Datenschutz ohne IT-Abteilung: So erfüllen KMU die DSGVO
Datenschutz ohne IT-Abteilung: Welche technischen DSGVO-Pflichten aus Art. 32 auf KMU zukommen und wer sie umsetzt, wenn intern niemand für IT zuständig ist.
Weiterlesen
Eine Mitarbeiterin verlässt das Unternehmen im Streit. Drei Monate später fällt auf: Ihr VPN-Zugang funktioniert noch, ihr Konto in der Projektsoftware ist aktiv, ihre Zutrittskarte wurde nie gesperrt. Klingt konstruiert? Wir sehen genau das bei neuen Mandanten regelmäßig.
Offboarding ist: der strukturierte Prozess, mit dem ein Unternehmen einen ausscheidenden Mitarbeiter aus allen Systemen, Berechtigungen und Zutritten wieder herauslöst.
Aus Datenschutzsicht ist das keine Kür. Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen (TOM), damit nur befugte Personen auf personenbezogene Daten zugreifen. Ein ausgeschiedener Mitarbeiter zählt rechtlich zu den Unbefugten. Bleibt sein Zugang offen, verletzt das Unternehmen seine Pflicht zur Vertraulichkeit — unabhängig davon, ob er den Zugang je wieder nutzt.
Der gefährlichste Fehler ist nicht der böswillige Ex-Mitarbeiter. Es ist das schlicht vergessene Konto. Ein aktiver Log-in, den niemand mehr überwacht, ist ein ideales Einfallstor — gerade wenn dasselbe Passwort auch privat verwendet wurde und irgendwo in einem Datenleck auftaucht.
Wie groß der wirtschaftliche Schaden durch Datenabfluss inzwischen ist, zeigt der Bitkom-Wirtschaftsschutz 2025: 289 Milliarden Euro Schaden pro Jahr, 87 Prozent der Unternehmen betroffen. Ein Teil davon geht auf verwaiste Konten und zu weit gefasste Berechtigungen zurück.
Verwaiste Konten fallen bei einer Prüfung sofort auf. Kommt es zur Datenpanne, prüft die Aufsichtsbehörde als Erstes, ob der Zugriff sauber gesteuert war. Ein Verstoß gegen Art. 32 kann mit bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Ein sauberes Berechtigungskonzept ist die beste Vorsorge.
Diese Punkte gehören bei jedem Austritt abgearbeitet — idealerweise am letzten Arbeitstag, spätestens unmittelbar danach:
Je mehr Systeme, desto größer die Lücke bei Handarbeit. Wer den Zugangsentzug nicht in jedem Tool einzeln klicken will, lässt ihn automatisieren — bei Firmen ohne eigenes IT-Team übernimmt das ein Managed-IT-Dienstleister wie Offboarding per Klick, der die IT-Abteilung als Service stellt und den Sperrprozess systemübergreifend anstößt.
Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.
Datenpannen entstehen selten spektakulär. Sie entstehen im Übersehenen — im Konto, das keiner mehr kennt, im Zugang, den niemand gesperrt hat. Genau deshalb ist die langweilige Checkliste beim Austritt so wirksam.
Zugang entziehen und Daten löschen sind zwei verschiedene Schritte. Der Zugang wird sofort gesperrt. Die Daten dagegen dürfen — und müssen teils — bleiben.
Art. 17 DSGVO gibt Betroffenen ein Recht auf Löschung. Absatz 3 nimmt davon aber alles aus, was einer gesetzlichen Aufbewahrungspflicht unterliegt. Personalunterlagen werden deshalb nicht am Austrittstag vernichtet, sondern fristgerecht getrennt gelagert — zugriffsbeschränkt, nach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
Die wichtigsten Orientierungswerte laut dr-datenschutz.de:
| Datenkategorie | Aufbewahrung | Grundlage |
|---|---|---|
| Lohn- & Gehaltsunterlagen | ca. 6 Jahre | § 257 HGB, § 147 AO |
| Sozialversicherungs-Unterlagen | bis 10 Jahre | § 28f SGB IV |
| Arbeitsvertrag, Zeugnisdaten | bis 3 Jahre nach Ende | Verjährung, § 195 BGB |
| Unterlagen abgelehnter Bewerber | ca. 6 Monate | § 61b ArbGG, § 15 AGG |
| Nutzerkonten, Log-ins | sofort deaktivieren | Art. 32 DSGVO |
Ohne Löschkonzept passiert eines von zwei Dingen: Entweder werden Daten zu früh vernichtet (Verstoß gegen Aufbewahrungspflichten) oder ewig behalten (Verstoß gegen die Speicherbegrenzung). Beides ist angreifbar. Ein dokumentiertes Löschkonzept löst den Konflikt.
Die DSGVO verlangt nicht nur Handeln, sondern Nachweisbarkeit (Rechenschaftspflicht, Art. 5 Abs. 2). Halten Sie pro Austritt fest, welche Zugänge wann von wem gesperrt wurden. Ein einfaches Offboarding-Protokoll reicht — es muss nur existieren und ausgefüllt sein.
Ein sauberes Offboarding schützt vor Datenpannen, Bußgeldern und peinlichen Nachfragen der Aufsichtsbehörde. Es braucht keinen großen Apparat — nur einen festen Prozess, klare Zuständigkeiten zwischen HR und IT und eine Checkliste, die wirklich jedes Mal abgearbeitet wird.
Offboarding-Prozess DSGVO-fest aufsetzen
Wir prüfen Ihre Zugriffs- und Löschprozesse und bauen mit Ihnen eine Checkliste, die zu Ihren Systemen passt.
Kostenloses Erstgespräch (15 Min) →Der Entzug aller Zugänge (E-Mail, VPN, Cloud, SaaS, Passwortsafe), die Rückgabe und Löschung von Geräten, das Aufheben von Weiterleitungen und Berechtigungen sowie der Entzug physischer Zutritte. Ergänzt um die korrekte Löschung oder Archivierung der Mitarbeiterdaten und einen dokumentierten Nachweis.
Nein. Zugänge werden sofort entzogen, aber viele Personalunterlagen unterliegen gesetzlichen Aufbewahrungspflichten. Art. 17 Abs. 3 DSGVO nimmt diese von der Löschpflicht aus. Gelöscht wird erst nach Ablauf der jeweiligen Frist.
Der Log-in wird am letzten Arbeitstag deaktiviert. Das Postfach selbst sollte nur so lange bestehen, wie es für den Geschäftsbetrieb nötig ist — mit Auto-Antwort statt heimlicher Weiterleitung. Nach einer kurzen Übergangszeit wird es gelöscht.
Lohn- und Gehaltsunterlagen sind steuerlich rund sechs Jahre aufzubewahren, sozialversicherungsrelevante Unterlagen bis zu zehn Jahre. Unterlagen abgelehnter Bewerber dürfen in der Regel nur etwa sechs Monate gespeichert werden.
Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen, damit nur befugte Personen auf personenbezogene Daten zugreifen. Ein ausgeschiedener Mitarbeiter ist eine unbefugte Person — ein noch aktiver Zugang ist damit ein Verstoß und ein Datenpannen-Risiko.
Meist arbeiten Personalabteilung und IT zusammen: HR meldet den Austritt, die IT entzieht die Zugänge. Ein schriftlicher Prozess mit klarer Verantwortung verhindert, dass einzelne Systeme vergessen werden.
Inhaltsverzeichnis
Datenschutz ohne IT-Abteilung: Welche technischen DSGVO-Pflichten aus Art. 32 auf KMU zukommen und wer sie umsetzt, wenn intern niemand für IT zuständig ist.
Weiterlesen
Wie ein Hamburger IT-Dienstleister KI im Kundenservice datenschutzkonform einsetzt — und welche 5 Stellschrauben Sie für Ihr eigenes Unternehmen mitnehmen.
Weiterlesen
Externer Datenschutzbeauftragter und externe IT: Wer macht was? Rollen, Schnittstellen und Zusammenspiel von DSB und IT-Abteilung für KMU – klar erklärt.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular