In einem Satz. Eine DSGVO-Checkliste für KMU bündelt die Pflichten, die jedes kleine und mittlere Unternehmen erfüllen muss — Verarbeitungsverzeichnis (Art. 30), Rechtsgrundlagen (Art. 6), Informationspflichten (Art. 13), AVV (Art. 28), TOM (Art. 32), Löschkonzept (Art. 5/17), Betroffenenrechte und Meldeprozess (Art. 33) — in 20 abarbeitbare Prüfpunkte.
KMU haben dieselben Pflichten wie Konzerne, aber weniger Ressourcen. Diese Checkliste priorisiert das Wesentliche und gibt einen realistischen 90-Tage-Plan. Eine ausführlichere Variante finden Sie in der DSGVO-Checkliste und der DSGVO-Prüfung-Checkliste 2026.
Wichtige Punkte
- Gleiche Pflichten wie Großunternehmen, wenige Ausnahmen.
- Verzeichnis, Rechtsgrundlagen und AVV sind die Grundpfeiler.
- DSB-Pflicht ab 20 Personen mit automatisierter Verarbeitung (§ 38 BDSG).
- Bußgeld bis 20 Mio. € / 4 % (Art. 83 Abs. 5) — trifft auch KMU.
- Nachweisbarkeit (Art. 5 Abs. 2) ist entscheidend.
Die 20 Prüfpunkte
| # | Prüfpunkt | Norm | ✓ |
|---|---|---|---|
| 1 | Verarbeitungsverzeichnis geführt und aktuell | Art. 30 | ☐ |
| 2 | Rechtsgrundlage je Verarbeitung dokumentiert | Art. 6 | ☐ |
| 3 | Datenschutzerklärung auf der Website aktuell | Art. 13, TDDDG | ☐ |
| 4 | Cookie-Banner mit echter Einwilligung | § 25 TDDDG | ☐ |
| 5 | AVV mit allen Dienstleistern geschlossen | Art. 28 | ☐ |
| 6 | TOM dokumentiert und umgesetzt | Art. 32 | ☐ |
| 7 | Löschkonzept mit Fristen vorhanden | Art. 5, 17 | ☐ |
| 8 | Prozess für Auskunftsersuchen definiert | Art. 15 | ☐ |
| 9 | Meldeprozess für Datenpannen (72 h) | Art. 33 | ☐ |
| 10 | Internes Datenpannen-Verzeichnis | Art. 33 (5) | ☐ |
| 11 | DSB-Pflicht geprüft / ggf. bestellt | § 38 BDSG | ☐ |
| 12 | Beschäftigte auf Vertraulichkeit verpflichtet | Art. 29 | ☐ |
| 13 | Regelmäßige Mitarbeiterschulung | Art. 39 | ☐ |
| 14 | Einwilligungen sauber dokumentiert | Art. 7 | ☐ |
| 15 | Drittlandtransfers abgesichert (SCC) | Art. 44 ff. | ☐ |
| 16 | Backups vorhanden und getestet | Art. 32 (1) c | ☐ |
| 17 | Zugriffs-/Berechtigungskonzept | Art. 32 | ☐ |
| 18 | DSFA bei Hochrisiko-Verarbeitung | Art. 35 | ☐ |
| 19 | IT-Nutzungs-/Homeoffice-Richtlinie | § 26 BDSG | ☐ |
| 20 | Verantwortlichkeiten / Ansprechpartner benannt | Art. 5 (2) | ☐ |
Der 90-Tage-Plan
TAGE 1–30 – BESTANDSAUFNAHME
- Verarbeitungsverzeichnis erstellen (Punkt 1, 2)
- Alle Dienstleister listen, AVV-Status prüfen (Punkt 5)
- Website/Datenschutzerklärung/Cookies prüfen (Punkt 3, 4)
- DSB-Pflicht klären (Punkt 11)
TAGE 31–60 – LÜCKEN SCHLIESSEN
- Fehlende AVV nachholen (Punkt 5)
- TOM dokumentieren, Backups testen (Punkt 6, 16, 17)
- Löschkonzept + Fristen (Punkt 7)
- Drittland-Transfers absichern (Punkt 15)
TAGE 61–90 – PROZESSE & NACHWEIS
- Prozesse Auskunft & Datenpanne aufsetzen (Punkt 8, 9, 10)
- Richtlinien + Verpflichtung + Schulung (Punkt 12, 13, 19)
- DSFA prüfen, Verantwortliche benennen (Punkt 18, 20)
- Gesamtreview + Nachweis-Ordner anlegen
So passen Sie die Checkliste an
- Priorisieren nach Risiko. Verarbeiten Sie besondere Kategorien oder betreiben Sie einen Online-Shop, rücken Punkte 4, 15 und 18 nach vorne.
- Mit dem Verzeichnis starten. Das Verarbeitungsverzeichnis ist die Grundlage — ohne es sind die übrigen Punkte kaum zu belegen.
- AVV konsequent einsammeln. Jeder Dienstleister ohne AVV ist eine offene Flanke.
- Nachweisordner führen. Rechenschaftspflicht heißt: alles dokumentiert vorlegen können.
- Jährlich wiederholen. Die Checkliste ist kein Einmalprojekt, sondern ein jährlicher Zyklus.
Die vier Grundpfeiler zuerst
Von den 20 Prüfpunkten sind vier so grundlegend, dass ohne sie die übrigen kaum belastbar sind. Der erste ist das Verarbeitungsverzeichnis (Punkt 1): Es zwingt Sie, alle Datenverarbeitungen systematisch zu erfassen, und ist die Grundlage für Rechtsgrundlagen, Löschfristen und Informationspflichten. Der zweite sind die AVV mit allen Dienstleistern (Punkt 5): Jeder Cloud-, Newsletter- oder IT-Dienstleister ohne Vertrag ist eine offene Flanke. Der dritte sind die TOM (Punkt 6): Ohne dokumentierte und tatsächlich umgesetzte Sicherheitsmaßnahmen fehlt der Kern des Art. 32. Der vierte ist der Meldeprozess für Datenpannen (Punkt 9): Die 72-Stunden-Frist lässt keine Zeit für Improvisation.
Wer diese vier Pfeiler steht, hat den größten Teil des Risikos abgedeckt und kann die übrigen Punkte schrittweise ergänzen. Umgekehrt nützen aufwendig gestaltete Einzelmaßnahmen wenig, solange das Verzeichnis fehlt und Dienstleister ohne AVV arbeiten. Priorisieren Sie deshalb nach diesem Fundament, bevor Sie sich in Detailfragen verlieren.
KMU-Erleichterungen realistisch einschätzen
Die DSGVO gewährt kleinen Unternehmen nur wenige echte Erleichterungen — und diese greifen selten. Die bekannteste ist die Ausnahme vom Verarbeitungsverzeichnis für Unternehmen unter 250 Beschäftigten (Art. 30 Abs. 5). Sie ist aber an strenge Bedingungen geknüpft: Die Verarbeitung darf nur gelegentlich erfolgen, kein Risiko für Betroffene bergen und keine besonderen Kategorien betreffen. Da fast jedes Unternehmen laufend Kunden- und Beschäftigtendaten verarbeitet, entfällt die Ausnahme in der Praxis regelmäßig. Auch die DSB-Pflicht (Punkt 11) knüpft mit der 20-Personen-Schwelle des § 38 BDSG an eine niedrige Grenze an, die Teilzeitkräfte einschließt. Verlassen Sie sich deshalb nicht auf vermeintliche „KMU-Rabatte", sondern prüfen Sie jede Erleichterung konkret — die Grundpflichten bleiben in aller Regel vollständig bestehen.
Häufige Fehler
- „Wir sind zu klein." Die DSGVO gilt ab dem ersten Beschäftigten. Auch KMU werden sanktioniert; Bußgelder bemessen sich zwar am Umsatz, treffen aber empfindlich.
- Kein Verzeichnis. Ohne Art.-30-Verzeichnis fehlt die Grundlage für alles Weitere — und der erste Eindruck bei der Aufsicht ist negativ.
- Alte Muster ungeprüft. Datenschutzerklärungen und Cookie-Banner veralten; nicht genutzte Dienste werden beschrieben, genutzte fehlen.
- AVV-Lücken. Vodafone GmbH (45 Mio. €, 2025) zeigt, wie teuer mangelhafte Kontrolle von Partnern und Auftragsverarbeitern wird — im Kleinen droht dasselbe Muster.
- Löschen vergessen. Deutsche Wohnen (14,5 Mio. €) scheiterte an fehlenden Löschstrukturen — Punkt 7 ist kein Nice-to-have.
Für KMU ohne eigene Datenschutzabteilung bündelt Legiscope Verzeichnis, AVV, TOM, Löschfristen und Nachweise in einem System und macht aus der Checkliste einen laufenden, prüffesten Prozess.
FAQ
Gilt die DSGVO auch für sehr kleine Unternehmen?
Ja. Die DSGVO kennt keine generelle Bagatellgrenze; sie gilt, sobald personenbezogene Daten verarbeitet werden — also praktisch für jedes Unternehmen mit Kunden oder Beschäftigten. Erleichterungen gibt es punktuell (etwa die eingeschränkte Ausnahme beim Verarbeitungsverzeichnis), die aber selten greifen.
Was ist der wichtigste erste Schritt?
Das Verarbeitungsverzeichnis nach Art. 30. Es zwingt Sie, alle Datenverarbeitungen systematisch zu erfassen, und bildet die Grundlage für Rechtsgrundlagen, Löschfristen, AVV und Informationspflichten. Wer hier sauber beginnt, hat den größten Teil der Struktur bereits gelegt.
Brauche ich als KMU einen Datenschutzbeauftragten?
Nur, wenn eine Pflicht besteht: in Deutschland regelmäßig ab 20 Personen mit automatisierter Verarbeitung (§ 38 BDSG) oder bei besonders risikoreicher Kerntätigkeit (Art. 37 DSGVO). Liegt keine Pflicht vor, ist ein DSB freiwillig, aber die übrigen Pflichten bleiben vollständig bestehen.
Wie lange dauert die DSGVO-Umsetzung im KMU?
Mit dem 90-Tage-Plan lässt sich in einem Quartal ein solider Grundzustand erreichen, sofern jemand die Verantwortung trägt und wöchentlich Zeit reserviert. Die Bestandsaufnahme (Verzeichnis, Dienstleister, Website) beansprucht den ersten Monat, das Schließen der Lücken den zweiten und der Aufbau der Prozesse und Nachweise den dritten. Wichtig: Datenschutz ist kein Projekt mit Enddatum, sondern ein Dauerzustand — nach der Ersteinrichtung folgt der jährliche Review-Zyklus.
Wer haftet im KMU für Datenschutzverstöße?
Verantwortlich ist das Unternehmen als solches — bei einer GmbH die Gesellschaft, vertreten durch die Geschäftsführung. Die Geschäftsführung kann bei Organisationsverschulden auch persönlich in die Haftung geraten, etwa wenn sie erkennbare Pflichten dauerhaft ignoriert. Ein bestellter Datenschutzbeauftragter haftet dagegen grundsätzlich nicht für die Verstöße des Unternehmens: Er berät und überwacht, entscheidet aber nicht. Diese Rollentrennung ist wichtig — die Verantwortung für die Umsetzung der 20 Prüfpunkte bleibt bei der Leitung und lässt sich nicht auf den DSB oder einen externen Dienstleister abschieben. Genau deshalb ist der dokumentierte Nachweis (Art. 5 Abs. 2) für die Geschäftsführung das wirksamste Mittel, ihr eigenes Haftungsrisiko zu begrenzen.
Fazit
Datenschutz im KMU ist kein Hexenwerk, sondern eine Frage der Struktur. Arbeiten Sie die 20 Prüfpunkte ab, folgen Sie dem 90-Tage-Plan und legen Sie einen Nachweisordner an. Beginnen Sie mit dem Verarbeitungsverzeichnis und den AVV — das schließt die größten Lücken zuerst. Danach halten Sie den Stand mit einem jährlichen Review. Die Bußgeldvorschriften finden Sie in Art. 83 bei EUR-Lex, praxisnahe KMU-Hilfen beim BfDI.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial