René Floitgraf info@rene-floitgraf.de +49 2402 385700

    • Welche Maßnahmen sind für Kleinst- und Kleinunternehmen angemessen?

    2. Oktober 2025 René Floitgraf
    0 Comment
    Datenschutz

    ann-h-45017-2646533-pexels

    Ich wurde kürzlich wieder gefragt, welche technischen und organisatorischen Maßnahmen ich als Datenschützer für Kleinst- und Kleinunternehmen empfehlen würde.

    Das Hindernis: Die DSGVO ist technikneutral – es gibt im Gesetz nicht DIE Liste von Maßnahmen, die man wie in einer Checkliste abarbeiten kann und damit seine Compliance-Pflicht im Rahmen der Schutzmaßnahmen erfüllt hat.

    Gesetzliche Kernpflichten

    • Die technische und organisatorische Sicherheit der Datenverarbeitung (nach Art. 32 DSGVO) ist verpflichtend, unabhängig von der Unternehmensgröße.
    • Die Vorgaben umfassen u.a. Verschlüsselung, Zugriffskontrollen, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die Maßnahmen sind regelmäßige auf ihre Wirksamkeit zu überprüfen.
    • Auch kleine Unternehmen müssen Datenschutzverletzungen melden und Betroffenenrechte gewährleisten.

    Es gilt weiterhin der risikobasierte Angemessenheitsgrundsatz. Ergriffene Maßnahmen müssen dem Stand der Technik entsprechen, wirtschaftlich sein und gleichzeitig die Risiken für die Rechte und Freiheiten der Betroffenen, welche durch die verarbeiteten Daten und dem eigenen Geschäftsmodell mitgeprägt werden, angemessen berücksichtigen.

    Klingt sperrig? Ist es auch. Denn ohne Kenntnis über die eigenen Geschäftszwecke und die damit einhergehenden Datenverarbeitungen ist die Kenntnis der Risiken schwer möglich. Wogegen müssen wir uns denn Schützen? Was soll schon passieren? „One size fits all“ ist hier nicht möglich.

    Vorgabe: Stand der Technik

    Für den Stand der Technik gibt es mehrere Handreichungen, die man bei der Ermittlung der sinnvoll umzusetzenden Maßnahmen berücksichtigen kann. Bereits 2021 haben wir eine Orientierungshilfe für unsere Mandanten bereitgestellt, die die Checkliste der technischen und organisatorischen Maßnahmen des BayLDA mit sinnvollen Maßnahmen bestückt hat. Und auch aus den beim BfDI veröffentlichten Verhaltensregeln für Notare haben wir eine Checkliste erstellt. Beide Dokumente sind heute noch für Mandanten in der Dokumentenablage abrufbar.

    Aber auch beim Bundesverband IT-Sicherheit e.V. (TeleTrusT) und beim BSI wird man zum Stand der Technik fündig. Das Hindernis beim Maßnahmenkatalog des TeleTrusT: Mehr als 140 Seiten…

    Kleinster gemeinsamer Nenner?

    Bevor man sich gar nicht mit dem Thema beschäftigt – gerade Kleinstunternehmen sind schnell von den möglichen Maßnahmen erschlagen – lieber klein anfangen und die absoluten Basics bearbeiten.

    Und hier gibt es einen Leitfaden, der zwar trotz seiner Veröffentlichung bei der DIN keine wirkliche Norm ist, aber wichtige Aspekte der IT-Sicherheit sinnvoll zusammenfasst.
    Der CyberRisikoCheck des BSI bzw. die DIN SPEC 27076.

    WICHTIG: Auch wenn die Bezeichnung eine Verwandtschaft mit der ISO 27001 – der Norm zur Informationssicherheit – vermuten lässt: Die Handlung und alle handelnden Personen sind frei erfunden. Jegliche Ähnlichkeit mit lebenden oder realen Personen ist rein zufällig.

    Zusammenfassung der Maßnahmen aus dem BSI CyberRisikoCheck

    • Verantwortung und Organisation klären (IT-Sicherheitsverantwortliche festlegen, Aufgaben verteilen)
    • Sensibilisierung und regelmäßige Schulung aller Mitarbeitenden (Vertraulichkeit, Regelungen zum Home-Office, sicherer Umgang mit IT)
    • Identitäts- und Berechtigungsmanagement (Benutzerrechte regelmäßig überprüfen, Zugriffsbeschränkungen einrichten, Multi-Faktor-Authentifizierung)
    • Geräte und Systeme vor Schadsoftware schützen (Antivirus, aktuelle Firewalls, Makros in Office-Programmen deaktivieren)
    • Patch- und Update-Management (Software und Betriebssysteme immer aktuell halten)
    • Datensicherung durchführen (Backup-Konzept, regelmäßige Sicherungen und Test der Wiederherstellung)
    • Schutz vor physischer Manipulation (Zugangsregelungen, Abschließen sensibler Räume oder Geräte)
    • Sichere Netzwerke einrichten und überwachen (WLAN absichern, starke Passwörter, Verschlüsselung verwenden)
    • Notfallkonzept entwickeln (Verfahrensanweisung bei IT-Vorfällen, Wiederherstellungsplan)

    Diese Maßnahmen dürften kein Unternehmen überfordern und sollten als absoluter Mindeststandard berücksichtigt werden. Wenn keine eigene IT-Abteilung vorhanden ist, kann der IT-Dienstleister des Vertrauens hier mit Sicherheit behilflich sein.

    Fazit

    Auch Kleinst- und Kleinunternehmen sind verpflichtet, technische Schutzmaßnahmen gemäß den Prinzipien der DSGVO umzusetzen, dürfen diese jedoch der eigenen Risiko- und Aufwandssituation anpassen.

    Allerdings ist ein Mindestschutz ohne Verschlüsselung, Zugriffsmanagement, Backups, und Software-Updates nicht erreichbar. Um diesen zu erreichen macht es Sinn, wenn man sich am BSI CyberRisikoCheck / an der DIN SPEC 27076 orientiert. Besser als nichts zu unternehmen!

    Bei Rückfragen stehe ich Ihnen wie immer gerne zur Verfügung.

    Der Beitrag Welche Maßnahmen sind für Kleinst- und Kleinunternehmen angemessen? erschien zuerst auf CompliPro GmbH.