Inhalt in Kürze
- DSGVO-Bußgelder können bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes betragen — auch für kleine Unternehmen.
- Die EU plant mit dem Digital-Omnibus die größte DSGVO-Reform seit 2018 — mit Erleichterungen für KMU.
- Datenmanagement hat drei Säulen: Sicher speichern, rechtskonform archivieren, kontrolliert löschen.
- Ein getestetes Backup ist die günstigste Versicherung gegen Datenverlust.
Daten sind das Fundament jedes Unternehmens. Kundenadressen, Rechnungen, Verträge, E-Mails, Projektdateien — wenn diese Daten verloren gehen oder in falsche Hände geraten, steht der Betrieb still. Trotzdem ist Datenmanagement in vielen kleinen Unternehmen Stückwerk: Dateien auf dem Desktop, Backups auf einer externen Festplatte im Schrank, Löschkonzept nicht vorhanden.
Die DSGVO-Realität für kleine Unternehmen
Die DSGVO gilt für alle — vom Einzelunternehmer bis zum Konzern. Für KMU besonders relevant:
Gute Nachricht: Bitkom fordert DSGVO-Erleichterungen für KMU, und der EU Digital-Omnibus soll die Bürokratie reduzieren. Aber: Bis die Reform greift, gelten die aktuellen Regeln.
Die drei Säulen des Datenmanagements
1. Sicher speichern
Wo liegen Ihre Unternehmensdaten? Auf lokalen PCs? Auf einem NAS? In der Cloud? Die Antwort sollte nicht „überall ein bisschen” sein.
Eine zentrale Datenablage — entweder ein gut konfiguriertes NAS oder Microsoft 365 SharePoint/OneDrive. Lokale Daten auf PCs sind ein Risiko: Festplatte kaputt = Daten weg.
2. Rechtskonform archivieren
Speichern und Archivieren sind zwei verschiedene Dinge:
| Aspekt | Speichern | Archivieren |
|---|---|---|
| Zweck | Täglicher Zugriff | Langzeitaufbewahrung |
| Veränderbar | Ja | Nein (revisionssicher) |
| Dauer | Solange benötigt | Nach gesetzlicher Vorgabe |
| Beispiele | Projektdateien, E-Mails | Rechnungen, Verträge, Buchungsbelege |
Für die GoBD-konforme Archivierung brauchen Sie ein System, das Dokumente unveränderbar speichert und einen Zeitstempel vergibt. Microsoft 365 Compliance bietet das bereits integriert.
3. Kontrolliert löschen
Die DSGVO gibt Betroffenen das Recht auf Löschung. Gleichzeitig müssen bestimmte Daten jahrelang aufbewahrt werden. Diesen Widerspruch löst ein Löschkonzept:
- Datenkategorien definieren. Welche Daten haben Sie? Personenbezogen, geschäftlich, technisch?
- Aufbewahrungsfristen festlegen. Rechnungen: 10 Jahre. Bewerbungen: 6 Monate. Marketing-Kontakte: bis zum Widerruf.
- Löschprozess automatisieren. E-Mail-Aufbewahrungsrichtlinien, automatische Archiv-Rotation, geplante Löschläufe.
- Dokumentieren. Wann wurde was gelöscht? Das ist Ihr Nachweis gegenüber Behörden.
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Backup: Die günstigste Versicherung
Die 3-2-1-Regel ist der Goldstandard:
- 3 Kopien Ihrer Daten
- 2 verschiedene Speichermedien
- 1 Kopie außer Haus (Cloud oder externes Rechenzentrum)
Ein Managed-IT-Partner überwacht Backups automatisch, testet regelmäßig die Wiederherstellung und schlägt Alarm, bevor es zu spät ist.
„Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück.” — Klaus Bergmann, Geschäftsführer, Maschinen- und Anlagenbau
Daten sicher? Backup getestet?
Wir prüfen Ihr Datenmanagement. 15 Minuten. Kostenlos.
Termin buchen →Speichern vs. Archivieren: Der Unterschied, der Geld spart
Viele Unternehmen behandeln alle Daten gleich — und zahlen entsprechend. Dabei gibt es einen wichtigen Unterschied:
Speichern = aktive Daten, auf die täglich zugegriffen wird. Gehören auf schnellen Speicher (SSD, Cloud Hot Storage).
Archivieren = Daten, die aufbewahrt werden müssen, aber selten gebraucht werden. Gehören auf günstigen Speicher (Cloud Archive, Band).
| Datentyp | Aufbewahrung | Speicherklasse | Kosten |
|---|---|---|---|
| Aktuelle Projekte | Dauerhaft verfügbar | Cloud Hot / lokaler Server | Hoch |
| Abgeschlossene Aufträge | 10 Jahre (GoBD) | Cloud Cool / NAS | Mittel |
| Altdaten, Archiv | Je nach Pflicht | Cloud Archive | Niedrig |
| E-Mails (steuerlich relevant) | 6-10 Jahre | Automatische Archivierung | Niedrig |
Allein durch die richtige Zuordnung sparen Unternehmen 30-50 Prozent ihrer Speicherkosten. In Microsoft 365 lässt sich das über Aufbewahrungsrichtlinien automatisieren.
Big Data und Analytics: Auch für KMU relevant?
Big Data klingt nach Konzern. Aber auch kleine Unternehmen sammeln mehr Daten, als ihnen bewusst ist: Kundendaten im CRM, Websitebesucher in Analytics, Finanzdaten in der Buchhaltung, E-Mail-Kommunikation, Maschinendaten.
Die Frage ist nicht, ob Sie Daten haben — sondern ob Sie sie nutzen:
- Kundendaten: Welche Kunden bestellen regelmäßig? Wer ist absprungegefährdet? Welche Produkte werden zusammen gekauft?
- Prozessdaten: Wo entstehen Engpässe? Welche Aufgaben dauern länger als geplant?
- Finanzdaten: Welche Projekte sind profitabel? Wo fressen Nebenkosten den Gewinn auf?
Tools wie Microsoft Power BI machen Datenanalyse auch für Nicht-Techniker zugänglich — und sind in vielen Microsoft-365-Lizenzen bereits enthalten.
KI und Datenschutz: Die neue Herausforderung
Seit 2025 gilt die EU KI-Verordnung (AI Act). Für KMU bedeutet das konkret:
Wenn Mitarbeiter Kundendaten, Verträge oder Finanzzahlen in öffentliche KI-Tools wie ChatGPT eingeben, verlassen diese Daten Ihr Unternehmen. Erstellen Sie klare Richtlinien, welche KI-Tools erlaubt sind und welche Daten eingegeben werden dürfen.
Seit Anfang 2025 gilt zudem der Data Act der EU, der den Umgang mit Nicht-Personendaten regelt. Und das „Digital Omnibus”-Paket soll 2026 die DSGVO-Bürokratie für KMU vereinfachen — bei gleichzeitig höherer Eigenverantwortung.
Datenmanagement-Checkliste
- Zentrale Datenablage einrichten. Cloud oder NAS — nicht beides wild durcheinander.
- Backup-Strategie nach 3-2-1-Regel. Täglich automatisch, monatlich getestet.
- Verzeichnis der Verarbeitungstätigkeiten. DSGVO-Pflicht ab 20 Mitarbeitern mit Datenkontakt.
- Löschkonzept erstellen. Kategorien, Fristen, Prozesse dokumentieren.
- Zugriffsrechte regeln. Nicht jeder Mitarbeiter braucht Zugriff auf alle Daten.
- Mitarbeiter schulen. Datenschutz ist Teamsache, nicht nur IT-Sache.
