Neues von der Datenschutzkonferenz (DSK) – Wichtige Erkenntnisse für kleine Unternehmen & Selbstständige
08.09.2025
Inhaltsverzeichnis
Datenschutz ist längst nicht mehr nur ein Thema für große Konzerne – auch Solo-Selbstständige, Freiberufler und kleine Unternehmen mit wenigen Mitarbeitern müssen sich intensiv damit auseinandersetzen. Die Datenschutzkonferenz (DSK), ein Zusammenschluss der Datenschutzbehörden von Bund und Ländern, trifft sich regelmäßig, um wichtige Themen zu besprechen, Stellungnahmen zu veröffentlichen und Orientierungshilfen zu geben. Für Unternehmer bedeutet das: Wer die neuesten Entwicklungen kennt, kann Risiken minimieren, Bußgelder vermeiden und gleichzeitig das Vertrauen seiner Kunden stärken.
In diesem Artikel schauen wir uns drei brandaktuelle Schwerpunkte der DSK genauer an, die besonders für kleine Unternehmen relevant sind: den Einsatz von Microsoft 365, den Umgang mit KI-Tools wie ChatGPT und die Gestaltung von Cookie-Bannern. Dabei geht es nicht nur um rechtliche Vorgaben, sondern auch um praktische Tipps zur Umsetzung. Denn viele Unternehmer setzen Tools ein, ohne genau zu wissen, ob diese DSGVO-konform sind – und genau hier liegt die Gefahr.
Wir zeigen dir, welche Risiken bestehen, wie du sie dokumentierst, welche Verträge du brauchst, und worauf du bei sensiblen Daten achten musst. Außerdem erfährst du, wie du KI im Unternehmen einsetzen kannst, ohne gegen Datenschutzvorgaben zu verstoßen, und wie dein Cookie-Banner aussehen sollte, um rechtssicher zu sein. So bist du auf dem neuesten Stand, wenn es um Datenschutz geht – klar, verständlich und praxisnah.
Die Datenschutzkonferenz, kurz DSK, ist ein Zusammenschluss aller unabhängigen Datenschutzaufsichtsbehörden der Bundesländer sowie des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Ihr Ziel ist es, eine einheitliche Anwendung und Auslegung der Datenschutzgesetze in Deutschland zu fördern. Dafür trifft sich die DSK mehrmals im Jahr, um sich über aktuelle Entwicklungen, neue Technologien und rechtliche Fragestellungen auszutauschen.
Aus diesen Sitzungen entstehen Stellungnahmen, Beschlüsse und Orientierungshilfen, die Unternehmen, Behörden und der Öffentlichkeit als Richtschnur dienen können. Gerade für kleine Unternehmen und Selbstständige, die oft keine eigene Datenschutzabteilung haben, sind diese Orientierungshilfen wertvoll, weil sie komplexe Themen verständlich aufbereiten. Die Themenpalette reicht von der rechtssicheren Nutzung von Cloud-Diensten über Fragen zum Einsatz künstlicher Intelligenz bis hin zu Anforderungen an Webseitenbetreiber.
Auch aktuelle rechtliche Entwicklungen wie der AI-Act der EU oder neue Gerichtsurteile werden aufgegriffen und eingeordnet. Für Unternehmer bedeutet das: Wer die Veröffentlichungen der DSK regelmäßig verfolgt, ist deutlich besser darauf vorbereitet, neue Anforderungen umzusetzen. Außerdem kann die DSK-Website eine wichtige Anlaufstelle sein, um praxisrelevante Beispiele und konkrete Handlungsempfehlungen zu finden.
Ein großer Vorteil für kleine Betriebe: Die Orientierungshilfen der DSK sind in der Regel so formuliert, dass sie auch ohne juristisches Fachwissen verständlich sind. Das erleichtert die Umsetzung und spart im Zweifel teure Beratungsstunden. Dennoch ersetzt die DSK keine individuelle Rechtsberatung – ihre Empfehlungen sind ein Leitfaden, den Unternehmen an ihre eigenen Gegebenheiten anpassen müssen.
Microsoft 365 ist für viele Unternehmen ein unverzichtbares Werkzeug – es kombiniert E-Mail-Kommunikation, Datenablage, Team-Kollaboration und zahlreiche weitere Funktionen in einer Cloud-basierten Lösung. Doch aus Sicht der DSK ist der Einsatz nicht unproblematisch.
Das Hauptproblem liegt in der mangelnden Transparenz, wo und wie Microsoft Daten verarbeitet. Hinzu kommt der sogenannte „Patriot Act“ in den USA, der US-Behörden weitreichende Zugriffsrechte auf gespeicherte Daten einräumt – auch dann, wenn diese auf Servern außerhalb der USA liegen. Das kann insbesondere dann problematisch werden, wenn personenbezogene Daten europäischer Bürger betroffen sind.
Für Unternehmen bedeutet das: Der Einsatz von Microsoft 365 ist nicht verboten, aber es müssen klare Datenschutzmaßnahmen getroffen werden. Dazu gehört, genau zu dokumentieren, wofür die Software genutzt wird, welche Daten verarbeitet werden und wer Zugriff hat. Diese Angaben sollten im Verzeichnis der Verarbeitungstätigkeiten festgehalten werden.
Zudem ist eine Risikobewertung notwendig: Welche Daten werden in der Cloud gespeichert? Sind darunter besonders sensible Informationen wie Gesundheits- oder Personaldaten? Falls ja, müssen zusätzliche Schutzmaßnahmen getroffen werden – etwa Verschlüsselung oder Zugriffsbeschränkungen.
Kleinere Unternehmen sollten außerdem die Standardvertragsklauseln von Microsoft sichern, um im Falle einer Prüfung nachweisen zu können, dass ein gültiger Datenschutzvertrag besteht. Bei sensiblen Daten ist es ratsam, diese nicht in OneDrive oder SharePoint zu speichern, sondern lokal oder in speziell gesicherten Umgebungen zu verwalten.
Wer Microsoft 365 einsetzt, sollte sich bewusst sein, dass die Verantwortung für die Einhaltung der DSGVO immer beim Unternehmen liegt – nicht bei Microsoft. Eine klare Dokumentation und regelmäßige Überprüfung der Nutzung sind daher unerlässlich.
Künstliche Intelligenz (KI) ist längst in unserem Arbeitsalltag angekommen – von Textgeneratoren wie ChatGPT über automatisierte Chatbots auf Webseiten bis hin zu Tools, die Daten analysieren und Entscheidungen vorbereiten. Für Unternehmen bieten diese Technologien enorme Chancen, gleichzeitig bringen sie jedoch erhebliche datenschutzrechtliche Risiken mit sich.
Die Datenschutzkonferenz (DSK) weist ausdrücklich darauf hin, dass beim Einsatz von KI-Tools besondere Vorsicht geboten ist, sobald personenbezogene Daten verarbeitet werden. Das bedeutet: Daten, die Rückschlüsse auf eine konkrete Person zulassen – wie Name, Adresse, Geburtsdatum oder auch Kundennummern – dürfen nicht unbedacht in KI-Systeme eingegeben werden.
Vor allem bei öffentlichen KI-Diensten wie ChatGPT ist Vorsicht geboten, da eingegebene Daten potenziell zur Weiterentwicklung des Systems genutzt werden. Hier gilt: Entweder die Daten vorher vollständig anonymisieren oder auf geschlossene, interne KI-Lösungen setzen, bei denen sichergestellt ist, dass die Informationen das Unternehmen nicht verlassen.
Ein weiteres zentrales Thema ist der Einsatz von KI bei automatisierten Entscheidungen. Wenn beispielsweise ein Bewerbermanagementsystem KI nutzt, um Bewerbungen zu filtern, darf die endgültige Entscheidung nicht allein durch die KI erfolgen – es muss immer eine menschliche Überprüfung stattfinden. Dies soll verhindern, dass unfaire oder diskriminierende Entscheidungen getroffen werden, die auf fehlerhaften Algorithmen basieren.
Zusätzlich fordert die DSK, dass der Einsatz von KI transparent gemacht wird. Kunden, Bewerber oder Mitarbeiter müssen darüber informiert werden, wann und wie KI zum Einsatz kommt. Eine entsprechende Dokumentation im Datenschutzkonzept ist Pflicht.
Wer KI nutzen möchte, sollte daher frühzeitig prüfen, welche Daten verarbeitet werden, welche Risiken bestehen und wie diese minimiert werden können. Nur so lässt sich Innovation mit Datenschutz in Einklang bringen.
Der AI-Act der Europäischen Union ist die erste umfassende gesetzliche Regelung für den Einsatz von Künstlicher Intelligenz in Europa. Er hat das Ziel, klare Standards für die Entwicklung und Nutzung von KI-Systemen festzulegen – mit besonderem Fokus auf Sicherheit, Transparenz und Datenschutz.
Für Unternehmen bedeutet das: Der Einsatz von KI wird künftig deutlich stärker reguliert. Vor allem Unternehmen, die KI in sensiblen Bereichen wie Personalmanagement, Kundendatenverarbeitung oder automatisierten Entscheidungen nutzen, müssen umfangreiche Prüfungen und Dokumentationen vornehmen.
Ein zentraler Punkt des AI-Acts ist die Pflicht zur Schulung von Mitarbeitern. Unternehmen müssen sicherstellen, dass alle, die mit KI-Systemen arbeiten, gezielt auf die Prozesse und Risiken geschult werden. Allgemeine KI-Kurse oder einmalige Einführungen reichen nicht aus – die Schulung muss spezifisch auf den jeweiligen Anwendungsfall zugeschnitten sein.
Darüber hinaus schreibt der AI-Act vor, dass KI-Systeme in Risikokategorien eingeteilt werden. Hochrisiko-KI – wie beispielsweise Systeme, die über Kreditzusagen, Bewerbungen oder medizinische Diagnosen entscheiden – unterliegt besonders strengen Anforderungen. Hier sind regelmäßige Überprüfungen, genaue Dokumentationen und ein aktives Risikomanagement Pflicht.
Unternehmen sollten sich frühzeitig mit dem AI-Act vertraut machen, um nicht von den neuen Vorschriften überrascht zu werden. Wer bereits jetzt seine Prozesse dokumentiert, Datenschutz-Folgenabschätzungen durchführt und Mitarbeiter schult, ist bestens vorbereitet.
Die DSK betont, dass der AI-Act und die DSGVO eng miteinander verzahnt sind. Das heißt: Wer die DSGVO-Anforderungen sauber umsetzt, legt gleichzeitig die Grundlage für eine gesetzeskonforme Nutzung von KI unter dem AI-Act.
Du möchtest Deinen Datenschutz innerhalb von 4 Stunden erledigen?
Exklusiv für Solo und Kleinunternehmen bis 19 Mitarbeiter im Büro
Cookie-Banner sind für viele Webseitenbetreiber ein leidiges, aber unvermeidbares Thema. Sie sind die erste Schnittstelle, an der Besucher entscheiden können, ob und in welchem Umfang ihre Daten verarbeitet werden. Die DSK hat hierzu klare Anforderungen formuliert, die jeder Webseitenbetreiber kennen und umsetzen sollte.
Zunächst muss ein Cookie-Banner so gestaltet sein, dass der Nutzer eine echte Wahl hat. Das bedeutet: Die Schaltflächen „Akzeptieren“ und „Ablehnen“ müssen gleich groß und gleich sichtbar sein – keine versteckten Ablehn-Buttons, keine irreführenden Farben oder Formulierungen.
Außerdem muss es möglich sein, mit einem einzigen Klick nur die technisch notwendigen Cookies zu akzeptieren. Tracking- oder Marketing-Cookies dürfen nicht voreingestellt aktiviert sein. Der Nutzer muss aktiv zustimmen.
Ein weiteres wichtiges Detail: Der Cookie-Banner muss jederzeit aufrufbar sein, damit der Nutzer seine Entscheidung ändern kann. Das ist besonders relevant, wenn neue Tools, Plugins oder externe Inhalte (z. B. YouTube-Videos oder Google Maps) eingebunden werden.
Unternehmen sollten auch sicherstellen, dass alle im Cookie-Banner genannten Cookies in der Datenschutzerklärung detailliert erklärt werden – inklusive Zweck, Speicherdauer und Empfänger. Ein nicht aktueller Cookie-Banner oder eine veraltete Datenschutzerklärung kann schnell zu Abmahnungen oder Bußgeldern führen.
Die DSK empfiehlt zudem, den Cookie-Banner regelmäßig zu überprüfen, insbesondere nach technischen Änderungen an der Website. So wird sichergestellt, dass neue Cookies nicht unbemerkt eingesetzt werden und die Einwilligung der Nutzer weiterhin rechtlich gültig ist.
Datenschutz muss nicht kompliziert sein, wenn man ihn systematisch angeht. Die DSK gibt klare Hinweise, wie Unternehmen auch mit wenig Ressourcen datenschutzkonform arbeiten können.
Der erste Schritt ist die Erstellung und Pflege eines Verzeichnisses der Verarbeitungstätigkeiten. Hier werden alle Prozesse erfasst, bei denen personenbezogene Daten verarbeitet werden – von der Kundenverwaltung bis zum Newsletter-Versand.
Zweitens sollten Unternehmen mit allen externen Dienstleistern, die Daten verarbeiten, einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. Das gilt für Cloud-Anbieter, Newsletter-Tools, Buchhaltungssoftware und viele weitere Dienste.
Drittens ist die regelmäßige Überprüfung der Website Pflicht. Dabei sollte nicht nur der Cookie-Banner, sondern auch die Datenschutzerklärung auf Aktualität geprüft werden. Jede technische Änderung kann Auswirkungen auf den Datenschutz haben.
Viertens: Mitarbeiterschulungen. Auch in kleinen Unternehmen sollten alle, die mit Kundendaten arbeiten, in den Grundlagen der DSGVO geschult werden. Das beugt Fehlern vor und stärkt das Bewusstsein für Datenschutz.
Fünftens: Technische und organisatorische Maßnahmen wie sichere Passwörter, Zwei-Faktor-Authentifizierung, verschlüsselte Datenübertragung und klare Zugriffsrechte sind essenziell.
Wer diese Punkte beachtet, kann Datenschutz nicht nur als gesetzliche Pflicht, sondern als Wettbewerbsvorteil nutzen. Kunden vertrauen Unternehmen eher, die transparent und sicher mit ihren Daten umgehen.
Sie haben Fragen zu diesem Thema oder wollen Ihr Unternehmen generell DSGVO-fit machen? Nehmen Sie einfach hier Kontakt mit uns auf!
Haben Sie diese Artikel bereits gelesen?
Passwörter: Der unterschätzte Schutzschild im digitalen AlltagIm Zeitalter der Digitalisierung sind Passwörter allgegenwärtig. Sie schützen unsere privaten Daten, den Zugang zu Unternehmensnetzwerken und die sensiblen Informationen von Kunden und Mitarbeitern.
Wichtigste Regeln für datenschutzkonforme VideoüberwachungVideoüberwachung ist heutzutage allgegenwärtig und dient oft dem Schutz von Menschen und Eigentum. Doch wie kann man sicherstellen, dass...- Datenschutz bei Bewerbungen: Eine umfassende Checkliste für UnternehmenIn diesem Beitrag möchten wir Ihnen eine einfache und praxisorientierte Checkliste an die Hand geben, mit der Sie sicherstellen können, dass Ihr Bewerbungsprozess den datenschutzrechtlichen Anforderungen entspricht
- Verzeichnis der Verarbeitungstätigkeiten: Warum jedes Unternehmen ein Verfahrensverzeichnis benötigt und wie es erstellt wirdOft stellt sich die Frage: "Wer braucht eigentlich so ein Verzeichnis?" Brauchen das wirklich alle Unternehmen oder gibt es Ausnahmen?
„Wir sind die Ersten im Datenschutzdschungel, die ausschließlich auf Solo- und Kleinunternehmen spezialisiert sind und es gemeinsam mit ihnen innerhalb von 4 Stunden einfach und verständlich umsetzen!
Bereits seit 1991 schützen wir unsere Kunden vor Datenverlusten!“
