Compliance 19. Februar 2026 · Milan Cák

DSGVO-Compliance-Checkliste für KMU — Update 2026

20-Punkte-DSGVO-Checkliste für KMU. EU-Hosting, Audit Log, DPA, Aufbewahrungsrichtlinien. Vermeiden Sie Strafen bis 20 Mio. EUR.

Seit Inkrafttreten der DSGVO (EU-Verordnung 2016/679) im Mai 2018 gab es zwei Generationen von Updates – und für 2026 treten neue EDPB-Leitlinien zu KI-Systemen, Cloud-Speichern außerhalb der EU und Telemetriespeicherung in Kraft. Strafen für KMU für DSGVO-Verstöße sind in den Jahren 2023 – 2025 um 320 % gestiegen. Hier ist eine praktische 20-Punkte-Checkliste, die 2026 jedes Unternehmen ohne externen DPO bewältigt.

Warum sich DSGVO-Compliance auch für eine 15-Personen-Firma lohnt

Argumente wie „uns betrifft die DSGVO nicht, wir sind eine kleine Firma” gelten 2026 nicht mehr. Datenschutzbehörden bestätigten in ihren Jahresberichten, dass 62 % der Strafen an Unternehmen mit bis zu 50 Mitarbeitern gingen. Durchschnittliche Strafe: 8.200 EUR. Höchste in der Region: 94.000 EUR (E-Shop, falsche Bearbeitung von Anträgen betroffener Personen).

Neben Strafen gibt es noch ein weiteres Risiko: B2B-Verträge. Große Unternehmen verlangen heute DPA (Data Processing Agreement) und Sicherheitsaudits von allen Lieferanten. Wenn Sie keine Compliance haben, verlieren Sie Ausschreibungen.

Tipp: DSGVO ist kein One-Time-Projekt. Es ist ein kontinuierlicher Prozess. Gehen Sie die Checkliste einmal jährlich durch, idealerweise im Q1 nach dem Steuerabschluss, wenn Sie ohnehin Prozesse revidieren.

20-Punkte-DSGVO-Checkliste für KMU (2026)

Grundlagen und Dokumentation (1 – 5)

1. Haben Sie ein aktuelles Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)? Excel-Tabelle mit Liste: Datentyp, Zweck, Rechtsgrundlage, Aufbewahrungsdauer, Empfänger. Pflicht für jedes Unternehmen über 250 Personen – und in der Praxis auch für kleinere, die sensible Daten verarbeiten.

2. Haben Sie in jedem Vertrag eine korrekt informierte Einwilligung oder eine andere Rechtsgrundlage gemäß Art. 6 DSGVO? Marketing-Newsletter → Opt-in-Einwilligung. Rechnungen → berechtigtes Interesse + gesetzliche Verpflichtung.

3. Haben Sie aktuelle Informationen zur Verarbeitung personenbezogener Daten (Privacy Notice) auf der Website und in den Empfangsbereichen? Mindestens 13 Punkte gemäß Art. 13 DSGVO. Konkret, nicht „gemäß Gesetz verarbeiten wir Ihre Daten”.

4. Haben Sie DPA mit allen Auftragsverarbeitern unterzeichnet (Cloud-Anbieter, Buchhalterin, HR-Agentur, IT-Lieferant)? DSGVO Art. 28 – schriftlicher Vertrag ist verpflichtend. Für 2026 prüfen Sie, ob die DPA auch KI-Subprozessoren (ChatGPT, Claude usw.) abdeckt.

5. Haben Sie eine verantwortliche Person bestimmt (DPO oder interner Kontakt)? DPO ist Pflicht bei großem Umfang sensibler Daten (Gesundheitswesen, Biometrie, Justiz). Für KMU reicht meist ein interner Kontakt – muss aber definiert und öffentlich zugänglich sein.

Technische Maßnahmen (6 – 12)

6. Sind Ihre Daten in der EU gehostet? Server außerhalb der EU = Schrems-II-Problem. Nach dem Wegfall des US-EU Data Privacy Framework 2023 ist für KMU eine sichere Wette Hosting ausschließlich in der EU (idealerweise DE, FR, PL). Überprüfen Sie, wo Ihr ERP, CRM und E-Mail laufen. Mehr zu unserem Ansatz auf der Seite Sicherheit.

7. Haben Sie 2FA für alle Administratorkonten aktiviert? Passwort „admin123” reicht 2026 nicht. De-facto-Pflicht, wenn Sie Zugriff auf personenbezogene Daten von über 1.000 Personen haben.

8. Haben Sie regelmäßige Backups und einen verifizierten Recovery-Plan? Wiederherstellungstest mindestens 2× jährlich. Ransomware-Angriffe auf KMU stiegen 2024 um 180 %.

9. Verschlüsseln Sie personenbezogene Daten im Ruhezustand (at rest) und bei der Übertragung (in transit)? HTTPS überall. AES-256 oder Äquivalent für Datenbanken. Für sensible Kategorien (Gesundheit, Finanzen) Bonus beim Audit.

10. Haben Sie einen Audit Log, der den Zugriff auf personenbezogene Daten erfasst? „Wer, wann, welchen Datensatz gesehen / geändert.” Ohne dies bestehen Sie keinen ernsthaften B2B-Audit oder Reaktion auf Breach. Modulario stellt diesen Audit Log nativ bereit – mehr Info auf der Sicherheitsseite.

11. Haben Sie Aufbewahrungsrichtlinien und automatisches Löschen nach Ablauf der Frist? Datenschutzgesetz + Steuergesetz: Rechnungen 10 Jahre, Personaldaten 50 Jahre (Rente), Marketing-Einwilligungen bis Widerruf oder 24 Monate.

12. Haben Sie Pseudonymisierung oder Anonymisierung dort, wo es möglich ist? Z. B. Webanalyse ohne IP-Adressen, internes Dashboard mit Hash-ID der Mitarbeiter.

Prozesse (13 – 17)

13. Haben Sie einen definierten Prozess für die Reaktion auf Anträge betroffener Personen (Zugriff, Berichtigung, Löschung)? Frist: 1 Monat, Verlängerung auf 3 bei komplizierten Fällen. Wer im Unternehmen nimmt die E-Mail an, wer überprüft die Identität, wer realisiert die Löschung?

14. Haben Sie einen Reaktionsplan für Sicherheitsvorfall (Data Breach)? 72 Stunden zur Meldung an die Datenschutzbehörde. In der Praxis haben Sie <24h, bevor sich der Vorfall ausbreitet. Vorlage + verantwortliche Person + Kommunikationsplan.

15. Haben Sie ein geschultes Team? Mindestens jährliches Training für alle, die mit personenbezogenen Daten umgehen. E-Learning für 2 Stunden reicht für die Basis.

16. Überprüfen Sie den Hintergrund neuer Lieferanten (Vendor Due Diligence)? Fragezeichen bei SaaS: Wo hosten sie? Haben sie ISO 27001 / SOC 2? Welche Sub-Processor-Struktur haben sie? Haben sie DPA bereit?

17. Haben Sie DPIA (Data Protection Impact Assessment) für riskante Verarbeitungen? Pflicht bei systematischer Überwachung, Verarbeitung sensibler Kategorien in großem Umfang, automatischer Entscheidungsfindung. 2026 auch für einige KI-Use-Cases (siehe AI Act).

Spezifika 2026 (18 – 20)

18. Kartieren Sie KI-Systeme und Modelle, die personenbezogene Daten verarbeiten? Neue EDPB-Leitlinien 2025: Wenn ein KI-Modell PD verarbeitet (Chatbot, HR-Assist, KI-Scoring), müssen Sie DPIA + Transparenz haben.

19. Haben Sie klare Regeln für die Nutzung generativer KI (ChatGPT, Claude, Copilot)? Mitarbeiter kopieren routinemäßig Kundendaten in öffentliche KI-Tools. Policy + Whitelist + Enterprise-Konten lösen das Problem.

20. Haben Sie einen vorbereiteten Prozess für DSGVO-Audit (intern oder extern)? Jährlich Checkliste durchgehen, alle 2 Jahre externer Audit. Protokoll ist nützlich bei Ausschreibungen.

Häufigste Strafen 2023 – 2025

Verstoß	Durchschnittliche Strafe	Häufigkeit
Fehlende/falsche Einwilligung mit Marketing	3.200 EUR	Höchste
Keine Reaktion auf Antrag der betroffenen Person	5.800 EUR	Hoch
Fehlende DPA mit Auftragsverarbeiter	4.500 EUR	Hoch
Data Breach ohne Meldung	12.000 EUR	Mittel
Ungeeignete technische Maßnahmen	8.400 EUR	Mittel

Tipp: Die günstigste und effektivste Investition in DSGVO 2026 ist ein ERP/CRM-System mit nativem Audit Log, EU-Hosting und unterzeichneter DPA. Es deckt automatisch 10 von 20 Punkten dieser Checkliste ab.

Fazit

DSGVO-Compliance ist kein Schreckgespenst – es ist Disziplin. Die 20-Punkte-Checkliste oben durchläuft ein durchschnittliches KMU in 2 – 4 Tagen Arbeit. Strafen beginnen bei Tausenden EUR und der Regulator ist 2026 aktiver denn je. Hinzu kommt der Druck von B2B-Klienten auf DPA und Sicherheitszertifikate – und Sie haben einen kompletten Business Case.

Brauchen Sie ein ERP/CRM-System, das DSGVO nativ löst – EU-Hosting, Audit Log, automatische Aufbewahrungsrichtlinien? Sehen Sie sich Details unserer Sicherheitsmaßnahmen an oder kontaktieren Sie uns über eine kostenlose Beratung. Wir bereiten Ihnen eine DSGVO-konforme Umgebung in 2 Wochen vor.

Často kladené otázky

Welche Strafen gibt es für DSGVO-Verstöße 2026?

Zwei Stufen: (1) Geringere Verstöße (Art. 83 Abs. 4) - bis 10 € Mio. oder 2 % des weltweiten Umsatzes (höher). (2) Schwerwiegendere Verstöße wie unrechtmäßige Verarbeitung, Verletzung von Betroffenenrechten, Transfer außerhalb EU - bis 20 € Mio. oder 4 % Umsatz. Für KMU mit 5 € Mio. Umsatz realistische Strafen 50.000-200.000 € für geringere Verstöße, 200.000-500.000 € für schwerwiegendere. BfDI in DE und Bundesländer-Datenschutzbeauftragte erteilen Strafen aktiv - 2024 insgesamt über 50 € Mio. in DE.

Was kostet DSGVO-Compliance für ein KMU?

Für 25-Personen-Firma realistisches Budget: (1) Setup einmalig 3.000-10.000 € (Register, Vertragsvorlagen, ERP-Audit-Log, Rechtsleistungen 5-15 Stunden). (2) Regelmäßige Kosten 1.500-5 €.000 €/Jahr (interne Audits, ggf. DPO-Berater 2-4 Stunden/Monat). (3) Externer Audit alle 2 Jahre 1.500-3 €.000 €. Gesamt erstes Jahr 5.000-15.000 €, weitere Jahre 2.000-5 €.000 €. Ohne Compliance: Strafe ab 5.000 € beim ersten Verstoß, B2B-Kunden lehnen Zusammenarbeit ab.

Braucht ein KMU einen DPO (Datenschutzbeauftragten)?

DPO Pflicht für: (1) Öffentliche Einrichtungen. (2) Firmen mit umfangreicher Personenüberwachung (CCTV, Online-Tracking >10.000 Datensätze/Monat). (3) Firmen, die sensible Datenkategorien im großen Umfang verarbeiten (Gesundheit, Biometrie). (4) Deutschland: ab 20 Mitarbeitern mit Datenverarbeitung. Externer DPO: 500-2 €.000 €/Monat je nach Umfang. Interner DPO-Koordinator: Teilzeit Admin/HR oder Jurist, 100–300 €/Monat Aufwand. dsgvo@firma.de E-Mail-Adresse Pflicht für Betroffenenkontakt.

Welche DSGVO-Anforderungen gibt es für KI-Tools?

Ab 2.8.2026 (AI Act-Inkrafttreten) + DSGVO (Art. 22 - automatisierte Entscheidungen): (1) DPIA für KI-Systeme, die personenbezogene Daten verarbeiten. (2) Transparenzhinweis - Betroffene wissen, dass sie mit KI kommunizieren. (3) Human Oversight für rechtlich relevante Entscheidungen (HR-KI). (4) Regeln für ChatGPT/Claude - keine Kundendaten in Public Free Tier, nur Enterprise-Konten mit DPA. (5) KI-Tool-Inventar in der Firma. Strafen: DSGVO bis 20 € Mio. + AI Act bis 35 € Mio.

Welche Aufbewahrungsfristen gibt es für verschiedene Datentypen?

Deutschland 2026: (1) Rechnungen, Buchungsbelege - 10 Jahre (§ 147 AO). (2) Personalakten - bis 10 Jahre nach Beendigung. (3) Geschäftsbriefe - 6 Jahre. (4) Steuerunterlagen - 10 Jahre. (5) Marketing-Einwilligungen - bis Widerruf, max 24 Monate ohne aktive Einwilligung. (6) CCTV-Aufnahmen - max 72 Stunden (BfDI-Empfehlung). (7) Newsletter-Kontakte - bis Einwilligungswiderruf. Automatische Löschung über Cron Job, nicht manuell.

Was tun bei Data Breach (Datenpanne)?

DSGVO Art. 33-34 fordert: (1) Innerhalb 72 Stunden Meldung an Aufsichtsbehörde via Online-Formular (Meldung auch bei niedrigem Risiko). (2) Bei hohem Risiko für Betroffene - individuelle Benachrichtigung (E-Mail, Brief). (3) Incident dokumentieren: was passierte, welcher Umfang, welche Maßnahmen. (4) Meldepflicht auch für partiellen Breach. NIS2 (2026) für kritische Infrastruktur: Meldung innerhalb 24 Stunden an BSI. Strafe für Nichtmeldung: bis 10 € Mio. + Reputationsschaden. Incident Response Plan vorbereiten.

Was sind die Top 5 DSGVO-Fehler in KMU 2026?

(1) Keine DPA mit Auftragsverarbeitern (Cloud-Provider, Buchhalter, IT-Dienstleister) - 60 % der KMU. (2) Newsletter ohne explizites Opt-in - 45 %. (3) Webformulare ohne Datenschutzerklärung und Auswahlmöglichkeit - 50 %. (4) Hosting außerhalb EU ohne DPF-Zertifizierung (post Schrems II) - 30 %. (5) Kein Audit Log für Zugriffe auf personenbezogene Daten in internen Systemen - 70 %. Lösung: 20-Punkte-Checkliste + jährliches Audit + Wahl EU-gehosteter ERP/CRM mit nativem Audit Log (Modulario, NetSuite EU).

DSGVO-Compliance-Checkliste für KMU — Update 2026

Warum sich DSGVO-Compliance auch für eine 15-Personen-Firma lohnt

20-Punkte-DSGVO-Checkliste für KMU (2026)

Grundlagen und Dokumentation (1 – 5)

Technische Maßnahmen (6 – 12)

Prozesse (13 – 17)

Spezifika 2026 (18 – 20)

Häufigste Strafen 2023 – 2025

Fazit

Verwandte Ressourcen

Často kladené otázky

Verwandte Artikel

Sicherheit & Compliance in Cloud-ERP 2026: Der vollständige Leitfaden

Self-Host vs. Cloud: Welche Lösung für Bank oder Gesundheitswesen?

KI-Gesetz der EU: Pflichten für ERP-Nutzer in 2026