Zur Übersicht Rechtsgrundlagen

Gilt die DSGVO auch für kleine Unternehmen und Startups?

Art. 2Art. 3Art. 30 Abs. 5 DSGVO

Ja, die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet - unabhängig von der Größe. Es gibt keine generelle KMU-Befreiung.

Was genau gilt?

Die DSGVO findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten (Art. 2 Abs. 1 DSGVO). Da praktisch jedes Unternehmen Kunden-, Lieferanten- oder Mitarbeiterdaten verarbeitet, ist die DSGVO für nahezu alle Unternehmen relevant.

Die einzige echte Ausnahme

Die DSGVO gilt NICHT für natürliche Personen, die Daten außchließlich für persönliche oder familiaere Tätigkeiten verarbeiten (Art. 2 Abs. 2 lit. c DSGVO, sogenannte "Household-Exemption"). Diese Ausnahme ist eng auszulegen - sobald eine geschäftliche oder öffentliche Komponente hinzukommt, greift die DSGVO.

Erleichterungen für KMU

Obwohl die DSGVO vollumfänglich gilt, gibt es punktuelle Erleichterungen:

  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 5 DSGVO): Unternehmen mit weniger als 250 Mitarbeitern können unter bestimmten Voraußetzungen befreit sein. ABER: Die Befreiung entfällt, sobald die Verarbeitung nicht nur gelegentlich erfolgt, ein Risiko besteht oder sensible Daten verarbeitet werden. Da bereits die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten genügt, muss in der Praxis FAST JEDES Unternehmen ein Verzeichnis führen (DSK-Kurzpapier Nr. 1).
  • Datenschutzbeauftragter: Nach Paragraph 38 BDSG besteht die Pflicht erst ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind.
  • Risikobewertung: Der risikobasierte Ansatz der DSGVO (Art. 24, 32 DSGVO) bedeutet, dass der Umfang der Maßnahmen an die Risiken angepasst werden kann. Ein kleiner Handwerksbetrieb muss weniger tun als ein Gesundheitskonzern.

Handlungsempfehlung für Startups

Nehmen Sie Datenschutz von Anfang an ernst (Privacy by Design, Art. 25 DSGVO). Die Grundpflichten gelten auch für Sie: Datenschutzerklärung, Rechtsgrundlagen prüfen, Verarbeitungsverzeichnis führen, Betroffenenrechte gewährleisten. Das ist weniger Aufwand als gedacht und schützt vor Bußgeldern bis zu 20 Millionen Euro oder 4% des Jahresumsatzes (Art. 83 Abs. 5 DSGVO).

Quellen

Art. 2, 3, 24, 25, 30 Abs. 5, 83 DSGVOParagraph 38 BDSGEG 13DSK-Kurzpapier Nr. 1, 8

Verwandte Fragen

Rechtsgrundlagen

Was ist das Verhältnis von DSGVO, BDSG und TDDDG züinander?

 Rechtsgrundlagen

Welche Gesetze regeln den Datenschutz in Deutschland?

 Rechtsgrundlagen

Welche Rechtsgrundlagen erlauben die Datenverarbeitung?