Direkt zum Artikeltext springen

Datenschutz ohne IT-Abteilung: So erfüllen KMU die DSGVO

Viele kleine Betriebe verarbeiten täglich Kundendaten, Personalakten und Rechnungen, haben aber niemanden, der sich hauptberuflich um die IT kümmert. Die DSGVO interessiert das nicht: Ihre Pflichten hängen nicht daran, ob Sie eine IT-Abteilung haben.

Besonders die technischen Vorgaben aus Art. 32 DSGVO müssen erfüllt werden, egal wer die Server betreut. Dieser Beitrag zeigt, welche technischen Maßnahmen anfallen und wer sie umsetzt, wenn intern niemand zuständig ist.

Inhalt in Kürze

  • Die DSGVO gilt unabhängig von der Unternehmensgröße und davon, ob Sie eine IT-Abteilung haben. Verantwortlich bleibt die Geschäftsführung.
  • Art. 32 DSGVO verlangt konkrete technische Maßnahmen: Zugriffskontrolle, Verschlüsselung, Backup/Verfügbarkeit und Löschkonzepte.
  • Für die Umsetzung gibt es drei Modelle: der interne Laie, der freie Einzelkämpfer oder Managed IT als laufender Service.
  • Der Datenschutzbeauftragte definiert die Pflicht, umsetzen muss sie jemand, der Ihre IT tatsächlich betreibt.

Datenschutz ohne IT-Abteilung: Die Pflicht bleibt

Die DSGVO kennt keine Ausnahme für kleine Firmen. Sobald Sie personenbezogene Daten verarbeiten, gelten die gleichen Grundpflichten wie für einen Konzern, nur der Maßstab richtet sich nach Ihrem Risiko.

Das gilt gerade dann, wenn die Angriffsfläche wächst. Laut der Bitkom-Studie Wirtschaftsschutz 2025 waren 87 Prozent der deutschen Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen. Der Gesamtschaden lag bei 289,2 Milliarden Euro. Kleine Betriebe sind kein zu unattraktives Ziel, im Gegenteil: Sie sind oft der schwächere Punkt in der Lieferkette.

Art. 32
DSGVO fordert technische Maßnahmen
87 %
der Unternehmen 2025 betroffen (Bitkom)
289 Mrd €
Gesamtschaden 2025 (Bitkom)

Wer die Pflicht ignoriert, weil "wir doch nur zehn Leute sind", verkennt die Rechtslage. Verantwortlich im Sinne der DSGVO ist die Geschäftsführung, nicht die nicht vorhandene IT-Abteilung.

Welche technischen Maßnahmen Art. 32 DSGVO verlangt

Technische und organisatorische Maßnahmen (TOM) sind: alle konkreten Vorkehrungen, mit denen Sie personenbezogene Daten schützen, technisch am System und organisatorisch im Ablauf.

Art. 32 DSGVO nennt kein starres Pflichtenheft, sondern ein Schutzniveau, das dem Risiko angemessen ist. Für ein KMU heißt das nicht Konzern-Infrastruktur, aber die Grundlagen müssen sitzen. Diese vier Bereiche fallen praktisch immer an:

  • Zugriffskontrolle. Jeder sieht nur, was er für seine Arbeit braucht. Eigene Konten statt Sammel-Logins, Passwortregeln, Zwei-Faktor-Authentifizierung und ein Berechtigungskonzept nach dem Need-to-know-Prinzip.
  • Verschlüsselung. Art. 32 nennt sie ausdrücklich als Beispiel. Notebooks, mobile Datenträger und E-Mails mit sensiblen Inhalten gehören verschlüsselt. Wie weit Sie gehen müssen, klärt die Verschlüsselung im Unternehmen.
  • Verfügbarkeit und Backup. Daten müssen nach einem Zwischenfall rasch wiederhergestellt werden können. Ein Backup, das nie getestet wurde, zählt im Ernstfall nicht.
  • Löschung und Aufbewahrung. Daten dürfen nicht ewig liegen bleiben. Es braucht Löschfristen und einen Prozess, der sie auch umsetzt.

Dazu kommt die organisatorische Seite, etwa das Verzeichnis der Verarbeitungstätigkeiten und die regelmäßige Überprüfung der Maßnahmen. Der Punkt ist: Diese Anforderungen entstehen ganz unabhängig davon, ob jemand bei Ihnen "IT macht".

Das Wichtigste: Art. 32 DSGVO verlangt ein angemessenes Schutzniveau, keine perfekte Konzern-IT. Zugriffskontrolle, Verschlüsselung, getestete Backups und Löschfristen sind die vier Bausteine, die praktisch jedes KMU umsetzen muss.

Wer setzt die Technik um, wenn niemand intern zuständig ist?

Die Pflicht steht fest, jetzt braucht sie jemanden, der sie am System umsetzt. In der Praxis sehen wir drei Modelle, jedes mit klaren Grenzen.

  1. Der interne Laie. Ein Mitarbeiter macht die IT nebenbei, weil er "sich damit auskennt". Günstig, aber riskant: kein Fachwissen zu Backup-Strategien oder Berechtigungskonzepten, keine Zeit im Tagesgeschäft und ein Single Point of Failure, sobald diese Person ausfällt oder kündigt.
  2. Der freie Einzelkämpfer. Ein selbstständiger IT-Dienstleister kommt bei Bedarf. Für Einzelprobleme in Ordnung, aber selten für den laufenden Betrieb: Updates, Monitoring und getestete Backups brauchen Kontinuität, keine Einsätze auf Zuruf. Reaktionszeiten und Vertretung sind oft ungeklärt.
  3. Managed IT als Service. Ein Systemhaus übernimmt den IT-Betrieb dauerhaft: Patch-Management, Backups, Zugriffskontrolle, Monitoring, dokumentiert und mit vereinbarten Reaktionszeiten. Genau die Bausteine, die Art. 32 im Kern verlangt.

Für Betriebe ohne eigenes IT-Team übernimmt die technische Umsetzung dann ein Managed-IT-Dienstleister wie externe IT-Abteilung vom Systemhaus hagel IT, das die IT als laufenden Service betreibt, mit Daten in Deutschland und DSGVO-konform. Das ist eine von mehreren Optionen, entscheidend ist, dass jemand den Betrieb verlässlich und dokumentiert führt.

Wichtig:

Ein externer Datenschutzbeauftragter ersetzt keine IT-Betreuung. Der DSB definiert die Pflichten, prüft und dokumentiert sie, betreibt aber keine Server und richtet keine Backups ein. Wer beides in eine Hand legen will, muss zwei Rollen besetzen: Beratung und technischen Betrieb.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Genau da liegt der praktische Knoten: Nicht die Größe entscheidet über die Pflicht, sondern die Daten, die Sie verarbeiten. Ein Fünf-Personen-Betrieb, der für einen Konzern arbeitet, muss dieselben technischen Maßnahmen nachweisen können, ohne dafür eine eigene IT-Abteilung zu haben.

Fazit: Ihr nächster Schritt

Datenschutz ohne IT-Abteilung ist machbar, aber nicht zum Nulltarif an Aufmerksamkeit. Trennen Sie sauber: Der Datenschutzbeauftragte legt fest, was zu tun ist, und ein verlässlicher IT-Betrieb setzt es um. Beides zusammen ergibt eine belastbare Lösung, auch für kleine Betriebe.

Wenn Sie beides bündeln möchten, lohnt der Blick auf unsere Datenschutz-Plattform Hugo DSB und die Leistungen rund um den externen Datenschutzbeauftragten.

Datenschutz ohne eigene IT-Abteilung umsetzen

Wir klären in 15 Minuten, welche technischen Pflichten bei Ihnen anfallen und wie Sie sie ohne internes IT-Team erfüllen.

Kostenloses Erstgespräch (15 Min) →

Häufige Fragen (FAQ)

Muss ein kleines Unternehmen ohne IT-Abteilung die DSGVO erfüllen?

Ja. Die DSGVO knüpft nicht an die Unternehmensgröße oder daran, ob es eine IT-Abteilung gibt. Sobald Sie personenbezogene Daten verarbeiten, gelten Art. 32 und die übrigen Pflichten. Verantwortlich bleibt die Geschäftsführung, auch wenn niemand intern für IT zuständig ist.

Welche technischen Maßnahmen verlangt Art. 32 DSGVO?

Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen für ein dem Risiko angemessenes Schutzniveau. Konkret gehören dazu Zugriffskontrolle, Verschlüsselung, die Verfügbarkeit und Wiederherstellbarkeit der Daten nach einem Zwischenfall (Backup) sowie die regelmäßige Überprüfung dieser Maßnahmen.

Wer setzt die technischen Datenschutz-Maßnahmen um, wenn wir keine IT-Abteilung haben?

Dafür gibt es drei Wege: ein Mitarbeiter macht die IT nebenbei, ein freier IT-Dienstleister betreut sie punktuell, oder ein Systemhaus übernimmt den laufenden Betrieb als Managed IT. Für die dauerhafte Umsetzung von Backup, Updates und Zugriffskontrolle ist eine externe IT-Abteilung meist der belastbarste Weg.

Übernimmt der externe Datenschutzbeauftragte auch die IT-Umsetzung?

Nein. Der Datenschutzbeauftragte definiert die Pflichten, prüft und dokumentiert sie. Die technische Umsetzung (Server, Backups, Verschlüsselung, Berechtigungen) betreibt er nicht selbst. Dafür brauchen Sie jemanden, der Ihre IT betreibt, intern oder als Dienstleister.

Reicht ein Backup, um Art. 32 DSGVO zu erfüllen?

Nein. Ein Backup deckt die Verfügbarkeit und Wiederherstellbarkeit ab, ist aber nur ein Baustein. Art. 32 verlangt zusätzlich Zugriffskontrolle, Verschlüsselung und die regelmäßige Prüfung der Maßnahmen. Ein Backup, das nie getestet wurde, erfüllt die Pflicht ohnehin nur auf dem Papier.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular