Die 10 häufigsten DSGVO-Fehler in KMU – und wie Sie sie vermeiden

Leitfaden • DSGVO für KMU

Aktualisiert: 18. Oktober 2025 • Lesezeit: ca. 15–18 Min.

Die DSGVO gilt seit 2018 – dennoch sind die größten Risiken in kleinen und mittleren Unternehmen (KMU) überraschend konstant: unklare Verantwortlichkeiten, fehlende Nachweise und veraltete Prozesse. Dieser Leitfaden zeigt die 10 häufigsten Fehler – und liefert konkrete, umsetzbare Lösungen, inklusive Checklisten und Prioritäten.

  1. Fehlende Verantwortlichkeiten
  2. Kein aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT)
  3. Unklare Rechtsgrundlagen
  4. Veraltete Datenschutzerklärung
  5. Fehlende Auftragsverarbeitungsverträge (AVV)
  6. Unzureichende technische & organisatorische Maßnahmen (TOMs)
  7. Kein Löschkonzept
  8. Fehlende Schulungen & Awareness
  9. Späte oder keine Meldung von Vorfällen
  10. Kein (externer) Datenschutzbeauftragter trotz Pflicht
  11. Praxis-Plan: 30-Tage-Programm zur DSGVO-Stabilisierung
  12. FAQ

Quick Check gefällig?
In 20 Minuten klären wir Ihre größten DSGVO-Risiken und priorisieren Sofortmaßnahmen.
Kostenloses Erstgespräch vereinbaren

1) Fehlende Verantwortlichkeiten im Unternehmen

Die DSGVO unterscheidet zwischen Verantwortlichem (Art. 4 Nr. 7 DSGVO) und Auftragsverarbeiter (Art. 28 DSGVO). In der Praxis fehlen oft klare Rollen, Eskalationspfade und Nachweise (Accountability, Art. 5 Abs. 2 DSGVO).

Typische Symptome

  • Niemand fühlt sich „wirklich zuständig“.
  • Entscheidungen zum Datenschutz sind nicht dokumentiert.
  • IT, HR, Marketing arbeiten ohne gemeinsame Richtlinie.

Konsequenzen

  • Behördenanfragen können nicht beantwortet werden.
  • Haftungsrisiken bleiben beim Unternehmen hängen.
  • Fehler wiederholen sich, weil Verantwortlichkeit fehlt.

So lösen Sie es

  • Ernennen Sie eine interne verantwortliche Stelle pro Abteilung (IT, HR, Marketing, Vertrieb).
  • Definieren Sie einen Entscheidungs-Workflow (Vorlage: Risiko → Bewertung → Entscheidung → Nachweis).
  • Hinterlegen Sie ein kompaktes Datenschutz-Organigramm mit Stellvertretungen.

Pro-Tipp: Halten Sie jede Datenschutzentscheidung in einem „Decision Log“ fest (Datum, Kontext, Rechtsgrundlage, Entscheidung, Verantwortliche:r).

2) Kein aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT (Art. 30 DSGVO) ist die Inventarliste Ihrer Datenverarbeitung. Ohne VVT fehlt Überblick über Datenflüsse, Rechtsgrundlagen, Empfänger, Speicherfristen und TOMs.

Minimalanforderungen an jedes VVT-Item

  • Zweck der Verarbeitung, Kategorien von Daten & Betroffenen
  • Rechtsgrundlage(n) (Art. 6, ggf. Art. 9 DSGVO)
  • Empfänger / Übermittlungen in Drittländer inkl. Garantien
  • Speicherfristen bzw. Kriterien zu deren Festlegung
  • Verantwortliche Stelle, Auftragsverarbeiter, Sub-Prozessoren
  • Relevante TOMs (Art. 32 DSGVO)

Praxis-Update-Rhythmus

Aktualisieren Sie das VVT mindestens halbjährlich oder anlassbezogen (neues Tool, neuer Prozess, neuer Anbieter, neue Rechtsgrundlage).

Check: Können Sie Ihr VVT einer Aufsichtsbehörde innerhalb von 48 Stunden vollständig liefern?

3) Unklare Rechtsgrundlagen

Rechtmäßigkeit (Art. 6 DSGVO) ist kein Bauchgefühl. Ohne dokumentierte Rechtsgrundlage drohen Bußgelder und Unterlassungen.

Typische Fehler

  • Newsletter ohne nachweisbare Einwilligung (Art. 6 Abs. 1 a).
  • „Berechtigtes Interesse“ ohne Interessenabwägung (Art. 6 Abs. 1 f).
  • HR-Prozesse ohne saubere Trennung von Einwilligung/Vertrag.

So machen Sie es richtig

  • Rechtsgrundlage pro Verarbeitung festlegen und dokumentieren.
  • Einwilligungen versionieren, Widerruf leicht machen (Opt-out-Pfad prüfen).
  • Interessenabwägungen standardisieren und im Decision Log ablegen.

4) Veraltete Datenschutzerklärung

Die Datenschutzerklärung (Art. 12–14 DSGVO) muss Ihre tatsächlichen Tools & Datenflüsse abbilden. Einmal-Vorlagen von 2018 sind heute Risiko.

Pflichtangaben (Auszug)

  • Verantwortlicher, Kontaktdaten, ggf. Datenschutzbeauftragter
  • Zwecke/Rechtsgrundlagen je Tool (z. B. Web-Analytics, Fonts, CDN, Captcha)
  • Empfänger, Drittlandtransfers, Speicherdauer/Kriterien
  • Betroffenenrechte inkl. Beschwerderecht
  • Consent-Management: Kategorien, Anbieter, Widerruf

Praxis: Führen Sie ein „Tech-Inventory“ der Website (Skripte, Tags, iframes) und gleichen Sie es monatlich mit der Datenschutzerklärung ab.

5) Fehlende Auftragsverarbeitungsverträge (AVV)

Sobald Dienstleister personenbezogene Daten im Auftrag verarbeiten, ist ein AVV (Art. 28 DSGVO) Pflicht – inkl. Sub-Processor-Transparenz.

AVV-Schnellcheck

  • Gegenstand/Dauer, Art/Zweck der Verarbeitung
  • Daten/Betroffenenkategorien, TOMs, Vertraulichkeit
  • Unterauftragsverhältnisse (Genehmigung, Liste, Info-Pflicht)
  • Unterstützung bei Betroffenenrechten/DSFA/Vorfällen
  • Beendigung: Rückgabe/Löschung, Nachweise, Audit-Rechte

Tipp: Führen Sie ein AVV-Register mit Version, Datum, Unterschrift, Sub-Prozessorliste, Review-Termin.

6) Unzureichende technische & organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO verlangt angemessene Sicherheit. „Wir haben Passwörter“ reicht nicht. Denken Sie in Schichten: Prävention, Erkennung, Reaktion, Wiederherstellung.

Technische Maßnahmen (Beispiele)

  • Verschlüsselung (at rest & in transit), HSTS, TLS-Policy
  • Identity & Access Management (Least Privilege, MFA, SSO)
  • Patch-/Vulnerability-Management, EDR/XDR, zentrale Logs
  • Backup-Strategie (3-2-1), Wiederherstellungsübungen

Organisatorische Maßnahmen

  • Richtlinien (Clean Desk, BYOD, Homeoffice, Rollen & Rechte)
  • Lieferanten-Management (SLA, AVV, Security-Anhänge)
  • Awareness-Programm (Phishing-Drills, E-Learnings, Onboarding)
  • Notfallmanagement & regelmäßige Tests (Tabletop-Übungen)

7) Kein Löschkonzept

Speicherbegrenzung (Art. 5 Abs. 1 e) und Recht auf Löschung (Art. 17) erfordern gelebte Routinen, keine Alibi-Paragrafen.

So etablieren Sie Löschroutinen

  1. Kategorisieren: Datenarten & Systeme (CRM, Mail, HR, Tickets, Backups).
  2. Fristen definieren: Gesetzliche Aufbewahrung vs. Geschäftszweck.
  3. Automatisieren: Retention-Policies, Anonymisierung, Pseudonymisierung.
  4. Nachweisen: Löschjournal, Stichproben, Verantwortliche.

Praxiswert: „Delete-Days“ im Quartal einplanen – mit Checkliste und Verantwortlichen.

8) Fehlende Schulungen & Awareness

Menschen sind das größte Risiko – und die größte Chance. Ohne regelmäßige Schulungen bleiben Phishing, Fehlversand und Datenteilung Fehlerquellen.

Programmaufbau (leichtgewichtig)

  • Kickoff-Training (90 Min) für alle + Onboarding-Modul für Neue
  • Quartals-Micro-Learnings (10–15 Min) zu Top-Risiken
  • Jährlicher Wissenstest + Teilnahme-Nachweise
  • Simulierte Phishing-Kampagnen mit Feedback

9) Späte oder keine Meldung von Datenschutzvorfällen

Relevante Vorfälle müssen innerhalb von 72 Stunden gemeldet werden (Art. 33 DSGVO). Ohne Incident-Playbook wird es hektisch – und teuer.

Incident-Playbook (Kurzfassung)

  1. Erkennen: Meldekanal & Kriterien (Was ist ein Vorfall?).
  2. Eindämmen: Zugriffe sperren, Systeme isolieren, Forensik.
  3. Bewerten: Risiko für Betroffene, Meldepflicht Ja/Nein.
  4. Melden: Behörde (Art. 33), ggf. Betroffene (Art. 34).
  5. Lernen: Ursachenanalyse, Maßnahmen, Schulung.

Übung macht stabil: 2× pro Jahr eine Tischübung (Tabletop) durchführen.

10) Kein (externer) Datenschutzbeauftragter trotz Pflicht

Art. 37 DSGVO & nationale Regelungen können die Benennung eines DSB erfordern – unabhängig von der Unternehmensgröße, z. B. bei umfangreicher regelmäßiger Verarbeitung oder besonderen Kategorien von Daten.

Vorteile eines externen DSB

  • Erfahrung über viele Branchen & Fälle
  • Neutralität, geringere Betriebsblindheit
  • Kalkulierbare Kosten, schnelle Verfügbarkeit

Ob intern oder extern: Wichtig ist die wirksame Funktion mit Kompetenz, Ressourcen und Unabhängigkeit.

Praxis-Plan: Ihr 30-Tage-Programm zur DSGVO-Stabilisierung

Woche 1 – Inventur & Verantwortungen

  • Datenschutz-Organigramm & Decision Log anlegen
  • VVT initial prüfen/erstellen (Top-10 Prozesse)
  • Website-Tech-Inventory starten (Datenschutzerklärung)

Woche 2 – Rechtsgrundlagen & AVV

  • Rechtsgrundlagen je Prozess dokumentieren
  • AVV-Register aufbauen (inkl. Sub-Prozessorliste)
  • Interessenabwägungs-Vorlage pilotieren

Woche 3 – TOMs & Löschung

  • TOMs Gaps schließen (MFA, Backups, Patches)
  • Löschkonzept definieren & Retention-Policies setzen
  • Incident-Playbook entwerfen (72-Stunden-Pfad)

Woche 4 – Schulung & Trockentest

  • Kickoff-Training durchführen + Nachweise
  • Tabletop-Übung (Datenschutzvorfall) & Lessons Learned
  • Abschlussreview & Prioritätenplan Q4/Q1

Setzen wir das gemeinsam auf?
Wir liefern Vorlagen, moderieren die Workshops und stellen auf Wunsch den externen DSB.
Kostenloses Erstgespräch

FAQ – Häufige Fragen zu DSGVO in KMU

1) Wann ist ein externer Datenschutzbeauftragter Pflicht?

Ein DSB ist zu benennen, wenn die Kerntätigkeit in der umfangreichen regelmäßigen Verarbeitung besteht, besondere Kategorien von Daten verarbeitet werden oder nationale Schwellen (z. B. Anzahl der mit Daten betrauten Personen) überschritten werden.

2) Wie oft muss das VVT aktualisiert werden?

Mindestens jährlich oder anlassbezogen (neues Tool, neuer Zweck, neue Empfänger, neue Rechtsgrundlage).

3) Was kostet ein externer Datenschutzbeauftragter?

Die Spannweite liegt je nach Größe/Komplexität meist zwischen einem dreistelligen Monatsbetrag bis zu modularen Servicepaketen im niedrigen vierstelligen Bereich.

4) Welche Schulungen sind wirklich nötig?

Ein Onboarding-Modul, jährliche Auffrischung, Micro-Learnings zu Top-Risiken und belegbare Teilnahme-Nachweise. Optional: Phishing-Simulationen.

5) Wie gehe ich mit Legacy-Daten um?

Inventarisieren, Fristen definieren, Prioritäten setzen (Risiko × Volumen), migrieren oder löschen – mit Nachweisführung im Löschjournal.

Fazit: Datenschutz ist kein Sprint, sondern ein Betriebssystem für Vertrauen. Wer Verantwortlichkeiten klärt, Nachweise pflegt und Routinen etabliert, senkt Risiken – und wirkt professioneller nach innen wie außen.

© Janus Datenschutz

Neueste Kommentare