Aktualisiert: März 2026 · Lesezeit: 9 Min.
Lassen Sie mich mit einem Mythos aufräumen: Die DSGVO gilt NICHT nur für große Konzerne. Sie gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet — und das tut jedes Unternehmen, das eine Website hat, E-Mails schreibt oder Kundendaten in einer Excel-Tabelle pflegt. Ein Blumenladen in Potsdam mit drei Angestellten unterliegt der DSGVO genauso wie die Deutsche Bank.
Aber — und das ist der entscheidende Punkt — der Aufwand ist proportional. Die DSGVO verlangt nicht von jedem Einzelunternehmer dieselben Maßnahmen wie von einem Datenkonzern. Wer versteht, was wirklich relevant ist, kann den Datenschutz mit überschaubarem Aufwand in den Griff bekommen.
Eine Datenschutzerklärung auf Ihrer Website. Art. 13 DSGVO, keine Ausnahme für Kleinunternehmer. Mit einem guten Generator ist das in einer Stunde erledigt.
Ein Cookie-Banner, wenn Sie nicht-essenzielle Cookies setzen. Google Analytics, Facebook-Pixel, YouTube-Einbettungen — all das erfordert eine Einwilligung nach dem TTDSG. Wenn Sie nur essenzielle Cookies nutzen, brauchen Sie technisch gesehen kein Banner.
Auftragsverarbeitungsverträge für Ihre Dienstleister. Webhoster, Newsletter-Tool, Cloud-Speicher — für jeden Dienst, der in Ihrem Auftrag personenbezogene Daten verarbeitet. Das klingt nach viel, ist es aber nicht. Bei den meisten Anbietern klicken Sie den AVV online an. Zehn Minuten pro Anbieter, vielleicht fünf Anbieter. Weniger als eine Stunde.
SSL-Verschlüsselung für Ihre Website. HTTPS ist 2026 Standard. Wenn Ihr Hoster das nicht kostenlos über Let's Encrypt anbietet, wechseln Sie den Hoster.
Einen Datenschutzbeauftragten. Die Pflicht greift erst ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG). Ein Malermeister in Rostock mit zwei Gesellen und einer Bürokraft? Braucht keinen DSB. Ein Zahnarzt mit drei Angestellten, der Gesundheitsdaten verarbeitet? Braucht möglicherweise doch einen — wegen Art. 37 Abs. 1 lit. c DSGVO.
Eine Datenschutz-Folgenabschätzung. Die ist nach Art. 35 DSGVO nur nötig, wenn Ihre Datenverarbeitung ein hohes Risiko für Betroffene birgt. Normale Unternehmenswebsite mit Kontaktformular? Definitiv nicht.
Ein komplexes Datenschutz-Management-System. Die teure Software, die Ihnen der Berater verkaufen will? Für ein Fünf-Personen-Unternehmen überdimensioniert. Eine gut geführte Excel-Tabelle tut es auch.
Art. 30 DSGVO klingt abschreckend, ist aber machbar. Sie listen auf, welche personenbezogenen Daten Sie verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange.
Für ein typisches Kleinunternehmen: Website-Hosting (IP-Adressen, Server-Logs), Kontaktformular (Name, E-Mail, Nachricht), E-Mail-Kommunikation, Kundenverwaltung (Stammdaten, Aufträge), Buchhaltung (Rechnungsdaten). Fünf bis zehn Einträge. Passt auf zwei DIN-A4-Seiten.
Die Ausnahme für Betriebe unter 250 Mitarbeitern greift in der Praxis fast nie, weil „nicht regelmäßige Verarbeitung" praktisch nie erfüllt ist, sobald eine Website läuft.
Realistisch gerechnet, für einen typischen Handwerksbetrieb oder Freiberufler mit Website:
Datenschutzerklärung per Generator: 0 Euro (Dr. Schwenke) bis 15 Euro/Monat (eRecht24 Premium). Cookie-Banner: 0 Euro (Open-Source wie Klaro) bis 10 Euro/Monat (Cookiebot). AVVs abschließen: 0 Euro, nur Zeitaufwand. VVT erstellen: 0 Euro, etwa 2 Stunden. SSL-Zertifikat: 0 Euro bei Let's Encrypt.
Summe: Zwischen 0 und 25 Euro monatlich, plus einmalig 3 bis 4 Stunden. Zum Vergleich: Eine einzige Abmahnung kostet schnell das Zwanzigfache.
Erstens: Gar nichts tun und hoffen, dass niemand hinschaut. Ein Schreiner in Lübeck hat das 2024 erfahren — 3.000 Euro Bußgeld wegen fehlender Datenschutzerklärung und Auftragsverarbeitungsverträge.
Zweitens: Google Analytics ohne Cookie-Consent einbinden. Immer noch erstaunlich verbreitet. Der Webdesigner hat es „einfach so" eingebaut. Lösung: Matomo als cookiefreie Alternative nutzen, oder GA4 hinter den Cookie-Consent setzen.
Drittens: E-Mail-Verteiler ohne Einwilligung. Der Klassiker — alle Kundenmails in ein CC-Feld. Doppelt falsch: keine Einwilligung und alle Empfänger sehen die E-Mail-Adressen der anderen. Nutzen Sie einen professionellen Newsletter-Dienst mit Double-Opt-in.
Viertens: Kundendaten auf dem privaten Smartphone ohne Schutz. WhatsApp-Gruppen mit Kundennamen, Kontakte nicht passwortgeschützt. Für einen Handwerker in Bremen Alltag — und ein DSGVO-Verstoß.
Fünftens: Die Datenschutzerklärung einmal erstellen und nie wieder anfassen. Ihre Website ändert sich. Prüfen Sie mindestens jährlich, ob die Erklärung noch stimmt.
Die IHK bietet kostenlose DSGVO-Erstberatungen. Die Datenschutzaufsichtsbehörden haben Leitfäden speziell für KMU — das BayLDA und die Landesbeauftragte in NRW sind hier besonders engagiert.
Und für den Website-Check? Dafür gibt es automatische Scanner, die prüfen, ob externe Scripte vor dem Consent laden, die Datenschutzerklärung fehlt oder Kontaktformulare unsicher sind. In Sekunden wissen Sie, wo Sie stehen.