DSGVO-Paket für KMU 2026 (Komplettlösung)

Für KMU sind diese DSGVO-Bausteine Pflicht:

1. **Datenschutzerklärung auf der Website** (DSGVO Art. 13) 2. **Impressum mit Datenschutz-Hinweisen** (§5 TMG) 3. **Cookie-Banner mit Opt-In** (TTDSG §25) 4. **AVV mit allen Dienstleistern** (DSGVO Art. 28) 5. **TOM-Katalog** (technisch-organisatorische Maßnahmen) 6. **Verfahrensverzeichnis** (Art. 30 DSGVO, ab 20 MA oder bei sensiblen Daten) 7. **Mitarbeiter-Schulung** (dokumentiert, jährlich) 8. **Incident-Response-Plan** (Datenpannen innerhalb 72h melden) 9. **Datenschutzbeauftragter** (ab 20 MA Pflicht) 10. **Einwilligungs-Dokumentation** (für Newsletter, Marketing)

Wir sehen in Audits immer wieder dieselben Schwächen:

- **Nur vage Datenschutzerklärung** (Copy-Paste aus 2018, nicht aktualisiert) - **Keine AVVs mit Dienstleistern** (Google, Microsoft, Newsletter-Tool) - **Unvollstaendiger Cookie-Banner** (kein Opt-In, kein Widerruf) - **Keine Mitarbeiter-Schulung** (oder nicht dokumentiert) - **Kein Verfahrensverzeichnis** (obwohl Pflicht ab 20 MA) - **Server in USA ohne DPF-Prüfung** (Schrems-II-Problem) - **Google Fonts online** (nicht selbst-gehostet) - **WordPress-Plugins** ohne DSGVO-Prüfung

Solche Lücken werden zunehmend abgemahnt - nicht nur von Behörden, sondern auch von Mitbewerbern und Abmahn-Anwälten.

**Datenpanne nach Art. 33 DSGVO:** - Innerhalb 72 Stunden an Aufsichtsbehörde melden - Bei hohem Risiko für Betroffene: auch direkt an Betroffene melden (Art. 34)

**Jährliche Aufgaben:** - Verfahrensverzeichnis aktualisieren - Mitarbeiter-Schulung durchführen + dokumentieren - Prüfung AVVs (neue Dienstleister? AVV aktuell?) - Prüfung Datenschutzerklärung (neue Tools? neue Zwecke?) - Backup-Restore-Test

**Bei Änderungen:** - Neuer Datenverarbeitungs-Zweck -> Datenschutzerklärung + Verfahrensverzeichnis aktualisieren - Neue Tools -> AVV, DSE, ggf. Einwilligung - Neue Mitarbeiter -> Schulung, Vertraulichkeits-Erklärung

Wer bei null startet, sollte die DSGVO-Bausteine nicht parallel, sondern in einer sinnvollen Reihenfolge angehen - so vermeiden Sie Doppelarbeit:

1. **Bestandsaufnahme** - welche Daten verarbeiten Sie, mit welchen Tools, auf welchen Servern? Diese Liste ist die Grundlage für alles Weitere. 2. **Verträge sichern** - AVVs mit allen Dienstleistern abschließen (Hosting, Newsletter, Cloud, CRM). 3. **Website rechtssicher machen** - Datenschutzerklärung, Impressum und Cookie-Banner aufeinander abgestimmt umsetzen. 4. **Interne Prozesse** - Verfahrensverzeichnis anlegen, Mitarbeiter schulen, Incident-Response-Plan definieren. 5. **Routine etablieren** - jährliche Prüfung terminieren, damit der Stand nicht wieder veraltet.

Dieser schrittweise Aufbau ist auch deshalb sinnvoll, weil viele Bausteine aufeinander aufbauen: Die Datenschutzerklärung verweist auf Tools, für die Sie zuvor AVVs brauchen, und der Cookie-Banner setzt voraus, dass Sie wissen, welche Tracking-Dienste überhaupt im Einsatz sind. Für KMU ist eine BAFA-geförderte Beratung hier oft der schnellste Weg zu einem belastbaren Gesamtbild.