Datenschutzfehler, die fast jedes Unternehmen macht

VonStephan Wagner
Das Wort "Datenschutzfehler" ist in einem deutschen Text rosa hervorgehoben, mit einem rosa Marker im Blick.

Und wie Sie sie vermeiden…

Im Alltag läuft es oft so: Ein Kunde ruft an, ein Angebot muss raus, zwei Mitarbeitende sind krank, die IT klemmt. Die To-do-Liste ist voll, die Zeit knapp. Irgendwo im Hinterkopf meldet sich das Thema DSGVO, aber es rutscht wieder nach hinten. Verständlich, denn datenschutzfehler tun anfangs selten weh. Die Folgen kommen später, wenn etwas schiefgeht. In diesem Beitrag bekommen Sie eine ehrliche, praxisnahe Orientierung, welche typischen DSGVO Fehler ein Unternehmen macht und wie Sie sie mit überschaubarem Aufwand entschärfen.

1. Kein klares Gesicht für Datenschutz im Unternehmen

In vielen Betrieben ist Datenschutz „irgendwie mit dabei“. Mal kümmert sich jemand aus der Verwaltung, mal die IT, mal niemand so richtig. Es gibt keine Person, die das Thema im Blick behält und Entscheidungen steuert. So entstehen Lücken, obwohl alle guten Willen haben.

Typische Symptome

  • Niemand fühlt sich angesprochen, wenn Datenschutz zur Sprache kommt
  • Unterlagen liegen verteilt in Mails, Ordnern und Tools
  • Entscheidungen werden geschoben oder spontan getroffen

So lösen Sie das pragmatisch

  1. Benennen Sie eine verantwortliche Person, die das Thema koordiniert.
  2. Geben Sie dieser Person feste Zeitfenster, zum Beispiel zwei Stunden pro Woche.
  3. Klären Sie, welche Themen intern laufen und wo ein externer Datenschutzbeauftragter unterstützen soll.

2. Datenschutz nur als Papieraufgabe verstehen

Viele Unternehmen erstellen einmal Unterlagen zur DSGVO und legen sie ab. Im Alltag spielen diese Dokumente keine Rolle. Prozesse werden geändert, neue Tools eingeführt, aber die Dokumentation bleibt unverändert. Datenschutz wirkt dann wie eine Pflichtübung ohne Bezug zum echten Betrieb.

Typische Symptome

  • Es gibt Konzepte, die niemand kennt oder nutzt
  • Neue Projekte starten ohne Blick auf Datenschutz
  • Die Dokumente sind Jahre alt und passen nicht mehr

So lösen Sie das pragmatisch

  1. Prüfen Sie einmal im Jahr die wichtigsten Dokumente und passen Sie sie kurz an.
  2. Verknüpfen Sie Datenschutz mit bestehenden Abläufen, zum Beispiel mit dem Onboarding neuer Mitarbeitender oder der IT-Beschaffung.
  3. Halten Sie Änderungen knapp fest, damit Unterlagen und Realität zusammenpassen.

3. Die Website als unterschätzte Datenschutzbaustelle

Die Website ist oft ein Mix aus Baukasten, Agenturarbeit und eigenen Ergänzungen. Tracking, Cookies, eingebettete Dienste und Formulare kommen nach und nach dazu. Gleichzeitig bleibt der Blick auf datenschutzfehler aus. So entstehen unbewusst dsgvo fehler, die sich mit einfachen Mitteln vermeiden lassen.

Typische Symptome

  • Cookie-Banner, die alles erlauben, aber nichts wirklich steuern
  • Kontaktformulare ohne Hinweis, was mit den Daten passiert
  • Veraltete oder generische Datenschutzerklärung ohne Bezug zur Technik

So lösen Sie das pragmatisch

  1. Erfassen Sie, welche Tools auf der Website laufen, inklusive Cookies, Tracking und eingebetteter Inhalte.
  2. Nutzen Sie einen Webseitencheck, um zu prüfen, welche Anpassungen technisch und rechtlich nötig sind.
  3. Setzen Sie ein sauberes Consent-Tool ein und passen Sie die Datenschutzerklärung an Ihre echte Website an.

4. Kein Überblick über Verarbeitungen und Datenflüsse

Viele Verantwortliche haben ein Gefühl dafür, wo Daten liegen, aber keinen klaren Überblick. Prozesse wachsen mit der Zeit, Zuständigkeiten ändern sich, neue Systeme kommen hinzu. Ohne strukturierte Sicht fällt es schwer, Risiken zu bewerten oder bei Anfragen gezielt zu reagieren.

Typische Symptome

  • Niemand kann auf Anhieb sagen, wo welche personenbezogenen Daten gespeichert sind
  • Es gibt kein aktuelles Verzeichnis von Verarbeitungstätigkeiten
  • Einzelne Abteilungen hantieren mit eigenen Listen und Lösungen

So lösen Sie das pragmatisch

  1. Starten Sie mit einer einfachen Liste der wichtigsten Prozesse mit personenbezogenen Daten, zum Beispiel Personal, Vertrieb, Buchhaltung, Website.
  2. Notieren Sie zu jedem Prozess kurz: Zweck, Systeme, Dienstleister, Aufbewahrungsdauer.
  3. Ergänzen Sie die Liste alle paar Monate, statt alles in einem großen Projekt lösen zu wollen.

5. Mitarbeitende ohne klare Leitplanken

Die meisten Verstöße passieren nicht böswillig, sondern aus Routine. Eine Mail im falschen Verteiler, sensible Unterlagen im Papiermüll, Dateien auf privaten Geräten. Ohne klare, verständliche Regeln können Mitarbeitende schwer einschätzen, was noch in Ordnung ist und was nicht.

Typische Symptome

  • Unterschiedliche Abläufe im Umgang mit Kundendaten je nach Person
  • Weiterleitung sensibler Informationen über Messenger oder private E-Mail
  • Unsicherheit im Team, was erlaubt ist

So lösen Sie das pragmatisch

  1. Legen Sie in einem kurzen Merkblatt die wichtigsten Do’s und Don’ts im Alltag fest.
  2. Führen Sie eine kompakte Datenschutzschulung ein, zum Beispiel einmal im Jahr für alle.
  3. Machen Sie Datenschutz an Beispielen aus Ihrem Unternehmen greifbar, statt nur Regeln vorzulesen.

6. Schwache IT-Sicherheit als Einfallstor

Ohne solide IT-Sicherheit bleiben auch gute Datenschutzkonzepte Theorie. Angreifer nutzen oft einfache Lücken. Ebenso kritisch sind verlorene Geräte oder fehlerhafte Einstellungen. Für ein Unternehmen reichen oft wenige, klare Standards, um das Risiko deutlich zu senken.

Typische Symptome

  • Gleiche Passwörter für verschiedene Dienste
  • Keine Zwei-Faktor-Authentifizierung für wichtige Konten
  • Unklare oder fehlende Backup-Strategie

So lösen Sie das pragmatisch

  1. Führen Sie einen Passwortmanager und einfache Passwortregeln ein.
  2. Aktivieren Sie Zwei-Faktor-Authentifizierung überall dort, wo es verfügbar ist.
  3. Legen Sie feste Routinen für Updates und Backups fest, zum Beispiel monatlich mit kurzer Dokumentation.

7. Unklare Verträge mit Dienstleistern

Externe Dienstleister verarbeiten oft im Hintergrund personenbezogene Daten: Lohnbüro, IT, Cloud, Newsletter, CRM. Wenn Verträge zur Auftragsverarbeitung fehlen oder veraltet sind, bleibt unklar, wer was schützt und wie. Das erzeugt Lücken bei Verantwortung und Nachweis.

Typische Symptome

  • Es ist unklar, ob mit bestimmten Dienstleistern Auftragsverträge bestehen
  • Alte Vertragsmuster ohne Bezug auf die DSGVO
  • Keine Übersicht, welche Anbieter Daten außerhalb der EU speichern

So lösen Sie das pragmatisch

  1. Erstellen Sie eine Liste aller Dienstleister, die auf personenbezogene Daten zugreifen.
  2. Prüfen Sie, ob aktuelle Verträge zur Auftragsverarbeitung vorhanden sind und ob sie zu Ihrer Nutzung passen.
  3. Holen Sie fehlende Verträge nach und dokumentieren Sie kurz, welche Schutzmaßnahmen der Dienstleister zusichert.

8. Keine klaren Aufbewahrungs- und Löschregeln

In vielen Unternehmen werden Daten vorsichtshalber aufbewahrt. E-Mail-Postfächer wachsen über Jahre, alte Kundendaten bleiben liegen, Bewerbungen „für später“ archiviert. So entstehen stille datenschutzfehler, die im Alltag niemand bemerkt, die aber im Ernstfall schwer zu erklären sind.

Typische Symptome

  • Volle Postfächer mit jahrealten Nachrichten
  • Alte Kundendatensätze ohne aktuellen Bezug
  • Unsicherheit, wie lange bestimmte Unterlagen aufbewahrt werden sollen

So lösen Sie das pragmatisch

  1. Definieren Sie für die wichtigsten Datenarten einfache Aufbewahrungsfristen, zum Beispiel für Bewerbungen, Kundendaten, Projektunterlagen.
  2. Vereinbaren Sie feste Lösch- oder Archivierungszeitpunkte, etwa einmal pro Jahr.
  3. Binden Sie Ihre IT oder Dienstleister ein, damit die Löschung technisch zuverlässig umgesetzt wird.

9. Neue Tools und Künstliche Intelligenz ohne Vorprüfung

Cloud-Lösungen und Anwendungen mit Künstlicher Intelligenz wirken verlockend. Sie versprechen Tempo und Automatisierung. Gleichzeitig ist oft unklar, wie diese Tools Daten verarbeiten und wo sie gespeichert werden. So entstehen dsgvo fehler, bevor überhaupt jemand nachgefragt hat.

Typische Symptome

  • Fachabteilungen führen Tools ein, ohne IT oder Datenschutz zu informieren
  • Unklare Datenschutzeinstellungen in KI- oder Cloud-Diensten
  • Kein Überblick, in welchen Ländern die Daten verarbeitet werden

So lösen Sie das pragmatisch

  1. Führen Sie eine einfache Checkliste ein, die vor Einführung eines neuen Tools abgearbeitet wird.
  2. Prüfen Sie kurz: Welche Daten fließen hinein, wo stehen die Server, gibt es eine Vereinbarung zur Auftragsverarbeitung.
  3. Dokumentieren Sie die Entscheidung in wenigen Stichpunkten, damit sie nachvollziehbar bleibt.

10. Kein Plan für Datenpannen und Anfragen

Auch mit guten Vorkehrungen kann etwas passieren. Dann zählt, wie vorbereitet das Unternehmen ist. Ohne Plan gehen wertvolle Stunden verloren, Verantwortliche sind verunsichert und Fristen werden leicht verpasst. Ein kleiner, klarer Ablauf hilft, Ruhe zu bewahren.

Typische Symptome

  • Niemand weiß, wer im Ernstfall entscheidet und handelt
  • Es gibt keine Vorlage zur Dokumentation von Vorfällen
  • Unsicherheit bei Anfragen von Betroffenen oder Behörden

So lösen Sie das pragmatisch

  1. Legen Sie fest, wer im Fall einer Datenpanne informiert wird und wer entscheidet.
  2. Erstellen Sie eine kurze Vorlage, mit der Sie Vorfälle erfassen, zum Beispiel Datum, Art des Vorfalls, beteiligte Systeme, Maßnahmen.
  3. Halten Sie grundlegende Schritte für Anfragen von Betroffenen und Behörden schriftlich fest, auch wenn Sie bei Bedarf zusätzlich Fachleute hinzuziehen.

Schnellstart in 60 Minuten

Mit einer Stunde konzentrierter Arbeit können Sie bereits erste datenschutzfehler sichtbar machen und entschärfen:

  • 10 Minuten: Verantwortliche Person festlegen und kurz schriftlich benennen
  • 10 Minuten: Liste der wichtigsten Prozesse mit personenbezogenen Daten skizzieren (Personal, Vertrieb, Buchhaltung, Website)
  • 10 Minuten: Übersicht der genutzten Tools und Dienstleister erstellen, insbesondere Cloud, Newsletter, CRM, Lohnbüro
  • 10 Minuten: Kurze Sichtung der Website mit Blick auf Cookie-Banner, Formulare und Datenschutzerklärung
  • 10 Minuten: Drei konkrete Sofortmaßnahmen festhalten, zum Beispiel Passwortmanager einführen, Schulung planen, Webseitencheck beauftragen
  • 10 Minuten: Nächsten Termin eintragen, um die Punkte weiter zu vertiefen, zum Beispiel in zwei Wochen für weitere 60 Minuten

Webseitencheck oder kurzer Datenschutzcheck

Wenn Sie nicht sicher sind, wo Sie stehen, ist ein kurzer Webseitencheck oder Datenschutzcheck ein sinnvoller Startpunkt. Danach wissen Sie, wo Handlungsbedarf besteht und wo nicht. Mehr muss es am Anfang nicht sein.

Ein externer Datenschutzbeauftragter kann helfen, blinde Flecken zu erkennen und Prioritäten zu setzen. Ohne alles auf einmal umwerfen zu müssen.

Für einen gelassenen Einstieg bieten sich an:

  • Ein gezielter Webseitencheck, bei dem Technik, Cookies, Formulare und Datenschutzerklärung betrachtet werden
  • Ein kurzer Datenschutzcheck, der die wichtigsten Bereiche im Unternehmen strukturiert durchgeht

Sie entscheiden danach in Ruhe, welche Maßnahmen Sie selbst umsetzen und wo Sie Unterstützung möchten.

FAQ zu Datenschutzfehlern im kleinen Unternehmen

1. Was sind typische datenschutzfehler in kleinen Unternehmen?

Typisch sind fehlende Zuständigkeiten, veraltete Unterlagen, unsaubere Websites und schwache IT-Sicherheit. Oft fehlen zudem klare Aufbewahrungs- und Löschregeln. Viele dieser Punkte lassen sich mit einfachen, gut geplanten Schritten verbessern.

2. Sind DSGVO Fehler bei kleinen Unternehmen weniger kritisch?

Die DSGVO unterscheidet nicht danach, ob es ein kleines Unternehmen oder ein Konzern ist. Der Maßstab richtet sich vor allem nach Art und Umfang der Datenverarbeitung. Kleine Unternehmen können sich aber oft mit pragmatischen, überschaubaren Maßnahmen gut absichern.

3. Wann lohnt sich ein externer Datenschutzbeauftragter?

Ein externer Datenschutzbeauftragter ist sinnvoll, wenn intern Zeit oder Fachwissen fehlen oder wenn viele personenbezogene Daten verarbeitet werden. Er oder sie bringt Struktur, Erfahrung und einen Blick von außen ein. Das hilft, Prioritäten zu setzen und datenschutzfehler zu vermeiden.

4. Reicht es, wenn meine Agentur sich um die Website kümmert?

Eine Agentur kann Technik und Gestaltung übernehmen, trägt aber nicht automatisch die Verantwortung für DSGVO Fehler. Als Unternehmen bleiben Sie verantwortlich. Ein Webseitencheck aus Datenschutzsicht ergänzt die Arbeit der Agentur sinnvoll.

5. Wie fange ich an, ohne alles zu überfordern?

Starten Sie mit einem überschaubaren Überblick: Prozesse, Tools, Website, Zuständigkeiten. Wählen Sie dann drei konkrete Maßnahmen mit hohem Nutzen und setzen Sie diese zuerst um. Wenn Sie möchten, kann ein kurzer Datenschutzcheck Ihnen helfen, genau diese Schritte zu definieren.

Ähnliche Beiträge