5 DSGVO-Fehler, die kleine Unternehmen teuer zu stehen kommen
Kleine und mittlere Unternehmen (KMU) stehen vor besonderen Herausforderungen bei der DSGVO-Umsetzung. Oft fehlen dedizierte Datenschutzbeauftragte, und die Verarbeitung personenbezogener Daten erfolgt nebenbei. Doch die Aufsichtsbehörden machen bei KMU keine Ausnahmen — die Bußgeldkataloge gelten für alle. Dieser Beitrag zeigt die fünf häufigsten DSGVO-Fehler in kleinen Unternehmen und wie Sie sie vermeiden.
Fehler 1: Unsichere Schwärzung — schwarzer Balken statt echte Entfernung
Der wohl verbreitetste Fehler: Mitarbeiter legen in PDF-Dokumenten schwarze Rechtecke über sensible Daten und halten das für Schwärzung. In Wahrheit bleibt der Text im PDF erhalten und kann mit einfachen Mitteln — etwa dem Kopieren per Strg+C oder dem Öffnen in einem Texteditor — wieder sichtbar gemacht werden.
Das Risiko: Wenn personenbezogene Daten Dritter auf diese Weise „geschwärzt" werden und trotzdem lesbar bleiben, liegt ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO (Integrität und Vertraulichkeit) vor. Die Daten wurden nicht angemessen geschützt.
Bußgeldpotenzial: Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO). In der Praxis verhängen die Aufsichtsbehörden bei KMU Bußgelder im vier- bis fünfstelligen Bereich, je nach Schwere und Dauer des Verstoßes.
Die Lösung: Nutzen Sie Werkzeuge, die den Text irreversibel aus dem PDF entfernen. Datenmaske beispielsweise entfernt den Text physisch aus dem Content-Stream des PDFs und bereinigt gleichzeitig Metadaten, Kommentare und Lesezeichen. So ist die Schwärzung nicht nur visuell, sondern auch technisch irreversibel.
Fehler 2: Keine Datenminimierung bei Dokumentweitergabe
Viele KMU geben Dokumente ungefiltert weiter — ob an Steuerberater, Rechtsanwälte, Kunden oder Behörden. Kontoauszüge mit allen Buchungsposten, Verträge mit vollständigen Kontaktdaten aller Beteiligten, Personalakten mit sensiblen Gesundheitsdaten. Die DSGVO fordert jedoch Datenminimierung (Art. 5 Abs. 1 lit. c): Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.
Das Risiko: Wer einen Kontoauszug mit allen Buchungsposten an den Vermieter weitergibt, obwohl nur der Saldo relevant ist, verletzt das Datennötigungsgebot. Wer Kundenakten mit Daten anderer Kunden an Dritte weitergibt, verstößt gegen die Zweckbindung.
Bußgeldpotenzial: Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Die Aufsichtsbehörden prüfen bei Beschwerden gezielt, ob die Datenminimierung eingehalten wurde.
Die Lösung: Vor jeder Dokumentweitergabe prüfen: Welche Daten sind für diesen konkreten Zweck erforderlich? Alle darüber hinausgehenden personenbezogenen Daten schwärzen. Datenmaske erkennt automatisch, welche Daten in einem Dokument enthalten sind, und schlägt gezielte Schwärzungen vor.
Fehler 3: Fehlende Protokollierung der Schwärzung
Wenn Sie Dokumente schwärzen, aber nicht dokumentieren, was geschwärzt wurde, wann, von wem und warum, fehlt die Nachvollziehbarkeit. Bei einer Prüfung durch die Aufsichtsbehörde oder bei einer Beschwerde können Sie nicht nachweisen, dass Sie den DSGVO-Anforderungen entsprochen haben.
Das Risiko: Fehlende Dokumentation verstößt gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Die Behörde kann nicht prüfen, ob die Schwärzung korrekt und vollständig durchgeführt wurde. Im Worst Case wird der Verstoß als vorsätzlich eingestuft.
Bußgeldpotenzial: Bußgelder für fehlende Dokumentation liegen typischerweise im fünfstelligen Bereich. In Kombination mit anderen Verstößen können sie sich deutlich erhöhen.
Die Lösung: Führen Sie ein Schwärzungsprotokoll (Audit-Log) für jeden Vorgang. Dokumentieren Sie: welches Dokument, welche Daten wurden geschwärzt, wann, von wem und aus welchem Grund. Datenmaske erstellt automatisch ein kryptografisch gesichertes Audit-Log für jeden Schwärzungsvorgang.
Fehler 4: Manuelle Prozesse ohne Qualitätskontrolle
In vielen KMU schwärzen Mitarbeiter Dokumente manuell — sie suchen personenbezogene Daten selbst, ziehen schwarze Rechtecke und exportieren das Dokument. Dieser Prozess ist hochgradig fehleranfällig: Daten werden übersehen, besonders in langen Dokumenten oder bei unübersichtlicher Formatierung. Eine zweite Kontrolle findet meist nicht statt.
Das Risiko: Studien zeigen, dass 65 % der manuell „geschwärzten" PDFs weiterhin versteckte Informationen enthalten. Bei einer Stichprobe durch die Aufsichtsbehörde werden diese Fehler mit hoher Wahrscheinlichkeit entdeckt.
Bußgeldpotenzial: Abhängig von der Art und Menge der übersehenen Daten. Bei systematischen Mängeln drohen Bußgelder im sechsstelligen Bereich.
Die Lösung: Automatisieren Sie die Erkennung personenbezogener Daten. Datenmaske nutzt eine Kombination aus regelbasierten Mustern (Regex für IBANs, E-Mail-Adressen, Telefonnummern) und Named Entity Recognition (NER für Namen, Orte, Organisationen). Die automatische Erkennung findet Daten, die manuell leicht übersehen werden — und schließt eine menschliche Prüfung der Ergebnisse ein.
Fehler 5: Dokumente ungeprüft weitergeben
Der vielleicht banalste, aber auch gefährlichste Fehler: Dokumente werden ohne jegliche Prüfung auf personenbezogene Daten weitergegeben. Das passiert besonders häufig bei E-Mail-Weiterleitungen, Cloud-Freigaben oder der Aushändigung von Papierdokumenten.
Das Risiko: Jede Weitergabe von Dokumenten mit personenbezogenen Daten Dritter ohne Rechtsgrundlage ist ein Datenschutzverstoß. Das gilt auch für die interne Weitergabe innerhalb des Unternehmens, wenn kein Need-to-Know besteht.
Bußgeldpotenzial: Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes bei besonders schweren Verstößen (Art. 83 Abs. 5 DSGVO). Auch für KMU können schnell fünf- oder sechsstelligen Bußgelder drohen.
Die Lösung: Etablieren Sie einen Freigabeprozess: Bevor Dokumente nach außen gehen, werden sie auf personenbezogene Daten geprüft und bei Bedarf geschwärzt. Mit einem Tool wie Datenmaske lässt sich dieser Prozess in Minuten statt Stunden durchführen.
Vergleich der 5 Fehler
| Fehler | Risiko | Bußgeld bis zu | Lösung |
|---|---|---|---|
| Unsichere Schwärzung | Text bleibt lesbar | 10 Mio. EUR / 2 % Umsatz | Irreversible Textentfernung |
| Keine Datenminimierung | Zu viele Daten weitergegeben | 10 Mio. EUR / 2 % Umsatz | Gezielte Schwärzung nicht benötigter Daten |
| Fehlende Protokollierung | Keine Nachvollziehbarkeit | 5-stelliger Bereich | Automatisches Audit-Log |
| Manuelle Prozesse | Daten werden übersehen | 6-stelliger Bereich | Automatische Erkennung + menschliche Prüfung |
| Ungeprüfte Weitergabe | Unkontrollierte Datenverbreitung | 20 Mio. EUR / 4 % Umsatz | Freigabeprozess mit automatischer Prüfung |
Fazit
Die fünf beschriebenen Fehler haben eines gemeinsam: Sie sind vermeidbar. Mit den richtigen Werkzeugen und Prozessen können kleine Unternehmen DSGVO-Compliance bei der Dokumentenverarbeitung effizient und kostengünstig sicherstellen. Datenmaske wurde entwickelt, um genau diese Fehler zu vermeiden: automatische Erkennung, irreversible Schwärzung, vollständige Protokollierung — und alles auf EU-Servern verarbeitet.
Zuletzt aktualisiert: 14. Mai 2026
Haufige Fragen
Welche DSGVO-Bußgelder drohen kleinen Unternehmen?
Die DSGVO unterscheidet zwischen leichteren und schweren Verstößen. Leichtere Verstöße (z. B. fehlende Dokumentation) können mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes geahndet werden. Schwere Verstöße (z. B. unbefugte Datenweitergabe) mit bis zu 20 Mio. EUR oder 4 % des Umsatzes. Für KMU liegen die verhängten Bußgelder in der Praxis meist im vier- bis sechsstelligen Bereich.
Reicht es aus, einen schwarzen Balken über Text im PDF zu legen?
Nein. Ein schwarzer Balken verdeckt den Text nur visuell. Der Originaltext bleibt im PDF erhalten und kann durch Kopieren, Öffnen in einem Texteditor oder Entfernen der Grafikebene wieder sichtbar gemacht werden. 65 % der so 'geschwärzten' PDFs sind nicht sicher. Die DSGVO fordert eine effektive Schutzmaßnahme, die den Text irreversibel entfernt.
Müssen kleine Unternehmen einen Datenschutzbeauftragten benennen?
Ein Datenschutzbeauftragter ist pflichtig, wenn mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG). Darunter liegt die Benennung im Ermessen des Unternehmens. Von der DSGVO-Pflicht zur datenschutzgerechten Verarbeitung sind KMU jedoch unabhängig von ihrer Größe betroffen.
Was ist Datenminimierung nach DSGVO?
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) bedeutet, dass personenbezogene Daten dem Zweck angemessen und erheblich sein müssen und auf das für die Verarbeitung notwendige Maß beschränkt werden. In der Praxis: Geben Sie nur die Daten weiter, die für den jeweiligen Zweck wirklich benötigt werden, und schwärzen Sie alles andere.
Wie können kleine Unternehmen DSGVO-Compliance kostengünstig umsetzen?
Automatisierung ist der Schlüssel. Statt Dokumente manuell zu prüfen und zu schwärzen, nutzen Sie Werkzeuge wie Datenmaske, die personenbezogene Daten automatisch erkennen und irreversibel schwärzen. Das spart Personalzeit, reduziert Fehler und erstellt automatisch Audit-Logs für die Nachvollziehbarkeit.
Weitere Artikel
DSGVO-Dokumentencheck für KMU: In 3 Schritten compliant
So führen kleine Unternehmen einen DSGVO-Dokumentencheck durch: Welche Dokumente geprüft werden müssen, welche Daten geschwärzt werden müssen und wie Sie den Prozess automatisieren.
Welche Daten müssen geschwärzt werden? DSGVO-Übersicht
Daten, die nach DSGVO geschwärzt werden müssen: personenbezogene Daten, rechtliche Grundlagen und automatische Erkennung.
Kann man geschwärzte PDFs wieder sichtbar machen?
Können geschwärzte PDFs wieder sichtbar gemacht werden? Echte vs. falsche Schwärzung, wie man es prüft und warum irreversible Schwärzung wichtig ist.