Skip to content
Missverständnisse calendar_today Aktualisiert: 6. April 2026 schedule 4 Min. Lesezeit

Missverstandnis: Die DSGVO Gilt Nur fur Grosse Unternehmen

Ein hartnackiges Missverstandnis ist, dass die DSGVO nur fur grosse Unternehmen gilt. Die Wahrheit: Die DSGVO gilt fur jede Organisation, die personenbezogene Daten verarbeitet, unabhangig von der Grosse.

summarize Kernaussagen
  • check_circle Die DSGVO gilt fur jede Organisation, die personenbezogene Daten verarbeitet, vom Freiberufler bis zum Konzern
  • check_circle Selbst wenn Sie nur 2 Mitarbeiter und eine Kundenliste von 50 Personen haben, fallen Sie unter die DSGVO
  • check_circle Es gibt einige Erleichterungen fur kleine Organisationen, wie die nicht verpflichtende Bestellung eines DSB, aber die Grundpflichten gelten fur alle
  • check_circle Die Verarbeitung personenbezogener Daten ist breiter als man denkt: eine E-Mail-Liste, Personalakte oder Kundendatenbank zahlt bereits

Das Missverstandnis

“Die DSGVO ist doch nur fur grosse Techkonzerne, oder? Wir sind nur zu funft, das betrifft uns nicht.”

Dies ist vielleicht das am weitesten verbreitete Missverstandnis uber die DSGVO (Datenschutz-Grundverordnung). Und es ist verstandlich, wie es entstanden ist: In den Nachrichten geht es immer um Bussgelder fur Google, Meta oder Amazon. Daraus schliessen viele Unternehmer, dass die DSGVO ein Problem fur die grossen Player ist, nicht fur den Mittelstand.

Aber der Gesetzestext ist glasklar.

Was das Gesetz tatsachlich sagt

Artikel 2 der DSGVO beschreibt den Anwendungsbereich. Die Verordnung gilt fur die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie fur die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nirgendwo steht: “nur wenn Sie mehr als X Mitarbeiter haben” oder “nur wenn Ihr Umsatz uber Y liegt.”

Jede Organisation, die personenbezogene Daten verarbeitet, fallt unter die DSGVO. Punkt.

Was zahlt als Verarbeitung personenbezogener Daten?

Verarbeitung ist ein weiter Begriff. Er umfasst:

  • Personenbezogene Daten erheben (ein Kontaktformular auf Ihrer Website)
  • Personenbezogene Daten speichern (eine Kundenliste in Excel oder Ihrem CRM)
  • Personenbezogene Daten nutzen (einen Newsletter versenden)
  • Personenbezogene Daten weitergeben (Kundendaten an Ihren Steuerberater ubermitteln)
  • Personenbezogene Daten aufbewahren (Personalakten in Ihrem Schrank oder auf Ihrem Server)

Wenn Sie auch nur eines dieser Dinge tun - und das tut praktisch jedes Unternehmen - fallen Sie unter die DSGVO.

Was bedeutet das konkret fur kleine Unternehmen?

Was Sie tun MUSSEN

Unabhangig von Ihrer Unternehmensgrosse sind Sie verpflichtet:

  1. Eine Rechtsgrundlage zu haben fur jede Verarbeitung personenbezogener Daten (Einwilligung, Vertrag, gesetzliche Verpflichtung, berechtigtes Interesse usw.)
  2. Transparent zu sein daruber, was Sie mit personenbezogenen Daten tun (Datenschutzerklarung)
  3. Auftragsverarbeitungsvertrage mit Parteien zu schliessen, die in Ihrem Auftrag Daten verarbeiten
  4. Auf Anfragen von Betroffenen (Auskunft, Loschung, Berichtigung) innerhalb von 30 Tagen zu reagieren
  5. Datenschutzverletzungen der Aufsichtsbehorde innerhalb von 72 Stunden zu melden, wenn ein Risiko fur Betroffene besteht
  6. Ein Verarbeitungsverzeichnis zu fuhren (in der Praxis fur nahezu jedes Unternehmen erforderlich)

Wo Sie Erleichterungen bekommen

Es gibt einige Erleichterungen fur kleinere Organisationen:

  • Sie mussen nicht immer einen Datenschutzbeauftragten (DSB) bestellen, es sei denn, Ihre Kerntatigkeit besteht in der Verarbeitung besonderer Datenkategorien oder umfangreicher Uberwachung
  • Eine Datenschutz-Folgenabschatzung (DSFA) ist nur bei Verarbeitungen mit hohem Risiko erforderlich
  • Die Dokumentationspflichten durfen der Unternehmensgrosse angemessen sein

Aber Achtung: Diese Erleichterungen betreffen spezifische zusatzliche Anforderungen. Die Grundpflichten gelten fur alle.

Echte Beispiele

Das ist keine Theorie. Aufsichtsbehorden in Europa setzen aktiv bei kleinen Organisationen durch:

  • Griechenland (2023): Ein kleiner Arbeitgeber erhielt ein Bussgeld von 8.000 Euro fur die Installation von Kameras ohne angemessene Information der Mitarbeiter
  • Spanien (2023): Ein lokales Fitnessstudio wurde mit 7.000 Euro bestraft fur die Weitergabe von Gesundheitsdaten der Mitglieder ohne Einwilligung
  • Italien (2022): Ein kleiner Webshop erhielt ein Bussgeld von 10.000 Euro fur die Nichterfüllung einer Loschungsanfrage
  • Polen (2024): Ein Einzelunternehmer erhielt ein Bussgeld von 4.500 Euro wegen Fehlens eines Verarbeitungsverzeichnisses

Die Aufsichtsbehorden haben wiederholt betont, dass die Unternehmensgrosse keine Befreiung von der DSGVO darstellt.

Warum das eigentlich eine Chance ist

Anstatt die DSGVO als Last zu sehen, die Sie nicht betrifft, konnen Sie es auch anders betrachten. Als kleines Unternehmen haben Sie einen Vorteil: Sie verarbeiten wahrscheinlich weniger personenbezogene Daten als ein grosses Unternehmen, was bedeutet, dass Ihre Compliance einfacher ist.

Die meisten KMU konnen ihre DSGVO-Grundlagen in wenigen Wochen in Ordnung bringen. Keine monatelangen Projekte, keine teuren Berater. Einfach die Grundlagen richtig machen:

1. Erfassen Sie, was Sie verarbeiten

Erstellen Sie eine Liste aller personenbezogenen Daten, die Sie verarbeiten: Kunden, Mitarbeiter, Lieferanten, Website-Besucher. Das ist Ihr Verarbeitungsverzeichnis.

2. Regeln Sie Ihre Vertrage

Schliessen Sie Auftragsverarbeitungsvertrage mit Ihrem Steuerberater, E-Mail-Anbieter, CRM-Anbieter und anderen Auftragsverarbeitern.

3. Informieren Sie Ihre Kunden und Mitarbeiter

Erstellen Sie eine Datenschutzerklarung, die zu dem passt, was Sie tatsachlich tun. Kein kopiertes Dokument aus dem Internet, sondern eine klare Erklarung Ihrer Verarbeitungstatigkeiten.

4. Erstellen Sie einen Plan fur Anfragen und Vorfalle

Wissen Sie, was zu tun ist, wenn ein Kunde Auskunft oder Loschung verlangt. Wissen Sie, was bei einer Datenschutzverletzung zu tun ist.

auto_awesome Mochten Sie wissen, wo Sie wirklich stehen?

GDPRWise scannt Ihre Website und gibt Ihnen ein vollstandiges Bild Ihres DSGVO-Status. In 15 Minuten wissen Sie, was in Ordnung ist und was Sie noch regeln mussen.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.