Checkliste für Unternehmen – Schritte zur Umsetzung der DSGVO

Art der Pflicht: unternehmensintern 

Rechtsgrundlage: Art. 37 DSGVO, § 38 BDSG 

Unternehmen müssen prüfen, ob sie einen Datenschutzbeauftragten (DSB) benennen müssen. Nach Art. 37 DSGVO ist dies insbesondere dann der Fall, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung sensibler Daten oder in einer systematischen Überwachung von Personen besteht. In Deutschland kommt zusätzlich § 38 BDSG ins Spiel (z. B. ab 20 Personen, die regelmäßig Daten verarbeiten). Für viele KMU ist die Pflicht nicht zwingend – eine freiwillige Benennung kann aber sinnvoll sein, um Prozesse sauber aufzusetzen. 

Praxistipp: Prüfen Sie nicht nur die Mitarbeiterzahl, sondern auch Ihre Geschäftsmodelle (z. B. Tracking, Gesundheitsdaten, CRM). Sollten Sie unsicher sein, ob Sie einen DSB benötigen, dann sprechen Sie uns gerne an! 

Art der Pflicht: unternehmensextern (gegenüber Kunden, Website-Besuchern, Bewerbern), auch unternehmensintern für Mitarbeitende 

Rechtsgrundlage: Art. 13, 14 DSGVO 

Die Datenschutzerklärung erfüllt die allgemeine gesetzliche Informationspflicht und muss Betroffene überblickwahrend darüber aufklären, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Diese Informationen müssen transparent, verständlich und leicht zugänglich sein, z.B. über den Footer. Ohne diese Angaben ist die Datenverarbeitung regelmäßig unzulässig. Besonders relevant ist dies für Websites, Kontaktformulare und Online-Shops, insbesondere, wenn Drittanbieter mit im Spiel sind, die Daten zusätzlich erheben oder erhalten. Neben der Datenschutzerklärung müssen Betroffene zusätzlich bei der jeweiligen Datenerhebung konkret informiert werden, Details finden Sie unter dem Punkt Stellen Sie konkrete Informationen zur Datenverarbeitung zur Verfügung der Checkliste. 

Praxistipp: Prüfen Sie Ihre Datenschutzerklärung mindestens einmal jährlich und nach jeder Neueinführung eines digitalen Prozesses mitsamt technischem Setup oder Update. Inzwischen gibt es bereits sog. Generatoren für KMU, um so eine allgemeine Webseiten-Datenschutzerklärung zu erstellen. Falls Sie hier Bedarf haben, sprechen Sie uns an.  

Art der Pflicht: unternehmensextern und unternehmensintern 

Rechtsgrundlage: Art. 13, 14 DSGVO 

Neben der Datenschutzerklärung müssen Betroffene auch direkt und konkret bei der Datenerhebung, je nach Art der Anwendung, informiert werden – z. B. bei Verträgen, Formularen, Softwareeinsatz, bestimme Sachverhalte im Beschäftigtenverhältnis. Die DSGVO verlangt, dass diese Informationen bereits zum Zeitpunkt der Erhebung bereitgestellt werden. Das betrifft sowohl Kunden als auch Mitarbeiter. Ziel ist, dass jede betroffene Person weiß, was mit ihren Daten im konkreten Anwendungsfall passiert. 

Praxistipp: Arbeiten Sie mit standardisierten Informationsblättern für typische Fälle (Bewerbung, Kundenkontakt, Newsletter). Sollten Sie ein Muster benötigen, sprechen Sie uns an. 

Art der Pflicht: unternehmensintern mit Außenwirkung 

Rechtsgrundlage: Art. 28 DSGVO 

Sobald externe Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten (z. B. Hosting, Cloud, Newsletter), ist ein Vertrag zur Auftragsverarbeitung (sog. „AVV“) erforderlich. Dieser stellt sicher, dass der Dienstleister die Daten nur nach Ihren Weisungen verarbeitet und geeignete Schutzmaßnahmen einhält. Ohne solchen Vertrag liegt regelmäßig ein Datenschutzverstoß vor. 

Praxistipp: Prüfen Sie insbesondere Standard-Tools (Textverarbeitung, Gehaltsabrechnung, CRM-Systeme) – hier entsteht häufig Handlungsbedarf. Es gibt Entscheidungshilfen, ob für einzelne Vertragssituationen ein sog. „AVV“ notwendig ist. Falls Die dazu Fragen haben, sprechen Sie uns an!

Art der Pflicht: unternehmensintern 

Rechtsgrundlage: Art. 30 DSGVO 

Das Verzeichnis der Verarbeitungstätigkeiten (sog. „VVT“) ist das zentrale Dokument Ihres Datenschutzes. Es enthält alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, sowie Zwecke, Datenkategorien und Löschfristen. Grundsätzlich muss jedes Unternehmen ein solches Verzeichnis für sich führen. Es dient auch als Nachweis gegenüber der Aufsichtsbehörde, Kunden erhalten in der Regel keine Einblicke in das Verzeichnis. Das Verzeichnis dient Ihnen auch als Überblick, wo Sie die Daten Ihrer Kunden oder Mitarbeitenden speichern, weiterverarbeiten oder diese an Dritte zur Weiterbearbeitung weitergeben. 

Praxistipp: Starten Sie pragmatisch mit den wichtigsten Prozessen (Kunden, Mitarbeiter, Website) und erweitern Sie das Verzeichnis schrittweise.  

Art der Pflicht: unternehmensextern mit interner Umsetzung 

Rechtsgrundlage: Art. 12–22 DSGVO 

Betroffene haben umfassende Rechte, z. B. auf Auskunft, Löschung oder Berichtigung. Unternehmen müssen in der Lage sein, solche Anfragen fristgerecht (in der Regel innerhalb eines Monats) zu beantworten. Voraussetzung ist ein klarer interner Prozess, wer solche Anfragen bearbeitet und wie die Daten zusammengetragen werden. Ohne Struktur gehen Anfragen schnell verloren oder werden falsch beantwortet. 

Praxistipp: Legen Sie ein zentrales Postfach (z. B. datenschutz@…) und ein Standardverfahren für die Bearbeitung fest. Bei konkreten Umsetzungsfragen sind wir gerne Ihre Ansprechpartner!  

Art der Pflicht: unternehmensintern 

Rechtsgrundlage: Art. 32 DSGVO 

Unternehmen müssen geeignete technische und organisatorische Maßnahmen treffen, um personenbezogene Daten zu schützen. Dazu gehören z. B. Zugriffsbeschränkungen, Verschlüsselung, Backups und Mitarbeiterschulungen. Ziel ist ein angemessenes Schutzniveau entsprechend dem Risiko der Datenverarbeitung. Welche Maßnahmen konkret erforderlich sind, hängt von Größe und Geschäftsmodell ab. 

Praxistipp: Dokumentieren Sie Ihre Maßnahmen – fehlende Dokumentation ist einer der häufigsten Prüfungsfehler.