Datenschutz-Compliance für Kleinstunternehmen

Viele Kleinstunternehmen stehen vor der Frage: „Was muss ich in Sachen Datenschutz konkret unternehmen?“ Diese Frage soll der Artikel beantworten.

Im Jahr 2025 ist zumindest in Deutschland die politische Diskussion um den Datenschutz in vollem Gange. Weniger bei der Frage, ob die Grundrechte der Bürgerinnen und Bürger zu schützen sind. Eher, ob die Instrumente der DSGVO in der jetzigen Form das richtige Mittel sind, dies mit einem tragbaren Aufwand zu erreichen.

Dabei kommt die Frage auf, ob viele Unternehmen nicht manche Regelungen mit mehr oder weniger hohem Aufwand nur deswegen umsetzen, weil nicht ganz klar ist, was genau sie einhalten müssen. Und in Anbetracht potenzieller DSGVO-Sanktionen versucht man, alles bestmöglich umzusetzen. Dies kann dann im schlimmsten Fall zu einem Zustand führen, der sich etwas spöttisch als „Papier-Compliance“ beschreiben lässt. Und dann das darstellt, was unter dem Begriff „Bürokratie“ im Kontext ­Datenschutz gemeint ist.

DSGVO-Anpassung in kleinen ­Schritten

Auch wenn eine größere Reform der DSGVO momentan nicht in Planung ist, soll es auf europäischer Ebene unter der Bezeichnung „Omnibus IV“ einige Änderungen geben, die insbesondere KMU entlasten sollen (https://ogy.de/uxrn). So soll etwa die Schwelle der Anzahl der Beschäftigten und der Höhe des Datenschutzrisikos steigen, ab der ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu führen ist.

Auch der Europäische Datenschutzausschuss (EDPB) hat im Juli 2025 eine gemeinsamen Willenserklärung in Richtung Datenschutzpraxis verabschiedet…