· Mehdi Aroui · cybersecurity  · 3 min read

DSGVO und EU Data Act: Anforderungen 2025 für KMU

DSGVO, EU Data Act, Schrems II und DSA: Unternehmen stehen vor einem dichten Regelwerk. Was die wichtigsten Anforderungen 2025 sind und wie IT-Sicherheit dabei konkret hilft.

DSGVO, EU Data Act, Schrems II und DSA: Unternehmen stehen vor einem dichten Regelwerk. Was die wichtigsten Anforderungen 2025 sind und wie IT-Sicherheit dabei konkret hilft.

Was seit 2018 gilt und was sich seitdem verändert hat

Die DSGVO ist seit dem 25. Mai 2018 in Kraft. Sie verpflichtet alle Unternehmen, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten, zu einem klar geregelten Umgang mit diesen Daten. In Hamburger Unternehmen beobachten wir noch immer erhebliche Compliance-Lücken. Sieben Jahre nach Inkrafttreten ist die DSGVO fester Bestandteil des Betriebs, aber das Regelwerk drumherum ist gewachsen.

Ein Überblick über den aktuellen Stand 2025.

DSGVO-Kernpflichten (unverändert)

  • Einwilligung vor der Verarbeitung personenbezogener Daten
  • Auskunftspflicht gegenüber betroffenen Personen
  • Recht auf Löschung (“Recht auf Vergessenwerden”)
  • Meldepflicht bei Datenpannen innerhalb von 72 Stunden
  • Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes

Für Arztpraxen, Steuerberater und andere Berufsgeheimnisträger gilt zusätzlich §203 StGB (Schweigepflicht) in Verbindung mit dem BDSG.

Schrems II und Datentransfer in die USA

Seit dem EuGH-Urteil Schrems II (2020) ist der Datentransfer in Drittstaaten ohne angemessenes Schutzniveau unzulässig. Das EU-US Data Privacy Framework (2023) hat eine neue Grundlage geschaffen, die aber weiterhin rechtlich angefochten wird.

Für KMU bedeutet das: Cloud-Dienste, die Daten in den USA oder anderen Drittstaaten verarbeiten, erfordern eine sorgfältige Prüfung. Netzleiter speichert alle Cloud-Backup-Daten ausschließlich in deutschen Azure-Rechenzentren. Kein Datentransfer in Drittstaaten.

EU Data Act (ab September 2025)

Der EU Data Act regelt den Zugang zu und die Weitergabe von Daten, die durch vernetzte Geräte und IoT-Geräte entstehen. Für Unternehmen, die Maschinendaten, Sensordaten oder Smart-Device-Daten verarbeiten, entstehen neue Transparenz- und Portabilitätspflichten.

KMU ohne große IoT-Flotte sind aktuell weniger direkt betroffen, sollten aber bei neuen Hardware-Beschaffungen das Thema im Blick behalten.

Digital Services Act (DSA)

Der DSA gilt seit Februar 2024 für alle Online-Plattformanbieter in der EU. Für kleine Unternehmen mit eigener Website oder Shop gelten leichtere Pflichten als für große Plattformen. Relevant ist jedoch die Transparenzpflicht bei algorithmischen Empfehlungssystemen und das beschleunigte Verfahren bei illegalen Inhalten.

Was KMU konkret tun müssen

Datenschutz-Dokumentation aktualisieren Verarbeitungsverzeichnis, Datenschutzerklärung und Auftragsverarbeitungsverträge regelmäßig prüfen. Drittanbieter und Cloud-Dienste müssen auf DSGVO-Konformität bewertet sein.

Backup DSGVO-konform gestalten Datensicherung muss verschlüsselt, zugriffsbeschränkt und mit dokumentierter Löschfrist erfolgen. Cloud-Backup ausschließlich auf deutschen Servern, soweit personenbezogene Daten enthalten sind.

Mitarbeitende schulen Phishing, Social Engineering und fahrlässiger Umgang mit Daten sind die häufigsten Ursachen für meldepflichtige Datenpannen. Jährliche Sensibilisierungsmaßnahmen reichen als Mindestmaßnahme.

Technische Maßnahmen dokumentieren Firewall, Antivirensoftware, Verschlüsselung und Zugriffskontrolle müssen nicht nur vorhanden sein, sie müssen auch nachweisbar sein. Netzleiter erstellt diese Dokumentation als Teil des Wartungsvertrags.

Wie Netzleiter unterstützt

Netzleiter ist kein Rechtsberatungsbüro. Was wir liefern, ist die technische Seite der DSGVO-Konformität: verschlüsseltes Backup in Deutschland, dokumentiertes Patch-Management, Endpoint Security und Zugriffskontrolle auf Basis von Microsoft Entra ID.

Für die rechtliche Seite empfehlen wir einen Datenschutzbeauftragten oder einen auf IT-Recht spezialisierten Anwalt.

Häufige Fragen

Welche Datenpannen müssen gemeldet werden?

Datenpannen mit Risiko für die betroffenen Personen müssen innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden. Wird die Frist versäumt, drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.

Darf ich mein Backup in die USA auslagern?

Nicht ohne geprüfte Rechtsgrundlage. Das EU-US Data Privacy Framework (2023) schafft eine Transferbasis, die aber juristisch weiterhin angefochten wird. Netzleiter speichert Cloud-Backup-Daten ausschließlich in deutschen Azure-Rechenzentren ohne Drittlandtransfer.

Wen betrifft der EU Data Act?

Der EU Data Act gilt ab September 2025 für Unternehmen, die vernetzte Geräte, Maschinen- oder IoT-Daten verarbeiten. KMU ohne größere IoT-Flotte sind aktuell weniger direkt betroffen, sollten aber bei neuen Hardware-Beschaffungen darauf achten.

Was liefert Netzleiter für die DSGVO-Compliance?

Netzleiter liefert die technische Seite: verschlüsseltes Backup auf deutschen Servern, dokumentiertes Patch-Management, Endpoint Security und Zugriffskontrolle über Microsoft Entra ID. Für die rechtliche Seite empfehlen wir einen Datenschutzbeauftragten oder IT-Rechtanwalt.

Fragen zur technischen Umsetzung: Hotline 040 25 499 500, support@netzleiter.com

Share:
Back to Blog

Related Posts

View All Posts »
NIS2: Cybersicherheitspflichten für KMU im Überblick

NIS2: Cybersicherheitspflichten für KMU im Überblick

NIS2 trifft mehr Unternehmen als erwartet: Wer ab 50 Mitarbeitenden in regulierten Sektoren tätig ist, ist betroffen. Eine Einordnung für Entscheider, wer fällt darunter, was sofort zu tun ist und welche Haftungsrisiken für Geschäftsführer bestehen.