Besonderheiten bei kleinen und mittleren Unternehmen

Die DS-GVO legt ein besonderes Augenmerk auf kleine und mittlere Unternehmen. Dies wird auch durch den risikoorientierten Ansatz deutlich, der im Prinzip nichts anderes ausdrückt, als dass die technischen und organisatorischen Maßnahmen passend zum Verantwortlichen und dessen Verarbeitungen auszuwählen sind. 

Dabei wird die Art der unterschiedlichen Organisationen (z. B. Großkonzern, datengetriebene Unternehmen, Sportverein, Selbstständiger) besonders derart berücksichtigt, dass es eben keinen pauschalen verpflichtenden Maßnahmenkatalog gleichermaßen für alle gibt (z. B. wird der IT-Grundschutz kaum vom kleinen Angelverein umgesetzt werden müssen), es stattdessen aber (branchentypische) Methoden und Kataloge geben kann (z. B. Standardschutzmaßnahmen für niedergelassene Hausarztpraxen). 

Dadurch ist es letztendlich möglich, dass jeder Verantwortlicher mit diesen (auch finanziell) verhältnismäßigen Aufwand ein akzeptables Datenschutzniveau erreichen kann.

Die Landesämter für Datenschutz haben hierzu eine Vielzahl von Informationen und Handlungshilfen bereitgestellt.

Handreichungen für kleine Unternehmen und Vereine (Handreichungen KMUs)

In den Übersichten werden für kleine Unternehmen und Vereine die wesentlichen Anforderungen exemplarisch zusammengestellt, ohne Anspruch auf Vollständigkeit. Zu beachten ist daher, dass nicht jeder Verantwortliche pauschal alle diese Anforderungen erfüllen muss und sich auch der Umfang, wie die einzelnen Anforderungen konkret berücksichtigt werden müssen, fallbezogen unterscheidet. In diesen Mustern wird deshalb der vereinfachte Regelfall angenommen. Erläuterungen zu den Anforderungen befinden sich auf der Rückseite des jeweiligen Papiers.