Zum Hauptinhalt springen
stakk

4. Juni 202621 min read

DSGVO im Mittelstand 2026: Schritt-für-Schritt umsetzen

DSGVO praktisch umsetzen im Mittelstand 2026: Verarbeitungsverzeichnis, Datenschutzbeauftragter, 72-Stunden-Meldepflicht, TOMs und DSGVO-konforme KI-Tool-Nutzung - mit Checkliste. 8 konkrete Schritte.

Bis März 2026 haben europäische Datenschutzbehörden kumuliert 6,11 Milliarden Euro DSGVO-Bußgelder verhängt (Börse Express, 2026). Der Hessische Datenschutzbeauftragte meldet für 2025 eine Verdopplung der Verfahren gegen Betriebe unter 250 Mitarbeitern (Hessischer Datenschutzbeauftragter, 2025). Der Mittelstand ist im Visier. Dieser Artikel liefert keinen Paragrafenüberblick, sondern einen praxistauglichen 5-Schritte-Plan, der explizit den 2026-Kontext adressiert: Behördenfokus auf KMU, KI-Tool-Nutzung im Arbeitsalltag und konkrete Bußgeldszenarien.

Compliance-Pflichten im Mittelstand: Der Gesamtüberblick

Key Takeaways

  • Fehlendes Verarbeitungsverzeichnis kostet 2025 in Baden-Württemberg schon 5.000-50.000 Euro Bußgeld, ohne dass eine Datenpanne nötig ist (LfDI BW, 2025)
  • Datenschutzbeauftragter ist ab 20 Mitarbeitern mit regelmäßiger Datenverarbeitung Pflicht - externer DSB kostet 3.000-8.000 Euro/Jahr, Nichterfüllung bis zu 2 % Jahresumsatz
  • Die 72-Stunden-Meldepflicht beginnt mit Bekanntwerden, nicht mit interner Eskalation - häufigster Irrtum laut Aufsichtsbehörden
  • ChatGPT, Copilot und Gemini im Büro sind DSGVO-relevant: ohne AVV und Verzeichnis-Eintrag ist jede Nutzung mit Kundendaten ein Verstoß
  • 71 % der deutschen Unternehmen haben die DSGVO bis 2024 formal umgesetzt, aber die Prüfrealität zeigt: formal ist nicht gleich gelebt (Bitkom, 2024)

  1. Art. 30

    Verarbeitungsverzeichnis

    Alle Verarbeitungstätigkeiten dokumentieren

  2. § 38 BDSG

    Datenschutzbeauftragter

    Ab 20 Personen mit Datenverarbeitung Pflicht

  3. Art. 32

    TOMs dokumentieren

    Technische & organisatorische Maßnahmen

  4. Art. 33

    Datenpannenprozess

    72-Stunden-Meldepflicht absichern

  5. Art. 28

    AVV abschließen

    Verträge mit allen Dienstleistern

Die fünf Kernschritte zur DSGVO-Umsetzung im Mittelstand 2026

Warum Aufsichtsbehörden 2026 den Mittelstand ins Visier nehmen

Baden-Württemberg hat 2025 Bußgelder zwischen 5.000 und 50.000 Euro ausschließlich für fehlende Verarbeitungsverzeichnisse bei KMU verhängt (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, 2025). Keine Datenpanne, kein Datenleck. Nur fehlende Dokumentation. Der Hessische DSB meldet gleichzeitig, dass Verfahren gegen Betriebe unter 250 Mitarbeitern 2025 erstmals eine Verdopplung erfahren haben.

Der Wandel ist strukturell: Aufsichtsbehörden prüfen 2026 nicht mehr reaktiv auf Beschwerden, sondern proaktiv nach Betriebsgrößen und Branchen. Digitalisierte Betriebe mit KI-Tools, Cloud-Diensten und mobilen Workforces stehen oben auf der Liste. Wer 2018 mit einer DSGVO-Checkliste durch den Start kam, hat heute oft Lücken an genau den Stellen, die 2026 geprüft werden. Der entscheidende Unterschied zu früheren Prüfungswellen: Die Behörden wissen heute, welche Tools in welcher Branche eingesetzt werden — Beschwerden von Konkurrenten, Mitarbeitern oder Kunden liefern Hinweise, wo die Prüfung ansetzen soll.

Was die meisten Mittelständler unterschätzen: Bußgelder aus Art. 83 Abs. 4 DSGVO können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen. Bei einem Betrieb mit 10 Millionen Euro Umsatz sind das bis zu 200.000 Euro. Für einen fehlenden Ordner im digitalen Archiv.

Compliance-Pflichten Mittelstand 2025–2028: Was jetzt gilt

Citation Capsule: Der Hessische Datenschutzbeauftragte meldet für 2025 eine Verdopplung der Prüfverfahren gegen Unternehmen unter 250 Mitarbeitern. Gleichzeitig verhängte der LfDI Baden-Württemberg 2025 Bußgelder zwischen 5.000 und 50.000 Euro allein für fehlende Verarbeitungsverzeichnisse bei KMU. (Hessischer Datenschutzbeauftragter, 2025; LfDI Baden-Württemberg, 2025)

Schritt 1: Verarbeitungsverzeichnis nach Art. 30 anlegen

Das Verarbeitungsverzeichnis ist die Eingangsfrage jeder Behördenprüfung. Art. 30 DSGVO verpflichtet Unternehmen, alle Tätigkeiten zu dokumentieren, bei denen personenbezogene Daten verarbeitet werden. Wer kein Verzeichnis hat oder ein veraltetes vorlegt, zieht sofort ein Bußgeld. Baden-Württemberg hat das 2025 mehrfach exekutiert.

Was muss rein?

Sieben Pflichtinhalte schreibt Art. 30 DSGVO vor:

  1. Name und Kontaktdaten des Verantwortlichen (Ihr Betrieb, Ihr DSB, ggf. gemeinsame Verantwortliche)
  2. Zweck der Verarbeitung - warum werden diese Daten verarbeitet? "CRM-Pflege" ist kein Zweck, "Kontaktpflege und Angebotserstellung für Bestandskunden" ist einer.
  3. Kategorien der betroffenen Personen - Kunden, Mitarbeiter, Bewerber, Lieferanten
  4. Kategorien der personenbezogenen Daten - Namen, Adressen, IBAN, Gesundheitsdaten, Fotos
  5. Empfänger oder Kategorien von Empfängern - Steuerberater, Cloud-Dienste, Lohnbüros
  6. Drittlandübermittlung - werden Daten außerhalb der EU übertragen? (Relevant für US-Cloud-Dienste)
  7. Löschfristen - wann werden die Daten gelöscht?

Die häufigsten Fehler

Aus unserer Projektpraxis: In Erstgesprächen sehen wir drei Fehler fast immer: Das Verzeichnis wurde 2018 angelegt und seitdem nicht angefasst. KI-Tools wie ChatGPT oder Microsoft Copilot fehlen komplett. Und Auftragsverarbeiter (Cloud-Dienste, Buchhaltungssoftware) werden nicht als solche eingetragen — bei einem Handwerksbetrieb mit 18 Mitarbeitern fehlten zuletzt sieben Dienstleister-Einträge, darunter die Lohnbuchhaltungssoftware und ein Cloud-Backup-Dienst.

Ein veraltetes Verzeichnis ist fast so schlecht wie keines. Behörden erkennen, ob ein Dokument aktiv gepflegt oder einmalig erstellt wurde. Wenn im Verzeichnis kein einziger KI-Dienst steht, aber Mitarbeiter nachweislich ChatGPT nutzen, ist das keine Kleinigkeit.

Praxistipp: Führen Sie das Verzeichnis als lebendiges Dokument, nicht als einmaliges Projekt. Jedes neue Tool, jeder neue Dienstleister bekommt einen Eintrag, bevor er produktiv genutzt wird.

Pflichtfeld (Art. 30 DSGVO)Beispiel-Eintrag
Verantwortlicher / KontaktMuster GmbH · Max Mustermann
Zweck der VerarbeitungAngebotserstellung für Bestandskunden
Kategorien betroffener PersonenKunden, Mitarbeiter, Bewerber
Kategorien personenbez. DatenName, Adresse, E-Mail, IBAN
Empfänger / AuftragsverarbeiterDATEV (Steuerberater), Lexoffice
DrittlandübermittlungUSA (OpenAI/ChatGPT Enterprise)
Löschfrist10 Jahre (GoBD) nach Vertragsende

7 Pflichtfelder nach Art. 30 DSGVO – jede Verarbeitungstätigkeit ist ein eigener Eintrag.

Schritt 2: Datenschutzbeauftragter - intern oder extern?

Ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter (DSB) nach § 38 BDSG Pflicht (BDSG § 38, 2018). Das gilt unabhängig von der Gesamtmitarbeiterzahl: Auch ein Betrieb mit 35 Mitarbeitern, von denen 22 regelmäßig mit Kundendaten arbeiten, braucht einen DSB.

Was kostet ein externer DSB?

Ein externer Datenschutzbeauftragter kostet typischerweise 3.000 bis 8.000 Euro pro Jahr. Das klingt nach viel. Die Gegenrechnung: Bußgelder aus Art. 83 Abs. 4 DSGVO können bis zu 2 % des Jahresumsatzes erreichen. Bei einem Betrieb mit 5 Millionen Euro Umsatz sind das bis zu 100.000 Euro.

OptionKostenVorteileNachteile
Externer DSB3.000-8.000 €/JahrHaftungsschutz, Expertise, sofort einsatzbereitWeniger Betriebskenntnis
Interner DSBGehaltskosten + SchulungBetriebskenntnis, immer verfügbarInteressenkonflikt-Risiko, Schulungsaufwand
Kein DSB (ab 20 MA)0 € - bis PrüfungKurze KostenersparnisBußgeld bis 2 % Jahresumsatz

Wann interner DSB, wann externer?

Für Betriebe bis ca. 100 Mitarbeiter ist der externe DSB fast immer sinnvoller. Der interne DSB muss unabhängig sein, darf keine Interessen-Konflikte haben (Geschäftsführer, IT-Leiter und Personalleiter scheiden aus) und braucht regelmäßige Schulungen. Das ist organisatorischer Aufwand, der den Kostenvorteil schnell aufzehrt.

Compliance im Mittelstand: Kosten, Pflichten und Prioritäten

Citation Capsule: § 38 BDSG verpflichtet Betriebe zur Bestellung eines Datenschutzbeauftragten, sobald mindestens 20 Personen regelmäßig personenbezogene Daten verarbeiten. Ein externer DSB kostet 3.000-8.000 Euro pro Jahr. Das mögliche Bußgeld für Betriebe ohne Pflicht-DSB beträgt bis zu 2 % des weltweiten Jahresumsatzes. (BDSG § 38, 2018)

Schritt 3: Technische und organisatorische Maßnahmen (TOM) dokumentieren

Fehlende TOM-Dokumentation ist laut Aufsichtsbehörden die häufigste Ursache für DSGVO-Nachforderungen bei Betriebsprüfungen in 2025. Art. 32 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu implementieren und zu dokumentieren. Die meisten Betriebe haben die Maßnahmen - aber die Dokumentation fehlt.

Was TOMs konkret bedeuten

TOMs sind keine Theorie, sondern die konkreten Schutzmaßnahmen in Ihrem Betrieb:

Technische Maßnahmen:

  • Verschlüsselung von Endgeräten (Laptop, Handy) und Dateiübertragungen
  • Zugangskontrolle: Wer darf auf welche Systeme zugreifen?
  • Backups: Wie oft, wo gespeichert, wie lange aufbewahrt?
  • Patch-Management: Werden Sicherheitsupdates zeitnah eingespielt?

Organisatorische Maßnahmen:

  • Datenschutzschulungen für Mitarbeiter (dokumentiert, mindestens jährlich)
  • Clean-Desk-Policy: Keine sensiblen Daten offen auf Schreibtischen
  • Berechtigungskonzept: Need-to-know-Prinzip schriftlich festhalten
  • Prozess für Datenpannen: Wer wird wie benachrichtigt?

Aus unserer Projektpraxis: Das Muster, das wir immer wieder sehen: Der Betrieb hat faktisch funktionierende Maßnahmen, aber nichts ist aufgeschrieben. Bei einem Elektrobetrieb mit 25 Mitarbeitern waren Verschlüsselung auf allen Laptops, regelmäßige Backups und ein Zugriffskonzept vorhanden — aber nirgends dokumentiert. Behörden prüfen Dokumentation, nicht tatsächliche Sicherheitsniveaus. Ein Betrieb mit ausgezeichneter IT-Sicherheit ohne TOM-Dokumentation verliert die Prüfung gegen einen Betrieb mit lückenhafter Sicherheit, der alles sauber dokumentiert hat.

Praxistipp: Erstellen Sie die TOM-Dokumentation einmalig als strukturiertes Dokument mit Datum und Verantwortlichem. Aktualisieren Sie bei jeder relevanten Änderung der IT-Infrastruktur oder der Dienstleisterlandschaft.

TOM-DOKUMENTATION · Art. 32 DSGVOTECHNISCHGeräteverschlüsselungZugangskontrolle / MFABackup-System (3-2-1)Patch-ManagementFirewall / NetzwerktrennungProtokollierung / Audit-LogORGANISATORISCHDatenschutzschulungen (jährl.)Clean-Desk-PolicyBerechtigungskonzeptDatenpannen-ProzessVertraulichkeitsvereinbarungenSchlüssel-/ZugangsverwaltungJede Maßnahme dokumentieren mit:Bezeichnung der MaßnahmeDatum der EinführungVerantwortliche PersonDatum letzter ÜberprüfungNächste geplante ÜberprüfungDokumentation ist Pflicht — vorhandene Maßnahmen ohne Nachweis zählen bei der Prüfung nicht
TOM-Dokumentation: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Schritt 4: Datenpannenprozess einrichten

Die 72-Stunden-Frist nach Art. 33 DSGVO beginnt in dem Moment, in dem der Betrieb von der Datenpanne Kenntnis erlangt - nicht erst nach interner Eskalation, nicht erst nach Abschluss der Untersuchung. Das ist der häufigste Irrtum, den Aufsichtsbehörden in Prüfgesprächen nennen.

Was ist eine Datenpanne?

Eine Datenpanne nach Art. 4 Nr. 12 DSGVO ist jede Verletzung der Sicherheit, die zur unbeabsichtigten oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Konkrete Beispiele:

  • Laptop mit Kundendaten verloren oder gestohlen
  • E-Mail mit Bewerberdaten an falschen Empfänger gesendet
  • Ransomware-Angriff auf Systeme mit Kundendaten
  • Mitarbeiter gibt unbefugt Daten an Dritte weiter
  • Datenbankfehler macht Kundendaten kurzzeitig öffentlich zugänglich

Was muss der Prozess leisten?

Ein funktionierender Datenpannen-Prozess braucht vier klare Punkte:

  1. Erkennung: Wer im Betrieb kann eine Datenpanne erkennen? Jeder Mitarbeiter, nicht nur die IT.
  2. Meldung intern: An wen wird intern gemeldet? Mit welchem Formular, welcher Kontaktmöglichkeit?
  3. Bewertung: Wer entscheidet, ob die Panne meldepflichtig ist? (DSB, Geschäftsführung)
  4. Meldung extern: Welche Behörde ist zuständig? (nach Bundesland) Welche Informationen müssen rein?
DATENPANNEN-PROZESS · 72-STUNDEN-FRIST (Art. 33 DSGVO)0h6h24h72hBEHÖRDEN-MELDUNGKenntnis-erlangungInternmeldenBewertung &DokumentationDeadlineMeldungHäufigster Irrtum:Die 72h laufen ab Kenntniserlangung — nicht nach internerEskalation oder Abschluss der Untersuchung.Art. 33 DSGVO · Vorläufige Meldung + Nachreichen ist möglich — Nichtmelden nicht.
Datenpannen-Prozess: Die 72-Stunden-Frist nach Art. 33 DSGVO

Was in die Behördenmeldung muss

Art. 33 Abs. 3 DSGVO schreibt vor, welche Informationen die Meldung enthalten muss:

  • Art der Verletzung und betroffene Datenkategorien
  • Ungefähre Anzahl der betroffenen Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder geplante Abhilfemaßnahmen
  • Kontaktdaten des DSB

Wenn einzelne Informationen zum Meldezeitpunkt noch nicht vollständig vorliegen, ist eine Meldung mit vorläufigen Angaben besser als keine Meldung. Nachreichen ist möglich, Nichtmelden nicht.

Citation Capsule: Die 72-Stunden-Meldepflicht nach Art. 33 DSGVO beginnt mit dem Zeitpunkt der Kenntniserlangung durch den Betrieb - nicht mit der internen Eskalation oder dem Abschluss der Ursachenanalyse. Aufsichtsbehörden bezeichnen den gegenteiligen Irrtum als häufigsten Fehler, der zu Bußgeldern bei Meldepflichtverstößen führt. (Art. 33 DSGVO, 2018)

Schritt 5: Auftragsverarbeitungsverträge mit Dienstleistern und Cloud-Anbietern

Wer personenbezogene Daten durch Dritte verarbeiten lässt, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das gilt für praktisch jeden modernen Betrieb: Steuerberater, Lohnbüros, Cloud-Anbieter, E-Mail-Dienste, CRM-Systeme, Buchhaltungssoftware.

Welche Dienstleister brauchen einen AVV?

Auftragsverarbeiter sind alle, die personenbezogene Daten in Ihrem Auftrag verarbeiten. Typische Beispiele:

  • Cloud-Dienste (Microsoft 365, Google Workspace, Dropbox)
  • CRM-Systeme (Salesforce, HubSpot, Pipedrive)
  • E-Mail-Marketing (Mailchimp, CleverReach)
  • Buchhaltungssoftware (DATEV, Lexoffice, Sevdesk)
  • Steuerberater und externe Lohnbüros
  • IT-Dienstleister mit Zugang zu Systemen

Kein AVV nötig ist bei Dienstleistern, die eigenverantwortlich Daten verarbeiten (Rechtsanwälte, Banken, Behörden).

Wo AVVs in der Praxis fehlen

Aus unserer Projektpraxis: Der blinde Fleck in fast jedem Betrieb sind KI-Tools. Bei einem Planungsbüro mit 14 Mitarbeitern nutzten vier Personen täglich ChatGPT — darunter für Formulierung von Kunden-E-Mails und Auswertung von Bewerbungsunterlagen. Keine der Nutzungen war im Verarbeitungsverzeichnis eingetragen, kein AVV mit OpenAI abgeschlossen. Wer ChatGPT Business, Microsoft Copilot oder Google Gemini einsetzt und dabei Kundendaten oder Mitarbeiterdaten eingibt, braucht einen AVV mit dem Anbieter. Die meisten Betriebe haben entweder die kostenlose Version ohne AVV-Option oder haben den verfügbaren AVV nie aktiv abgeschlossen.

Zweiter blinder Fleck: bestehende Dienstleister, die irgendwann mal einen AVV zugeschickt haben - der nie gegengezeichnet wurde. Im Ernstfall fehlt der Nachweis.

Praxistipp: Führen Sie eine AVV-Liste als Teil des Verarbeitungsverzeichnisses. Jeder Auftragsverarbeiter bekommt einen Eintrag mit: Name, Beschreibung der Tätigkeit, Datum des AVV-Abschlusses, Speicherort des signierten Dokuments.

Sonderfall 2026: DSGVO-konforme Nutzung von KI-Tools

ChatGPT, Microsoft Copilot und Google Gemini sind in vielen Mittelstandsbüros bereits Alltag. 71 % der deutschen Unternehmen gaben bis 2024 an, die DSGVO umgesetzt zu haben (Bitkom, 2024). Aber in kaum einem dieser Betriebe ist der KI-Tool-Einsatz sauber ins Verarbeitungsverzeichnis eingetragen oder durch einen AVV abgesichert.

Was bei KI-Tools DSGVO-relevant ist

Drei Punkte, die jeden Betrieb betreffen, der KI-Tools produktiv einsetzt:

Dateneingabe mit Personenbezug. Wer Kundennamen, E-Mail-Adressen, Bewerbungsunterlagen oder Mitarbeiterdaten in ein KI-Tool eingibt, übermittelt personenbezogene Daten an den Anbieter. Das braucht eine Rechtsgrundlage und einen AVV.

Drittlandübermittlung. OpenAI (ChatGPT), Microsoft (Copilot) und Google (Gemini) sind US-amerikanische Unternehmen. Die Datenverarbeitung auf US-Servern ist seit Schrems II rechtlich komplex. Für die Business-Versionen dieser Tools gibt es EU-Serveroptionen und AVVs - aber diese müssen aktiv gewählt und dokumentiert werden.

Verarbeitungsverzeichnis. Jeder KI-Dienst, in den Mitarbeiter personenbezogene Daten eingeben, gehört ins Verarbeitungsverzeichnis. Steht er nicht drin, ist das eine Lücke, die jede Prüfung sofort findet.

Welche Version ist DSGVO-konform?

ToolVersion mit AVVEU-Server-OptionEmpfehlung für Kundendaten
ChatGPTChatGPT Enterprise / TeamTeilweiseNur mit Enterprise + AVV
Microsoft CopilotMicrosoft 365 Copilot (Enterprise)Ja (EU Data Boundary)Ja, mit Microsoft 365 Enterprise
Google GeminiGemini for Google WorkspaceJa (EU)Ja, mit Workspace Business
Claude (Anthropic)Claude for Enterprise / TeamsJa (EU)Ja, mit Enterprise-Vertrag

Die kostenlose Version von ChatGPT, Copilot im persönlichen Microsoft-Account oder Gemini ohne Google Workspace sind für die Verarbeitung von Kundendaten nicht geeignet. Das gilt auch dann, wenn Mitarbeiter diese Tools privat nutzen und im Büro damit arbeiten.

Der KI-Compliance-Gap im Mittelstand ist 2026 größer als 2023. Nicht weil Betriebe weniger vorsichtig sind, sondern weil die Tool-Nutzung schneller gewachsen ist als die Governance-Struktur. Das Ergebnis: Dutzende KI-Tools im Einsatz, keines davon im Verarbeitungsverzeichnis. Was das besonders heikel macht: Anders als bei klassischer Software hinterlassen KI-Tools in Produktivitätsberichten und Browser-Historien Spuren — bei einer Prüfung lässt sich die Nutzung kaum leugnen, während die AVV-Lücke sofort sichtbar ist.

KI-Tools und DSGVO im KMU: Was erlaubt ist und was nicht

DSGVO-Bußgelder vermeiden: Die 5 häufigsten Verstöße im Mittelstand

Die Bußgeldrealität zeigt ein klares Muster. Die größten Bußgelder treffen selten spektakuläre Datenpannen, sondern strukturelle Dokumentationsmängel, die bei jeder Prüfung sichtbar werden.

1. Fehlendes oder veraltetes Verarbeitungsverzeichnis. Der häufigste Auslöser für Bußgelder 2025. Baden-Württemberg hat das konsequent sanktioniert: 5.000 bis 50.000 Euro für fehlende Verzeichnisse bei KMU.

2. Kein Datenschutzbeauftragter trotz Pflicht. Betriebe mit mehr als 20 Personen in der Datenverarbeitung ohne DSB sind ein einfaches Prüfziel. Die Pflicht ist klar, die Kontrolle ist einfach.

3. Fehlende oder unvollständige AVVs. Besonders häufig bei Cloud-Diensten und KI-Tools. Wer seinen Dienstleister-Stack nicht regelmäßig auf AVV-Vollständigkeit prüft, hat fast immer Lücken.

4. Verspätete Datenpannenmeldung. Die 72-Stunden-Frist wird missverstanden. Betriebe warten auf das Ende interner Untersuchungen, statt sofort zu melden und nachzureichen.

5. Fehlende oder nicht dokumentierte Mitarbeiterschulungen. Art. 39 DSGVO verpflichtet DSBs zur Schulungsunterstützung, Art. 32 impliziert Schulungspflichten. Wer keine dokumentierten Schulungen vorweisen kann, verliert bei Prüfungen.

Aufbewahrungspflichten digital: Was KMU seit 2025 wissen müssen

Checkliste: DSGVO-Sofortmaßnahmen für KMU (10 Punkte)

Eine Abarbeitungsreihenfolge nach Prüfungsrisiko, nicht nach Paragrafennummer. Die ersten fünf haben den höchsten Sofort-Impact.

DSGVO SOFORTMASSNAHMEN · 10-PUNKTE-CHECKLISTEPRIORITÄT 1 — SOFORT1 · Verarbeitungsverzeichnis prüfen & aktualisieren2 · DSB-Pflicht klären (ab 20 MA mit Datenverarbeitung)3 · Datenpannen-Prozess definieren & kommunizieren4 · AVV-Liste erstellen · signierte Verträge prüfen5 · KI-Tool-Inventar anlegen · welche Version, mit AVV?PRIORITÄT 2 — INNERHALB 30 TAGE6 · TOM-Dokumentation erstellen7 · Mitarbeiterschulung planen & dokumentieren8 · Datenschutzerklärung Website aktualisieren9 · Berechtigungskonzept (Need-to-know) schriftlich10 · Löschkonzept pro Datenkategorie festlegenPunkte 1–5 reduzieren das Prüfrisiko am stärksten · Stand 2026
DSGVO-Sofortmaßnahmen: 10-Punkte-Checkliste nach Prüfungsrisiko sortiert

Priorität 1: Sofort erledigen

  1. Verarbeitungsverzeichnis prüfen - Ist es vorhanden? Aktuell? Enthält es alle KI-Tools und Cloud-Dienste?
  2. DSB-Pflicht klären - Haben Sie ab 20 MA mit regelmäßiger Datenverarbeitung einen DSB bestellt?
  3. Datenpannen-Prozess definieren - Wer erkennt eine Panne, wer meldet intern, wer meldet an die Behörde?
  4. AVV-Liste erstellen - Welche Dienstleister verarbeiten Daten in Ihrem Auftrag? Ist für jeden ein signierter AVV vorhanden?
  5. KI-Tool-Inventar - Welche KI-Tools nutzen Mitarbeiter? In welcher Version? Mit AVV?

Priorität 2: In den nächsten 30 Tagen

  1. TOM-Dokumentation erstellen - Alle technischen und organisatorischen Schutzmaßnahmen schriftlich festhalten
  2. Mitarbeiterschulung planen - Datum, Format, Teilnehmerliste, Dokumentation festlegen
  3. Datenschutzerklärung prüfen - Ist die Website-Datenschutzerklärung aktuell? Enthält sie alle aktuellen Dienste?
  4. Berechtigungskonzept - Wer hat Zugang zu welchen Systemen? Entspricht das dem Need-to-know-Prinzip?
  5. Löschkonzept - Für jede Datenkategorie: wann werden Daten gelöscht? Ist dieser Prozess automatisiert oder manuell dokumentiert?

Aus unserer Projektpraxis: Betriebe, die Punkte 1 bis 5 sauber abgearbeitet haben, sind in unserer Erfahrung nicht das erste Prüfziel. Aufsichtsbehörden suchen die einfachsten Fälle: kein Verzeichnis, kein DSB, keine erkennbare Struktur. Ein SHK-Betrieb mit 22 Mitarbeitern, dem wir bei der DSGVO-Grundstruktur geholfen haben, wurde nach einer Mitarbeiter-Beschwerde geprüft — und konnte alle Kernpunkte sofort vorlegen. Die Prüfung war in zwei Wochen abgeschlossen, ohne Bußgeld. Wer Grundstrukturen vorweisen kann, lenkt die Prüfung in tiefere Schichten — und gewinnt Zeit.

Weiterführend: Pillar-Guide, Fotodokumentation und WhatsApp DSGVO

Dieser Artikel deckt die fünf Kernschritte ab. Drei Themen, die direkt damit zusammenhängen:

Compliance Mittelstand Guide - Der Pillar-Artikel mit dem Gesamtüberblick über DSGVO, GoBD, E-Rechnung, NIS2 und AI Act. Für den Zusammenhang zwischen den Pflichten.

Baustellen-Fotos in WhatsApp: das DSGVO-Problem - Warum die WhatsApp-Foto-Doku in Handwerksbetrieben und auf Baustellen ein konkretes Haftungsrisiko ist. Mit drei Lösungspfaden.

Aufbewahrungspflichten digital: Was KMU seit 2025 wissen müssen - GoBD, BEG IV-Fristen und revisionssichere Archivierung. Direkte Schnittstelle zur DSGVO-Dokumentationspflicht.

DSGVO, GoBD und KI-Tool-Nutzung sind keine drei separaten Projekte. Wer das Verarbeitungsverzeichnis sauber pflegt, hat automatisch eine Grundlage für das KI-Tool-Governance. Wer das GoBD-Archiv aufbaut, löst gleichzeitig einen Teil der DSGVO-Dokumentationspflichten. Der Aufwand ist kleiner als er wirkt, wenn man die Wechselwirkungen nutzt.

Prozessautomatisierung im KMU: Was sich wirklich lohnt

Häufige Fragen zur DSGVO-Umsetzung im Mittelstand 2026

Braucht jedes KMU ein Verarbeitungsverzeichnis nach DSGVO? Ja, fast ausnahmslos. Art. 30 Abs. 5 DSGVO sieht eine Ausnahme nur für Betriebe vor, die keine risikobehafteten Daten verarbeiten. In der Praxis greift diese Ausnahme kaum: Wer Kundenadressen, Mitarbeiterdaten oder Lieferanten-Kontakte verwaltet, braucht das Verzeichnis. Baden-Württemberg hat 2025 gezeigt, dass fehlendes Verzeichnis direkt 5.000-50.000 Euro Bußgeld kostet. (LfDI Baden-Württemberg, 2025)

Was passiert, wenn ich die 72-Stunden-Meldepflicht verpasse? Eine verspätete Meldung ist ein eigenständiger Bußgeldtatbestand nach Art. 83 Abs. 4 DSGVO - unabhängig vom eigentlichen Datenpannen-Vorfall. Die 72 Stunden laufen ab Kenntniserlangung durch den Betrieb. Nicht nach interner Eskalation, nicht nach Abschluss der Ursachenanalyse. Wenn Informationen fehlen: vorläufig melden und nachreichen ist besser als warten. (Art. 33 DSGVO, 2018)

Darf ich Kunden-E-Mails in ChatGPT einfügen, um Antworten zu formulieren? Nicht ohne vertragliche Absicherung. Kunden-E-Mails enthalten personenbezogene Daten. Ohne AVV mit OpenAI und Eintrag ins Verarbeitungsverzeichnis ist das ein Verstoß. Die Lösung: ChatGPT Enterprise oder ChatGPT Team mit aktivem AVV - und dieser Dienst muss im Verarbeitungsverzeichnis stehen. Die kostenlose Version ist für Kundendaten keine Option.

Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden? Es gibt keine gesetzliche Frist, aber laufende Pflege ist Pflicht. Jedes neue Tool, jeder neue Dienstleister, jede neue Verarbeitungstätigkeit braucht einen Eintrag, bevor sie produktiv läuft. Empfehlung: quartalsweise prüfen, ob neue Prozesse oder KI-Tools hinzugekommen sind. Ein veraltetes Verzeichnis bewertet der LfDI BW fast genauso kritisch wie ein fehlendes. (LfDI Baden-Württemberg, 2025)

TeilenLinkedInE-Mail

Newsletter

Solche Notizen direkt im Posteingang.

Alle zwei bis vier Wochen ein kurzer Brief mit dem, was uns gerade beschäftigt — plus einer Hilfe, die Sie sonst nirgendwo bekommen.

§Verwandte Beiträge

Weitere Beiträge.

§Weiterdenken

Frage, die der Beitrag bei Ihnen ausgelöst hat?

Schreiben Sie sie kurz auf. Wir melden uns mit einer ehrlichen Einschätzung zurück.

Gespräch anfragenMehr zu „Custom Web-Apps