DSGVO-Compliance scheitert in KMU selten an juristischer Komplexität — sondern an fehlender Struktur. Wer einen klaren Fahrplan hat, ist in 8 Wochen rechtssicher. Wer ohne Plan startet, kämpft sich jahrelang durch Einzelthemen, die nie ein Ganzes ergeben.

Dieser Beitrag fasst zusammen, was sich in über zwölf Jahren Beratungspraxis als verlässliche Reihenfolge bewährt hat. Fünf Schritte, jeder mit klarem Ergebnis. Keine Theorie — nur das, was im Audit der Aufsichtsbehörde tatsächlich nachgefragt wird.

Für wen ist dieser Fahrplan gedacht? Für Geschäftsführer und Inhaber von KMU mit 10–250 Mitarbeitern, die DSGVO-Compliance nicht aussitzen, sondern strukturiert abschließen wollen — mit dem nötigen Maß an Pragmatismus.

Warum die Reihenfolge entscheidet

Die meisten KMU starten DSGVO-Projekte mit der Datenschutzerklärung auf der Website. Das ist nachvollziehbar — sichtbar, abhakbar, schnell erledigt. Es ist aber genau die falsche Reihenfolge. Eine Datenschutzerklärung ist die Beschreibung dessen, was Sie tun. Wenn Sie nicht wissen, was Sie tun, beschreiben Sie etwas, das nicht stimmt — und das ist im Bußgeldfall belastender als gar keine Erklärung.

Der folgende Fahrplan dreht die Logik um: erst verstehen, dann dokumentieren, dann veröffentlichen.

Schritt 01 · Bestandsaufnahme

Verarbeitungsverzeichnis erstellen

Der erste Schritt ist immer die Inventur. Welche personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet — und wo? Personalakten, Kundendatenbank, Newsletter-Tool, Bewerbungsmanagement, Telefonanlage, Videoüberwachung, Cloud-Speicher: alles muss erfasst werden.

Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist nicht optional. Es ist das Dokument, das die Aufsichtsbehörde im Audit als erstes verlangt. Ohne dieses Verzeichnis können Sie keinen anderen Schritt seriös abschließen.

Alle Verarbeitungstätigkeiten je Abteilung listen (HR, Vertrieb, Buchhaltung, IT, Marketing)
Zweck, Rechtsgrundlage und Speicherdauer je Verarbeitung dokumentieren
Empfänger und Drittlandtransfers erfassen (z. B. US-Cloud-Anbieter)

Schritt 02 · Rechtsgrundlagen

Auftragsverarbeitungsverträge prüfen

Jeder Dienstleister, der für Sie personenbezogene Daten verarbeitet — vom Lohnverrechner über den Webhoster bis zum Newsletter-Tool — braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Ohne AVV ist die Datenübermittlung rechtswidrig. Ohne Ausnahme.

Aus dem Verarbeitungsverzeichnis (Schritt 1) entsteht automatisch eine Liste aller Auftragsverarbeiter. Prüfen Sie für jeden: Liegt ein AVV vor? Ist er aktuell? Erfüllt er die Anforderungen aus Art. 28 (Abs. 3 a–h)?

Schritt 03 · Pflichten klären

Datenschutzbeauftragten benennen

Die DSB-Pflicht ergibt sich aus Art. 37 DSGVO. Faustregel für KMU: Wer regelmäßig Gesundheits-, Bonitäts-, Bewerber- oder umfangreiche Kundendaten verarbeitet, braucht einen Datenschutzbeauftragten — unabhängig von der Mitarbeiterzahl.

In der Praxis ist die Frage nicht ob, sondern intern oder extern. Ein interner DSB benötigt Schulung, Zeit-Freistellung (mind. 20 % der Arbeitszeit), Fortbildungs-Budget und ist gegen Kündigung geschützt — was die Trennung schwierig macht. Ein externer DSB ist günstiger, schneller verfügbar und unabhängig.

Schritt 04 · Mitarbeiter schulen

Verbindliche Schulung dokumentieren

Über 60 % aller Datenschutzvorfälle entstehen nicht durch IT-Lücken, sondern durch Mitarbeiter: falsch adressierte E-Mails, offen liegende Akten, USB-Sticks im Hotel. Eine dokumentierte DSGVO-Schulung ist Pflicht — und der wirksamste Hebel zur Risikoreduktion.

Wichtig: Schulung allein reicht nicht. Die Aufsichtsbehörde verlangt im Bußgeldverfahren den Nachweis: Teilnehmerliste, Datum, Inhalte, Auffrischungs-Intervall (mind. jährlich). Ohne Nachweis hat die Schulung rechtlich nicht stattgefunden.

Schritt 05 · Notfall vorbereiten

Incident-Response-Prozess etablieren

Im Datenschutzvorfall haben Sie 72 Stunden, um die Aufsichtsbehörde zu informieren (Art. 33 DSGVO). 72 Stunden sind kürzer, als die meisten denken — gerade wenn der Vorfall am Freitagabend bemerkt wird.

Vorbereitung heißt: definierte Meldekette intern, Vorlage für die Behörden-Meldung, Kontaktdaten der zuständigen Aufsichtsbehörde griffbereit, Eskalationsstufen für die Geschäftsführung, vorbereitete Kommunikations-Templates für Betroffene.

Was nach den 5 Schritten kommt

Nach diesen fünf Schritten haben Sie die Grundlage. Das heißt nicht, dass Sie fertig sind — aber Sie sind auditfest. Die Aufsichtsbehörde findet im Ernstfall ein vollständiges Verarbeitungsverzeichnis, gültige AVVs, einen benannten DSB, dokumentierte Schulungen und einen funktionierenden Notfallprozess. Das ist der Unterschied zwischen Bußgeld und Verwarnung.

DSGVO-Compliance ist kein Projekt mit Enddatum. Es ist ein Zustand — und dieser Zustand wird durch Routine erhalten, nicht durch einmalige Anstrengung. Aus der Beratungspraxis

Häufiger Fehler: KMU schließen die fünf Schritte ab und legen die Dokumente in einen Ordner. Ohne jährliche Aktualisierung verlieren sie nach 12 Monaten ihre Beweiskraft. Im Audit zählt der aktuelle Stand — nicht der vom Anfang.

Was uns von hier aus erwartet

Der Aufwand für KMU ist überschaubar: rund 30–40 Stunden Geschäftsführungszeit über 8 Wochen verteilt, plus die Begleitung durch einen erfahrenen DSB. Wer das in Eigenregie macht, plant realistisch das Doppelte ein. Wer es professionell begleiten lässt, hat die Rechtssicherheit — und die Geschäftsführung den Kopf für das Kerngeschäft frei.

Wenn Sie wissen wollen, wo Ihr Unternehmen heute steht: ein kostenloses Erstgespräch klärt den Aufwand und die nächsten Schritte. Keine Verpflichtung, keine Verkaufsmasche — nur eine ehrliche Einschätzung.

DSGVO KMU Compliance Verarbeitungsverzeichnis DSB How-To