Datenschutz für Gründer: DSGVO-Pflichten & Checkliste

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in der gesamten EU unmittelbar geltendes Recht. Sie regelt, wie Unternehmen personenbezogene Daten erheben, speichern und verarbeiten dürfen. Ergänzt wird sie in Deutschland durch das Bundesdatenschutzgesetz (BDSG) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören nicht nur Name und Adresse, sondern auch IP-Adressen, E-Mail-Adressen, Kundennummern und Standortdaten.

Die wichtigsten Rechtsgrundlagen für die Datenverarbeitung:

• Einwilligung (Art. 6 Abs. 1 lit. a): Die betroffene Person hat ausdrücklich zugestimmt, z. B. beim Newsletter-Abo
• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, z. B. Lieferadresse bei einer Bestellung
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Ein Gesetz schreibt die Verarbeitung vor, z. B. steuerliche Aufbewahrungspflichten
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Die Verarbeitung dient einem berechtigten Interesse, z. B. Betrugsprävention – erfordert eine Abwägung

Als Gründer sollten Sie bei jeder Datenverarbeitung prüfen, auf welche Rechtsgrundlage Sie sich stützen. Dokumentieren Sie das von Anfang an – spätestens bei einer Prüfung durch die Aufsichtsbehörde wird diese Zuordnung verlangt.

Jede Website braucht eine Datenschutzerklärung. Sie muss von jeder Unterseite aus mit maximal zwei Klicks erreichbar sein – in der Praxis bedeutet das einen Link im Footer. Die Datenschutzerklärung ist neben dem Impressum die wichtigste Pflichtseite jeder Unternehmenswebsite.

Diese Angaben muss Ihre Datenschutzerklärung enthalten:

• Name und Kontaktdaten des Verantwortlichen (Ihr Unternehmen)
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
• Zwecke und Rechtsgrundlagen jeder Datenverarbeitung
• Empfänger oder Kategorien von Empfängern der Daten
• Speicherdauer oder Kriterien für die Festlegung der Dauer
• Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch etc.)
• Beschwerderecht bei der zuständigen Aufsichtsbehörde
• Informationen zu eingesetzten Cookies und Tracking-Tools

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist Ihre interne Dokumentation aller Prozesse, bei denen personenbezogene Daten verarbeitet werden. Es ist keine Formalität, sondern das Herzstück Ihrer DSGVO-Compliance. Die Aufsichtsbehörde kann jederzeit Einsicht verlangen.

Auch kleine Unternehmen sind in der Regel zur Führung verpflichtet. Die oft zitierte Ausnahme für Unternehmen mit weniger als 250 Beschäftigten greift praktisch nie, weil sie nur gilt, wenn die Verarbeitung kein Risiko für Betroffene birgt und nur gelegentlich erfolgt.

Pflichtinhalte je Verarbeitungstätigkeit:

• Zweck der Verarbeitung: z. B. Kundenverwaltung, Lohnabrechnung, Newsletter-Versand
• Kategorien betroffener Personen: z. B. Kunden, Mitarbeiter, Website-Besucher
• Kategorien personenbezogener Daten: z. B. Name, E-Mail, Bankverbindung
• Empfänger: z. B. Steuerberater, Cloud-Anbieter, Zahlungsdienstleister
• Löschfristen: z. B. 10 Jahre für steuerrelevante Daten, 3 Jahre für Vertragsdaten
• Technische und organisatorische Maßnahmen: z. B. Verschlüsselung, Zugangskontrolle, Backups

Sobald ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das betrifft nahezu jedes Unternehmen, denn schon der Einsatz von Cloud-Diensten, E-Mail-Marketing-Tools oder Hosting-Anbietern fällt darunter.

Typische Fälle, in denen ein AVV erforderlich ist:

• Hosting-Provider: Ihr Webspace-Anbieter speichert Zugriffsprotokolle und ggf. Formulardaten
• Newsletter-Dienste: Mailchimp, Brevo & Co. verarbeiten E-Mail-Adressen Ihrer Abonnenten
• Cloud-Speicher: Google Workspace, Microsoft 365, Dropbox – sobald personenbezogene Dateien dort liegen
• Buchhaltungssoftware: Cloud-basierte Tools wie Lexoffice, sevDesk oder DATEV Unternehmen Online
• Analyse-Tools: Google Analytics, Matomo (gehostet) und ähnliche Web-Analyse-Dienste

Die meisten großen Anbieter stellen fertige AVVs bereit, die Sie online abschließen können. Prüfen Sie dennoch, ob der Vertrag alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO enthält: Gegenstand und Dauer der Verarbeitung, Art der Daten, Kategorien betroffener Personen, Weisungsbefugnisse und Unterauftragnehmer.

Ein Datenschutzbeauftragter (DSB) muss benannt werden, wenn in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Gezählt werden alle Beschäftigten – Vollzeit, Teilzeit, Minijobber, Leiharbeiter und Praktikanten.

Unabhängig von der Mitarbeiterzahl besteht die Pflicht auch in folgenden Fällen:

• Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten, biometrische Daten)
• Die Kerntätigkeit besteht in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen (z. B. Videoüberwachung, Scoring)
• Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung erhoben (z. B. Auskunfteien, Adresshandel)

Seit Dezember 2021 regelt das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) den Zugriff auf Endgeräte von Nutzern. Vereinfacht: Wer Cookies oder ähnliche Technologien einsetzt, die nicht technisch notwendig sind, braucht eine vorherige Einwilligung des Nutzers.

Was ohne Einwilligung erlaubt ist:

• Session-Cookies für Warenkorb und Login-Status
• Technisch notwendige Cookies für Website-Funktionalität
• Cookie-Consent-Speicherung selbst

Was eine Einwilligung erfordert:

• Google Analytics, Meta Pixel, TikTok Pixel und andere Tracking-Tools
• Marketing- und Retargeting-Cookies
• Eingebettete YouTube-Videos (Standard-Modus), Google Maps, Social-Media-Plugins

Für die Umsetzung benötigen Sie ein Consent-Management-Tool (CMP). Beliebte Lösungen sind Cookiebot, Usercentrics oder das Open-Source-Tool Klaro. Achten Sie darauf, dass das Tool nach dem TCF 2.2 Standard zertifiziert ist, wenn Sie Werbepartner einbinden.

Verstöße gegen die DSGVO können teuer werden. Die Verordnung sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. In der Praxis sind die Strafen für Gründer und kleine Unternehmen deutlich geringer – aber Beträge im vier- bis fünfstelligen Bereich kommen regelmäßig vor.

Die häufigsten Fehler bei Gründern:

• Fehlende oder fehlerhafte Datenschutzerklärung: Häufigster Abmahngrund – oft reicht schon ein fehlendes Tool in der Auflistung
• Kein Cookie-Consent-Banner: Google Analytics ohne Einwilligung ist der Klassiker unter den Verstößen
• Fehlende AVVs mit Dienstleistern: Viele Gründer nutzen Cloud-Tools, ohne einen Auftragsverarbeitungsvertrag abzuschließen
• Kein Verarbeitungsverzeichnis: Bei Prüfungen durch die Aufsichtsbehörde wird das VVT als erstes angefordert
• Newsletter ohne Double-Opt-in: E-Mail-Marketing ohne nachweisbare Einwilligung kann Bußgelder und Abmahnungen nach sich ziehen
• Kontaktformular ohne SSL: Unverschlüsselte Datenübertragung verstößt gegen die Pflicht zu technischen Schutzmaßnahmen

Datenschutz ist kein optionales Thema – er gehört von Tag eins zur Gründung dazu. Die gute Nachricht: Mit einer strukturierten Herangehensweise lassen sich die wichtigsten Pflichten in wenigen Tagen umsetzen. Datenschutzerklärung, Verarbeitungsverzeichnis und AVVs sind die Grundpfeiler. Ein Cookie-Consent-Tool lässt sich in wenigen Stunden einrichten.

Wer von Anfang an sauber dokumentiert, spart sich später teuren Nachholbedarf und schläft ruhiger. Und: Kunden und Geschäftspartner nehmen Datenschutz zunehmend als Qualitätsmerkmal wahr. Ein professioneller Umgang mit Daten stärkt das Vertrauen in Ihr junges Unternehmen.