Skip to content
DSGVO-Pflichten calendar_today Aktualisiert: 7. Mai 2026 schedule 9 Min. Lesezeit

DSGVO-Checkliste fuer KMU: 3 Teile, 13 Schritte

verified Zuletzt überprüft 7. Mai 2026 · das GDPRWise Rechtsteam

Eine praktische, abhakbare DSGVO-Checkliste fuer KMU. Dreizehn Punkte in drei Prioritaetsbloecken, mit Vorlagen und Tools, ohne Juristensprache.

summarize Kernaussagen
  • check_circle Dreizehn konkrete Pruefungen, nach Prioritaet geordnet; die ersten fuenf sind die Grundlagen, die jede Aufsichtsbehoerde prueft
  • check_circle Die meisten KMU bringen die Grundlagen in zwei bis vier Wochen bei wenigen Stunden pro Woche in Ordnung
  • check_circle Sie brauchen keinen DSB, keine DSFA und keinen externen Berater fuer die Grundlagen; sehr wohl Disziplin und die richtigen Vorlagen
  • check_circle Compliance ist eine laufende Operation, kein einmaliges Projekt; die letzten drei Pruefungen halten sie lebendig

So nutzen Sie diese Checkliste

Dies ist eine Checkliste mit dreizehn Schritten, die ein KMU-Inhaber oder Office Manager ohne juristische Ausbildung durchgehen kann. Die Punkte sind nach Prioritaet geordnet. Die ersten fuenf sind die Grundlagen, die jede Aufsichtsbehoerde prueft. Die naechsten vier sind operative Essentials. Die letzten vier halten Ihre Compliance ueber die Zeit lebendig.

Sie muessen nicht alle dreizehn auf einmal erledigen. Die meisten KMU bringen die ersten fuenf in zwei bis vier Wochen bei wenigen Stunden pro Woche in Ordnung und legen den Rest danach drauf.

Teil 1 - Die Grundlagen (Schritte 1 bis 5)

Schritt 1: Einen Datenschutzkoordinator benennen

Die Pruefung: eine namentlich benannte Person in Ihrer Organisation ist fuer die DSGVO verantwortlich.

Das ist keine formelle DSB-Rolle; die ist Organisationen vorbehalten, die umfangreiche Ueberwachung betreiben oder besondere Kategorien personenbezogener Daten in grossem Umfang verarbeiten. Fuer die meisten KMU ist “Datenschutzkoordinator” der richtige Titel: derselbe einzige Ansprechpartner, ohne formelle DSB-Pflichten, ohne Unabhaengigkeitsanforderungen.

Aufgabe des Koordinators: diese Checkliste gruen halten, eingehende Datenschutzfragen und Beschwerden entgegennehmen und der Gespraechspartner Ihrer Aufsichtsbehoerde sein, falls etwas schiefgeht.

  • Ein Datenschutzkoordinator ist benannt und ueber eine eigene Mailbox erreichbar (z. B. privacy@ihrunternehmen.com).
  • Die Rolle ist dokumentiert und im Team bekannt.

Brauchen Sie wirklich einen DSB? Lesen Sie DSB: was ist ein Datenschutzbeauftragter und brauchen Sie einen?.

Schritt 2: Ein DSGVO-Verarbeitungsverzeichnis fuehren

Die Pruefung: ein einziges Dokument, das jede Aktivitaet auflistet, in der Sie personenbezogene Daten verarbeiten.

Das ist das Erste, was Ihre Aufsichtsbehoerde verlangt, wenn sie an Ihre Tuer klopft. Es ist auch Ihr eigenes Master-Inventar: wenn Sie nicht wissen, welche Daten Sie verarbeiten, koennen Sie nichts anderes auf dieser Liste einhalten.

Fuer jede Verarbeitungstaetigkeit erfassen Sie:

  • Zweck (warum Sie die Daten verarbeiten)
  • Rechtsgrundlage (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, oeffentliches Interesse oder berechtigte Interessen)
  • Datenkategorien (Namen, E-Mails, Finanzdaten, Gesundheit usw.)
  • Betroffene (Kunden, Mitarbeiter, Lieferanten, Interessenten)
  • Empfaenger / Dritte (Steuerberater, CRM-Anbieter, Hosting usw.)
  • Aufbewahrungsfrist
  • Sicherheitsmassnahmen

Fuehren Sie getrennte Abschnitte fuer Taetigkeiten, in denen Sie der Verantwortliche sind, und solche, in denen Sie Auftragsverarbeiter fuer jemand anderen sind. Lesen Sie Verzeichnis von Verarbeitungstaetigkeiten fuer die vollstaendige Struktur.

  • Verarbeitungsverzeichnis existiert und enthaelt jede Taetigkeit, die personenbezogene Daten beruehrt.
  • Taetigkeiten als Verantwortlicher und als Auftragsverarbeiter sind getrennt erfasst.
  • Termin fuer die jaehrliche Ueberpruefung steht im Kalender.

Schritt 3: Eine massgeschneiderte Kunden-Datenschutzerklaerung

Die Pruefung: eine Datenschutzerklaerung auf Ihrer Website, speziell fuer Ihr Unternehmen geschrieben.

Die DSGVO ist hier explizit: vage Boilerplates, kopierte Erklaerungen oder juristisches Kauderwelsch, das nicht widerspiegelt, was Sie tatsaechlich tun, sind nicht konform. Die Erklaerung muss Ihre Prozesse, Ihre Rechtsgrundlagen und Ihre Auftragsverarbeiter beschreiben.

Eine konforme KMU-Datenschutzerklaerung deckt ab:

  1. Wer Sie sind (Verantwortlicher, Kontakt-E-Mail, Adresse).
  2. Die Verarbeitungstaetigkeiten, die Sie durchfuehren (auf hoher Ebene, gespiegelt zu Ihrem Verzeichnis).
  3. Die Rechtsgrundlage je Taetigkeit.
  4. Datenkategorien und Empfaenger (einschliesslich Plattformen wie Mailchimp, Stripe, Google Workspace).
  5. Aufbewahrungsfristen.
  6. Internationale Datenuebermittlungen, falls vorhanden.
  7. Betroffenenrechte und wie sie auszuueben sind.
  8. Beschwerdeweg zu Ihrer Aufsichtsbehoerde.

Veroeffentlichen Sie die Erklaerung als Top-Level-Link im Footer jeder Seite. Verstecken Sie sie nicht in den AGB.

Kopieren Sie keine Erklaerung von einer anderen Unternehmenssite. Lesen Sie Datenschutzerklaerung erstellen fuer den vollstaendigen Leitfaden.

  • Kunden-Datenschutzerklaerung ist veroeffentlicht.
  • Vom Footer jeder Seite verlinkt.
  • Spiegelt wider, was Sie tatsaechlich tun (kein Boilerplate).
  • Enthaelt Betroffenenrechte und Beschwerdeweg.

Schritt 4: Auftragsverarbeitungsvertraege mit jedem Auftragsverarbeiter abschliessen

Die Pruefung: ein unterzeichneter Auftragsverarbeitungsvertrag (AVV) mit jeder externen Partei, die personenbezogene Daten in Ihrem Auftrag verarbeitet.

Ohne AVV duerfen Sie keine personenbezogenen Daten an einen Auftragsverarbeiter senden. Das gilt auch, wenn der Auftragsverarbeiter ein bekannter Name wie Google oder Microsoft ist; die Verpflichtung liegt bei Ihnen, den Vertrag in Ordnung zu haben.

Typische Auftragsverarbeiter eines KMU:

  • E-Mail- und Marketingplattform (Mailchimp, ActiveCampaign, Brevo usw.)
  • CRM (HubSpot, Pipedrive, Salesforce usw.)
  • Cloud-Speicher und Office (Google Workspace, Microsoft 365)
  • Webhosting und CDN
  • Zahlungsdienstleister (Stripe, Mollie, Adyen)
  • Lohnbuchhaltung und Buchhaltung
  • Kundensupport-Tools

Die meisten grossen SaaS-Anbieter veroeffentlichen einen Standard-AVV, den Sie elektronisch unterzeichnen koennen. Fuer kleinere Lieferanten verwenden Sie Ihren eigenen.

description

Vorlage: Auftragsverarbeitungsvertrag (AVV)

Ein einsatzbereiter Auftragsverarbeitungsvertrag, den Sie an jeden Auftragsverarbeiter senden koennen, der noch keinen eigenen hat.

Vorlage ansehen arrow_forward
  • Jeder Auftragsverarbeiter in Ihrem Verzeichnis hat einen unterzeichneten AVV im Dossier.
  • AVVs sind zentral abgelegt und auffindbar.

Die Pruefung: ein Cookie-Banner, der die Einwilligung vor dem Setzen nicht-essenzieller Cookies einholt und eine echte Ablehnoption bietet.

Cookies, die einen Besucher identifizieren koennen, verarbeiten personenbezogene Daten. Unter DSGVO plus ePrivacy-Richtlinie braucht es Einwilligung vor dem Setzen, und diese Einwilligung muss informiert sein, freiwillig und genauso leicht zu verweigern wie zu erteilen.

Haeufige Fehler, die Aufsichtsbehoerden mit Bussgeldern belegen:

  • Cookies werden beim Seitenaufruf gesetzt, bevor ein Banner erscheint.
  • “Akzeptieren”-Button prominent dargestellt, waehrend “Ablehnen” versteckt oder schwerer zu finden ist.
  • Vorab angekreuzte Felder.
  • “Mit der Nutzung dieser Seite akzeptieren Sie Cookies” - das ist keine Einwilligung, das ist ein Hinweis.

Testen Sie Ihre eigene Site: oeffnen Sie sie in einem privaten Fenster, lehnen Sie Cookies ab und schauen Sie in die Cookie-Liste der Entwicklertools. Wenn dort etwas Nicht-Essenzielles steht, ist Ihr Einwilligungsfluss kaputt.

Eine ruhigere Option: ueberhaupt keine nicht-essenziellen Cookies einsetzen. Viele KMU laufen einwandfrei ohne Drittanbieter-Tracking.

Lesen Sie Cookies und Einwilligung: was Sie wissen muessen fuer das vollstaendige Bild.

description

Vorlage: Cookie-Audit

Tabellenkalkulationsvorlage zur Inventarisierung jedes Cookies auf Ihrer Site, mit Klassifikation (essenziell / funktional / Marketing / Tracking) und Entscheidung, welche zu behalten sind.

Vorlage ansehen arrow_forward
  • Kein nicht-essenzieller Cookie wird vor der Einwilligung gesetzt.
  • Ablehnen ist genauso prominent wie Akzeptieren.
  • Cookie-Inventar existiert, mit Zweck und Aufbewahrungsdauer pro Cookie.

Teil 2 - Operationen (Schritte 6 bis 9)

Schritt 6: Betroffenenrechte operationalisieren

Die Pruefung: ein dokumentiertes Verfahren zur Bearbeitung von Anfragen, mit Vorlagen und einem Register.

Personen, deren Daten Sie verarbeiten, koennen Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit oder Widerspruch verlangen. Sie haben einen Monat Zeit zu antworten (verlaengerbar auf drei Monate fuer komplexe Faelle). Die Frist zu verpassen ist ein Lieblingsbussgeld der Aufsichtsbehoerden.

Was Sie brauchen:

  • Eine ueberwachte Mailbox, in der Anfragen landen (oft die privacy@-Adresse aus Schritt 1).
  • Ein dokumentierter interner Prozess: wer triagiert, wer bearbeitet, wer freigibt.
  • Vorlagen fuer die Standardantworten.
  • Ein Register, mit dem Sie nachweisen koennen, dass Sie frueheren Anfragen fristgerecht nachgekommen sind.

Lesen Sie DSGVO-Betroffenenrechte fuer alle neun Rechte.

description

Vorlage: Antwort auf Auskunftsanfrage

Standardantworten fuer Auskunfts-, Berichtigungs- und Loeschanfragen, plus ein Anfragenregister.

Vorlage ansehen arrow_forward
  • Datenschutz-Mailbox wird ueberwacht.
  • Verfahren zur Bearbeitung von Anfragen ist dokumentiert.
  • Antwortvorlagen und Register sind bereit.

Schritt 7: Datenpannen-Verfahren und 72-Stunden-Meldung

Die Pruefung: ein dokumentiertes Verfahren, das Sie von “etwas ist schiefgegangen” zu einer Meldung an die Aufsichtsbehoerde innerhalb von 72 Stunden bringt.

Eine Datenpanne ist nicht nur ein Hacker. Sie umfasst einen Kollegen, der Kundendaten an den falschen Empfaenger sendet, einen verlorenen USB-Stick, einen gestohlenen Laptop, versehentliches Loeschen oder ein falsch konfiguriertes Backup, das Datensaetze nach aussen leakt.

Was Sie brauchen:

  • Ein internes Pannenregister (jeder Vorfall, unabhaengig davon, ob meldepflichtig).
  • Einen klaren Test: was an die Aufsichtsbehoerde zu melden ist (wahrscheinliches Risiko fuer die Rechte und Freiheiten der Betroffenen) und was an die Betroffenen selbst (hohes Risiko).
  • Kontaktdaten Ihrer Aufsichtsbehoerde im Verfahren vorab eingetragen: kein Hektik in Stunde Null.
  • Meldungsvorlagen bereit.

Lesen Sie Personenbezogene Datenpanne: was zu tun ist.

description

Vorlage: Datenpannen-Meldung

Meldeformular fuer die Aufsichtsbehoerde und Vorlage fuer die Benachrichtigung der Betroffenen.

Vorlage ansehen arrow_forward
  • Datenpannen-Verfahren ist dokumentiert und dem Team bekannt.
  • Internes Pannenregister existiert.
  • Meldungsvorlagen sind mit den Daten Ihrer Aufsichtsbehoerde vorab ausgefuellt.

Schritt 8: Direktmarketing - Quelle und Opt-out

Die Pruefung: jede Direktmarketing-E-Mail oder -SMS enthaelt einen funktionierenden Opt-out, und Sie koennen nachweisen, woher die Daten des Empfaengers stammen.

DSGVO plus ePrivacy fuegen zwei Anforderungen hinzu, an denen KMU oft scheitern:

  1. Quellenangabe. Sie muessen einem Empfaenger sagen koennen, woher seine personenbezogenen Daten stammen (Anmeldung auf Ihrer Site, Auslesen aus einer oeffentlichen Liste, Kauf von einem Partner usw.). Das impliziert einen Prozess, um die Quelle bei jedem Listenimport und jeder Anmeldung festzuhalten.
  2. Opt-out in jeder Nachricht. Ein funktionierender “Abmelden”-Link in jeder Direktmarketing-E-Mail. Die meisten Marketingplattformen (Mailchimp, Brevo usw.) regeln das standardmaessig, aber pruefen Sie nach.

Sobald sich jemand abmeldet, darf er keine aehnlichen Nachrichten mehr erhalten, dauerhaft. Ihn spaeter wieder anzumelden, weil er ueber einen anderen Funnel hereinkam, ist ein Bussgeld.

Lesen Sie Direktmarketing unter der DSGVO.

  • Jede Marketing-E-Mail hat eine Ein-Klick-Abmeldung.
  • Datenquelle wird fuer jeden Listeneintrag erfasst.
  • Sperrliste wird in allen Tools (CRM, Marketingplattform, Werbezielgruppen) respektiert.

Schritt 9: Eine separate Datenschutzerklaerung fuer Mitarbeiter

Die Pruefung: eine eigene Datenschutzerklaerung fuer Mitarbeiter und Auftragnehmer, getrennt von der fuer Kunden.

Die Daten, die Sie ueber Mitarbeiter verarbeiten (Lohn, Leistung, Krankheit, Beurteilungen, Zeiterfassung), unterscheiden sich stark von Kundendaten. Sie sind auch die Quelle der meisten DSGVO-Beschwerden, wenn ein Arbeitsverhaeltnis zerbricht. Eine eigene Mitarbeitererklaerung schuetzt Sie.

Was hineingehoert:

  • HR-Systeme und was sie enthalten.
  • Leistung, Krankheit, Beurteilungen.
  • Monitoring (Mail, Internet, Gebaeudezugang, Kameras) und auf welcher Rechtsgrundlage.
  • Aufbewahrung: wie lange nach dem Austritt Sie das Dossier behalten.
  • Ihre Rechte und wie sie sie ausueben.

Lesen Sie Mitarbeiter-Datenschutzrichtlinie: was Sie Ihrem Personal mitteilen muessen.

  • Mitarbeiter-Datenschutzerklaerung existiert und wird jedem neuen Mitarbeiter ausgehaendigt.
  • Verlinkt oder dem Arbeitsvertrag beigefuegt.
  • Jaehrlich ueberprueft.

Teil 3 - Erhoehte Sorgfalt (Schritte 10 bis 13)

Schritt 10: Pruefung auf besondere Datenkategorien

Die Pruefung: Sie haben explizit festgestellt, ob Sie besondere Kategorien personenbezogener Daten verarbeiten, und wenn ja, auf welcher Rechtsgrundlage.

Artikel 9 DSGVO verbietet die Verarbeitung des Folgenden, ausser eine von neun spezifischen Ausnahmen greift:

  • Rassische oder ethnische Herkunft
  • Politische Meinungen
  • Religioese oder weltanschauliche Ueberzeugungen
  • Gewerkschaftszugehoerigkeit
  • Genetische oder biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Die meisten KMU verarbeiten davon absichtlich nichts. Aber Sie beruehren es vielleicht unbeabsichtigt: eine Krankheitsabwesenheit (Gesundheit), eine Ernaehrungspraeferenz fuer ein Event (moeglicherweise Religion), eine Uniformgroesse (moeglicherweise Gesundheit), ein Lebenslauf mit Foto (moeglicherweise Herkunft).

Gehen Sie Ihr Verarbeitungsverzeichnis durch und markieren Sie alles, was die obige Liste beruehrt. Dokumentieren Sie fuer jeden die Ausnahme aus Artikel 9 (meistens: ausdrueckliche Einwilligung, arbeitsrechtliche Verpflichtung oder lebenswichtige Interessen). Finden Sie keine Rechtsgrundlage, stoppen Sie die Verarbeitung.

  • Jeder Eintrag im Verarbeitungsverzeichnis ist auf besondere Kategorien geprueft.
  • Wo vorhanden, ist die Ausnahme aus Artikel 9 dokumentiert.

Schritt 11: Sicherheitspraktiken pruefen

Die Pruefung: die Sicherheitsmassnahmen hinter jedem System in Ihrem Verzeichnis sind dokumentiert und angemessen.

Kein Datenschutz ohne Sicherheit. Die Aufsichtsbehoerde und ein etwaiges Bussgeld bewerten “angemessen” relativ zur Sensibilitaet der Daten, dem Stand der Technik und den Kosten. Ein KMU braucht also keine Sicherheit auf Bankenniveau, wohl aber verteidigungsfaehige Grundlagen.

Gehen Sie Ihr Verzeichnis System fuer System durch. Pruefen Sie fuer jedes:

Physische Sicherheit

  • Fuer Cloud-gehostete SaaS: verlassen Sie sich auf die Zertifizierungen des Anbieters (ISO 27001, SOC 2). Bewahren Sie den Nachweis in Ihrem AVV-Dossier.
  • Fuer selbst-gehostete Geraete: Serverraum, Aktenschrank und Buero verschliessen. Lesen Sie Sicherheit fuer Papierdokumente fuer was nicht auf einem Bildschirm ist.

System- und Software-Sicherheit

  • Aktuelle Sicherheitspatches eingespielt.
  • Starke Passwoerter erzwungen; Zwei-Faktor-Authentifizierung, wo das System sie unterstuetzt.
  • Zugriff auf Need-to-know-Basis; halbjaehrliche Ueberpruefung, wer Zugriff hat.
  • Lesen Sie Periodische Zugriffskontrolle.

Datensicherheit

Lieferantensicherheit

  • AVV im Dossier (in Schritt 4 abgedeckt).

  • Fuer Auftragsverarbeiter mit hoher Sensibilitaet: Liste der Subauftragsverarbeiter ueberprueft.

  • Jedes System im Verzeichnis hat eine dokumentierte Sicherheitsueberpruefung.

  • Backups werden mindestens jaehrlich mit einer echten Wiederherstellung getestet.

  • Zugriffsueberpruefungen sind geplant.

Schritt 12: Datenschutz-Sensibilisierung und Verhaltenskodex

Die Pruefung: jeder Mitarbeiter, der personenbezogene Daten behandelt, hat in den letzten zwoelf Monaten eine Basis-Datenschutzschulung absolviert.

Der menschliche Faktor ist die staendigste Quelle von Datenpannen: Phishing, BCC-statt-CC-Fehler, Anhaenge an den falschen Empfaenger, schwache Passwoerter, geteilte Konten, unverschluesselte Laptops mit nach Hause genommen. Keiner davon ist ein technisches Versagen. Es sind Schulungsversagen.

Ein verteidigungsfaehiges KMU-Schulungsprogramm:

  • Jaehrliche Datenschutz- und Sicherheitsschulung fuer das gesamte Personal (online, 30 bis 60 Minuten).
  • Onboarding-Session fuer Neuzugaenge, bevor sie personenbezogene Daten anfassen.
  • Ein Verhaltenskodex, den jeder unterzeichnet, mit Datenschutz, Sicherheit und ethischem Verhalten.

Lesen Sie Der menschliche Faktor bei Datenpannen und Datenschutz und Ethik: Verhaltenskodex.

  • Schulung wird jaehrlich und beim Onboarding gegeben.
  • Teilnahme wird erfasst und gespeichert.
  • Verhaltenskodex ist von jedem Mitarbeiter unterzeichnet.

Schritt 13: Internationale Aspekte und jaehrliche Ueberpruefung

Die Pruefung (falls zutreffend): wenn Sie EU-Kunden von ausserhalb der EU bedienen oder in mehreren EU-Laendern taetig sind, sind die grenzueberschreitenden Spezifika geregelt.

Sie sind ausserhalb der EU, verkaufen aber hinein: Artikel 27 verlangt einen in der EU ansaessigen Vertreter. Der guenstigste Weg ist ein kommerzieller Article-27-Representative-Service.

Sie operieren in mehreren EU-Laendern: identifizieren Sie Ihre federfuehrende Aufsichtsbehoerde, das ist die des Landes, in dem sich Ihre Hauptniederlassung (oder die Hauptentscheidungen ueber die Verarbeitung) befindet. Diese Behoerde fuehrt jedes grenzueberschreitende Dossier nach dem One-Stop-Shop-Mechanismus.

Grenzueberschreitende Datenuebermittlungen: uebermitteln Sie personenbezogene Daten ausserhalb der EU/EWR, dokumentieren Sie pro System den Uebermittlungsmechanismus (Angemessenheitsbeschluss, Standardvertragsklauseln, Verbindliche Unternehmensregeln). Lesen Sie Genehmigte Drittlaender fuer Uebermittlungen ausserhalb der EU.

Die jaehrliche Ueberpruefung: gehen Sie einmal jaehrlich jede Pruefung dieses Artikels erneut durch und bestaetigen Sie, dass sie noch aktuell, korrekt und vollstaendig ist. Neue Tools, neue Mitarbeiter, neue Prozesse und neue Subauftragsverarbeiter schleichen sich ueber das Jahr ein; die jaehrliche Ueberpruefung ist es, was die Checkliste ehrlich statt nur ambitioniert haelt.

Achten Sie besonders auf diese vier Punkte, wo die Drift am haeufigsten ist:

  • Verarbeitungsverzeichnis erneut durchgegangen - jeder Eintrag ueberprueft, neue Taetigkeiten hinzugefuegt, eingestellte entfernt.
  • Jede verlinkte Erklaerung ist noch aktuell - Kunden-Datenschutzerklaerung, Mitarbeiter-Datenschutzerklaerung, Cookie-Richtlinie, interne Verfahren.
  • Sicherheitsueberpruefung pro System erneut durchgefuehrt - Patches, Zugriffsueberpruefung, Backup-Restore-Test, Verschluesselungsstatus.
  • Mitarbeiterschulung aufgefrischt - alle haben die jaehrliche Session absolviert; Neuzugaenge eingewiesen; unterzeichneter Verhaltenskodex im Dossier.

Und die grenzueberschreitenden Spezifika:

  • Article-27-Vertreter ist vorhanden, falls Sie aus dem Ausland in die EU verkaufen.
  • Federfuehrende Aufsichtsbehoerde fuer grenzueberschreitende Operationen ist identifiziert.
  • Internationale Uebermittlungen sind pro System dokumentiert.
  • Termin der naechsten jaehrlichen Ueberpruefung steht im Kalender.

Hauptcheckliste (kompakte Version)

Drucken Sie diese Seite aus oder kopieren Sie das Folgende in Ihren Tracker.

Dokumentation

  • Datenschutzkoordinator benannt, privacy@-Mailbox aktiv
  • Verarbeitungsverzeichnis vollstaendig
  • Kunden-Datenschutzerklaerung veroeffentlicht, im Footer verlinkt
  • Mitarbeiter-Datenschutzerklaerung jedem Neuzugang ausgehaendigt
  • AVVs mit jedem Auftragsverarbeiter unterzeichnet
  • Cookie-Inventar und Einwilligungsfluss validiert

Operationen

  • Verfahren und Vorlagen fuer Betroffenenanfragen bereit
  • Datenpannen-Verfahren und 72-Stunden-Meldevorlagen bereit
  • Direktmarketing: Quelle erfasst, Opt-out funktioniert, Sperrliste respektiert
  • Besondere Kategorien identifiziert und rechtlich begruendet

Sicherheit und Menschen

  • System-fuer-System-Sicherheitsueberpruefung dokumentiert
  • Backups mit echter Wiederherstellung getestet
  • Jaehrliche Datenschutz- und Sicherheitsschulung von jedem absolviert
  • Verhaltenskodex unterzeichnet
  • Article-27-Vertreter, falls ausserhalb der EU
  • Termin der jaehrlichen Ueberpruefung im Kalender

Verbreitete Mythen und was Sie wirklich nicht brauchen

lightbulb Lassen Sie sich nicht reinlegen

Die DSGVO wird oft schwerer dargestellt, als sie fuer ein KMU ist. Ein Teil dessen, was Sie hoeren, ist Mythos, und ein Teil dessen, was Ihnen verkauft wird, ist nicht wirklich erforderlich. Die Liste unten ordnet beides ein.

Verbreitete KMU-Mythen

  • “DSGVO gilt nur fuer grosse Unternehmen.” Sie gilt fuer jeden, der personenbezogene Daten verarbeitet, unabhaengig von der Groesse. Weiterlesen.

  • “Kleine Unternehmen bekommen nie ein Bussgeld.” Doch, und die Bussgelder skalieren mit dem, was ein KMU zahlen kann. Weiterlesen.

  • “DSGVO geht nur um Cookies.” Cookies sind ein Teil; die Pflichten decken die gesamte Verarbeitung personenbezogener Daten ab. Weiterlesen.

  • “Ich habe keine personenbezogenen Daten.” Wenn Sie Kunden, Mitarbeiter oder Lieferanten haben, haben Sie sie fast sicher. Weiterlesen.

  • “Die Behoerden haben kein Interesse an mir.” Die meiste Durchsetzung beginnt mit einer Beschwerde einer Einzelperson, nicht mit einer proaktiven Pruefung. Weiterlesen.

Was Sie ueberspringen koennen (als KMU)

  • Einen formellen DSB - es sei denn, Sie betreiben grossflaechige Ueberwachung oder grossflaechige Verarbeitung besonderer Kategorien. Der Datenschutzkoordinator aus Schritt 1 deckt den Rest ab.

  • Eine DSFA fuer Routineverarbeitung - sie ist nur erforderlich fuer neue Hochrisikoverarbeitung (grossflaechige systematische Ueberwachung, grossflaechige besondere Kategorien, automatisierte Entscheidungen mit Rechtswirkung).

  • Einen teuren externen Berater - die Grundlagen sind intern handhabbar mit den richtigen Vorlagen und Tools.

  • Einen Datenschutzanwalt auf Vertrag - die Website Ihrer Aufsichtsbehoerde bietet KMU-orientierte Anleitung, und eine einmalige juristische Pruefung am Jahresende reicht reichlich.

auto_awesome Die Checkliste in 15 Minuten abschliessen?

GDPRWise scannt Ihre Website und fuellt automatisch den Grossteil dieser Checkliste aus: Verarbeitungsverzeichnis, Datenschutzerklaerung, Cookie-Audit und eine massgeschneiderte Aktionsliste.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.