Zum Inhalt springen
FakturaCloud
Kostenlos testen
Alle Artikel
Ratgeber25. Mai 20268 Min

8 Jahre DSGVO: Was Selbständige und KMU 2026 wirklich umsetzen müssen

Seit 25.05.2018 gilt die DSGVO — acht Jahre später sind die Pflichten klarer denn je. Wir zeigen, was Selbständige und kleine Unternehmen 2026 konkret tun müssen: Verzeichnis, AVV, technische Maßnahmen und typische Bußgeld-Fallen.

Acht Jahre DSGVO — Bilanz nach Stand 2026

Am 25. Mai 2018 wurde die Datenschutz-Grundverordnung scharf geschaltet. Acht Jahre später ist die DSGVO Alltag, aber auch teurer Alltag: Allein im Jahr 2024 verhängten europäische Aufsichtsbehörden Bußgelder in dreistelliger Millionenhöhe — und seit 2023 sind auch kleine Unternehmen gezielt im Fokus.

Was anfangs als reines Konzern-Thema wahrgenommen wurde, betrifft heute jeden Solo-Selbständigen, jede GbR, jedes Handwerksunternehmen mit Website oder Kundendaten. Der gute Teil: Acht Jahre Rechtsprechung haben viele Pflichten konkretisiert. Sie wissen heute besser denn je, was Sie genau tun müssen — und was nicht.

Faktencheck: Laut Bayerischem Landesamt für Datenschutzaufsicht (BayLDA) sind über 80 % aller geprüften Klein- und Solo-Unternehmen mindestens in einem Pflicht-Bereich unvollständig — meistens beim Verzeichnis der Verarbeitungstätigkeiten oder bei den Auftragsverarbeitungsverträgen.

Wer muss die DSGVO eigentlich umsetzen?

Die DSGVO unterscheidet nicht nach Unternehmensgröße. Sobald Sie personenbezogene Daten verarbeiten — und das tun Sie spätestens, wenn Sie eine Kundenadresse speichern oder eine E-Mail erhalten — gelten alle Pflichten.

  • Solo-Selbständige & Freelancer: Voller Pflichtenkatalog
  • Kleinunternehmer (§19 UStG): Keine Erleichterungen — DSGVO gilt unabhängig
  • Vereine: Vollständig betroffen ab dem ersten Mitgliedseintrag
  • Online-Händler: Plus Spezialregeln für Newsletter, Cookies, Versanddienstleister

Die 7 Pflichten, die 2026 wirklich relevant sind

Nach acht Jahren Rechtsprechung kristallisieren sich sieben Pflichten heraus, die in der Praxis am häufigsten Bußgelder oder Abmahnungen verursachen:

1. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Pflicht ab dem ersten Mitarbeiter ODER bei regelmäßiger Datenverarbeitung. Auch Solo-Selbständige mit Kundenkartei brauchen das Verzeichnis — und müssen es bei Anfrage der Aufsichtsbehörde innerhalb von Tagen vorlegen können.

2. Datenschutzerklärung auf der Website (Art. 13)

Pflicht für JEDE Website. Muss enthalten: Verantwortlicher, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer, Betroffenenrechte. Häufigster Abmahnpunkt.

3. Cookie-Banner mit echter Wahl (TTDSG, EuGH 2023)

Tracking-Cookies nur mit aktiver Einwilligung. Vorausgewählte Checkboxen sind unzulässig. „Ablehnen" muss genauso prominent sein wie „Akzeptieren" — sonst Bußgeld.

4. AVV mit allen Dienstleistern (Art. 28)

Auftragsverarbeitungsvertrag mit allen Anbietern, die in Ihrem Auftrag personenbezogene Daten verarbeiten: Cloud-Hosting, E-Mail-Provider, CRM, Rechnungssoftware, Steuerberater (NEIN — der ist eigener Verantwortlicher).

5. Technische und organisatorische Maßnahmen (Art. 32)

TOMs in geschriebener Form: Verschlüsselung, Zugriffskontrolle, Backup-Konzept, Passwortregeln, Schulung. Nicht „wir machen das schon", sondern dokumentiert in einer TOM-Liste.

6. Betroffenenrechte beantworten (Art. 15, 17, 21)

Auskunft, Löschung, Widerspruch — innerhalb von 30 Tagen, kostenlos. Wer das ignoriert, bekommt schnell ein Verfahren der Aufsichtsbehörde. Schon eine einzige unbeantwortete Auskunftsanfrage reicht.

7. Meldung von Datenschutzverletzungen (Art. 33)

Verlorenes Notebook, gehacktes E-Mail-Konto, falscher Empfänger: Innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. Die häufigsten Bußgelder kommen für VERSPÄTETE Meldungen — nicht für die Vorfälle selbst.

Brauchen Sie einen Datenschutzbeauftragten?

Diese Frage stellt sich für jeden Selbständigen früher oder später. Die Regeln sind seit der Änderung im BDSG (Juni 2019) etwas entspannter:

KonstellationDSB-Pflicht?
Solo-Selbständiger ohne MitarbeiterNein
Bis 19 Mitarbeiter (keine sensitiven Daten)Nein
Ab 20 Mitarbeiter (automatisierte Verarbeitung)Ja
Ärzte, Anwälte, Therapeuten (Berufsgeheimnis)Ja, immer
Daten besonderer Kategorien (Art. 9) im KerngeschäftJa, immer
Wichtig:Auch ohne Pflicht-DSB müssen Sie alle anderen DSGVO-Pflichten erfüllen. Kein DSB bedeutet nicht „keine DSGVO“. Es bedeutet nur, dass Sie nicht ZUSÄTZLICH einen externen Datenschutzbeauftragten benennen müssen.

Auftragsverarbeitung — die häufigste Lücke

Jedes Mal, wenn Sie einen Dienstleister nutzen, der in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Das sind die typischen AVV-pflichtigen Dienste, die fast jeder Selbständige nutzt:

  • Webhosting (z.B. Hetzner, Vercel, IONOS)
  • E-Mail-Provider (z.B. Microsoft 365, Google Workspace, Strato)
  • Cloud-Speicher (Dropbox, Google Drive, iCloud Business)
  • Buchhaltungs-/CRM-Software (FakturaCloud, sevDesk, Lexoffice)
  • Newsletter-Tools (Mailchimp, Brevo, Rapidmail)
  • Marktplatz-Anbindungen bei externer Verarbeitung
FakturaCloud-Tipp:Den AVV für FakturaCloud finden Sie direkt im Dashboard unter „Einstellungen → Datenschutz → AVV“. Auf einen Klick ausgefüllt mit Ihren Firmendaten — kostenlos, rechtssicher und ohne externe Anwalts-Kosten.

Bußgelder 2025/26 — was wirklich teuer wird

Die theoretischen Maximalsätze (20 Mio. € oder 4 % Jahresumsatz) bleiben für KMU unrealistisch — die Praxis-Bußgelder sehen anders aus, aber sie tun weh:

1
Fehlende Datenschutzerklärung

Bei Einzelunternehmern und kleinen GmbHs: meist 500–3.000 €. Aufsichtsbehörden setzen hier eher auf Auflage zur Behebung.

2
Unzulässige Cookie-Banner

Erste Verstöße: 1.000–5.000 €. Bei wiederholtem Verstoß deutlich höher. Abmahnvereine verlangen oft 800–1.500 € + Anwaltskosten.

3
Verspätete Meldung einer Datenpanne

Bei dokumentiertem Vorfall: 3.000–15.000 €. Wird im Verhältnis zum Vorfall festgesetzt — wer eine kleine Panne ehrlich und schnell meldet, kommt oft mit Verwarnung davon.

4
Unbeantwortete Auskunftsanfrage

Reicht eine einzige Betroffenenbeschwerde, drohen 2.500–10.000 € — gerade weil das ein bewusstes Ignorieren signalisiert.

5
Newsletter-Versand ohne Einwilligung

Wettbewerbsrechtliche Abmahnungen: 500–2.500 € pro Vorfall, plus mögliches DSGVO-Verfahren. Doppeltes Risiko!

Was hat sich 2025/26 geändert?

Drei Entwicklungen sind in den letzten 18 Monaten für KMU besonders relevant:

  • EU-US Data Privacy Framework (seit 07/2023): US-Anbieter mit Zertifizierung sind wieder „sicheres Drittland“. Das nimmt viel Druck von Diensten wie Stripe, Google Analytics oder OpenAI — aber nur, wenn die Zertifizierung aktiv ist.
  • EU AI Act (vollständig ab 08/2026): KI-Tools müssen risikoklassifiziert werden. Für die meisten KMU-Anwendungen (Belegerkennung, Textgenerierung) gilt nur „minimal risk“ — aber Transparenzpflichten kommen dazu.
  • NIS-2-Richtlinie (seit 10/2024): Erweiterte Cybersecurity-Pflichten für KMU bestimmter Branchen (z.B. Gesundheit, Logistik). Wer betroffen ist, muss Sicherheitsmaßnahmen, Meldepflichten und Geschäftsleitungsverantwortung dokumentieren.

Die 10-Minuten-DSGVO-Checkliste

Wer ehrlich prüfen will, ob er „DSGVO-fit“ ist, kann diese Kurz-Checkliste in 10 Minuten durchgehen:

Datenschutzerklärung auf Website aktuell (letzte Änderung < 12 Monate)
Impressum vollständig mit E-Mail und Telefonnummer
Cookie-Banner mit echter Ablehnen-Option (nicht nur „mehr Infos")
Verzeichnis der Verarbeitungstätigkeiten existiert als Datei
AVV mit allen externen Dienstleistern vorhanden
TOM-Liste dokumentiert (mindestens 1 A4 für Solo-Selbständige)
Backup-Konzept vorhanden und regelmäßig getestet
Passwörter werden in einem Manager verwaltet (nicht in Excel)
Mitarbeiter (falls vorhanden) DSGVO-geschult
Aufsichtsbehörde bekannt (je Bundesland unterschiedlich)

FakturaCloud und DSGVO — was wir Ihnen abnehmen

Wir wissen, dass Datenschutz für viele Selbständige der größte Compliance-Schmerz ist. Deshalb haben wir die wichtigsten DSGVO-Bausteine in FakturaCloud direkt eingebaut:

Hosting in der EU (Frankfurt)

Anwendungsdaten und Belege werden ausschließlich in Frankfurt am Main gehostet (AWS Region eu-central-1). Keine US-Datenübertragung im Standardbetrieb.

AVV per Klick im Dashboard

Vorausgefüllter Auftragsverarbeitungsvertrag mit Ihren Firmendaten — als PDF downloadbar, ohne Anwaltskosten.

Verzeichnis der Verarbeitungstätigkeiten

Vorlage für Ihre eigene Liste — mit den FakturaCloud-Verarbeitungen bereits eingetragen.

Betroffenenrechte automatisch

Auskunfts- und Löschanträge können Sie auf Knopfdruck abarbeiten. Das System exportiert die personenbezogenen Daten Ihrer Kunden DSGVO-konform.

Acht Jahre DSGVO in einem Satz: Die DSGVO ist nicht das Monster, als das sie 2018 gefürchtet wurde — aber sie wird ernsthafter denn je überprüft. Wer die sieben Grundpflichten erfüllt, das Verzeichnis pflegt und auf AVVs achtet, hat das Risiko realistisch im Griff. Wer wegsieht, sammelt Bußgelder.

DSGVO-konform aus der EU. Per Klick zum AVV.

FakturaCloud wird in Frankfurt gehostet, der AVV ist mit einem Klick im Dashboard verfügbar — keine Anwaltskosten, keine US-Datenübertragung. 60 Tage kostenlos testen.

Jetzt kostenlos starten →
Jürgen Lichtenauer

Jürgen Lichtenauer

Gründer von FakturaCloud. E-Commerce-Unternehmer und Entwickler aus Bayern. Baut Software, die er selbst jeden Tag benutzt.

Über den Autor
DSGVODatenschutzKMUSelbständigeAVVVerzeichnis der VerarbeitungstätigkeitenTOMBußgeld