GDPR Compliance Checkliste Deutschland · 11 Min. Lesezeit

GDPR Compliance Checkliste Deutschland: 10 Anforderungen für KMU

DSGVO-Checkliste für deutsche KMU: 10 konkrete Anforderungen mit Handlungsempfehlungen, Praxisbeispielen und offiziellen Quellen. Kostenlos und aktuell für 2026.

Redaktion RechtAI · Fachlich geprüft
Juristen & Compliance-Experten, spezialisiert auf DSGVO und EU AI Act

Zuletzt geprüft am: 2026-04-11 | Quellen: eur-lex.europa.eu, gesetze-im-internet.de, bfdi.bund.de

TL;DR – Die wichtigsten Punkte auf einen Blick

  • Verzeichnis der Verarbeitungstätigkeiten: Pflicht für (fast) alle Unternehmen nach Art. 30 DSGVO
  • Rechtsgrundlagen: Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage nach Art. 6 DSGVO
  • Bußgelder: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO)
  • Datenpannen: Müssen innerhalb von 72 Stunden gemeldet werden (Art. 33 DSGVO)

Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) – auf Englisch: General Data Protection Regulation (GDPR) – in ganz Deutschland und der EU. Für kleine und mittlere Unternehmen (KMU) bedeutet das: Wer personenbezogene Daten verarbeitet, ist verpflichtet, eine ganze Reihe von Anforderungen zu erfüllen. Die Sanktionen bei Verstößen sind empfindlich – die Aufsichtsbehörden sind inzwischen aktiv und verhängen auch gegen KMU Bußgelder.

Diese Checkliste zeigt Ihnen in 10 konkreten Schritten, was Sie umsetzen müssen. Kein Juristendeutsch, keine theoretischen Abhandlungen – sondern klare Handlungsempfehlungen für den Unternehmensalltag.

Warum DSGVO-Compliance für deutsche KMU Pflicht ist

Ein weit verbreiteter Irrtum: „Wir sind zu klein, die DSGVO gilt für uns nicht.” Das stimmt nicht. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von Personen in der EU verarbeitet – unabhängig von Größe oder Branche. Personenbezogene Daten sind dabei alle Informationen, die sich auf eine identifizierbare Person beziehen: Name, E-Mail-Adresse, IP-Adresse, Kundennummer oder auch ein Foto.

Was droht bei Verstößen? Die Datenschutzaufsichtsbehörden der Bundesländer können laut Art. 83 DSGVO folgende Bußgelder verhängen:

  • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für weniger schwere Verstöße (Art. 83 Abs. 4 DSGVO)
  • Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für schwere Verstöße gegen Grundprinzipien oder Betroffenenrechte (Art. 83 Abs. 5 DSGVO)

Neben Bußgeldern drohen auch Abmahnungen durch Wettbewerber und Schadensersatzklagen von betroffenen Personen. DSGVO-Compliance ist damit nicht nur eine rechtliche Pflicht, sondern auch ein Faktor für das Vertrauen Ihrer Kunden und Geschäftspartner.

Die 10-Punkte DSGVO Compliance-Checkliste für KMU

Punkt 1: Verzeichnis der Verarbeitungstätigkeiten (VVT) erstellen

Das Verzeichnis der Verarbeitungstätigkeiten ist das zentrale Dokument jeder DSGVO-Compliance. Es listet alle Prozesse auf, bei denen Ihr Unternehmen personenbezogene Daten verarbeitet – von der Kundenverwaltung über das E-Mail-Marketing bis zur Personalakte.

Rechtliche Grundlage: Art. 30 DSGVO

Was muss rein?

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Datenverarbeitung
  • Kategorien der betroffenen Personen (z. B. Kunden, Mitarbeiter, Bewerber)
  • Kategorien der personenbezogenen Daten
  • Empfänger, an die Daten weitergegeben werden
  • Geplante Löschfristen
  • Technische und organisatorische Schutzmaßnahmen

Praktischer Tipp: Starten Sie mit einem einfachen Excel-Sheet. Gehen Sie jeden Geschäftsprozess durch: Wo kommen Kundendaten herein? Wo werden Mitarbeiterdaten gespeichert? Welche Software nutzen Sie, die Daten verarbeitet?

Zwar sieht Art. 30 Abs. 5 DSGVO formal eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden vor, aber diese Ausnahme greift nur dann, wenn die Verarbeitung kein Risiko für Betroffene birgt, nicht regelmäßig erfolgt und keine besonders sensiblen Datenkategorien umfasst. In der Praxis haben fast alle KMU ein VVT zu führen.

Punkt 2: Rechtsgrundlage für jede Datenverarbeitung klären

Jede Verarbeitung personenbezogener Daten ist verboten – es sei denn, sie hat eine Rechtsgrundlage. Das klingt streng, ist aber das Herzstück der DSGVO.

Rechtliche Grundlage: Art. 6 DSGVO

Die sechs zulässigen Rechtsgrundlagen sind:

  1. Einwilligung (Art. 6 Abs. 1 lit. a) – freiwillig, informiert, unmissverständlich
  2. Vertragserfüllung (Art. 6 Abs. 1 lit. b) – z. B. Bestellung, Arbeitsvertrag
  3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) – z. B. Steuerrecht, Buchhaltung
  4. Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d) – Ausnahme, z. B. Notfall
  5. Öffentliches Interesse (Art. 6 Abs. 1 lit. e) – v. a. für Behörden relevant
  6. Berechtigte Interessen (Art. 6 Abs. 1 lit. f) – z. B. Direktmarketing an Bestandskunden, Sicherheitskameras

Häufiger Fehler: Viele Unternehmen holen pauschal Einwilligungen ein, obwohl die Vertragserfüllung als Rechtsgrundlage ausreichen würde – oder umgekehrt. Prüfen Sie für jede Verarbeitungstätigkeit im VVT, welche Rechtsgrundlage wirklich passt.

Punkt 3: Einwilligungen DSGVO-konform einholen und dokumentieren

Wenn Einwilligung die Rechtsgrundlage ist, müssen hohe Anforderungen erfüllt sein – sonst ist die Einwilligung unwirksam.

Rechtliche Grundlage: Art. 7 DSGVO

Eine wirksame Einwilligung muss:

  • Freiwillig sein – keine Kopplung an Vertragserfüllung, wenn nicht notwendig
  • Konkret sein – für jeden Verarbeitungszweck separat
  • Informiert sein – Betroffene müssen wissen, was mit ihren Daten passiert
  • Unmissverständlich sein – kein Opt-out, keine vorausgefüllten Checkboxen
  • Nachweisbar sein – Sie müssen beweisen können, dass die Einwilligung erteilt wurde
  • Widerrufbar sein – so einfach wie die Erteilung

Praxisbeispiel: Ein Newsletter-Anmeldeformular muss eine leere Checkbox enthalten (kein Häkchen voreingestellt), gefolgt von einem klaren Text wie: „Ich stimme zu, dass meine E-Mail-Adresse für den Versand des RechtAI-Newsletters verwendet wird. Ich kann diese Einwilligung jederzeit widerrufen.” Das Double-Opt-in-Verfahren ist zwar nicht gesetzlich vorgeschrieben, aber empfehlenswert, da es die Einwilligung besser dokumentiert.

Punkt 4: Datenschutzerklärungen aktualisieren

Jede Website, App oder jeder Dienst, der personenbezogene Daten verarbeitet, braucht eine vollständige und aktuelle Datenschutzerklärung. Diese muss für Betroffene leicht zugänglich sein.

Rechtliche Grundlage: Art. 12, Art. 13 und Art. 14 DSGVO

Pflichtangaben in der Datenschutzerklärung:

  • Name und Kontaktdaten des Verantwortlichen (und ggf. des DSB)
  • Verarbeitete Datenkategorien und Zwecke
  • Rechtsgrundlage jeder Verarbeitung
  • Empfänger oder Kategorien von Empfängern
  • Drittlandübermittlungen und deren Schutzmaßnahmen
  • Speicherdauer oder Kriterien dafür
  • Alle Betroffenenrechte und wie diese geltend gemacht werden können
  • Beschwerderecht bei der Aufsichtsbehörde
  • Hinweis auf automatisierte Entscheidungsfindung (falls vorhanden)

Praktischer Tipp: Überprüfen Sie Ihre Datenschutzerklärung mindestens einmal jährlich und immer dann, wenn Sie neue Tools einsetzen (z. B. ein neues CRM, Google Analytics, Chatbots). Jedes neue Tool kann eine neue Verarbeitungstätigkeit bedeuten.

Punkt 5: Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern abschließen

Wenn Sie externe Dienstleister einsetzen, die in Ihrem Auftrag personenbezogene Daten verarbeiten, sind Auftragsverarbeitungsverträge (AVV) Pflicht. Das betrifft zum Beispiel Cloud-Anbieter, E-Mail-Marketing-Tools, Steuerberater mit Zugriff auf Mitarbeiterdaten oder IT-Dienstleister mit Fernzugang zu Ihren Systemen.

Rechtliche Grundlage: Art. 28 DSGVO

Der AVV muss mindestens regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien der Betroffenen
  • Weisungsgebundenheit des Auftragsverarbeiters
  • Vertraulichkeitspflichten
  • Technische und organisatorische Maßnahmen
  • Unterauftragnehmer-Regelung
  • Rechte der Betroffenen
  • Rückgabe oder Löschung nach Auftragsende

Viele Anbieter stellen ihren AVV automatisch zur Verfügung (z. B. als Online-Formular). Prüfen Sie jedoch, ob der Vertrag tatsächlich alle Pflichtbestandteile enthält – und unterschreiben Sie ihn auch wirklich.

Punkt 6: Technische und organisatorische Maßnahmen (TOMs) implementieren

„Privacy by Design” und „Privacy by Default” sind keine Buzzwords, sondern gesetzliche Pflichten. Unternehmen müssen durch technische und organisatorische Maßnahmen sicherstellen, dass Daten geschützt sind.

Rechtliche Grundlage: Art. 25 DSGVO (Datenschutz durch Technikgestaltung) und Art. 32 DSGVO (Sicherheit der Verarbeitung)

Beispiele für TOMs:

  • Verschlüsselung: Daten auf Geräten und bei der Übertragung verschlüsseln (TLS/SSL, Festplattenverschlüsselung)
  • Zugriffskontrolle: Nur autorisierte Mitarbeitende haben Zugriff auf personenbezogene Daten (Rollenkonzept, Passwortrichtlinien)
  • Pseudonymisierung: Wo möglich, Daten so verarbeiten, dass sie ohne Zusatzinformationen nicht mehr einer Person zugeordnet werden können
  • Regelmäßige Backups: Mit Wiederherstellungstest, verschlüsselt gespeichert
  • Software-Updates: Aktuelle Patches, kein Einsatz veralteter Software
  • Physischer Schutz: Serverräume gesichert, Bildschirme nicht einsehbar in öffentlichen Bereichen
  • Mitarbeiterschulungen: Sensibilisierung für Phishing, sichere Passwörter, Datenpannen-Meldewege

Dokumentieren Sie Ihre TOMs schriftlich – die Aufsichtsbehörde kann im Prüffall danach fragen.

Punkt 7: Meldeprozess für Datenschutzverletzungen einrichten

Wenn personenbezogene Daten durch einen Sicherheitsvorfall kompromittiert werden (Hack, gestohlenes Gerät, versehentlich falsch gesendete E-Mail), läuft eine 72-Stunden-Frist zur Meldung bei der zuständigen Datenschutzaufsichtsbehörde.

Rechtliche Grundlage: Art. 33 DSGVO (Meldung an die Behörde) und Art. 34 DSGVO (Benachrichtigung der Betroffenen)

Was muss die Meldung enthalten?

  • Art der Verletzung
  • Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
  • Kontaktdaten des Datenschutzbeauftragten (oder eines anderen Ansprechpartners)
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder geplante Maßnahmen zur Abhilfe

Erstellen Sie jetzt einen internen Notfallplan: Wer meldet intern? Wer entscheidet über die Meldepflicht? Welche Aufsichtsbehörde ist zuständig (abhängig vom Firmensitz des Bundeslands)? Informationen zu den Landesbehörden finden Sie beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Punkt 8: Betroffenenrechte sicherstellen

Die DSGVO gibt jeder Person, deren Daten Sie verarbeiten, eine Reihe von Rechten. Ihr Unternehmen muss in der Lage sein, diese Rechte innerhalb von einem Monat zu erfüllen.

Rechtliche Grundlage: Art. 15–22 DSGVO

Die wichtigsten Betroffenenrechte:

RechtArtikelInhalt
AuskunftsrechtArt. 15Welche Daten werden verarbeitet, zu welchem Zweck?
Recht auf BerichtigungArt. 16Falsche Daten korrigieren
Recht auf LöschungArt. 17„Recht auf Vergessenwerden”
Recht auf EinschränkungArt. 18Verarbeitung vorübergehend sperren
Recht auf DatenübertragbarkeitArt. 20Daten in maschinenlesbarem Format erhalten
WiderspruchsrechtArt. 21Gegen Verarbeitung auf Basis berechtigter Interessen

Praktischer Tipp: Legen Sie intern fest, wer Anfragen entgegennimmt (z. B. eine Sammel-E-Mail-Adresse wie datenschutz@ihrunternehmen.de), wer sie bearbeitet und wie die Antwort dokumentiert wird. Schulen Sie Mitarbeitende, damit Anfragen nicht unbemerkt im falschen Postfach landen.

Punkt 9: Datenschutzbeauftragten prüfen – brauchen Sie einen?

Nicht jedes Unternehmen muss einen Datenschutzbeauftragten (DSB) benennen. Aber viele KMU unterschätzen, wie schnell die Pflicht greift.

Rechtliche Grundlage: Art. 37 DSGVO und § 38 BDSG

Nach deutschem Recht (§ 38 BDSG) ist ein DSB Pflicht, wenn:

  • Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder
  • Datenverarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung (DSFA) bedürfen, oder
  • Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden

Der DSB kann intern (Mitarbeiter oder Führungskraft, die nicht in einem Interessenkonflikt stehen) oder extern (externer Datenschutzbeauftragter, z. B. ein Rechtsanwalt oder Berater) bestellt werden. Externe DSBs sind für KMU oft die praktischere Lösung.

Punkt 10: Drittlandübermittlungen absichern

Wenn Sie Dienste nutzen, die Daten in Länder außerhalb der EU/EWR übermitteln – zum Beispiel US-amerikanische Cloud-Dienste – benötigen Sie einen geeigneten Schutzmechanismus.

Rechtliche Grundlage: Art. 44 ff. DSGVO

Zulässige Schutzmechanismen:

  • Angemessenheitsbeschluss: Die EU-Kommission hat festgestellt, dass das Drittland ausreichenden Schutz bietet. Für die USA gilt seit 2023 der EU-US Data Privacy Framework (DPF) – prüfen Sie, ob Ihr Anbieter zertifiziert ist: dataprivacyframework.gov
  • Standardvertragsklauseln (SCC): Von der EU-Kommission genehmigte Musterverträge, die direkt zwischen Verantwortlichem und Dienstleister abgeschlossen werden
  • Verbindliche interne Datenschutzvorschriften (BCR): Für Konzerne mit internen Übermittlungen

Praktischer Tipp: Führen Sie für jede Software und jeden Cloud-Dienst, den Sie nutzen, einen kurzen Check durch: Wo hat der Anbieter seinen Sitz? Wo werden die Daten gespeichert? Welchen Schutzmechanismus bietet er an? Google, Microsoft und Salesforce bieten alle Standardvertragsklauseln an – stellen Sie sicher, dass diese in Ihrem AVV enthalten sind.

Häufige Fehler bei der DSGVO-Compliance in KMU

1. „Wir haben doch eine Datenschutzerklärung auf der Website” Eine Datenschutzerklärung allein reicht nicht aus. Sie ist nur eine von vielen Pflichten. Ohne VVT, AVVs und interne Prozesse bleibt die Compliance lückenhaft.

2. Einwilligungen ohne Dokumentation Wenn Sie keine Beweise für erhaltene Einwilligungen haben, können Sie diese im Streitfall nicht vorweisen. Speichern Sie Einwilligungstexte versioniert, Datum und Zeitpunkt der Zustimmung sowie die IP-Adresse des Nutzers.

3. Vergessene Auftragsverarbeiter Denken Sie an alle Dienste: Buchführungssoftware, Newsletter-Tool, CRM, Videokonferenz-Tool, HR-Software, sogar der Dienstleister, der Ihre Drucker wartet und dabei Zugriff auf Dokumente hat.

4. Keine Löschkonzepte Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. Viele KMU haben keine klaren Löschfristen. Definieren Sie: Wann werden Bewerberunterlagen gelöscht (i. d. R. nach 6 Monaten), wann Kundendaten nach Vertragsende?

5. DSGVO als einmalige Aufgabe sehen Datenschutz ist ein fortlaufender Prozess. Neue Tools, neue Mitarbeitende, geänderte Prozesse – all das kann neue Pflichten auslösen. Etablieren Sie einen jährlichen Review-Zyklus.

FAQ: DSGVO für deutsche KMU

Gilt die DSGVO auch für Einzelunternehmer? Ja. Auch Freiberufler und Einzelunternehmer, die personenbezogene Daten von Kunden oder Mitarbeitern verarbeiten, unterliegen der DSGVO. Ausnahmen gibt es nur für rein private oder familiäre Verarbeitungen (Art. 2 Abs. 2 lit. c DSGVO).

Wie hoch sind Bußgelder wirklich für kleine Unternehmen? Die Höhe richtet sich nach dem Jahresumsatz, der Schwere des Verstoßes und dem Verschulden. Aufsichtsbehörden haben auch gegen Kleinunternehmen Bußgelder im vierstelligen bis fünfstelligen Bereich verhängt. Zudem drohen Abmahnungen von Wettbewerbern und Schadensersatzklagen von Betroffenen.

Müssen wir auch für Mitarbeiterdaten DSGVO-konform sein? Ja. Neben der DSGVO gilt hier ergänzend § 26 BDSG als spezielle Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten. Das betrifft Gehaltsabrechnungen, Bewerbungsunterlagen, Krankmeldungen und Personalakten.

Was ist der Unterschied zwischen DSGVO und GDPR? DSGVO (Datenschutz-Grundverordnung) und GDPR (General Data Protection Regulation) bezeichnen dasselbe Regelwerk – einmal auf Deutsch, einmal auf Englisch. Es ist dieselbe EU-Verordnung.

Wir nutzen KI-Tools für die Kundenkommunikation. Gelten besondere Regeln? Ja – neben der DSGVO kann hier der EU AI Act relevant werden, insbesondere wenn KI-Systeme automatisierte Entscheidungen mit erheblichen Auswirkungen für Betroffene treffen. Einen Überblick gibt unser Artikel KI-Compliance für IT-Dienstleister und Betreiber.

Nächste Schritte: So starten Sie jetzt

Datenschutz-Compliance muss kein Mammutprojekt sein. Starten Sie pragmatisch:

  1. Diese Woche: VVT anlegen – nehmen Sie sich zwei Stunden und listen Sie alle Verarbeitungstätigkeiten auf
  2. Diesen Monat: AVVs überprüfen und fehlende abschließen; Datenschutzerklärung aktualisieren
  3. Dieses Quartal: TOMs dokumentieren, Meldeprozess für Datenpannen festlegen, DSB-Pflicht prüfen
  4. Dauerhaft: Schulungen durchführen, jährlichen Review-Termin im Kalender blockieren

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Die DSGVO wird regelmäßig durch Urteile des EuGH und Entscheidungen der Datenschutzaufsichtsbehörden weiterentwickelt. Bitte konsultieren Sie für unternehmensindividuelle Fragen einen qualifizierten Datenschutzbeauftragten oder Rechtsanwalt.

Quellen

Weitere Artikel

AI Datenschutz DSGVO

Künstliche Intelligenz und Datenschutz: Wie KMUs AI rechtssicher einsetzen

DSGVO & KI für Unternehmen: Art. 22 automatisierte Entscheidungen, Datenschutz-Folgenabschätzung für KI-Systeme und praktische Checkliste für KMUs.

EU AI Act IT-Dienstleister

EU AI Act für IT-Dienstleister 2026: Compliance-Leitfaden für Softwareunternehmen

Anbieter oder Betreiber? Konkrete Pflichten für IT-Dienstleister unter dem EU AI Act 2026: GPAI, Hochrisiko-KI, Dokumentation und Deadlines für Softwareunternehmen.

Datenschutzerklärung Website Deutschland

Datenschutzerklärung für Websites schreiben: Pflichtangaben 2026

Datenschutzerklärung für deutsche Websites: Alle Pflichtangaben nach DSGVO, Muster-Formulierungen und häufige Fehler — praxisnah für Selbstständige und KMU.