Die 10 größten Datenschutzrisiken in kleinen und mittleren Unternehmen – Ein Leitfaden für die Geschäftsführung

Aktualisiert: 18. Oktober 2025 • Lesezeit: circa 15–18 Minuten

Seit dem Inkrafttreten der Datenschutz-Grundverordnung im Jahr 2018 sind die zentralen Risiken in kleinen und mittleren Unternehmen überraschend konstant geblieben: unklare Zuständigkeiten, eine lückenhafte Nachweisführung und veraltete Prozesse. Dieser Leitfaden analysiert die zehn häufigsten Fehlerquellen und bietet Ihnen konkrete, direkt umsetzbare Lösungsstrategien, inklusive praxiserprobter Checklisten und Prioritätensetzungen.

  1. Fehlende Zuweisung von Verantwortlichkeiten
  2. Kein aktuelles Verzeichnis von Verarbeitungstätigkeiten
  3. Unklare oder fehlende Rechtsgrundlagen
  4. Veraltete oder unvollständige Datenschutzerklärung
  5. Fehlende Verträge zur Auftragsverarbeitung
  6. Unzureichende technische und organisatorische Maßnahmen
  7. Kein systematisches Löschkonzept
  8. Mangelnde Schulung und Sensibilisierung der Mitarbeitenden
  9. Verspätete oder unterlassene Meldung von Datenschutzvorfällen
  10. Fehlende Benennung eines Datenschutzbeauftragten trotz Verpflichtung

1. Fehlende Zuweisung von Verantwortlichkeiten im Unternehmen

Die Datenschutz-Grundverordnung differenziert klar zwischen dem Verantwortlichen (gemäß Artikel 4 Nummer 7 DSGVO) und dem Auftragsverarbeiter (gemäß Artikel 28 DSGVO). In der Unternehmenspraxis fehlen jedoch häufig klar definierte Rollen, Eskalationswege und die notwendigen Nachweise zur Rechenschaftspflicht (gemäß Artikel 5 Absatz 2 DSGVO).

Typische Symptome:

  • Es existiert keine klar benannte, zuständige Person für Datenschutzthemen.
  • Entscheidungen im Bereich Datenschutz werden nicht oder nur unzureichend dokumentiert.
  • Die Abteilungen für Informationstechnologie, Personal und Marketing agieren ohne eine gemeinsame, verbindliche Datenschutzrichtlinie.

Konsequenzen:

  • Anfragen von Aufsichtsbehörden können nicht fristgerecht oder vollständig beantwortet werden.
  • Haftungsrisiken verbleiben vollumfänglich beim Unternehmen.
  • Fehler wiederholen sich systematisch, da keine klaren Verantwortlichkeiten etabliert sind.

Lösungsstrategie:

  • Benennen Sie eine interne verantwortliche Stelle für den Datenschutz in jeder relevanten Abteilung (zum Beispiel Informationstechnologie, Personal, Marketing, Vertrieb).
  • Definieren Sie einen standardisierten Arbeitsablauf für datenschutzrelevante Entscheidungen (Vorlage: Risikoanalyse → Bewertung → Entscheidung → Dokumentation).
  • Hinterlegen Sie ein kompaktes Datenschutz-Organigramm, das auch Stellvertretungen klar regelt.

Expertenempfehlung: Führen Sie ein „Decision Log“ (Entscheidungsprotokoll), in dem jede Datenschutzentscheidung mit Datum, Kontext, Rechtsgrundlage, Ergebnis und verantwortlicher Person revisionssicher festgehalten wird.

2. Kein aktuelles Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten (gemäß Artikel 30 DSGVO) ist das zentrale Inventar Ihrer Datenverarbeitungsprozesse. Ohne dieses Verzeichnis fehlt der notwendige Überblick über Datenflüsse, Rechtsgrundlagen, Datenempfänger, Speicherfristen sowie die implementierten technischen und organisatorischen Maßnahmen.

Mindestanforderungen an jeden Eintrag:

  • Zweck der Verarbeitung, Kategorien der personenbezogenen Daten und der betroffenen Personen
  • Rechtsgrundlage(n) (Artikel 6, gegebenenfalls Artikel 9 Datenschutz-Grundverordnung)
  • Empfänger der Daten sowie Übermittlungen in Drittländer inklusive der dafür getroffenen Garantien
  • Geplante Speicherfristen oder die Kriterien für deren Festlegung
  • Zuständige verantwortliche Stelle, Auftragsverarbeiter und eingesetzte Sub-Prozessoren
  • Relevante technische und organisatorische Maßnahmen (gemäß Artikel 32 Datenschutz-Grundverordnung)

Praxishinweis zum Aktualisierungsrhythmus:

Aktualisieren Sie das Verzeichnis von Verarbeitungstätigkeiten mindestens halbjährlich sowie bei jedem relevanten Anlass (zum Beispiel bei der Einführung eines neuen Software-Tools, eines neuen Prozesses, bei einem Anbieterwechsel oder einer Änderung der Rechtsgrundlage).

Selbstprüfung: Wären Sie in der Lage, Ihr vollständiges Verzeichnis von Verarbeitungstätigkeiten einer Aufsichtsbehörde innerhalb von 48 Stunden vorzulegen?

3. Unklare Rechtsgrundlagen

Die Rechtmäßigkeit der Datenverarbeitung (geregelt in Artikel 6 DSGVO) basiert nicht auf subjektiven Einschätzungen. Ohne eine sauber dokumentierte Rechtsgrundlage für jeden Verarbeitungsvorgang drohen empfindliche Bußgelder und gerichtliche Unterlassungsanordnungen.

Typische Fehler:

  • Versand von Newslettern ohne nachweisbare Einwilligung (Artikel 6 Absatz 1 Buchstabe a).
  • Berufung auf ein „berechtigtes Interesse“ ohne durchgeführte und dokumentierte Interessenabwägung (Artikel 6 Absatz 1 Buchstabe f).
  • Personalprozesse ohne klare Trennung zwischen Einwilligung und Vertragserfüllung als Rechtsgrundlage.

So stellen Sie die Korrektheit sicher:

  • Legen Sie die Rechtsgrundlage für jede einzelne Verarbeitungstätigkeit fest und dokumentieren Sie diese nachvollziehbar.
  • Versionieren Sie eingeholte Einwilligungen und stellen Sie sicher, dass ein Widerruf unkompliziert möglich ist (prüfen Sie den Opt-out-Prozess).
  • Standardisieren Sie den Prozess der Interessenabwägung und archivieren Sie die Ergebnisse im Entscheidungsprotokoll.

4. Veraltete Datenschutzerklärung

Ihre Datenschutzerklärung (gemäß Artikel 12–14 DSGVO) muss die tatsächlich eingesetzten Technologien und die realen Datenflüsse Ihres Unternehmens abbilden. Standardvorlagen aus dem Jahr 2018 stellen heute ein erhebliches rechtliches Risiko dar.

Wesentliche Pflichtangaben (Auszug):

  • Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlagen für jedes eingesetzte Tool (zum Beispiel Web-Analyse, Schriftarten, Content Delivery Network, Captcha)
  • Datenempfänger, Drittlandtransfers und die Speicherdauer oder deren Kriterien
  • Informationen zu den Betroffenenrechten, einschließlich des Beschwerderechts bei einer Aufsichtsbehörde
  • Details zum Einwilligungsmanagement (Consent-Management): Kategorien, Anbieter, Widerrufsmöglichkeiten

Praxishinweis: Führen Sie ein technisches Inventar Ihrer Webseite (verwendete Skripte, Tags, iFrames) und gleichen Sie dieses monatlich mit Ihrer Datenschutzerklärung ab.

5. Fehlende Verträge zur Auftragsverarbeitung

Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist der Abschluss eines Vertrages zur Auftragsverarbeitung (gemäß Artikel 28 DSGVO) zwingend erforderlich. Dieser muss auch die Transparenz über eingesetzte Sub-Prozessoren regeln.

Schnellprüfung für Verträge zur Auftragsverarbeitung:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung sind klar definiert.
  • Datenarten und Kategorien betroffener Personen sind spezifiziert.
  • Technische und organisatorische Maßnahmen sowie Vertraulichkeitspflichten sind festgelegt.
  • Der Umgang mit Unterauftragsverhältnissen ist geregelt (Genehmigung, Liste, Informationspflichten).
  • Die Unterstützungspflichten bei Betroffenenrechten, Datenschutz-Folgenabschätzungen und Vorfällen sind beschrieben.
  • Regelungen zur Beendigung des Vertrags sind vorhanden (Rückgabe/Löschung, Nachweise, Audit-Rechte).

Tipp: Führen Sie ein zentrales Register für alle Verträge zur Auftragsverarbeitung mit Angaben zur Version, Datum, Unterzeichner, Liste der Sub-Prozessoren und einem Termin für die regelmäßige Überprüfung.

6. Unzureichende technische und organisatorische Maßnahmen

Artikel 32 der Datenschutz-Grundverordnung fordert ein dem Risiko angemessenes Schutzniveau. Die Aussage „Wir verwenden Passwörter“ ist hierfür nicht ausreichend. Ein wirksames Sicherheitskonzept denkt in Ebenen: Prävention, Erkennung, Reaktion und Wiederherstellung.

Beispiele für technische Maßnahmen:

  • Verschlüsselung von Daten (im Ruhezustand und bei der Übertragung), HTTP Strict Transport Security, Transport Layer Security-Richtlinien
  • Identitäts- und Zugriffsmanagement (Minimalprinzip, Multi-Faktor-Authentifizierung, Single Sign-On)
  • Management von Software-Updates und Schwachstellen, Endpoint Detection and Response / Extended Detection and Response, zentrale Protokollierung
  • Backup-Strategie (nach der 3-2-1-Regel), regelmäßige Wiederherstellungsübungen

Beispiele für organisatorische Maßnahmen:

  • Verbindliche Richtlinien (Clean Desk, Bring Your Own Device, Homeoffice, Rollen- und Rechtekonzept)
  • Lieferantenmanagement (Service Level Agreements, Verträge zur Auftragsverarbeitung, Sicherheitsanhänge)
  • Sensibilisierungsprogramm (Phishing-Simulationen, E-Learnings, Onboarding für neue Mitarbeitende)
  • Notfallmanagement und regelmäßige Tests (zum Beispiel durch Tabletop-Übungen)

7. Kein systematisches Löschkonzept

Die Grundsätze der Speicherbegrenzung (Artikel 5 Absatz 1 Buchstabe e) und das Recht auf Löschung (Artikel 17) erfordern gelebte Routinen im Unternehmen und dürfen keine reinen Papiervorgaben sein.

So etablieren Sie Löschroutinen:

  • Kategorisieren: Ordnen Sie Datenarten den jeweiligen Systemen zu (zum Beispiel Customer-Relationship-Management, E-Mail-Archiv, Personalakten, Ticket-System, Backups).
  • Fristen definieren: Gleichen Sie gesetzliche Aufbewahrungspflichten mit dem jeweiligen Geschäftszweck ab.
  • Automatisieren: Nutzen Sie technische Möglichkeiten wie Retention-Policies, Anonymisierung oder Pseudonymisierung.
  • Nachweisen: Führen Sie ein Löschjournal, überprüfen Sie die Umsetzung stichprobenartig und benennen Sie Verantwortliche.

Praxishinweis: Planen Sie quartalsweise feste „Löschtage“ mit einer klaren Checkliste und zugewiesenen Verantwortlichkeiten.

8. Mangelnde Schulung und Sensibilisierung der Mitarbeitenden

Der Faktor Mensch stellt sowohl das größte Sicherheitsrisiko als auch die größte Schutzressource dar. Ohne regelmäßige Schulungen bleiben Phishing-Angriffe, der versehentliche Fehlversand von E-Mails und die unkontrollierte Weitergabe von Daten kritische Fehlerquellen.

Struktur eines schlanken Schulungsprogramms:

  • Initialtraining (Dauer circa 90 Minuten) für alle Mitarbeitenden sowie ein Onboarding-Modul für neue Teammitglieder.
  • Quartalsweise Micro-Learnings (10–15 Minuten) zu aktuellen Risiken.
  • Jährlicher Wissenstest mit dokumentiertem Teilnahmenachweis.
  • Simulierte Phishing-Kampagnen mit anschließendem, konstruktivem Feedback.

9. Verspätete oder unterlassene Meldung von Datenschutzvorfällen

Relevante Datenschutzvorfälle müssen gemäß Artikel 33 der Datenschutz-Grundverordnung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Ohne einen vorbereiteten Notfallplan (Incident-Playbook) führt dies zu Hektik und erhöht das Risiko kostspieliger Fehler.

Struktur eines Notfallplans (Kurzfassung):

  1. Erkennen: Etablierung eines klaren Meldekanals und Definition von Kriterien (Was klassifiziert ein Ereignis als meldepflichtigen Vorfall?).
  2. Eindämmen: Sofortmaßnahmen wie das Sperren von Zugriffen, die Isolation betroffener Systeme und die Sicherung digitaler Spuren.
  3. Bewerten: Analyse des Risikos für die betroffenen Personen und Entscheidung über die Meldepflicht.
  4. Melden: Kommunikation an die Aufsichtsbehörde (Artikel 33) und gegebenenfalls an die Betroffenen (Artikel 34).
  5. Lernen: Durchführung einer Ursachenanalyse, Ableitung von Verbesserungsmaßnahmen und Anpassung der Schulungsinhalte.

Empfehlung: Führen Sie zweimal jährlich eine Tischübung (Tabletop-Übung) durch, um den Notfallprozess zu trainieren und zu optimieren.

10. Fehlende Benennung eines Datenschutzbeauftragten trotz Verpflichtung

Artikel 37 der Datenschutz-Grundverordnung sowie ergänzende nationale Gesetze können die Benennung eines Datenschutzbeauftragten erforderlich machen. Dies kann unabhängig von der Unternehmensgröße der Fall sein, zum Beispiel bei einer umfangreichen und regelmäßigen Verarbeitung personenbezogener Daten oder der Verarbeitung besonderer Datenkategorien.

Vorteile eines externen Datenschutzbeauftragten:

  • Umfassende Erfahrung aus verschiedenen Branchen und Praxisfällen.
  • Neutrale und objektive Perspektive ohne Betriebsblindheit.
  • Kalkulierbare Kosten und schnelle Einsatzbereitschaft.

Unabhängig davon, ob die Position intern oder extern besetzt wird, entscheidend ist die wirksame Ausübung der Funktion mit der notwendigen Fachkompetenz, ausreichenden Ressourcen und garantierter Unabhängigkeit.

Praxis-Plan: Ihr 30-Tage-Programm zur Stabilisierung der Datenschutz-Compliance

Woche 1 – Bestandsaufnahme und Etablierung von Verantwortlichkeiten

  • Erstellung eines Datenschutz-Organigramms und Anlage des Entscheidungsprotokolls.
  • Initiale Prüfung oder Erstellung des Verzeichnisses von Verarbeitungstätigkeiten für die zehn wichtigsten Prozesse.
  • Beginn der Erstellung eines technischen Inventars der Webseite als Grundlage für die Datenschutzerklärung.

Woche 2 – Validierung von Rechtsgrundlagen und Verträgen

  • Dokumentation der Rechtsgrundlagen für jeden identifizierten Verarbeitungsprozess.
  • Aufbau eines Registers für Verträge zur Auftragsverarbeitung (inklusive der Listen von Sub-Prozessoren).
  • Pilotierung einer standardisierten Vorlage für die Interessenabwägung.

Woche 3 – Optimierung der Sicherheitsmaßnahmen und des Löschkonzepts

  • Schließung identifizierter Lücken bei den technischen und organisatorischen Maßnahmen (zum Beispiel Einführung von Multi-Faktor-Authentifizierung, Überprüfung von Backups und Patch-Management).
  • Definition des Löschkonzepts und Implementierung von Aufbewahrungsrichtlinien (Retention-Policies).
  • Entwurf des Notfallplans für Datenschutzvorfälle (72-Stunden-Prozess).

Woche 4 – Schulung der Mitarbeitenden und Praxistest

  • Durchführung des Initialtrainings für das gesamte Team und Dokumentation der Teilnahme.
  • Simulation eines Datenschutzvorfalls (Tabletop-Übung) und Analyse der Ergebnisse (Lessons Learned).
  • Abschließende Überprüfung und Erstellung eines Prioritätenplans für das kommende Quartal.

Häufig gestellte Fragen zum Datenschutz in kleinen und mittleren Unternehmen

1. Wann ist ein externer Datenschutzbeauftragter Pflicht?

Ein Datenschutzbeauftragter ist zu benennen, wenn die Kerntätigkeit des Unternehmens in der umfangreichen, regelmäßigen Verarbeitung personenbezogener Daten besteht, besondere Kategorien von Daten verarbeitet werden oder nationale Gesetze (zum Beispiel basierend auf der Anzahl der mit der Datenverarbeitung betrauten Personen) dies vorschreiben.

2. Wie oft muss das Verzeichnis von Verarbeitungstätigkeiten aktualisiert werden?

Es sollte mindestens einmal jährlich sowie anlassbezogen aktualisiert werden, zum Beispiel bei der Einführung neuer Technologien, bei Änderungen des Verarbeitungszwecks, bei neuen Datenempfängern oder einer geänderten Rechtsgrundlage.

3. Mit welchen Kosten ist für einen externen Datenschutzbeauftragten zu rechnen?

Die Kosten variieren je nach Unternehmensgröße und Komplexität der Datenverarbeitung. Die Spanne reicht von monatlichen Pauschalen im dreistelligen Bereich bis hin zu modularen Servicepaketen im niedrigen vierstelligen Bereich.

4. Welche Schulungen sind für Mitarbeitende wirklich notwendig?

Ein grundlegendes Onboarding-Modul für neue Mitarbeitende, eine jährliche Auffrischungsschulung für das gesamte Team, regelmäßige Kurzschulungen zu aktuellen Risiken sowie ein belegbarer Teilnahmenachweis sind essenziell. Optional können Phishing-Simulationen die Sensibilisierung deutlich erhöhen.

5. Wie sollte mit Altdaten (Legacy-Daten) umgegangen werden?

Führen Sie eine Inventur durch, definieren Sie klare Aufbewahrungs- und Löschfristen und setzen Sie Prioritäten basierend auf Risiko und Datenvolumen. Führen Sie die Migration oder Löschung dieser Daten durch und dokumentieren Sie den Prozess lückenlos in einem Löschjournal.

Fazit: Datenschutz als strategischer Erfolgsfaktor

Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der das Betriebssystem für digitales Vertrauen bildet. Unternehmen, die Verantwortlichkeiten klar definieren, Nachweise sorgfältig pflegen und robuste Routinen etablieren, minimieren nicht nur ihre rechtlichen Risiken, sondern stärken auch ihre professionelle Reputation gegenüber Kunden, Partnern und Mitarbeitenden.

Stärken Sie das Fundament Ihres Unternehmens durch professionellen Datenschutz.

Sind Sie bereit, Ihre Datenschutzprozesse auf das nächste Level zu heben und rechtliche Risiken proaktiv zu managen? Unser Team aus erfahrenen Experten unterstützt Sie dabei, eine pragmatische und wirksame Datenschutzstrategie zu implementieren, die exakt auf die Bedürfnisse Ihres Unternehmens zugeschnitten ist.

Kontaktieren Sie uns für ein kostenloses Erstgespräch und erfahren Sie, wie wir Ihr Unternehmen schützen können.

JETZT kostenloses Erstgespräch vereinbaren

Neueste Kommentare