DSGVO ist nicht kompliziert — wenn man weiß, was konkret zu tun ist. Dieser Leitfaden zeigt: Die 6 Bausteine, die jede KMU braucht. Was kostet das wirklich. Was passiert, wenn Sie nichts tun. Wann Sie einen DSB brauchen. Für KMU mit 20–250 Mitarbeitern, geschrieben von jemandem, der 45+ KMU durch Compliance geführt hat.
Kostenlos. Keine Verkaufspsychologie. Nur klare Anleitung.
Wer Kundendaten verarbeitet (E-Mail, CRM, Kontaktformular), braucht eine aktuelle Datenschutzerklärung. Viele KMU haben 2020-Versionen. Neue Version: 2–4 Stunden Aufwand, 500–1.500 EUR Kosten. Das ist nicht optional — die Behörde prüft das zuerst.
Dokumentieren Sie: Welche Daten? Woher? Wohin? Wie lange? Klingt komplex, ist aber: Excel-Tabelle. CRM-Daten → Salesforce. Mitarbeiterdaten → SAP. Kundenlisten → Google Drive. So einfach. Zeitaufwand: 1 Tag mit IT-Unterstützung.
Mit jedem Tool (Mailchimp, Google Analytics, Cloud-Anbieter) brauchen Sie einen schriftlichen Vertrag, dass dieser Service Ihre Daten schützt. Meist: Bereits online — einfach akzeptieren. Sonst: Template anpassen. Zeitaufwand: 2–3 Stunden Durchsehen.
Wer mit Kundendaten umgeht, muss geschult sein. Das ist nicht nur DSGVO — das ist sicherer Umgang. 1–2 halbtägige Schulungen pro Jahr. Für 30–50 MA: ca. 1.000–2.000 EUR pro Schulung. (Behörde verlangt Schulungsnachweis im Audit.)
Nicht nur Digital: Wer hat Zugriff auf Kundendaten? Server-Passwörter geschützt? Backup regelmäßig? Alte Mitarbeiter aus Systemen gelöscht? Klingt einfach, wird aber oft übersehen. Zeitaufwand: 4–8 Stunden IT-Audit.
Ob intern oder extern: Sie brauchen eine verantwortliche Person. Diese Person ist Ansprechpartner für die Behörde. Intern: Kostet Zeit. Extern: 290–890 EUR/Monat. Haftung liegt beim externen DSB (besser für Sie).
Ihr Team macht es. Kostenlos in EUR. Aber zeitaufwendig: 80–120 Stunden intern oder mit günstigem Berater. Realistische Rechnung für KMU mit 30–50 MA:
Summe DIY: 2.000–4.000 EUR + 100–150 Stunden Ihrer Zeit + Risiko.
Einmal-Audit + laufendes DSB-Mandat:
Summe für 1 Jahr: 1.500 EUR (Audit) + 290×12 = 4.980 EUR = ca. 6.500 EUR netto.
Oder monatlich: 540 EUR netto durchschnittlich.
DIY sieht billiger aus, ist aber:
Realität: Mit externer Hilfe (540 EUR/Monat) sind Sie spürbar sicherer und sparen Stress. Ein Bußgeldfall (auch kleinerer) würde 5–20x mehr kosten.
Ihr Kunde sagt: „Wir brauchen einen Auftragsverarbeitungsvertrag (DPA)."
Wenn Sie haben: Unterschrieben in 2 Tagen. Deal geht weiter.
Wenn Sie nicht haben: Kunde wartet. Nach 2 Wochen: „Alles klar, wir arbeiten mit jemand anderem."
Deal-Volumen verloren: 50.000–200.000 EUR über Jahres.
DSK (Datenschutzbehörde Österreich) macht eine Kontrolle.
Wenn Sie Compliance haben: Behörde macht die Kontrolle, findet wenig, geht weg.
Wenn Sie nichts haben: Behörde findet massive Lücken. Verfahren wird eingeleitet.
Bußgeld: 10.000–50.000 EUR (für größere KMU). Schlimmstenfalls: Geschäftsleitung persönlich haftbar.
Server ist gehackt. 1.000 Kundendaten sind kompromittiert.
Wenn Sie Compliance-Dokumentation haben: Sie melden der Behörde. Das ist Ihre gesetzliche Pflicht.
Sie zeigen, dass Sie ToM (technische Maßnahmen) hattet. Behörde versteht: Das war ein Angriff, nicht Negligence.
Bußgeld: Eher niedrig (5.000–10.000 EUR).
Wenn Sie nichts haben: Keine Dokumentation. Keine Incident-Response-Plan. Keine Schulung für Mitarbeiter.
Behörde sieht: Grobe Fahrlässigkeit. Bußgeld: 50.000+ EUR. Reputations-Schaden enorm.
Österreichische Datenschutzbehörde (DSK) verhangte 2023–2024 ca. 200 Bußgeld-Verfahren.
Durchschnitt: 52.000 EUR pro Fall (für KMU).
Ausreißer nach oben: 500.000+ EUR für Großunternehmen ohne Compliance.
Das kostet ein DSB-Mandat für 1 Jahr: ~6.500 EUR.
Ein einziger Bußgeldfall würde ~8x mehr kosten.
„Wir sind ein Maschinenbau-KMU mit 42 Mitarbeitern. Nach unserer Gründung vor 12 Jahren hatten wir nie Zeit für Datenschutz. Dann kam eine Behörden-Anfrage. Plötzlich mussten wir reagieren. Wir haben ein Audit gemacht — kostete uns 1.500 EUR. In den ersten 3 Monaten zahlten wir 3×290 EUR für ein DSB-Mandat. Heute: Wir haben Ruhe. Großkunden bekommen DPA. Behörde kontrolliert nicht mehr. Ein bisschen Geld monatlich ist deutlich besser als Panik.” Wilhelm R., Geschäftsführer, Maschinenbau-KMU Steiermark
Rechtlich: Wenn 20+ Mitarbeiter UND Sie verarbeiten Kundendaten systematisch (CRM, E-Mail-Marketing, HR-Daten), dann ist ein DSB Pflicht. Frühstadium-Startups (<10 MA): Brauchen keinen DSB, aber Compliance ist trotzdem sinnvoll (wegen Investor-DD, Großkunden-Anforderungen). Faustregel: Ab 20 MA ein DSB. Darunter: Compliance-Dokumentation reicht.
Ja, technisch. Das Problem: Ein IT-Leiter kennt oft nur die Tech-Seite, nicht die Jura. Ein DSB braucht beides. Oft ist der IT-Leiter ohnehin überlastet. Plus: Seine Haftung ist personal. Wenn was schiefgeht, haftet der IT-Leiter. Besser: Ein externer DSB mit Versicherung und Expertise.
Das ist: Was machen Sie, wenn Daten gehackt werden? Z.B.: „Wenn Server gehackt wird → IT-Chef ruft an → Server wird abgestellt → Behörde wird angerufen → Kunden werden informiert." Klingt kompliziert, ist aber: Ein 1-Seiten-Dokument. Wichtig: Die Behörde verlangt einen Plan (Art. 33 DSGVO). Ohne Plan: Noch schlimmere Bußgelder.
Diese Tools sind gut für: Vorlagen, Checklisten, Dokumentation. Die Tools ersetzen aber keinen DSGVO-Verstand + Recht. Z.B.: Ein Tool sagt „Sie brauchen ein DPA". Ein Tool kann es nicht verhandeln. Ein DSB schaut: Wo genau sind Probleme? Was ist prioritär? Tools sind eher DIY-Helfer, nicht Ersatz für Expertise.
Nicht alle — nur die, die Sie nicht mehr brauchen. Kundendaten aus alter Rechnung: 7 Jahre Aufbewahrungspflicht (Finanzen). Daten von Interessenten, die nicht konvertierten: Nach 2–3 Monaten löschen. Das ist individuell. Darum brauchen Sie ein Verarbeitungsverzeichnis, das dokumentiert, wie lange Sie was aufbewahren.
Intern: Kostet Gehalt (45.000+ EUR/Jahr). Unabhängigkeit fraglich. Wenn Mitarbeiter geht: Chaos.
Haftung: Der Mitarbeiter.
Extern (wie bei tablegray): 290–890 EUR/Monat. Unabhängig. Haftung ist auf den DSB-Anbieter.
Kein HR-Overhead. Für KMU: Deutlich besser.
Unser Quick-Check ist speziell für KMU optimiert. Geschrieben für Geschäftsführer ohne Datenschutz-Hintergrund. Sie sehen sofort: Wo sind Lücken? Was ist Priorität? Brauche ich externe Hilfe?
Kostenlos. Keine Gebühren. Danach 5 Follow-Up-E-Mails mit praktischen Tipps für KMU. (Nicht für Großkonzerne.)
20 Minuten. Telefon oder Video. Wir hören zu, fragen nach Ihrer Situation, machen Mini-Analyse. Am Ende: Klare Aussage, was nötig ist und was es kostet. Kein Druck. Kein Jargon. Nur ehrliche Beratung.