DSGVO-Tools für Kleinunternehmen: Datenschutz ohne Anwalt

1. Datenschutzerklärung auf der Website

• Muss sein, sobald Sie eine Website haben
• Beschreibt, welche Daten Sie sammeln und warum

2. Rechtsgrundlage für jede Datenverarbeitung

• Einwilligung, Vertrag, berechtigtes Interesse
• Keine Daten "einfach so" sammeln

3. Auskunftsrecht

• Auf Anfrage mitteilen, welche Daten Sie über jemanden haben
• Innerhalb eines Monats antworten

4. Löschpflicht

• Daten löschen, wenn sie nicht mehr gebraucht werden
• Auf Anfrage des Betroffenen (mit Ausnahmen)

5. Auftragsverarbeitung

• Verträge mit Dienstleistern, die Daten für Sie verarbeiten
• Newsletter-Tool, Cloud-Speicher, etc.

Verarbeitungsverzeichnis:

• Offiziell: Ab 250 Mitarbeiter oder regelmäßige Verarbeitung
• Praktisch: Für jedes Unternehmen sinnvoll und empfohlen

Datenschutzbeauftragter:

• Ab 20 Mitarbeitern, die regelmäßig mit Daten arbeiten
• Oder bei besonders sensiblen Daten (Gesundheit, etc.)
• Für Solo-Selbstständige meist nicht nötig

Datenschutz-Folgenabschätzung:

• Bei hohem Risiko für Betroffene
• Für die meisten Kleinunternehmen nicht relevant

Cookie-Banner:

• Nur wenn Sie nicht-essentielle Cookies setzen
• Analytics, Marketing, etc.

Pflichtinhalte:

1. Verantwortlicher: Name, Adresse, Kontakt
2. Erhobene Daten: Was sammeln Sie?
3. Zweck: Warum sammeln Sie es?
4. Rechtsgrundlage: Auf welcher Basis?
5. Speicherdauer: Wie lange?
6. Empfänger: Wer bekommt die Daten?
7. Betroffenenrechte: Auskunft, Löschung, etc.
8. Beschwerderecht: Aufsichtsbehörde

Je nach Website zusätzlich:

• Kontaktformular
• Newsletter
• Webanalyse (Google Analytics, etc.)
• Social Media Plugins
• Cookies
• Hosting-Anbieter

eRecht24 Premium (ab 15€/Monat)

• Umfangreicher Generator
• Rechtssicher und aktuell
• Automatische Updates bei Gesetzesänderungen
• Inkl. Impressum, Cookie-Hinweis
• Empfehlung für die meisten

Datenschutz-Generator.de (kostenlos)

• Von Dr. Schwenke, renommierter Anwalt
• Kostenlose Basisversion
• Für einfache Websites ausreichend
• Premium-Version mit mehr Optionen

activeMind.legal (ab 49€ einmalig)

• Einmalkauf statt Abo
• Deutscher Anbieter
• Gute Generator-Qualität

Cookiebot (ab 12€/Monat)

• Datenschutzerklärung + Cookie-Banner
• Automatisches Scanning der Website
• Hält Erklärung aktuell

Empfehlung:

Starten Sie mit dem kostenlosen Datenschutz-Generator.de. Upgrade auf eRecht24, wenn Sie mehr Funktionen brauchen.

1. Bestandsaufnahme:

• Welche Daten sammeln Sie auf der Website?
• Kontaktformular, Newsletter, Analytics?
• Welche Drittanbieter nutzen Sie?

2. Generator durcharbeiten:

• Alle Fragen ehrlich beantworten
• Lieber eine Option zu viel anklicken

3. Generierte Erklärung prüfen:

• Macht sie Sinn für Ihre Website?
• Alle genutzten Dienste erwähnt?

4. Auf Website einbinden:

• Eigene Unterseite /datenschutz
• Von jeder Seite erreichbar (Footer)
• Nicht im Cookie-Banner verstecken

5. Regelmäßig aktualisieren:

• Bei neuen Tools/Diensten
• Bei Gesetzesänderungen (Tool-Update)

Cookie-Banner nötig wenn:

• Google Analytics oder andere Tracking-Tools
• Marketing-Cookies (Facebook Pixel, etc.)
• Eingebettete Videos (YouTube)
• Social Media Plugins

Kein Banner nötig wenn:

• Nur technisch notwendige Cookies
• Session-Cookies für Warenkorb
• Rein statische Website ohne Tracking

Die Realität: Fast jede Website braucht einen Banner.

Was der Banner können muss:

1. Echte Wahl: Annehmen UND Ablehnen gleich einfach
2. Granulare Einwilligung: Nach Kategorien (Marketing, Statistik, etc.)
3. Vorher blockieren: Cookies erst NACH Einwilligung setzen
4. Widerruf möglich: Einstellungen ändern können
5. Dokumentation: Nachweisen, wer wann zugestimmt hat

Was NICHT geht:

• "Durch Weitersurfen stimmen Sie zu"
• Nur "Akzeptieren" Button
• Vorangekreuzte Checkboxen
• Ablehnen verstecken

Cookiebot (ab 12€/Monat)

+ Automatisches Cookie-Scanning

+ Dokumentation für Nachweise

+ Bekannt und etabliert

• Monatliche Kosten

Borlabs Cookie (99€ einmalig, WordPress)

+ Einmalkauf

+ Sehr gut für WordPress

+ Deutscher Entwickler

• Nur für WordPress

Usercentrics (ab 50€/Monat)

+ Sehr professionell

+ Für größere Websites

• Teuer für Kleinunternehmen

Klaro (kostenlos, Open Source)

+ Kostenlos

+ Für Technik-Affine

• Selbst einrichten und hosten

Empfehlung:

• WordPress: Borlabs Cookie
• Andere: Cookiebot oder Klaro

1. Account erstellen:

• cookiebot.com → Sign up
• Website-URL eingeben

2. Scanner laufen lassen:

• Cookiebot scannt Ihre Website
• Findet alle Cookies und Tracker
• Kategorisiert automatisch

3. Banner anpassen:

• Design an Website anpassen
• Texte auf Deutsch prüfen
• Kategorien konfigurieren

4. Code einbinden:

• Script in <head> Ihrer Website
• Google Tag Manager Alternative

5. Blockierung einrichten:

• Cookies erst nach Einwilligung
• Bei Google Analytics: Über Cookiebot steuern

6. Testen:

• Browser-Cookies löschen
• Website aufrufen
• Prüfen: Werden Cookies vor Einwilligung gesetzt?

Ein Verzeichnis aller Prozesse, bei denen Sie personenbezogene Daten verarbeiten.

Beispiel-Einträge:

• Kundenstammdaten in CRM speichern
• Newsletter versenden
• Bewerbungen verarbeiten
• Mitarbeiterdaten führen

Warum wichtig?

• Bei Anfrage der Aufsichtsbehörde vorlegen
• Hilft, den Überblick zu behalten
• Grundlage für Datenschutzerklärung

Pro Verarbeitungstätigkeit:

1. Bezeichnung: z.B. "Newsletter-Versand"
2. Verantwortlicher: Name, Kontakt
3. Zweck: Warum werden Daten verarbeitet?
4. Betroffene: Wessen Daten? (Kunden, Mitarbeiter, etc.)
5. Datenkategorien: Welche Daten? (Name, E-Mail, etc.)
6. Empfänger: Wer erhält die Daten? (Newsletter-Tool, etc.)
7. Drittlandübermittlung: Gehen Daten außerhalb der EU?
8. Löschfristen: Wann werden Daten gelöscht?
9. Technische Maßnahmen: Wie sind Daten geschützt?

Kostenlose Vorlagen:

• Bitkom: Excel-Vorlage (google: "Bitkom Verarbeitungsverzeichnis")
• Datenschutz-Guru: Word-Vorlage
• IHK: Muster für Mitglieder

Software-Lösungen:

• Proliance 360 (ab 29€/Monat): Für kleine Unternehmen
• DataGuard (auf Anfrage): Umfassende Lösung
• Airtable/Notion: Selbst gebaut, kostenlos

Empfehlung für Kleinunternehmen:

Excel-Vorlage von Bitkom reicht völlig aus.

Verarbeitungstätigkeit: Kundenverwaltung

| Feld | Eintrag |

|------|---------|

| Bezeichnung | Kundenverwaltung / CRM |

| Verantwortlicher | Musterfirma GmbH, Max Muster |

| Zweck | Kundenbeziehungspflege, Auftragsabwicklung |

| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |

| Betroffene | Kunden, Interessenten |

| Datenkategorien | Name, Adresse, E-Mail, Telefon, Kaufhistorie |

| Empfänger | Lexoffice (Buchhaltung), Mailchimp (Newsletter) |

| Drittland? | USA (Mailchimp) - Standardvertragsklauseln |

| Löschfrist | 10 Jahre nach Ende der Geschäftsbeziehung (steuerliche Aufbewahrung) |

| Technische Maßnahmen | Passwortschutz, Verschlüsselung, Backup |

Immer wenn ein Dienstleister Ihre Daten verarbeitet:

• Newsletter-Tool (Mailchimp, CleverReach, etc.)
• CRM-System (HubSpot, Pipedrive, etc.)
• Buchhaltungssoftware (Lexoffice, sevDesk, etc.)
• Cloud-Speicher (Dropbox, Google Drive, etc.)
• Webhosting (wenn Kundendaten auf Server)
• IT-Support mit Datenzugriff

Nicht nötig bei:

• Steuerberater (eigene Verantwortung)
• Anwälte (eigene Verantwortung)
• Reine Software-Lizenzen ohne Datenspeicherung

Die gute Nachricht: Die meisten seriösen Anbieter haben bereits AV-Verträge.

Wo Sie sie finden:

• Im Account-Bereich unter "Datenschutz" oder "Legal"
• Als Zusatz zu den AGB
• Auf Anfrage beim Support

Beispiele:

• Mailchimp: Standard Contractual Clauses in den Einstellungen
• Google: In der Admin-Konsole akzeptieren
• Lexoffice: Automatisch bei Registrierung
• HubSpot: Data Processing Agreement im Legal-Center

Was tun?

1. Bei jedem genutzten Dienst prüfen
2. AV-Vertrag online akzeptieren oder anfordern
3. Für Ihre Unterlagen dokumentieren (Screenshot, PDF)

Bei kleineren Anbietern ohne fertigen Vertrag:

Option 1: Vorlage zusenden

• Muster-AV-Vertrag von IHK, Bitkom, etc.
• Anbieter um Unterschrift bitten

Option 2: Anbieter wechseln

• Wenn kein AV-Vertrag → Anbieter nicht DSGVO-ready
• Alternative suchen, die Datenschutz ernst nimmt

Wichtig: Ohne AV-Vertrag sind SIE verantwortlich, wenn etwas schiefgeht.