Wissen/DSGVO für 5-Personen-Firma: Häufig genannte Mindest-Kategorien

DSGVO für 5-Personen-Firma: Häufig genannte Mindest-Kategorien

Welche DSGVO-Pflichten werden bei Kleinst-Unternehmen üblicherweise erwartet? Verzeichnis, Webseite, AVVs — konditionale Einordnung mit Quellen.

ComplyCheck-Redaktion · Stand: 2026-07-07

DSGVOKMUMittelstandQuick-Decision

DSGVO für 5-Personen-Firma: Häufig genannte Mindest-Kategorien

Stand: 2026-05-17 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Wichtig

Diese Einordnung ist eine pauschale Orientierung auf Basis öffentlicher Quellen. Sie ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung. Konkrete Pflichten hängen von Verarbeitungs-Profil, Branche und Risikoeinstufung ab.

Welche regulatorische Grundlage gilt?

Für jede gewerbliche Datenverarbeitung in der EU gelten die Bestimmungen der Verordnung (EU) 2016/679 (DSGVO). Sie wird in Deutschland durch das BDSG flankiert. Für eine 5-Personen-Konstellation sind regelmäßig folgende Normen einschlägig:

Detail

  • Art. 5 DSGVO (Grundsätze der Verarbeitung — Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung)
  • Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung)
  • Art. 13 und 14 DSGVO (Informationspflichten gegenüber Betroffenen)
  • Art. 28 DSGVO (Auftragsverarbeitung)
  • Art. 30 DSGVO (Verzeichnis der Verarbeitungstätigkeiten)
  • Art. 32 DSGVO (technische und organisatorische Maßnahmen)
  • Art. 33 und 34 DSGVO (Meldepflichten bei Datenschutzverletzungen)

Die Aufsichtsbehörden der Länder konkretisieren diese Pflichten regelmäßig — etwa über das DSK-Kurzpapier Nr. 1 zum Verarbeitungsverzeichnis oder branchenspezifische Orientierungshilfen. Diese Verlautbarungen sind kein bindendes Recht, prägen aber die Verwaltungspraxis.

Welche Konstellation passt zu deinem Verarbeitungs-Profil?

Eine pauschale Antwort auf „brauche ich einen DSB?" ist nicht möglich, da die Pflicht sich an mehreren parallelen Kriterien bemisst. § 38 Abs. 1 BDSG knüpft die Bestellpflicht an die ständige automatisierte Verarbeitung durch mindestens 20 Personen. Unabhängig davon greift Art. 37 Abs. 1 DSGVO bei bestimmten Tätigkeitsprofilen — etwa bei Kerntätigkeiten, die regelmäßige und systematische Überwachung in großem Umfang umfassen, oder bei umfangreicher Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO.

Detail

Sofern dein Unternehmen klassisches B2B-Geschäft betreibt, eine überschaubare Anzahl von Kunden-Stammdatensätzen pflegt und kein systematisches Tracking als Geschäftsmodell hat, fällt die Konstellation typischerweise nicht unter Art. 37 DSGVO. Eine sorgfältige Einzelfall-Prüfung sollte gleichwohl erfolgen, bevor auf eine DSB-Bestellung verzichtet wird.

Wichtig ist die Abgrenzung zwischen „kein DSB erforderlich" und „keine DSGVO anwendbar". Letzteres trifft praktisch nie zu, sobald personenbezogene Daten überhaupt verarbeitet werden. Die Bestellung eines DSB ist eine organisatorische Zusatz-Pflicht, keine Schwelle, ab der das Datenschutzrecht erst greift.

Welcher Aufbau-Rahmen ist verbreitet?

In der KMU-Beratungspraxis werden für eine 5-Personen-Konstellation regelmäßig drei Bausteine als Mindest-Rahmen genannt:

Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) — ein internes Dokument, das die einzelnen Verarbeitungsvorgänge mit Zweck, Datenkategorien, Empfängern, Löschfristen und TOM-Verweis abbildet. Typische Konstellationen umfassen 8 bis 15 Einzel-Verarbeitungen. Das DSK-Kurzpapier Nr. 1 erläutert die Mindestinhalte.

Detail

Datenschutzerklärung und Impressum — die Erklärung muss die in Art. 13 DSGVO genannten Informationen vollständig abbilden, das Impressum die Anforderungen aus § 5 DDG. Branchenmuster der Datenschutz-Aufsichtsbehörden und der Industrie- und Handelskammern können als Ausgangspunkt dienen; eine 1:1-Übernahme ohne Anpassung an die konkrete Verarbeitungslandschaft trägt das Risiko inhaltlicher Lücken.

Auftragsverarbeitungsverträge (Art. 28 DSGVO) — sofern externe Dienstleister wie Cloud-Anbieter, Newsletter-Tools oder IT-Dienstleister weisungsgebunden personenbezogene Daten verarbeiten, ist eine Vereinbarung mit den in Art. 28 Abs. 3 DSGVO genannten Mindestinhalten regelmäßig erforderlich. Berufsträger mit eigener Verschwiegenheitspflicht (Steuerberater nach § 11 StBerG, Rechtsanwälte, Wirtschaftsprüfer) sind nach DSK-Beschluss aus dem Jahr 2018 in der Regel keine Auftragsverarbeiter, sondern eigenständige Verantwortliche.

Ergänzend werden in Beratungssituationen häufig genannt: ein Lösch- und Aufbewahrungs-Konzept, ein dokumentierter Prozess für Datenpannen-Meldungen nach Art. 33 DSGVO (72-Stunden-Frist) sowie ein definierter Workflow für Auskunftsersuchen nach Art. 15 DSGVO.

Welche Konstellationen erfordern abweichendes Vorgehen?

Mehrere Konstellationen verschieben den Pflichten-Rahmen erheblich und erfordern eine spezifische Einzelfall-Prüfung statt einer Orientierung an pauschalen KMU-Mindest-Kategorien:

  • Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen, Gewerkschaftszugehörigkeit) — hier ist üblicherweise eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu prüfen, und die Anforderungen an TOMs steigen.
  • Profiling oder automatisierte Einzelentscheidungen im Sinne von Art. 22 DSGVO — hier gelten zusätzliche Informations- und Widerspruchsrechte.

Detail

  • Drittlands-Transfers außerhalb der EU/EWR ohne Angemessenheitsbeschluss — hier sind nach Art. 46 DSGVO geeignete Garantien (etwa Standardvertragsklauseln) und ein Transfer Impact Assessment im Sinne der EDSA-Empfehlungen 01/2020 zu prüfen.
  • Branchen mit Spezialgesetzen (Gesundheitswesen mit § 22 BDSG, Banken mit ZAG/KWG, Rechtsanwälte mit BRAO, Versicherungen mit VAG) — hier überlagern sektor-spezifische Vorschriften die DSGVO-Standardregeln.
  • Beschäftigung von mehr als 20 Personen mit automatisierter Datenverarbeitung — hier greift § 38 Abs. 1 BDSG mit der Bestellpflicht für einen DSB.

In allen genannten Konstellationen ist eine rechtliche Einzelfall-Bewertung durch qualifizierte Beratung empfehlenswert. Die hier dargestellten Mindest-Kategorien beschreiben keinen sicheren Hafen.

Nächster Schritt

Eine erste belastbare Bestandsaufnahme beginnt mit einer Inventur der Verarbeitungsvorgänge. Unser Verfahrensverzeichnis-Generator führt durch die in Art. 30 Abs. 1 DSGVO genannten Pflichtangaben und erzeugt eine prüfbare Tabelle als Ausgangspunkt für die Einzelfall-Bewertung.

Für die Einordnung, ob in deiner Konstellation eine DSB-Bestellpflicht greift, bietet Wer braucht einen DSB? Pflicht-Check 2026 eine strukturierte Vor-Prüfung der drei zentralen Auslöser-Tatbestände aus Art. 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 7. Juli 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.