Braucht ein KMU einen Datenschutzbeauftragten

VonStephan Wagner
Holzklötze mit dem Schriftzug "DATENSCHUTZ" und Symbolen, auf einem Schreibtisch neben einem Stift, einer Tafel und einer Tastatur - ideal zur Veranschaulichung von KMU- oder Datenschutzbeauftragten-Konzepten.

Im Alltag sieht es oft so aus: Die IT führt ein neues Tool ein. Die Website wird überarbeitet. Im Vertrieb wächst das CRM. Parallel kommen erste Fragen zu Datenschutz und DSGVO auf. Irgendwann steht der Satz im Raum: „Müssen wir jetzt einen Datenschutzbeauftragten benennen?“ Die einen winken ab. Die anderen sind verunsichert. Konkrete Entscheidungen werden geschoben.

In diesem Beitrag geht es darum, wann ein KMU einen Datenschutzbeauftragten braucht, welche gesetzlichen Pflichten es gibt und wie Sie pragmatisch vorgehen können. Ohne Paragrafenflut, mit Fokus auf Ihren Unternehmensalltag.

1. Unklare Vorstellung: Was macht ein Datenschutzbeauftragter überhaupt

Viele verbinden mit dem Begriff „Datenschutzbeauftragter“ vor allem Formalitäten. Dokumente, Checklisten, vielleicht Schulungen. Was das im KMU konkret bedeutet, bleibt oft vage.

Typische Probleme:

  • Datenschutz wird als reine Pflichtübung gesehen
  • Verantwortliche erwarten entweder „Feuerlöscher“ oder „Kontrolleur“
  • Im Alltag fehlen konkrete Bilder, wie Zusammenarbeit aussehen kann

Pragmatische Lösung:

  • Klären Sie intern kurz, welche Aufgaben Sie erwarten: Beratung, Prüfung, Schulung, Ansprechpartner für Fragen
  • Machen Sie eine Liste mit drei bis fünf typischen Alltagssituationen, in denen Sie sich Unterstützung wünschen würden
  • Nutzen Sie diese Liste als Grundlage für Gespräche mit einer internen oder externen Datenschutzbeauftragten Person

2. Gesetzliche Pflicht wird falsch eingeschätzt

Rund um die DSGVO und das Bundesdatenschutzgesetz kursieren viele Halbwahrheiten. Manche KMU sind überzeugt, dass sie auf jeden Fall einen Datenschutzbeauftragten brauchen. Andere sind sicher, dass das „erst ab Konzerngröße“ gilt.

Wichtig ist die Unterscheidung zwischen Privatwirtschaft und öffentlichen Stellen in Deutschland:

  • Unternehmen aus der Privatwirtschaft müssen nach deutschem Recht in der Regel eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen, wenn sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
  • Behörden und öffentliche Stellen benötigen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten unabhängig von der Zahl der Mitarbeitenden.

Daneben gibt es weitere Fälle, in denen eine Benennung nötig sein kann, zum Beispiel bei bestimmten risikoreichen Verarbeitungen.

Typische Probleme:

  • Entscheidungen basieren auf alten Informationen oder Hörensagen
  • Es wird nur auf die reine Unternehmensgröße geschaut, nicht auf die Art der Datenverarbeitung
  • Die Frage bleibt ungeklärt, weil niemand sich zuständig fühlt

Pragmatische Lösung:

  • Prüfen Sie, wie viele Personen in Ihrem Unternehmen regelmäßig mit personenbezogenen Daten am Bildschirm arbeiten
  • Halten Sie fest, ob Sie als Unternehmen der Privatwirtschaft oder als öffentliche Stelle tätig sind
  • Dokumentieren Sie Ihre Einschätzung schriftlich und lassen Sie sie bei Unsicherheit durch einen kurzen Datenschutzcheck fachlich einordnen

(Hinweis: Diese Hinweise sind eine allgemeine Orientierung und keine Rechtsberatung.)

3. „Wir machen das nebenbei mit“ als Dauerlösung

In vielen KMU gibt es jemanden, der sich „mit um den Datenschutz kümmert“. Oft im Office Management oder in der IT. Anfangs funktioniert das, später wachsen Themen und Anforderungen. Der Datenschutz bleibt dabei ein Anhängsel.

Typische Probleme:

  • Die Person hat kaum feste Zeit für Datenschutzaufgaben
  • Entscheidungen werden verzögert, weil andere Aufgaben Vorrang haben
  • Fachwissen ist begrenzt, vor allem bei Spezialfragen zu Website, Tools oder besonderen Datenarten

Pragmatische Lösung:

  • Schaffen Sie Klarheit darüber, wie viel Zeit tatsächlich für Datenschutzthemen nötig ist
  • Entscheiden Sie bewusst, ob diese Aufgaben intern mit ausreichenden Ressourcen abgedeckt werden können
  • Prüfen Sie, ob eine externe Datenschutzbeauftragte Person einzelne Aufgaben übernehmen oder die interne Ansprechperson unterstützen sollte

4. Fachkunde und Unabhängigkeit werden unterschätzt

Eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter braucht fachliche Kenntnisse und eine gewisse Unabhängigkeit. Gerade in kleineren Unternehmen ist es schwierig, diese Kombination intern abzubilden.

Typische Probleme:

  • Personen in zentralen Entscheidungsrollen sollen gleichzeitig Datenschutzbeauftragte sein
  • Schulungen werden einmalig gebucht, danach bleibt es beim alten Wissensstand
  • Interessenkonflikte werden nicht beachtet, zum Beispiel wenn die IT Leitung selbst Datenschutzbeauftragte Person sein soll

Pragmatische Lösung:

  • Prüfen Sie kritisch, welche Personen intern überhaupt für diese Rolle in Frage kommen
  • Klären Sie, ob diese Personen tatsächlich unabhängig beraten können
  • Wenn das schwierig ist, ziehen Sie eine externe Datenschutzbeauftragte Person in Betracht, die Fachkunde und Unabhängigkeit mitbringt

5. Interner oder externer Datenschutzbeauftragter ohne klare Abgrenzung

Einige KMU haben bereits eine Datenschutzbeauftragte Person benannt, intern oder extern. Im Alltag ist jedoch nicht klar, wer was übernimmt. Zuständigkeiten verwischen. Dadurch bleiben Chancen ungenutzt.

Typische Probleme:

  • Mitarbeitende wissen nicht, an wen sie sich bei welchem Thema wenden sollen
  • Aufgaben werden doppelt oder gar nicht erledigt
  • Es fehlt ein gemeinsamer, verständlicher Plan

Pragmatische Lösung:

  • Halten Sie in einem kurzen Dokument fest, wie die Zusammenarbeit aussehen soll
  • Legen Sie fest, wer welche Entscheidungen vorbereitet und wer beratend einbezogen wird
  • Stellen Sie dieses Dokument dem Team zur Verfügung und passen Sie es bei Bedarf an

6. Website und Online Dienste bleiben außen vor

Die Unternehmenswebsite und genutzte Online Dienste sind oft der sichtbarste Teil der Datenverarbeitung. Dennoch werden sie in der Diskussion um eine Datenschutzbeauftragte Person manchmal vergessen.

Typische Probleme:

  • Es gibt keinen Überblick, welche Tools auf der Website laufen
  • Cookie Banner, Formulare und Tracking werden von Agenturen eingerichtet, ohne Datenschutzabstimmung
  • Neue Online Dienste werden eingeführt, ohne die Frage nach Datenschutzbeauftragten oder Pflichten zu stellen

Pragmatische Lösung:

  • Nehmen Sie die Website ausdrücklich in Ihre Überlegungen auf
  • Lassen Sie bei Bedarf mit einem Webseitencheck prüfen, wie Ihre Online Präsenz aus Datenschutzsicht dasteht
  • Nutzen Sie die Ergebnisse als Baustein für Ihre Entscheidung, ob und in welchem Umfang eine Datenschutzbeauftragte Person eingebunden sein sollte

7. Datenschutz als Projekt statt als laufende Aufgabe

Viele Unternehmen gehen Datenschutz in Wellen an. Es gibt eine Phase mit viel Aktivität, dann kehrt Ruhe ein. Neue Themen entstehen im Alltag, werden aber nicht mehr mitgedacht. Eine Datenschutzbeauftragte Person wird dann als „Projektrolle“ gesehen, nicht als dauerhafte Ansprechperson.

Typische Probleme:

  • Unterlagen sind gut gestartet, wurden aber nie aktualisiert
  • Neue Prozesse, Tools und Strukturen tauchen in der Dokumentation nicht auf
  • Mitarbeitende wissen nicht, ob bestimmte Regeln noch gelten

Pragmatische Lösung:

  • Verstehen Sie Datenschutz als laufende Managementaufgabe, nicht als einmalige Aktion
  • Planen Sie einen klaren Rhythmus, zum Beispiel jährliche Überprüfung und kurze Zwischenupdates
  • Nutzen Sie eine Datenschutzbeauftragte Person als kontinuierliche Begleitung, nicht nur für Einzelaktionen

8. Kostenfrage ohne Blick auf Aufwand und Risiken

Die Frage „Braucht ein KMU einen Datenschutzbeauftragten“ wird schnell zur Kostenfrage. Dabei wird selten erhoben, wie viel interne Zeit heute schon in Datenschutzthemen fließt. Auch mögliche Risiken bleiben abstrakt.

Typische Probleme:

  • Vergleich nur zwischen „Kosten für externe Unterstützung“ und „kein Geld ausgeben“
  • Interner Aufwand und Unsicherheit werden nicht berücksichtigt
  • Es werden keine Prioritäten gesetzt, sondern nur allgemeine Vorsätze formuliert

Pragmatische Lösung:

  • Erfassen Sie grob, wie viel Zeit interne Personen aktuell für Datenschutzthemen aufwenden
  • Stellen Sie dem die möglichen Aufgaben einer internen oder externen Datenschutzbeauftragten Person gegenüber
  • Entscheiden Sie auf dieser Basis, nicht nur auf Grundlage eines Stundensatzes

9. Kommunikation im Unternehmen bleibt vage

Selbst wenn die Geschäftsführung zu einem Ergebnis kommt, bleibt diese Entscheidung oft im kleinen Kreis. Mitarbeitende wissen nicht, ob es eine Datenschutzbeauftragte Person gibt und wofür diese zuständig ist.

Typische Probleme:

  • Niemand nutzt die vorhandene Kompetenz, weil sie unbekannt ist
  • Es entstehen Parallelstrukturen, etwa „inoffizielle“ Ansprechpersonen
  • Die Bedeutung des Themas bleibt unklar

Pragmatische Lösung:

  • Kommunizieren Sie klar, ob und wen Sie als Datenschutzbeauftragte Person benannt haben
  • Erklären Sie kurz, wofür diese Person da ist und wie Sie sie erreichen
  • Verankern Sie diese Information im Onboarding und in internen Informationskanälen

Schnellstart in 60 Minuten

In einer Stunde können Sie eine fundierte erste Einschätzung treffen, ob eine Datenschutzbeauftragte Person für Ihr KMU Pflicht oder sinnvoller nächster Schritt ist.

Vorschlag für 60 Minuten:

  • 10 Minuten: Sammeln Sie alle Bereiche, in denen regelmäßig personenbezogene Daten verarbeitet werden (Website, Personal, Vertrieb, IT Systeme, Dienstleister)
  • 10 Minuten: Notieren Sie, wie viele Personen regelmäßig am Bildschirm mit personenbezogenen Daten arbeiten
  • 10 Minuten: Halten Sie besondere Konstellationen fest, zum Beispiel Gesundheitsdaten, umfangreiches Tracking, Videoüberwachung
  • 10 Minuten: Erfassen Sie grob, wie viel Zeit derzeit intern in Datenschutzthemen fließt und wer beteiligt ist
  • 10 Minuten: Prüfen Sie, ob es bereits eine formelle Benennung einer Datenschutzbeauftragten Person gibt und wie diese kommuniziert wurde
  • 10 Minuten: Entscheiden Sie, ob eine externe Beratung, ein Webseitencheck oder ein kurzer Datenschutzcheck als nächster Schritt sinnvoll ist

Sie haben danach kein vollständiges Konzept. Aber Sie verfügen über eine strukturierte Grundlage für eine bewusste Entscheidung.

Webseitencheck oder Datenschutzcheck

Ob ein KMU eine Datenschutzbeauftragte Person braucht, ist keine Frage, die man im Vorbeigehen entscheiden sollte. Gleichzeitig muss sie kein Großprojekt werden.

Ein Webseitencheck zeigt, wie Ihre Online Präsenz aus Datenschutzsicht aufgestellt ist. Er macht sichtbar, welche Datenflüsse es gibt und wo typische DSGVO Risiken liegen.

Ein kurzer Datenschutzcheck betrachtet zusätzlich Ihre zentralen Prozesse im Unternehmen. Er hilft Ihnen, gesetzliche Pflichten und sinnvolle Schritte voneinander zu trennen und Prioritäten zu setzen.

Auf dieser Basis können Sie in Ruhe entscheiden, ob und in welcher Form eine Datenschutzbeauftragte Person für Ihr Unternehmen passend ist.

FAQ: Braucht ein KMU einen Datenschutzbeauftragten

1. Ab wann braucht ein Unternehmen aus der Privatwirtschaft eine Datenschutzbeauftragte Person?
Nach deutschem Recht ist in der Regel eine Benennung erforderlich, wenn sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Daneben gibt es weitere Konstellationen, in denen eine Pflicht entstehen kann.

2. Gilt diese Grenze von 20 Personen auch für Behörden und öffentliche Stellen?
Nein. Für Behörden und öffentliche Stellen besteht die Pflicht zur Benennung einer Datenschutzbeauftragten Person grundsätzlich unabhängig von der Zahl der Mitarbeitenden.

3. Reicht es, wenn jemand im Unternehmen „mit“ Datenschutz übernimmt?
Für einzelne Aufgaben kann das funktionieren. Wenn eine Benennungspflicht besteht oder viele komplexe Themen anstehen, stoßen „Nebenbei Lösungen“ schnell an Grenzen, sowohl beim Fachwissen als auch bei der verfügbaren Zeit.

4. Ist eine externe Datenschutzbeauftragte Person für KMU sinnvoll?
Externe Unterstützung kann besonders dann sinnvoll sein, wenn intern wenig Zeit oder Erfahrung im Datenschutz vorhanden ist. Sie bringt Fachkenntnis und einen Blick von außen ein, während Entscheidungen im Unternehmen bleiben.

5. Wie erkenne ich, ob wir aktuell Lücken im Datenschutz haben?
Hinweise sind zum Beispiel veraltete Unterlagen, unklare Zuständigkeiten, eine lange nicht geprüfte Website oder viele Einzelfragen aus dem Team. Ein strukturierter Webseitencheck oder Datenschutzcheck kann hier Klarheit schaffen.

Disclaimer

Dieser Beitrag bietet eine allgemeine Orientierung zur Frage, ob ein kleines oder mittleres Unternehmen eine Datenschutzbeauftragte Person benötigt. Er ersetzt keine individuelle Rechtsberatung und kann die Prüfung des Einzelfalls durch qualifizierte Fachleute nicht ersetzen.

Ähnliche Beiträge