5 typische DSGVO-Fehler die Mittelständler immer wieder machen
Aus 6 Jahren DSGVO-Audits — die häufigsten Schwachstellen die fast jedes mittelständische Unternehmen hat. Mit konkreten Lösungs-Tipps.
Wir haben in den letzten Jahren viele DSGVO-Audits gemacht — vom 5-Personen-Steuerbüro bis zum 200-Mitarbeiter-Mittelständler. Erstaunlich: bestimmte Fehler tauchen IMMER wieder auf.
1. „Wir haben das Datenschutz-Konzept vom Anwalt — passt schon"
Das Konzept selbst ist meistens OK. Das Problem: niemand lebt es. Mitarbeitende kennen die Vorgaben nicht, Auftragsverarbeitungs-Verträge sind 3 Jahre alt, Datenschutz-Folgenabschätzungen wurden nie aktualisiert.
Lösung: Quartalsweiser Datenschutz-Check — keine 4-Tage-Marathon-Sitzungen, aber 30 Min systematisch durchgehen reicht.
2. Schatten-IT mit Kundendaten
Marketing nutzt Mailchimp, Vertrieb HubSpot, jemand hat noch einen alten Trello-Account mit Kunden-Notizen. Niemand weiß, wer wo welche Daten hat.
Lösung: Tools-Inventar einmal pro Jahr. Excel-Tabelle: Tool / Zweck / Verarbeitete Daten / AVV vorhanden? Sie werden überrascht sein wie viel da ist.
3. AVVs sind unterzeichnet — aber niemand prüft sie
AVVs werden bei Tool-Einführung unterschrieben und nie wieder angeschaut. Wenn der Anbieter aber sein Sub-Processing erweitert (z. B. neuer USA-Datentransfer), bekommen Sie das nur per E-Mail-Hinweis mit. Den niemand liest.
Lösung: AVV-Tracker mit Renewal-Daten. Bei großen Tools (M365, Salesforce, etc.) explizit nach Änderungen fragen.
4. Backups enthalten gelöschte Daten
Sie haben einen Löschantrag bekommen, in der Produktiv-Datenbank gelöscht — fertig? Nein. Backups enthalten die Daten noch monatelang. Bei einem Restore landen sie wieder im System.
Lösung: Lösch-Konzept das Backups einbezieht. Üblich: nach 6 Monaten sind alle Backups mit der gelöschten Information abgelaufen. Den Kunden darüber informieren.
5. „Recht auf Auskunft" — keine Prozesse
Ein Kunde fragt: „Welche Daten habt ihr von mir?" Sie haben 30 Tage Zeit. Aber: kein Prozess, keine Vorlage, jemand muss erst rausfinden wer in Ihrem Unternehmen überhaupt was hat.
Lösung: Standardprozess für Betroffenenrechte. Vorlage für Auskunfts-Schreiben + interne Checkliste welche Systeme abgefragt werden müssen.
Wo wir helfen
Unser DSGVO-Audit findet genau solche Lücken — strukturiert, dokumentiert, mit priorisierten Maßnahmen. Festpreis ab €1.500 für kleine Setups.
Wenn Sie nur einen Quick-Check wollen ob Sie auf der sicheren Seite sind: kostenloses 30-min Erstgespräch.