DSGVO-Quick-Check für den Zehn-Mann-Betrieb

Datenschutz ist machbar — auch ohne Großkonzern-Apparat

Die DSGVO hat bei vielen einen Schrecken hinterlassen, den sie nicht verdient. Man hört von Abmahnungen, von Bußgeldern, von seitenlangen Formularen — und denkt schnell: „Das ist was für Großkonzerne mit eigener Rechtsabteilung, nicht für meinen Betrieb mit zehn Leuten.“ Die gute Nachricht vorweg: Das stimmt so nicht. Datenschutz in einem kleinen Betrieb ist kein Hexenwerk. Sie brauchen keinen Datenschutz-Apparat, keine teure Software und kein Jurastudium. Sie brauchen vor allem einen klaren Kopf und ein bisschen Ordnung — und genau dabei soll Ihnen dieser Quick-Check helfen.

Bevor wir loslegen, ein ehrliches Wort, das mir wichtig ist: Ich bin IT-Fachmann, kein Anwalt. Was Sie hier lesen, ist eine praktische Orientierung, damit Sie sehen, wo Sie ungefähr stehen — es ist ausdrücklich keine Rechtsberatung. Bei echten rechtlichen Fragen, bei einer Abmahnung oder wenn es darum geht, ob etwas in Ihrem Fall genau so erlaubt ist oder nicht, gehört ein Anwalt oder ein Datenschutzbeauftragter mit ins Boot. Diese Liste ersetzt das nicht. Sie hilft Ihnen, in einer halben Stunde einen ehrlichen Überblick zu bekommen — damit Sie wissen, worüber Sie überhaupt reden, bevor Sie jemanden fragen.

Nehmen Sie sich also einen Kaffee, gehen Sie die zehn Punkte in Ruhe durch und setzen Sie im Kopf (oder auf einem Zettel) für jeden Punkt ein Häkchen, ein Fragezeichen oder ein dickes „Da müssen wir ran“. Mehr ist es fürs Erste nicht.

Die zehn Punkte zum Selbst-Prüfen

1. Verzeichnis von Verarbeitungstätigkeiten

Das klingt sperriger, als es ist. Gemeint ist eine schlichte Liste: Welche personenbezogenen Daten verarbeiten Sie eigentlich, und wofür? Kundendaten für die Rechnung, Mitarbeiterdaten für die Lohnabrechnung, Bewerberunterlagen, Daten aus dem Kontaktformular. Wer kleine Betriebe führt, hat das meist im Kopf — aber im Kopf reicht hier nicht. Das Verzeichnis soll schriftlich vorliegen. Es muss kein Aktenordner werden; eine saubere Tabelle, die zeigt, welche Daten Sie wozu nutzen, wo sie liegen und wie lange Sie sie behalten, ist ein guter Anfang. Fragen Sie sich ehrlich: Gibt es so eine Liste bei Ihnen — oder steckt das alles nur in den Köpfen?

2. Auftragsverarbeitungsverträge (AVV) mit Dienstleistern

Sobald jemand von außen mit Ihren Daten arbeitet, braucht es in aller Regel einen Vertrag dazu — den sogenannten Auftragsverarbeitungsvertrag. Das betrifft mehr Dienstleister, als man denkt: Ihren Steuerberater, den Cloud-Anbieter, das Newsletter-Tool, vielleicht den IT-Dienstleister, der Ihre Systeme betreut. Die gute Nachricht: Die seriösen Anbieter halten so einen AVV längst bereit, oft als PDF zum Herunterladen oder Mitabschließen. Gehen Sie einmal durch, wer alles an Ihre Daten kommt — und prüfen Sie, ob Sie mit jedem dieser Dienstleister so eine Vereinbarung haben. Fehlt sie irgendwo, ist das selten böse Absicht, sondern einfach übersehen.

3. Zugriffsrechte und Passwörter

Hier geht Datenschutz und IT-Sicherheit Hand in Hand. Die Frage ist simpel: Wer kommt bei Ihnen an welche Daten? Im Idealfall sieht jeder nur das, was er für seine Arbeit braucht — die Buchhaltung die Rechnungen, der Vertrieb die Kundenkontakte, nicht jeder alles. Genauso wichtig: ordentliche Passwörter. Ein gemeinsames Passwort, das alle kennen und das seit Jahren dasselbe ist, ist ein Risiko — spätestens, wenn jemand den Betrieb verlässt. Schauen Sie nach: Hat jeder seinen eigenen Zugang? Und wenn jemand geht, lässt sich der Zugang sauber und vollständig entziehen?

4. Verschlüsselte und getestete Backups

Datenschutz heißt auch, dass Daten nicht einfach verloren gehen. Ein Backup gehört deshalb zur Pflichtausstattung — aber nicht irgendeins. Wichtig sind zwei Dinge: Erstens sollte die Sicherung verschlüsselt sein, gerade wenn sie das Haus verlässt oder in der Cloud liegt. Zweitens — und das wird am häufigsten vergessen — muss man ein Backup auch testen. Eine Sicherung, die seit Monaten leer ins Nichts läuft und die niemand kontrolliert, ist kein Schutz, sondern eine Illusion. Prüfen Sie: Wird bei Ihnen gesichert, ist es verschlüsselt, und hat schon mal jemand getestet, ob sich die Daten auch wirklich zurückholen lassen?

5. Löschkonzept und Aufbewahrung

Daten sammeln ist leicht, Daten loswerden vergisst man. Dabei verlangt der Datenschutz, dass Sie persönliche Daten nicht ewig horten, sondern löschen, wenn Sie sie nicht mehr brauchen — es sei denn, eine Aufbewahrungsfrist sagt etwas anderes. Genau da wird es knifflig, denn manche Unterlagen müssen Sie aus steuerlichen oder handelsrechtlichen Gründen sogar mehrere Jahre aufheben, andere Daten sollten dagegen zügig weg. Welche Frist für welche Unterlage gilt, ist eine klassische Frage für den Steuerberater oder Anwalt. Für den Quick-Check reicht: Haben Sie überhaupt eine Vorstellung davon, was wann gelöscht wird — oder wächst Ihr Datenberg einfach immer weiter?

6. Die Website: Datenschutzerklärung, Cookie-Banner, Kontaktformular

Ihre Website ist das Schaufenster, in das auch der Datenschutz am ehesten hineinschaut. Drei Dinge gehören hier auf den Prüfstand. Erstens die Datenschutzerklärung: Ist sie vorhanden, leicht zu finden und passt sie noch zu dem, was die Seite tatsächlich tut? Zweitens das Thema Cookies und Tracking — wenn Ihre Seite mehr macht als nur Text anzuzeigen (etwa Statistik-Tools oder eingebettete Karten), braucht es in der Regel eine saubere Einwilligung der Besucher, bevor das lädt. Drittens das Kontaktformular: Werden die Daten verschlüsselt übertragen, und ist klar, was mit ihnen passiert? Schauen Sie einmal mit den Augen eines Besuchers auf Ihre Seite — wirkt das aufgeräumt oder zusammengestückelt?

7. E-Mail und Newsletter

E-Mail ist im Betrieb selbstverständlich, beim Datenschutz aber ein eigenes Thema. Zwei Punkte lohnen den Blick. Wenn Sie einen Newsletter verschicken, sollten die Empfänger dem aktiv zugestimmt haben — in der Regel über das doppelte Bestätigungsverfahren, bei dem der Empfänger seine Anmeldung per Klick noch einmal bestätigt. Einfach alte Adressen aus der Schublade anschreiben ist heikel. Und im ganz normalen Mailverkehr: Wenn Sie eine Rundmail an viele externe Empfänger schicken, gehören deren Adressen ins Blindkopie-Feld (BCC), damit nicht jeder die Adressen aller anderen sieht. Klingt banal, ist aber ein Klassiker unter den Pannen. Wie läuft das bei Ihnen?

8. Mitarbeiter-Sensibilisierung

Die beste Technik nützt wenig, wenn das Team nicht mitzieht — und das ist keine Kritik, sondern Alltag. Die meisten Datenschutz- und Sicherheitsprobleme entstehen nicht durch böse Absicht, sondern weil jemand kurz nicht nachgedacht hat: der Klick auf den falschen Anhang, das Passwort auf dem Notizzettel am Monitor, der USB-Stick mit Kundendaten, der im Auto liegen bleibt. Es braucht keine tagelange Schulung. Oft reicht es, das Thema ein- bis zweimal im Jahr offen anzusprechen, ein paar einfache Regeln zu vereinbaren und neue Kollegen kurz einzuweisen. Fragen Sie sich: Weiß Ihr Team eigentlich, worauf es achten soll — oder wird Datenschutz stillschweigend vorausgesetzt?

9. Technische Schutzmaßnahmen (TOMs, Zwei-Faktor, Updates)

Hinter dem Kürzel TOM stecken die „technischen und organisatorischen Maßnahmen“ — also schlicht: Was tun Sie ganz praktisch, um Daten zu schützen? Das reicht von der abschließbaren Bürotür über den Virenschutz bis zur Verschlüsselung. Drei Dinge sind heute besonders wichtig. Erstens Updates: Veraltete Systeme sind ein offenes Scheunentor, und genau diese Lücken nutzen Angreifer. Zweitens die Zwei-Faktor-Anmeldung — also die zusätzliche Bestätigung per App oder Code beim Login —, gerade für E-Mail und alles, was aus dem Internet erreichbar ist. Drittens ein vernünftiger Virenschutz, der auch gepflegt wird. Mehr zu diesem Zusammenspiel aus Technik und Datenschutz finden Sie auf unserer Seite zu IT-Sicherheit & DSGVO. Für den Check genügt: Laufen bei Ihnen Updates und Virenschutz, und ist die Zwei-Faktor-Anmeldung dort an, wo es darauf ankommt?

10. Plan für den Fall einer Datenpanne

Niemand will daran denken, aber es ist der Punkt, an dem sich gute Vorbereitung auszahlt: Was tun Sie, wenn doch mal etwas schiefgeht — ein verlorenes Notebook, ein gehacktes Postfach, eine versehentlich an den Falschen geschickte Liste? Im Ernstfall zählt, dass Sie nicht in Panik verfallen, sondern wissen, was zu tun ist: festhalten, was passiert ist, schnell prüfen, wie schlimm es wirklich ist, und unter Umständen Meldepflichten beachten. Wie schnell und an wen genau Sie eine Panne melden müssen, ist von Fall zu Fall verschieden und gehört im Zweifel mit einem Fachmann geklärt. Für den Quick-Check reicht die ehrliche Frage: Wüsste bei Ihnen jemand, was im Ernstfall die ersten Schritte wären — oder würde erst mal große Ratlosigkeit herrschen?

Wenn mehrere Punkte rot sind — bitte ruhig bleiben

Vielleicht haben Sie jetzt bei der Hälfte der Punkte ein Fragezeichen oder ein „Da müssen wir ran“ gesetzt. Das ist völlig normal — und ganz ehrlich: Genau so geht es fast jedem kleinen Betrieb, der diese Liste zum ersten Mal durchgeht. Das ist kein Grund für schlechtes Gewissen und schon gar kein Grund für Panik. Niemand erwartet von einem Zehn-Mann-Betrieb, dass er über Nacht aufgestellt ist wie ein Konzern.

Wichtig ist jetzt nur eines: nicht alles auf einmal wuppen wollen, sondern priorisieren. Fangen Sie mit den Dingen an, die im Ernstfall richtig wehtun und gleichzeitig schnell zu erledigen sind. Ein funktionierendes, getestetes Backup und saubere Zugänge stehen meist ganz oben — das schützt Sie nicht nur vor Datenschutz- Ärger, sondern vor allem davor, dass Ihr Betrieb stillsteht. Danach kommen die Hausaufgaben wie das Verzeichnis und die AVVs, die zwar etwas Arbeit machen, aber keine Technik brauchen. Den Rest gehen Sie Schritt für Schritt an. Aus zehn roten Punkten werden so über ein paar Wochen ganz unaufgeregt zehn grüne.

Und an dieser Stelle noch einmal in aller Klarheit, weil es zu wichtig ist, um es nur am Rand zu erwähnen: Dieser Quick-Check ist eine praktische Orientierung aus IT-Sicht — keine Rechtsberatung. Bei den technischen Punkten — Backups, Zugänge, Updates, Zwei-Faktor, Verschlüsselung — kann ich Ihnen handfest helfen, das ist mein Handwerk. Sobald es aber um die wirklich rechtlichen Fragen geht — ob ein Vertrag in Ihrem Fall passt, welche Frist gilt, ob etwas meldepflichtig ist —, gehört das in die Hände eines Anwalts oder Datenschutzbeauftragten. Dieser Check sagt Ihnen, wo Sie ungefähr stehen und worüber Sie reden sollten. Die rechtssichere Antwort gibt Ihnen dann der Fachmann fürs Recht.

Wenn Sie mögen, schauen wir uns die technische Seite gemeinsam an — in Ruhe, ohne erhobenen Zeigefinger und in einer Sprache, die Sie auch ohne IT-Studium verstehen. Datenschutz muss kein Schreckgespenst sein. Mit ein bisschen Ordnung ist er etwas, das einfach im Hintergrund läuft — und das fühlt sich am Ende erstaunlich gut an.