Kurzfassung: DSGVO-Umsetzung im KMU ist kein Jahresprojekt, sondern in wenigen strukturierten Schritten machbar — wenn man mit der Realität des Betriebs arbeitet statt gegen sie. Dieser Fahrplan stammt aus rund 30 Umsetzungsprojekten seit 2018, von der Arztordination bis zum Bildungsanbieter.
Schritt 1: Bestandsaufnahme — was passiert mit welchen Daten?
Ein halber Tag mit den richtigen Fragen: Welche personenbezogenen Daten kommen ins Unternehmen (Kunden, Mitarbeiter, Lieferanten), wo werden sie gespeichert, wer greift zu, welche Tools sind im Einsatz? Das Ergebnis ist die Landkarte für alles Weitere.
Schritt 2: Verfahrensverzeichnis anlegen
Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist Pflicht und zugleich das nützlichste Dokument des ganzen Projekts: Pro Verarbeitung stehen Zweck, Rechtsgrundlage, Kategorien, Empfänger und Löschfristen an einem Ort. Gut gemacht, beantwortet es 80 % aller späteren Fragen.
Schritt 3: Rechtsgrundlagen klären
Die meisten KMU-Verarbeitungen stützen sich auf Vertrag (Art. 6 Abs. 1 lit. b), rechtliche Pflicht (lit. c) oder berechtigtes Interesse (lit. f). Einwilligungen braucht es seltener, als viele glauben — und wo doch, müssen sie dokumentiert und widerrufbar sein.
Schritt 4: Auftragsverarbeiter unter Vertrag nehmen
Hosting, E-Mail, Buchhaltungssoftware, Cloud-Speicher: Wer personenbezogene Daten im Auftrag verarbeitet, braucht einen AV-Vertrag (Art. 28). Bei Anbietern außerhalb der EU zusätzlich prüfen: Angemessenheitsbeschluss oder Standardvertragsklauseln.
Schritt 5: Datenschutzerklärung, die zur Website passt
Die häufigste Schwachstelle: Textbausteine, die Dienste beschreiben, die es auf der Website gar nicht (mehr) gibt — oder umgekehrt. Die Erklärung muss den Ist-Zustand abbilden: eingesetzte Dienste, Zwecke, Rechtsgrundlagen, Betroffenenrechte, Beschwerdeweg zur Datenschutzbehörde.
Schritt 6: Technische und organisatorische Maßnahmen (TOMs)
Verschlüsselung, Zugriffskonzept, Backups, Passwort-Regeln, Umgang mit mobilen Geräten — dokumentiert und dem Risiko angemessen. Für ein KMU zählt Nachvollziehbarkeit, nicht Perfektion.
Schritt 7: Mitarbeiter schulen — kurz, konkret, wiederholt
Die meisten Datenpannen sind Alltagsfehler. Eine kompakte Schulung mit Fällen aus dem eigenen Betrieb wirkt mehr als jede Richtlinie im Ordner. Seit 2025/26 gehören auch KI-Themen dazu: Was dürfen Mitarbeiter in KI-Tools eingeben, was nicht — Stichwort AI Act und Transparenzpflichten.
Fazit
DSGVO im KMU heißt: einmal sauber aufsetzen, schlank dokumentieren, jährlich aktualisieren. Der Aufwand ist überschaubar — die Alternative (Beschwerde, Datenpanne ohne Prozesse, Vertrauensverlust) ist es nicht.