· Cybersecurity  · 3 min read

DSGVO und Datenschutz: Was KMU 2025 umsetzen müssen

DSGVO, EU Data Act, Schrems II, DSA: Das Regelwerk für Datenschutz wächst. Was die wichtigsten Anforderungen 2025 für KMU sind und wo IT-Sicherheit konkret ansetzt.

DSGVO, EU Data Act, Schrems II, DSA: Das Regelwerk für Datenschutz wächst. Was die wichtigsten Anforderungen 2025 für KMU sind und wo IT-Sicherheit konkret ansetzt.

DSGVO und Datenschutz: Was KMU 2025 umsetzen müssen

Die DSGVO (Datenschutz-Grundverordnung) ist seit dem 25. Mai 2018 in Kraft und verpflichtet alle Unternehmen, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten, zu einem geregelten Umgang mit diesen Daten. Sieben Jahre nach Inkrafttreten ist die DSGVO fester Bestandteil des Betriebs. Das Regelwerk drumherum ist jedoch gewachsen: EU Data Act, Digital Services Act und Schrems-II-Folgeentwicklungen kommen hinzu.

DSGVO-Kernpflichten (unverändert seit 2018)

  • Einwilligung vor der Verarbeitung personenbezogener Daten
  • Auskunftspflicht gegenüber betroffenen Personen
  • Recht auf Löschung (“Recht auf Vergessenwerden”)
  • Meldepflicht bei Datenpannen innerhalb von 72 Stunden an die zuständige Datenschutzbehörde
  • Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes

Für Arztpraxen, Steuerberater und andere Berufsgeheimnisträger gilt zusätzlich §203 StGB (Schweigepflicht) in Verbindung mit dem BDSG.

Schrems II und Datentransfer in die USA

Seit dem EuGH-Urteil Schrems II (2020) ist der Datentransfer in Drittstaaten ohne angemessenes Schutzniveau unzulässig. Das EU-US Data Privacy Framework (2023) hat eine neue Rechtsgrundlage geschaffen, die jedoch weiterhin rechtlich angefochten wird.

Für KMU bedeutet das: Cloud-Dienste, die Daten in den USA oder anderen Drittstaaten verarbeiten, erfordern eine sorgfältige Prüfung. Wo möglich, sollte Cloud-Backup und -Verarbeitung ausschließlich in deutschen oder EU-Rechenzentren erfolgen.

EU Data Act (ab September 2025)

Der EU Data Act regelt den Zugang zu und die Weitergabe von Daten, die durch vernetzte Geräte und IoT-Geräte entstehen. Für Unternehmen, die Maschinendaten, Sensordaten oder Smart-Device-Daten verarbeiten, entstehen neue Transparenz- und Portabilitätspflichten.

KMU ohne große IoT-Flotte sind aktuell weniger direkt betroffen. Bei neuen Hardware-Beschaffungen mit Vernetzungsfunktionen sollte das Thema aber eingeplant werden.

Digital Services Act (DSA)

Der DSA gilt seit Februar 2024 für alle Online-Plattformanbieter in der EU. Für kleine Unternehmen mit eigener Website oder Shop gelten leichtere Pflichten als für große Plattformen. Relevant: Transparenzpflicht bei algorithmischen Empfehlungssystemen und beschleunigte Verfahren bei illegalen Inhalten.

Was KMU jetzt konkret tun müssen

Datenschutz-Dokumentation aktualisieren: Verarbeitungsverzeichnis, Datenschutzerklärung und Auftragsverarbeitungsverträge regelmäßig prüfen. Drittanbieter und Cloud-Dienste müssen auf DSGVO-Konformität bewertet sein.

Backup DSGVO-konform gestalten: Datensicherung muss verschlüsselt, zugriffsbeschränkt und mit dokumentierter Löschfrist erfolgen. Cloud-Backup ausschließlich auf deutschen Servern, soweit personenbezogene Daten enthalten sind.

Mitarbeitende schulen: Phishing, Social Engineering und fahrlässiger Umgang mit Daten sind die häufigsten Ursachen für meldepflichtige Datenpannen. Jährliche Sensibilisierungsmaßnahmen sind gesetzlicher Mindeststandard.

Technische Maßnahmen dokumentieren: Firewall, EDR, Verschlüsselung und Zugriffskontrolle müssen nicht nur vorhanden sein. Sie müssen nachweisbar eingerichtet und gepflegt sein. Dokumentation ist bei Behördenanfragen und Audits entscheidend.

IT-Sicherheit und Datenschutz als Einheit

Die technische Seite der DSGVO-Konformität umfasst: verschlüsseltes Backup in Deutschland, dokumentiertes Patch-Management, Endpoint Security und Zugriffskontrolle auf Basis von Microsoft Entra ID. Für die rechtliche Seite ist ein Datenschutzbeauftragter oder ein auf IT-Recht spezialisierter Anwalt die richtige Anlaufstelle.

Techiota berät KMU bei der technischen Umsetzung datenschutzkonformer IT-Infrastruktur. Sprechen Sie uns an: techiota.de

Was ist das Verarbeitungsverzeichnis? Das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert, welche personenbezogenen Daten ein Unternehmen zu welchem Zweck verarbeitet. Es ist Pflicht für Unternehmen mit mehr als 250 Mitarbeitenden, in der Praxis aber auch für kleinere Unternehmen empfohlen.

Was passiert, wenn eine Datenpanne nicht gemeldet wird? Unterlassene oder verspätete Meldung einer Datenpanne ist ein eigenständiger Bußgeldtatbestand. Die zuständige Datenschutzbehörde (in Hamburg: der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) kann erhebliche Bußgelder verhängen.

Gilt die DSGVO auch für kleine Unternehmen ohne IT-Abteilung? Ja. Die DSGVO gilt unabhängig von Unternehmensgröße für jeden, der personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeitet. Ausnahmen existieren nur für rein persönliche oder familiäre Verarbeitung.

Share:
Back to Blog

Related Posts

View All Posts »