Ja. Ob Sie von der DSGVO betroffen sind oder nicht, hängt nicht von der Größe Ihres Unternehmens ab, sondern alleine davon, ob Sie personenbezogene Daten (zB Namen Ihrer Kunden, Telefonnummern oder E-Mail-Adressen) in irgendeiner Form verarbeiten, speichern oder auf sonstige Weise verwenden.
Auch EPUs müssen die DSGVO einhalten.
Das Risiko für kleine Betriebe kommt vor allem aus möglichen Schadenersatzforderungen und Strafen, die durch einen falschen Umgang mit Betroffenenanfragen und den Dokumentationspflichten der DSGVO entstehen.