürbar sind.

Diese Checkliste zeigt, was wirklich Pflicht ist — ohne Juristendeutsch, ohne Panik. Fünfzehn Punkte, erklärt und mit konkreten Handlungsempfehlungen.

Wichtiger Hinweis: Diese Checkliste ersetzt keine Rechtsberatung. Für individuelle Fragen zu Ihrer spezifischen Situation sprechen Sie mit einem Datenschutzbeauftragten oder Rechtsanwalt für Datenschutzrecht.

Warum DSGVO-Verstöße teuer werden können

Bußgelder nach DSGVO können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen — je nachdem, was höher ist. Für ein KMU mit 2 Millionen Euro Jahresumsatz wäre das theoretisch bis zu 80.000 Euro. In der Praxis verhängen Datenschutzbehörden bei KMU eher Bußgelder im vierstelligen bis niedrigen fünfstelligen Bereich — aber auch das tut weh.

Wichtiger als das Bußgeld ist oft der Reputationsschaden. Ein Datenschutzvorfall, der öffentlich wird, erschüttert das Vertrauen von Kunden und Geschäftspartnern nachhaltig.

Die 15-Punkte-Checkliste

Punkt 1: Verarbeitungsverzeichnis führen

Was es ist: Ein Dokument, das alle Vorgänge auflistet, bei denen in Ihrem Unternehmen personenbezogene Daten verarbeitet werden. Artikel 30 DSGVO macht das zur Pflicht für Unternehmen mit mehr als 250 Mitarbeitern — und für kleinere Betriebe, sobald sie personenbezogene Daten nicht nur gelegentlich verarbeiten (was auf fast jeden Betrieb zutrifft).

Was konkret zu tun ist: Erstellen Sie eine Liste aller Verarbeitungstätigkeiten. Typische Einträge für ein KMU: Kundenverwaltung, Lieferantenverwaltung, Personalverwaltung, Bewerbermanagement, Newsletter-Versand, Website-Tracking, Videoüberwachung.

Für jeden Eintrag dokumentieren Sie: Zweck der Verarbeitung, betroffene Datenkategorien, Empfänger, Speicherdauer, technische Schutzmaßnahmen.

Praxis-Tipp: Ein gut gepflegtes Excel-Dokument reicht für die meisten KMU vollkommen aus. Alternativ gibt es kostenlose Vorlagen vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).

☐ Verarbeitungsverzeichnis vollständig und aktuell

Punkt 2: Datenschutzerklärung auf der Website

Was es ist: Jede Website, die personenbezogene Daten verarbeitet — also so gut wie jede Website — muss eine vollständige Datenschutzerklärung haben. Das gilt auch für die einfachste Unternehmenshomepage, sobald Kontaktformulare, Cookies oder Analytics eingesetzt werden.

Was konkret zu tun ist: Ihre Datenschutzerklärung muss folgende Punkte abdecken: Name und Kontaktdaten des Verantwortlichen, verwendete Cookies und Tracking-Tools (inkl. Google Analytics, Google Maps, Schriften von Google Fonts), Kontaktformulare und deren Datenverarbeitung, eingebettete Inhalte (YouTube, Social Media), Ihre Rechtsgrundlagen für die jeweilige Verarbeitung, Betroffenenrechte.

Praxis-Tipp: Verwenden Sie einen aktuellen Generator (z. B. Datenschutz-Generator von Dr. Schwenke oder den Generator der Deutschen Anwaltauskunft). Prüfen Sie die Datenschutzerklärung jedes Mal, wenn Sie ein neues Tool oder eine neue Funktion auf der Website einsetzen.

☐ Datenschutzerklärung vollständig, aktuell und per Link von jeder Unterseite erreichbar

Punkt 3: Cookie-Banner korrekt einrichten

Was es ist: Nicht-notwendige Cookies (z. B. für Analytics, Werbung, Social Media) dürfen nur gesetzt werden, wenn der Nutzer vorher aktiv eingewilligt hat. Ein vorangehaktes Häkchen oder ein Banner mit „Durch weitere Nutzung dieser Website stimmen Sie zu" reicht nicht.

Was konkret zu tun ist: Setzen Sie ein Consent-Management-Tool ein (z. B. Cookiebot, Usercentrics, Borlabs Cookie für WordPress). Konfigurieren Sie es so, dass:

• Technisch notwendige Cookies sofort geladen werden (keine Einwilligung nötig)
• Marketing- und Analytics-Cookies erst nach aktiver Zustimmung starten
• Nutzer jederzeit ihre Einwilligung widerrufen können

Praxis-Tipp: Ein rechtskonformer Cookie-Banner muss es genauso einfach machen, abzulehnen wie zuzustimmen. Der „Alle ablehnen"-Button muss genauso prominent sein wie „Alle akzeptieren".

☐ Cookie-Consent-Tool eingerichtet, konfiguriert und regelmäßig geprüft

Punkt 4: Auftragsverarbeitungsverträge (AVV) abschließen

Was es ist: Immer wenn Sie einen externen Dienstleister beauftragen, der in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Das betrifft: Cloud-Software-Anbieter (CRM, ERP, HR-Software), E-Mail-Marketing-Dienste, Steuerberater (wenn sie Buchhaltungsdaten verarbeiten), IT-Dienstleister und Systemadministratoren, Inkasso-Dienstleister, Lohnabrechnung-Dienstleister.

Was konkret zu tun ist: Stellen Sie eine Liste aller Dienstleister auf, die mit personenbezogenen Daten aus Ihrem Unternehmen in Berührung kommen. Prüfen Sie, ob ein AVV vorhanden ist. Viele SaaS-Anbieter bieten den AVV online zum Abschluss an (oft in den Account-Einstellungen oder auf Anfrage).

Praxis-Tipp: Legen Sie alle AVVs zentral ab — in einem Ordner, digital oder physisch. Im Falle einer Datenschutzprüfung müssen Sie nachweisen können, dass die Vereinbarungen existieren.

☐ AVV mit allen relevanten Dienstleistern abgeschlossen und dokumentiert

Punkt 5: Datenschutzbeauftragten benennen (wenn nötig)

Was es ist: In Deutschland müssen Unternehmen, die mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, einen Datenschutzbeauftragten (DSB) benennen. Außerdem ist ein DSB Pflicht, wenn bestimmte risikoreiche Datenverarbeitungen (z. B. Daten besonderer Kategorien wie Gesundheitsdaten) stattfinden.

Was konkret zu tun ist: Prüfen Sie, ob die Schwelle in Ihrem Betrieb erreicht ist. Wenn ja, benennen Sie intern eine geeignete Person (die nicht der Geschäftsführer sein darf) oder beauftragen Sie einen externen DSB. Melden Sie den DSB bei Ihrer zuständigen Datenschutzbehörde.

Praxis-Tipp: Ein externer DSB kostet für KMU typischerweise zwischen 500 und 1.500 Euro pro Jahr. Er bringt Fachkompetenz mit und unterliegt keinen internen Interessenkonflikten. Für die meisten kleinen Betriebe ist das die praktikablere Lösung.

☐ Geprüft, ob DSB-Pflicht besteht — ggf. DSB benannt und gemeldet

Punkt 6: Betroffenenrechte gewährleisten

Was es ist: Jede Person, deren Daten Sie verarbeiten, hat gegenüber Ihrem Unternehmen bestimmte Rechte: Auskunft (was verarbeiten Sie über mich?), Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch. Sie müssen auf diese Anfragen innerhalb eines Monats reagieren.

Was konkret zu tun ist: Richten Sie einen klaren internen Prozess ein:

• Wer ist Ansprechpartner für Datenschutzanfragen?
• Wo ist die Kontaktadresse kommuniziert (Datenschutzerklärung, Impressum)?
• Wie prüfen Sie die Identität des Anfragenden?
• Welches System nutzen Sie, um Fristen einzuhalten?

Praxis-Tipp: Eine dedizierte E-Mail-Adresse wie datenschutz@ihrunternehmen.de signalisiert Seriosität und erleichtert die interne Bearbeitung. Hinterlegen Sie diese Adresse in der Datenschutzerklärung.

☐ Prozess für Betroffenenanfragen definiert, Ansprechpartner intern bekannt

Punkt 7: Datenpannen melden können

Was es ist: Wenn personenbezogene Daten kompromittiert werden — durch einen Hackerangriff, einen Datenverlust, einen fehlgeleiteten Serienbrief oder einen gestohlenen Laptop — müssen Sie das innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden. Bei hohem Risiko für die Betroffenen müssen diese ebenfalls informiert werden.

Was konkret zu tun ist: Erstellen Sie einen einfachen Notfallplan:

1. Sicherheitsvorfall feststellen und Ausmaß einschätzen
2. Zuständige Person intern informieren (DSB oder Geschäftsführung)
3. Meldung an Datenschutzbehörde (Online-Formular auf der Website der Behörde)
4. Ggf. Betroffene informieren
5. Vorfall und Maßnahmen dokumentieren

Praxis-Tipp: Die 72-Stunden-Frist beginnt, sobald Sie Kenntnis vom Vorfall haben — nicht, sobald der Vorfall passiert ist. Schulen Sie Ihre Mitarbeiter, Vorfälle sofort zu melden, auch wenn sie sich nicht sicher sind, ob es wirklich ein Datenschutzproblem ist.

☐ Notfallplan für Datenpannen erstellt und intern kommuniziert

Punkt 8: Einwilligungen rechtssicher dokumentieren

Was es ist: Wenn Sie Daten auf Basis einer Einwilligung verarbeiten (z. B. Newsletter, Marketing-Cookies, Kundenbefragungen), müssen Sie nachweisen können, dass die Einwilligung wirksam eingeholt wurde — und wann.

Was konkret zu tun ist:

• Newsletter: Double-Opt-In-Verfahren einsetzen und die Bestätigung zeitgestempelt speichern
• Kontaktformulare: Checkbox mit Datenschutzhinweis — kein vorangehaktes Häkchen
• Mündliche Einwilligungen: Schriftlich bestätigen oder dokumentieren
• Einwilligungen von Minderjährigen: Besondere Anforderungen — im Zweifel Rechtsberatung einholen

Praxis-Tipp: Prüfen Sie, ob Sie Einwilligungen wirklich brauchen, oder ob Sie sich auf eine andere Rechtsgrundlage stützen können (z. B. Vertragserfüllung oder berechtigtes Interesse). Einwilligungen sind aufwendig zu verwalten und können jederzeit widerrufen werden.

☐ Einwilligungs-Management eingerichtet, Nachweise archiviert

Punkt 9: Datensparsamkeit praktizieren

Was es ist: Die DSGVO schreibt vor, nur so viele Daten zu erheben, wie für den jeweiligen Zweck tatsächlich notwendig sind. Das klingt simpel, scheitert aber in der Praxis oft: Formulare fragen nach Informationen, die eigentlich niemand braucht. Daten werden jahrzehntelang gespeichert, weil niemand sie gelöscht hat.

Was konkret zu tun ist:

• Kontaktformulare: Prüfen Sie, ob alle Felder wirklich notwendig sind. Geburtsdatum, Telefonnummer und Anrede sind oft freiwillig — kennzeichnen Sie das.
• Kundendaten: Definieren Sie Löschfristen für inaktive Kunden und ehemalige Mitarbeiter.
• E-Mail-Listen: Bereinigen Sie regelmäßig inaktive Kontakte.

Praxis-Tipp: Erstellen Sie einen einfachen Datenlösch-Kalender: „Bewerberdaten werden 6 Monate nach Ablehnung gelöscht", „Kundendaten werden 3 Jahre nach letztem Kontakt archiviert und nach 10 Jahren vollständig gelöscht".

☐ Löschfristen für alle Datenkategorien definiert und in Prozessen verankert

Punkt 10: Mitarbeiterdaten korrekt verwalten

Was es ist: Personaldaten gehören zu den sensibelsten Datenkategorien überhaupt. Lohnzettel, Krankmeldungen, Abmahnungen, private Bankdaten — all das unterliegt besonderen Anforderungen.

Was konkret zu tun ist:

• Digitale Personalakten müssen zugriffsgeschützt sein (nur berechtigte Personen)
• Gesundheitsdaten (Krankmeldungen, Schwerbehinderung) nur so weit verarbeiten, wie gesetzlich notwendig
• Aufbewahrungsfristen einhalten: Lohnunterlagen 6 Jahre, bestimmte Personalunterlagen bis zu 30 Jahre
• Betriebsrat informieren, wenn neue HR-Software eingeführt wird (Mitbestimmungsrecht nach § 87 BetrVG)

Praxis-Tipp: Lohnbuchhaltungs-Software und HR-Systeme verarbeiten besonders sensible Daten. Prüfen Sie bei jedem neuen HR-Tool explizit den AVV und die Server-Standorte.

☐ Personalverwaltung DSGVO-konform eingerichtet, Zugriffsrechte geprüft

Punkt 11: E-Mail-Marketing rechtssicher gestalten

Was es ist: Newsletter und kommerzielle E-Mails dürfen nur an Personen verschickt werden, die aktiv eingewilligt haben. Das gilt auch für Bestandskunden — hier gibt es nur eine Ausnahme: Sie dürfen ähnliche Produkte bewerben, wenn der Kunde bei der Dateneingabe klar auf die Möglichkeit des Widerspruchs hingewiesen wurde.

Was konkret zu tun ist:

• Double-Opt-In für alle neuen Newsletter-Anmeldungen
• Abmelde-Link in jeder Marketing-E-Mail (klar erkennbar, einfach zu nutzen)
• Abmeldungen sofort und vollständig aus dem Verteiler entfernen
• Listenhygiene: Inaktive Kontakte regelmäßig bereinigen

Praxis-Tipp: Nutzen Sie ein professionelles E-Mail-Marketing-Tool (z. B. Brevo, CleverReach, Mailchimp) statt Massen-BCC aus Outlook. Diese Tools verwalten Abmeldungen automatisch, speichern Einwilligungsnachweise und verhindern technische Fehler.

☐ Double-Opt-In eingerichtet, Abmelde-Prozess automatisiert, Einwilligungen dokumentiert

Punkt 12: Technische Sicherheitsmaßnahmen umsetzen

Was es ist: Die DSGVO verlangt „angemessene technische und organisatorische Maßnahmen" (TOMs) zum Schutz personenbezogener Daten. Was „angemessen" bedeutet, hängt vom Risiko der Verarbeitung ab — aber es gibt einen Mindeststandard, der für jedes KMU gilt.

Was konkret zu tun ist:

• Zugriffsschutz: Passwörter mit mindestens 12 Zeichen, Zwei-Faktor-Authentifizierung für alle Cloud-Systeme
• Verschlüsselung: E-Mails mit sensiblen Daten verschlüsseln, Laptops mit Bitlocker/FileVault verschlüsseln
• Backup: Regelmäßige, getestete Backups an einem separaten Standort
• Updates: Betriebssysteme und Software regelmäßig aktualisieren
• Netzwerk: Firewalls, VPN für Remote-Zugang, getrenntes WLAN für Gäste

Praxis-Tipp: Dokumentieren Sie Ihre TOMs schriftlich — das BSI bietet kostenlose Vorlagen und Leitfäden für KMU unter bsi.bund.de. Eine TOMs-Dokumentation ist auch für Ihre AVVs relevant.

☐ TOMs dokumentiert und umgesetzt (Zugriffsschutz, Verschlüsselung, Backup, Updates)

Punkt 13: Mitarbeiter regelmäßig sensibilisieren

Was es ist: Viele Datenschutzverletzungen passieren nicht durch Hacker, sondern durch menschliche Fehler: ein Anhang an die falsche Adresse, ein Laptop ohne Passwortschutz, ein Kollege, der über den Bildschirm schaut. Die DSGVO erwartet, dass Sie Ihre Mitarbeiter regelmäßig schulen.

Was konkret zu tun ist:

• Datenschutz-Grundschulung für alle neuen Mitarbeiter (Onboarding)
• Jährliche Auffrischung für alle Mitarbeiter
• Spezifische Schulung für Mitarbeiter, die besonders sensible Daten verarbeiten (HR, Finanzen)
• Klare Regeln: Was tue ich bei einem Sicherheitsvorfall? Wen informiere ich?

Praxis-Tipp: Online-Schulungsplattformen wie Lawpilots oder Awareness-Plattformen von IT-Security-Anbietern bieten DSGVO-Schulungen für KMU zu moderaten Preisen. Der Zeitaufwand ist gering (30–60 Minuten pro Jahr), der Schutzeffekt erheblich.

☐ Datenschutz-Schulungsprogramm für alle Mitarbeiter etabliert

Punkt 14: Drittlandsübermittlungen prüfen

Was es ist: Die Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR (z. B. USA, Indien, China) ist nur unter bestimmten Voraussetzungen zulässig. Viele KMU übermitteln unwissentlich Daten in Drittländer — etwa durch die Nutzung amerikanischer Cloud-Dienste (Google Workspace, Salesforce, Microsoft 365, Mailchimp).

Was konkret zu tun ist:

• Prüfen Sie für jeden Cloud-Dienst, wo die Daten gespeichert und verarbeitet werden
• Nutzen Sie möglichst EU-Datenspeicheroptionen (z. B. Google Workspace mit europäischen Rechenzentren, Microsoft 365 mit EU Data Boundary)
• Stellen Sie sicher, dass die Anbieter Standardvertragsklauseln (SCCs) nutzen, wenn Daten in die USA übermittelt werden

Praxis-Tipp: Der EuGH hat mit dem „Schrems II"-Urteil 2020 hohe Hürden für USA-Übermittlungen geschaffen. Das EU-US Data Privacy Framework von 2023 schafft wieder mehr Rechtssicherheit — aber prüfen Sie bei jedem Anbieter, ob er zertifiziert ist.

☐ Drittlandsübermittlungen identifiziert und rechtliche Grundlagen dokumentiert

Punkt 15: Datenschutz-Compliance regelmäßig überprüfen

Was es ist: DSGVO-Compliance ist kein Einmalprojekt, sondern ein laufender Prozess. Neue Gerichtsurteile, Anbieter-Updates, neue Geschäftsprozesse und neue Mitarbeiter können die Compliance-Lage verändern.

Was konkret zu tun ist:

• Jährlicher Datenschutz-Review: Verarbeitungsverzeichnis aktualisieren, AVVs prüfen, Datenschutzerklärung überprüfen
• Bei wesentlichen Änderungen (neue Software, neues Geschäftsfeld, neue Datenquellen): sofortige Prüfung
• Abonnieren Sie den Newsletter Ihrer Landesdatenschutzbehörde für aktuelle Urteile und Hinweise

Praxis-Tipp: Legen Sie im Kalender jeden Herbst einen „Datenschutz-Tag" fest. Ein halber Tag Überprüfung pro Jahr reicht für die meisten KMU, um die Compliance-Lage sauber zu halten.

☐ Jährlicher Datenschutz-Review terminiert und durchgeführt

Die Checkliste auf einen Blick

Wo anfangen?

Wenn Sie noch ganz am Anfang stehen, empfiehlt sich diese Reihenfolge:

1. Bestandsaufnahme: Was verarbeiten Sie überhaupt? (→ Punkte 1, 9)
2. Sofortmaßnahmen Website: Datenschutzerklärung und Cookie-Banner (→ Punkte 2, 3)
3. Dienstleister absichern: AVVs mit allen relevanten Anbietern (→ Punkt 4)
4. Technische Basis: Passwörter, Zwei-Faktor, Backup (→ Punkt 12)
5. Prozesse einrichten: Betroffenenrechte, Datenpannen-Plan (→ Punkte 6, 7)

Weiterführende Inhalte auf Smartkanal.de:

• Guide: DSGVO-Tools für KMU — Compliance effizient umsetzen
• Guide: IT-Sicherheit Minimum für KMU
• Guide: Passwort-Management im Unternehmen