„Gilt die DSGVO auch für mich als Kleinunternehmer?" Diese Frage höre ich jede Woche. Die ehrliche Antwort: Ja, die DSGVO gilt für Sie. Es gibt keine Ausnahme für Kleinunternehmer, Freelancer oder Einzelkämpfer.

Aber — und das ist die gute Nachricht — der Aufwand ist für kleine Unternehmen deutlich überschaubarer, als die meisten denken. In diesem Artikel zeige ich Ihnen genau, was Sie tun müssen und was Sie getrost ignorieren können.

Für wen gilt die DSGVO?

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten, die ganz oder teilweise automatisiert erfolgt (Art. 2 Abs. 1 DSGVO). Das heißt konkret:

  • Sie haben eine Website → DSGVO gilt (IP-Adressen, Cookies)
  • Sie versenden Newsletter → DSGVO gilt (E-Mail-Adressen)
  • Sie haben Kunden → DSGVO gilt (Namen, Adressen, Kontaktdaten)
  • Sie nutzen E-Mail → DSGVO gilt
  • Sie haben Mitarbeiter → DSGVO gilt

Die einzige Ausnahme: Rein persönliche oder familiäre Tätigkeiten (Art. 2 Abs. 2 lit. c DSGVO). Ein privater Blog über Ihr Hobby ohne jede kommerzielle Absicht könnte darunter fallen — aber sobald Sie Werbung schalten oder Produkte verkaufen, ist es vorbei mit der Ausnahme.

Die Kleinunternehmer-Checkliste: Was ist wirklich Pflicht?

Hier ist Ihre priorisierte Liste — von „unbedingt sofort" bis „nice to have":

Priorität 1: Sofort erledigen (hohes Risiko bei Versäumnis)

✅ Datenschutzerklärung auf der Website

Pflicht nach: Art. 13, 14 DSGVO

Jede Website braucht eine Datenschutzerklärung. Ohne sie riskieren Sie Bußgelder und Abmahnungen. Sie muss alle Datenverarbeitungen auf Ihrer Website beschreiben — vom Server-Logfile über Cookies bis zu externen Diensten.

Aufwand: 1–2 Stunden mit einem guten Generator, einmalig + Updates bei Änderungen.

Prüfen Sie Ihre Website jetzt mit unserem Website-Check.

✅ Impressum

Pflicht nach: § 5 DDG (ehemals TMG)

Streng genommen kein DSGVO-Thema, aber ohne Impressum werden Sie garantiert abgemahnt. Pflichtangaben: Name, Anschrift, E-Mail, ggf. Handelsregister, USt-IdNr.

Aufwand: 15 Minuten.

✅ Cookie-Consent (falls Cookies gesetzt werden)

Pflicht nach: § 25 TDDDG, Art. 6 Abs. 1 lit. a DSGVO

Wenn Ihre Website Cookies setzt, die nicht technisch notwendig sind (Analytics, Marketing, externe Fonts), brauchen Sie ein Consent-Banner mit echtem Opt-in.

Aufwand: 1–3 Stunden für die Ersteinrichtung.

✅ Auftragsverarbeitungsverträge (AVV)

Pflicht nach: Art. 28 DSGVO

Für jeden Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen AVV. Typische Fälle:

  • Hosting-Provider (Hetzner, IONOS, All-Inkl, etc.)
  • E-Mail-Marketing (Mailchimp, CleverReach, Sendinblue)
  • Cloud-Speicher (Google Drive, Dropbox, OneDrive)
  • Buchhaltungssoftware (sevDesk, lexoffice, DATEV)
  • CRM-Systeme (HubSpot, Salesforce)

Die gute Nachricht: Die meisten seriösen Anbieter stellen AVVs kostenlos zur Verfügung. Sie müssen sie nur abschließen (oft digital per Klick).

Aufwand: 1–2 Stunden für alle Dienstleister zusammen.

Priorität 2: Zeitnah erledigen (mittleres Risiko)

✅ Verarbeitungsverzeichnis (VVT)

Pflicht nach: Art. 30 DSGVO

Theoretisch gibt es eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern (Art. 30 Abs. 5 DSGVO). Aber: Diese Ausnahme greift nur, wenn die Verarbeitung nicht regelmäßig erfolgt. Da Sie als Unternehmer regelmäßig Kundendaten, E-Mails und Rechnungen verarbeiten, gilt die Ausnahme faktisch nie.

Ein VVT muss enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Kategorien von Betroffenen und Daten
  • Empfänger
  • Drittlandtransfers
  • Löschfristen
  • Technische und organisatorische Maßnahmen

Aufwand: 2–4 Stunden für die Ersterfassung, danach minimaler Pflegeaufwand. Eine einfache Excel-Tabelle reicht.

✅ Technische und organisatorische Maßnahmen (TOMs)

Pflicht nach: Art. 32 DSGVO

Sie müssen angemessene Maßnahmen zum Schutz personenbezogener Daten treffen. Für Kleinunternehmer heißt das:

  • Passwörter: Starke, einzigartige Passwörter + Passwort-Manager
  • Zwei-Faktor-Authentifizierung: Für E-Mail, Cloud, Banking, Social Media
  • Updates: Betriebssystem, CMS, Plugins aktuell halten
  • Backups: Regelmäßige Sicherungen (mindestens wöchentlich)
  • Verschlüsselung: HTTPS auf der Website, verschlüsselte Festplatten
  • Zugriffskontrolle: Wer hat Zugriff auf welche Daten?

Aufwand: Einmalig 2–3 Stunden für die Dokumentation, laufend im normalen Arbeitsalltag.

✅ Löschkonzept

Pflicht nach: Art. 17 DSGVO, Art. 5 Abs. 1 lit. e DSGVO

Sie dürfen personenbezogene Daten nicht ewig aufbewahren. Definieren Sie Löschfristen:

  • Kundendaten nach Vertragsende: Aufbewahrungspflichten beachten (6–10 Jahre für Rechnungen)
  • Bewerberdaten: Spätestens 6 Monate nach Absage löschen
  • Newsletter-Abmeldungen: Sofort aus dem Verteiler, E-Mail-Adresse für Sperrliste behalten
  • Website-Analytics: Daten anonymisieren oder nach 14–26 Monaten löschen

Priorität 3: Bei Bedarf (geringeres Risiko für Kleinunternehmer)

Datenschutzbeauftragter (DSB)

Pflicht nach: Art. 37 DSGVO, § 38 BDSG

Einen DSB brauchen Sie als Kleinunternehmer nur, wenn:

  • Mindestens 20 Personen regelmäßig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG)
  • Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht (Gesundheitsdaten, etc.)
  • Sie eine Datenschutz-Folgenabschätzung durchführen müssen

Für die meisten Kleinunternehmer: Kein DSB nötig.

Datenschutz-Folgenabschätzung (DSFA)

Pflicht nach: Art. 35 DSGVO

Nur bei Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten der Betroffenen. Beispiele: Videoüberwachung öffentlicher Bereiche, umfangreiches Profiling, Verarbeitung von Gesundheitsdaten im großen Umfang.

Für die meisten Kleinunternehmer: Keine DSFA nötig.

Typische DSGVO-Fallen für Kleinunternehmer

Falle 1: WhatsApp für Kundenkommunikation

WhatsApp überträgt das gesamte Adressbuch an Meta/Facebook. Wenn Sie WhatsApp auf Ihrem Geschäftshandy nutzen und Kundenkontakte gespeichert haben, übermitteln Sie deren Daten ohne Rechtsgrundlage an Meta.

Lösung: WhatsApp Business mit separatem Geschäftshandy nutzen, oder auf datenschutzfreundliche Messenger wie Signal oder Threema umsteigen.

Falle 2: Newsletter ohne Double-Opt-in

Viele Kleinunternehmer sammeln E-Mail-Adressen auf Messen oder bei Kundengesprächen und fügen diese ohne Einwilligung zum Newsletter hinzu. Das ist ein klarer DSGVO-Verstoß.

Lösung: Immer Double-Opt-in verwenden. Bestehende Kontakte nachträglich um Einwilligung bitten oder aus dem Verteiler entfernen.

Falle 3: Google Analytics ohne Einwilligung

Google Analytics 4 verarbeitet personenbezogene Daten. Ohne vorherige Einwilligung über einen Cookie-Consent-Banner ist der Einsatz nicht DSGVO-konform.

Lösung: Cookie-Consent-Tool implementieren oder auf datenschutzfreundliche Alternativen wie Matomo (self-hosted) oder Plausible umsteigen.

Falle 4: Alte Kundendaten nie löschen

„Man weiß ja nie, ob der Kunde wiederkommt" — dieses Motto widerspricht der DSGVO. Daten müssen gelöscht werden, wenn der Zweck entfällt und keine Aufbewahrungspflichten mehr bestehen.

Falle 5: Kein AVV mit dem Steuerberater

Ihr Steuerberater ist in der Regel kein Auftragsverarbeiter, sondern agiert in eigener Verantwortung (als eigener Verantwortlicher). Einen AVV brauchen Sie hier meist nicht. Aber: Ihr Hosting-Provider, Ihr Newsletter-Tool und Ihre Cloud-Dienste sind Auftragsverarbeiter — und dort brauchen Sie definitiv einen AVV.

Was kostet DSGVO-Compliance für Kleinunternehmer?

Die ehrliche Antwort: Sehr wenig, wenn Sie es selbst machen.

MaßnahmeDIY-KostenMit Dienstleister
Datenschutzerklärung0 € (Generator)200–500 €
Cookie-Consent-Tool0–10 €/Monat50–200 € Setup
Verarbeitungsverzeichnis0 € (Excel-Vorlage)300–800 €
AVVs abschließen0 €0 €
TOMs dokumentieren0 €200–500 €
Gesamt einmalig0–50 €750–2.000 €
Laufend pro Monat0–10 €50–200 €

Vergleichen Sie das mit den möglichen Kosten einer Abmahnung (800–4.000 €) oder eines Bußgeldes (500–15.000 €) — die Investition in Compliance lohnt sich immer.

Unser Rettungspaket bietet alles aus einer Hand zu einem fairen Festpreis.

Ihre 30-Minuten-Sofortmaßnahme

Wenn Sie gerade realisiert haben, dass Sie einiges nachholen müssen, starten Sie hier:

  1. Jetzt (5 Min): Website-Check durchführen — sehen Sie sofort, wo die größten Lücken sind
  2. Heute (15 Min): Impressum prüfen und ggf. korrigieren
  3. Diese Woche (1–2 Std): Datenschutzerklärung erstellen oder aktualisieren
  4. Diesen Monat (2–3 Std): AVVs abschließen, Cookie-Consent einrichten
  5. Nächsten Monat (2–4 Std): Verarbeitungsverzeichnis erstellen, TOMs dokumentieren

FAQ

Gilt die DSGVO auch für Kleinunternehmer und Selbstständige?

Ja, die DSGVO gilt für alle Unternehmen unabhängig von der Größe. Es gibt keine Kleinunternehmer-Ausnahme.

Brauche ich als Kleinunternehmer einen Datenschutzbeauftragten?

In der Regel nicht. Erst ab 20 Personen, die regelmäßig automatisiert Daten verarbeiten, wird ein DSB nach § 38 BDSG zur Pflicht.

Was kostet DSGVO-Compliance für Kleinunternehmer?

Bei Eigenleistung nahezu kostenlos (0–50 € einmalig). Mit Dienstleister 750–2.000 €. Deutlich günstiger als eine Abmahnung oder ein Bußgeld.

Brauche ich ein Verarbeitungsverzeichnis als Einzelunternehmer?

Ja, in den meisten Fällen. Die Ausnahme für unter 250 Mitarbeiter greift praktisch nie, da Sie regelmäßig Kundendaten verarbeiten.

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Stand: Februar 2026.