In der Ära der digitalen Information und im Kontext der ständig wachsenden Bedeutung von Datenschutz, ist es für Unternehmen von wichtiger Bedeutung, eine vollständige und effektive Datenschutzdokumentation zu implementieren. Diese DSGVO-Dokumentation dient nicht nur der Einhaltung der gesetzlichen Anforderungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), sondern stellt auch ein zentrales Werkzeug für das Risikomanagement und den Schutz personenbezogener Daten dar. In diesem vollständigen Leitfaden erfahren Sie, welche Datenschutz-Dokumente Ihr Unternehmen benötigt, wie Sie diese professionell strukturieren und welche Bestandteile eines Datenschutzmanagementsystems absolut unverzichtbar sind.

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verpflichtet jedes Unternehmen, die Einhaltung sämtlicher Datenschutzgrundsätze jederzeit nachweisen zu können. Ohne eine strukturierte und vollständige Datenschutzdokumentation ist dieser Nachweis praktisch unmöglich. Aufsichtsbehörden in Sachsen und ganz Deutschland prüfen bei Kontrollen als Erstes die vorhandene Dokumentation – fehlende oder veraltete Unterlagen führen regelmäßig zu Bußgeldern und behördlichen Anordnungen.

Welche Dokumente braucht man? – Vollständige Liste der DSGVO-Dokumentation

Eine vollständige Datenschutzdokumentation umfasst deutlich mehr als nur eine Datenschutzerklärung auf der Website. Die DSGVO verlangt von Unternehmen eine lückenlose Dokumentation aller Aspekte der Datenverarbeitung. Erfahrungsgemäß umfasst eine professionelle Datenschutzdokumentation ca. 250 Seiten. Im Folgenden finden Sie alle wesentlichen Bestandteile, die Ihr Unternehmen vorhalten muss:

1. Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist das zentrale und wichtigste Dokument jeder Datenschutzdokumentation. Es enthält für jede einzelne Verarbeitungstätigkeit folgende Informationen: den konkreten Zweck der Verarbeitung, die einschlägige Rechtsgrundlage nach Art. 6 DSGVO, Kategorien betroffener Personen (z. B. Kunden, Mitarbeiter, Bewerber) und verarbeiteter Datenkategorien, Empfänger und Empfängerkategorien, vorgesehene Löschfristen sowie eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen. Auch geplante Übermittlungen in Drittländer außerhalb der EU müssen mit den jeweiligen Garantien dokumentiert werden. Jedes Unternehmen ist zur Führung eines VVT verpflichtet – die theoretische Ausnahme für Unternehmen mit weniger als 250 Beschäftigten greift in der Praxis kaum, da sie nur gilt, wenn die Verarbeitung nicht regelmäßig erfolgt und keine besonderen Datenkategorien betroffen sind.

2. TOM-Dokumentation – Technische und organisatorische Maßnahmen

Die Dokumentation der technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO ist ein unverzichtbarer Pflichtbestandteil jeder DSGVO-Dokumentation. Sie umfasst eine detaillierte und strukturierte Übersicht über alle implementierten Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Die Gliederung erfolgt nach den klassischen Schutzzielen: Zutrittskontrolle (physischer Zugang zu Serverräumen, Büros und Archiven), Zugangskontrolle (Authentifizierung, Passwortrichtlinien, Zwei-Faktor-Authentifizierung), Zugriffskontrolle (Berechtigungskonzepte, Rollenmodelle, Need-to-know-Prinzip), Weitergabekontrolle (Verschlüsselung bei Datenübertragung, VPN, sichere E-Mail), Eingabekontrolle (Protokollierung von Datenänderungen, Audit-Trails), Auftragskontrolle (Steuerung und Kontrolle der Auftragsverarbeitung), Verfügbarkeitskontrolle (Backup-Konzepte, Notfallpläne, USV-Anlagen) und Trennungsgebot (mandantengetrennte Verarbeitung für verschiedene Zwecke). Alle TOMs müssen dem aktuellen Stand der Technik entsprechen und mindestens jährlich überprüft und aktualisiert werden.

3. Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dies betrifft insbesondere systematische Videoüberwachung öffentlich zugänglicher Bereiche, umfangreiches Profiling oder Scoring, die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang (z. B. Gesundheitsdaten in Krankenhäusern) oder den Einsatz neuer Technologien wie KI-basierter Entscheidungssysteme. Die DSFA dokumentiert eine systematische Beschreibung der geplanten Verarbeitung, die Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine vollständige Risikobewertung für betroffene Personen, die geplanten Abhilfemaßnahmen zur Risikominimierung und die Stellungnahme des Datenschutzbeauftragten.

4. Auftragsverarbeitungsverträge (AVV)

Auftragsverarbeitungsverträge nach Art. 28 DSGVO müssen mit sämtlichen Dienstleistern geschlossen werden, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten. Typische Auftragsverarbeiter in der Unternehmenspraxis sind Cloud-Anbieter (Microsoft 365, Google Workspace, AWS), IT-Dienstleister und Systemhäuser, Hosting-Provider und Rechenzentren, E-Mail-Marketing-Plattformen (Mailchimp, CleverReach), externe Lohnbuchhaltung und Steuerberater, Aktenvernichtungsunternehmen, Callcenter und Kundenservice-Dienstleister sowie Anbieter von CRM- und ERP-Systemen. Der AVV regelt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die technischen und organisatorischen Maßnahmen des Dienstleisters, den Einsatz von Unterauftragnehmer, Kontrollrechte des Verantwortlichen und die Pflichten bei Beendigung der Auftragsverarbeitung einschließlich Datenlöschung oder -rückgabe.

5. Einwilligungserklärungen und Consent-Management

Bei auf Einwilligung basierender Datenverarbeitung muss das Unternehmen die erteilten Einwilligungen lückenlos und nachweisbar dokumentieren. Dies umfasst den exakten Wortlaut der Einwilligungserklärung zum Zeitpunkt der Erteilung, den genauen Zeitpunkt (Datum und Uhrzeit), die Identität der einwilligenden Person, den Nachweis der Freiwilligkeit und Informiertheit sowie Informationen über die Möglichkeit und den Weg des Widerrufs. Für Website-Cookies, Tracking-Tools und Newsletter-Anmeldungen ist ein professionelles Consent-Management-System mit rechtssicherem Banner, granularen Einstellungsmöglichkeiten und revisionssicherer Protokollierung aller Einwilligungen erforderlich.

6. Löschkonzept und Aufbewahrungsfristen

Ein professionelles Löschkonzept definiert für jede Kategorie personenbezogener Daten die konkreten Aufbewahrungsfristen und Löschzeitpunkte. Es berücksichtigt sowohl die DSGVO-Grundsätze der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) als auch sämtliche gesetzlichen Aufbewahrungspflichten – handelsrechtlich 6 Jahre gemäß § 257 HGB, steuerrechtlich 10 Jahre gemäß § 147 AO, arbeitsrechtlich bis zu 3 Jahre nach Vertragsende für Gehaltsabrechnungen und Arbeitszeugnisse. Das Löschkonzept muss klare Verantwortlichkeiten, geeignete Löschmethoden (physische Vernichtung nach DIN 66399, sicheres Überschreiben, Anonymisierung) und wirksame Kontrollmechanismen zur Absicherung der fristgerechten Löschung festlegen.

7. Datenschutzerklärung

Die Datenschutzerklärung nach Art. 13 und 14 DSGVO informiert betroffene Personen vollständig über die Verarbeitung ihrer personenbezogenen Daten. Sie muss transparent, verständlich und vollständig sein und mindestens folgende Angaben enthalten: Name und Kontaktdaten des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, Verarbeitungszwecke und Rechtsgrundlagen für jede Verarbeitung, Speicherdauer oder Kriterien für deren Festlegung, Empfänger und Empfängerkategorien, Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde. Neben der Website-Datenschutzerklärung benötigen Unternehmen häufig separate Datenschutzhinweise für Bewerbungsverfahren, Beschäftigte, Geschäftspartner, Lieferanten, Social-Media-Auftritte und Veranstaltungen.

8. Schulungsnachweise und Verpflichtungserklärungen

Nachweise über regelmäßig durchgeführte Datenschutzschulungen für alle Mitarbeiter dokumentieren, dass das Unternehmen seiner gesetzlichen Sensibilisierungspflicht nachkommt. Die Dokumentation umfasst die konkreten Schulungsinhalte und -materialien, vollständige Teilnehmerlisten mit eigenhändigen Unterschriften, das Schulungsdatum und den regelmäßigen Schulungsturnus (mindestens jährlich empfohlen). Ergänzend sind schriftliche Verpflichtungserklärungen auf das Datengeheimnis und die Vertraulichkeit für alle Mitarbeiter erforderlich. Bei Berufsgeheimnisträgern wie Ärzten, Anwälten und Steuerberatern kommt zusätzlich die besondere Verpflichtung nach § 203 StGB hinzu. Neue Mitarbeiter sollten bereits vor ihrem ersten Arbeitstag geschult und verpflichtet werden.

9. Datenschutzvorfälle-Register

Ein lückenloses Register für Datenschutzvorfälle (Data Breach Register) dokumentiert alle Sicherheitsvorfälle, die personenbezogene Daten betreffen – unabhängig davon, ob eine Meldepflicht an die Aufsichtsbehörde nach Art. 33 DSGVO besteht oder nicht. Für jeden einzelnen Vorfall werden folgende Informationen dokumentiert: Art und Umfang des Vorfalls, betroffene Datenkategorien und Personengruppen mit ungefährer Anzahl, chronologischer Verlauf von der Entdeckung bis zur Behebung, sofort ergriffene Gegenmaßnahmen und langfristige Abhilfemaßnahmen, Risikobewertung für die betroffenen Personen sowie erfolgte Meldungen an die Aufsichtsbehörde und gegebenenfalls an die betroffenen Personen. Die gesetzliche 72-Stunden-Meldefrist nach Art. 33 DSGVO beginnt mit dem Zeitpunkt der Kenntniserlangung durch den Verantwortlichen.

10. Datenschutzrichtlinien und Verfahrensanweisungen

Interne Datenschutzrichtlinien und Verfahrensanweisungen regeln den täglichen Umgang mit personenbezogenen Daten im gesamten Unternehmen. Zu den wichtigsten Dokumenten gehören: die übergeordnete interne Datenschutzrichtlinie, eine Richtlinie zur privaten Internet- und E-Mail-Nutzung am Arbeitsplatz, eine Clean-Desk-Policy für den aufgeräumten Arbeitsplatz, Homeoffice- und Mobile-Work-Regelungen mit spezifischen Datenschutzanforderungen, eine Richtlinie zum sicheren Umgang mit mobilen Datenträgern (USB-Sticks, externe Festplatten), eine verbindliche Passwortrichtlinie, Vorgaben für den sicheren Datentransfer per E-Mail und Cloud sowie Regelungen zur Nutzung privater Endgeräte im Unternehmen (BYOD-Policy).

11. Datenschutzhandbuch

Das zentrale Datenschutzhandbuch dient als vollständige Dienstvorschrift und Nachschlagewerk für alle Mitarbeiter im Unternehmen. Es enthält die Grundsätze der Datenverarbeitung, die vollständige Organisationsstruktur des Datenschutzes mit Organigramm, alle Verantwortlichkeiten und Zuständigkeiten, detaillierte Verfahrensanweisungen für typische Datenschutzfragen des Arbeitsalltags, klare Anleitungen zur Erkennung und Meldung von Datenschutzverletzungen sowie Kontaktdaten des Datenschutzbeauftragten und relevanter Ansprechpartner.

12. Korrespondenz und Betroffenenanfragen

Sämtliche datenschutzbezogene Korrespondenz muss revisionssicher dokumentiert und aufbewahrt werden. Dazu gehören: alle Anfragen betroffener Personen zu Auskunft, Löschung, Berichtigung, Datenübertragbarkeit und Widerspruch mit den jeweiligen vollständigen Antworten des Unternehmens, jegliche Korrespondenz mit der zuständigen Aufsichtsbehörde (in Sachsen: SDTB), die lückenlose Dokumentation der fristgerechten Bearbeitung innerhalb der Monatsfrist nach Art. 12 Abs. 3 DSGVO und alle internen Abstimmungen und Entscheidungen zu Datenschutzfragen.

13. Berichte, Audits und Analysen

Regelmäßige periodische Datenschutzberichte, der jährliche Tätigkeitsbericht des Datenschutzbeauftragten an die Geschäftsführung, die Ergebnisse und Erkenntnisse aus durchgeführten Datenschutz-Audits sowie systematische Risikobewertungen vervollständigen die Datenschutzdokumentation. Diese Berichte dienen der Geschäftsführung als fundierte Entscheidungsgrundlage für Investitionen in den Datenschutz und dokumentieren gegenüber der Aufsichtsbehörde die kontinuierliche und nachhaltige Verbesserung des Datenschutzniveaus im Unternehmen.

14. Nachweise zur Sicherheit der Verarbeitung (Art. 32 DSGVO)

Eine vollständige und detaillierte Dokumentation aller implementierten Maßnahmen zur dauerhaften Absicherung der Verarbeitungssicherheit – sowohl für interne Systeme als auch im Zusammenspiel mit allen externen Dienstleistern und Auftragsverarbeitern. Dies beinhaltet IT-Grundschutzkonzepte nach BSI-Standard, Ergebnisse von Penetrationstests und Schwachstellenanalysen, regelmäßige Sicherheitsaudits und deren Ergebnisse, dokumentierte Incident-Management-Verfahren, Verschlüsselungsnachweise für Daten in Ruhe und in Übertragung sowie aktuelle Kontrollberichte und Zertifikate von Auftragsverarbeitern.

15. Dokumentation der Betroffenenrechte (Art. 15–22 DSGVO)

Eine vollständige Prozessdokumentation zur praktischen Umsetzung aller Betroffenenrechte der DSGVO: Auskunftsrecht (Art. 15), Recht auf Berichtigung (Art. 16), Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17), Recht auf Einschränkung der Verarbeitung (Art. 18), Mitteilungspflicht im Zusammenhang mit Berichtigung, Löschung und Einschränkung (Art. 19), Recht auf Datenübertragbarkeit (Art. 20), Widerspruchsrecht (Art. 21) sowie Rechte bei automatisierten Einzelentscheidungen einschließlich Profiling (Art. 22). Für jedes einzelne Betroffenenrecht sollten klare Zuständigkeiten, detaillierte Prozessschritte, einzuhaltende Fristen, Antwortvorlagen und Eskalationswege dokumentiert sein.

Vorlage und Muster: Gliederung einer Datenschutzdokumentation

Eine professionelle Datenschutzdokumentation folgt einer klaren und logischen Struktur. Die folgende Gliederung kann als bewährte Vorlage für den systematischen Aufbau Ihres Datenschutzmanagementsystems dienen:

1. Allgemeines: Unternehmensbeschreibung, Datenschutzorganisation, Verantwortlichkeiten, Benennung und Kontaktdaten des Datenschutzbeauftragten
2. Verarbeitungsverzeichnis: Alle Verarbeitungstätigkeiten nach Art. 30 DSGVO mit Rechtsgrundlagen, Empfängern und Löschfristen
3. Technische und organisatorische Maßnahmen: Vollständiger TOM-Katalog nach Art. 32 DSGVO, gegliedert nach den acht Schutzzielen
4. Auftragsverarbeitung: Vollständige Übersicht aller Auftragsverarbeiter mit AVV-Status, Prüfdaten und Kontrollnachweisen
5. Datenschutz-Folgenabschätzungen: Alle durchgeführten DSFAs mit Risikobewertung, Maßnahmenplan und Stellungnahme des DSB
6. Betroffenenrechte: Prozessbeschreibungen für alle Rechte nach Art. 15–22, Formulare, Zuständigkeiten und Fristen
7. Datenschutzvorfälle: Detaillierter Meldeprozess, vollständiges Vorfallregister, Dokumentationsvorlagen und Eskalationswege
8. Löschkonzept: Aufbewahrungsfristen je Datenkategorie, definierte Löschmethoden, Verantwortlichkeiten und Kontrollmechanismen
9. Schulungen: Jährlicher Schulungsplan, Schulungsinhalte und -materialien, Teilnehmerlisten, Verpflichtungserklärungen
10. Richtlinien: Interne Datenschutzrichtlinie, IT-Nutzungsordnung, Homeoffice-Regelung, Clean-Desk-Policy, BYOD-Regelung
11. Datenschutzerklärungen: Aktuelle Fassungen für Website, Bewerber, Beschäftigte, Geschäftspartner und Social Media
12. Audits und Kontrollen: Auditplan, durchgeführte Prüfberichte, Maßnahmenverfolgung und Wirksamkeitskontrolle

Diese vollständige Gliederung bildet den bewährten Rahmen für eine vollständig DSGVO-konforme Dokumentation. Die DATUREX GmbH unterstützt Sie als erfahrener Partner bei der professionellen Erstellung, kontinuierlichen Pflege und laufenden Aktualisierung aller Dokumentationsbausteine – als Ihr zuverlässiger Datenschutzpartner in Dresden und ganz Sachsen.

Häufig gestellte Fragen zur Datenschutzdokumentation

Welche Datenschutzdokumentation ist gesetzlich vorgeschrieben?

Die DSGVO schreibt mindestens ein Verarbeitungsverzeichnis (Art. 30), die Dokumentation von technischen und organisatorischen Maßnahmen (Art. 32), Auftragsverarbeitungsverträge (Art. 28) und ein Verfahren zur Meldung von Datenschutzverletzungen (Art. 33/34) vor. Die übergeordnete Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verlangt außerdem, dass Unternehmen die vollständige Einhaltung aller DSGVO-Grundsätze jederzeit gegenüber der Aufsichtsbehörde nachweisen können – was in der Praxis zwingend eine vollständige und aktuelle Datenschutzdokumentation erfordert.

Wie umfangreich muss eine Datenschutzdokumentation sein?

Der konkrete Umfang hängt von der Unternehmensgröße, der Anzahl und Komplexität der Verarbeitungstätigkeiten und der Sensibilität der verarbeiteten Datenkategorien ab. Für ein typisches mittelständisches Unternehmen mit 50 bis 250 Mitarbeitern umfasst die Datenschutzdokumentation erfahrungsgemäß 150 bis 300 Seiten. Weitaus wichtiger als der reine Seitenumfang ist jedoch die inhaltliche Vollständigkeit und fortlaufende Aktualität: Jede Verarbeitungstätigkeit muss lückenlos dokumentiert sein, alle TOMs müssen dem aktuellen Stand der Technik entsprechen, sämtliche AVVs müssen unterzeichnet vorliegen und das Löschkonzept muss aktiv gelebt werden.

Wie oft muss die Datenschutzdokumentation aktualisiert werden?

Die Datenschutzdokumentation ist ein lebendes Dokument und muss bei jeder relevanten Änderung zeitnah aktualisiert werden – etwa bei der Einführung neuer Verarbeitungstätigkeiten, Änderungen an IT-Systemen oder eingesetzter Software, dem Wechsel oder der Ergänzung von Dienstleistern und Auftragsverarbeitern, organisatorischen Umstrukturierungen oder bei Gesetzesänderungen und neuer Rechtsprechung. Außerdem sollte mindestens einmal jährlich eine systematische und vollständige Überprüfung aller Dokumentationsbausteine im Rahmen eines vollständigen Datenschutz-Audits durch den Datenschutzbeauftragten erfolgen.

Was passiert, wenn die Datenschutzdokumentation fehlt oder unvollständig ist?

Fehlende oder unvollständige Datenschutzdokumentation kann zu empfindlichen Bußgeldern nach Art. 83 DSGVO führen – bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes allein für fehlende Verarbeitungsverzeichnisse oder unzureichend dokumentierte TOMs. Außerdem kann das Unternehmen bei Datenpannen, Beschwerden betroffener Personen oder Kontrollen durch die Aufsichtsbehörde nicht nachweisen, dass angemessene Schutzmaßnahmen getroffen und die DSGVO-Grundsätze eingehalten wurden, was die zivilrechtliche Haftung nach Art. 82 DSGVO erheblich verschärft. In der Praxis ist ein fehlendes oder veraltetes Verarbeitungsverzeichnis einer der häufigsten Bußgeldgründe bei Kontrollen durch deutsche Aufsichtsbehörden.

Unsere Leistungen: Datenschutzberatung | Externer DSB | Preise | Einwilligungserklärung | Informationssicherheit