Antwort: Ja, die Anwendung der Datenschutz-Grundverordnung ist nicht von der Grösse Ihres Unternehmens/Ihrer Organisation, sondern von der Art Ihrer Tätigkeiten abhängig. Tätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen, lösen die Anwendung strengerer Vorschriften aus, egal ob ein KMU oder eine grosse Gesellschaft diese Tätigkeiten ausüben. Einige der Pflichten der Datenschutz-Grundverordnung gelten jedoch möglicherweise nicht für alle KMU.
Unternehmen mit weniger als 250 Mitarbeitern müssen zum Beispiel kein Verzeichnis ihrer Verarbeitungstätigkeiten führen, sofern die Verarbeitung personenbezogener Daten keine regelmässige Tätigkeit ist, eine Gefahr für die Rechte und Freiheiten von Personen darstellt oder sensible Daten bzw. Strafregister betrifft.
KMU müssen nur dann einen Datenschutzbeauftragten ernennen, wenn die Verarbeitung ihre Haupttätigkeit ist und besondere Gefahren für die Rechte und Freiheiten von Personen (zum Beispiel die Beobachtung von Personen oder die Verarbeitung sensibler Daten oder von Strafregistern) darstellt, insbesondere, da sie in grossem Umfang stattfindet.
Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/do-rules-apply-smes_de