Checkliste Datenschutz

Brauchen Sie einen externen Datenschutzbeauftragten?

Finden Sie es heraus!

 Checkliste Datenschutz                                                                                                             

• Arbeiten Sie mit personenbezogenen Daten?
• Sind mehr als neun Personen konstant mit der Verarbeitung von personenbezogenen Daten beschäftigt?
• Arbeiten Sie mit besonders schützenswerten Daten?
• Übermitteln Sie an Dritte?
• Werden Kunden und Mitarbeiter durchgehend über die Art und den Zweck der Datennutzung informiert?
• Haben diese Personen den entsprechenden Nachweis unterschrieben?
• Ist die Möglichkeit zur Akteneinsicht (aufgeräumtes Archiv) gegeben?
• Werden Lösch- und Aufbewahrungsfristen eingehalten?
• Sind alle IT-Anwendungen ausreichend und umfassend geschützt?
• Gibt es spezielle Zugriffsrechte für Vorgesetze und Angestellte?
• Ist ein Konzept mit Passwörtern und Zugriffsrechten vorhanden?
• Wie werden Datenverstöße und -Verluste gemeldet?
• Werden Datenträger/Akten/Dokumente mit personenbezogenen Daten sicher aufbewahrt?
• Sind Mitarbeiter ausreichend geschult?
• Haben diese zur Verwendung Ihrer Daten eingewilligt?
• Haben Sie bereits einen internen Datenschutzbeauftragten?
• Ist dieser fachkundig und kann Fragen zur DSGVO vollständig und schnell beantworten?
• Wird die Umsetzung der neuen Regelungen im Betrieb regelmäßig überwacht?
• Gab es bisher schon einmal Datenschutzpannen?

Diese Checkliste gibt Ihnen einige Informationen, die für Sie als Unternehmer relevant sein dürften.

Sofern Sie sich noch keine oder wenige Gedanken zum Thema Datenschutz gemacht haben, sollten Sie jetzt damit beginnen.

Warum eine Datenschutz-Checkliste wichtig ist

Eine strukturierte Datenschutz-Checkliste ist das Fundament für die DSGVO-Compliance in jedem Unternehmen. Sie hilft Ihnen, systematisch alle relevanten Bereiche zu prüfen und potenzielle Schwachstellen frühzeitig zu erkennen. Gerade für kleine und mittelständische Unternehmen ist eine praxisnahe Checkliste Gold wert, denn sie schafft Transparenz und Handlungssicherheit.

Datenschutz-Grundlagen: Was jedes Unternehmen wissen muss

Die DSGVO gilt seit dem 25. Mai 2018 und betrifft jedes Unternehmen, das personenbezogene Daten verarbeitet. Das umfasst praktisch alle Betriebe, denn schon die Speicherung von Kundennamen, E-Mail-Adressen oder Mitarbeiterdaten fällt unter den Anwendungsbereich der Verordnung.

Die wichtigsten Grundsätze der Datenverarbeitung nach Art. 5 DSGVO sind:

• Rechtmäßigkeit: Jede Verarbeitung braucht eine Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse etc.)
• Zweckbindung: Daten dürfen nur für den angegebenen Zweck verwendet werden
• Datenminimierung: Es dürfen nur die Daten erhoben werden, die tatsächlich benötigt werden
• Richtigkeit: Gespeicherte Daten müssen korrekt und aktuell sein
• Speicherbegrenzung: Daten sind zu löschen, sobald der Verarbeitungszweck entfällt
• Integrität und Vertraulichkeit: Angemessene Sicherheitsmaßnahmen müssen implementiert sein

Erweiterte Datenschutz-Checkliste für Unternehmen 2026

1. Datenschutzbeauftragter

Prüfen Sie zunächst, ob Sie einen Datenschutzbeauftragten benötigen. Nach § 38 BDSG ist dies der Fall, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl ist ein Datenschutzbeauftragter erforderlich, wenn besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden oder wenn die Kerntätigkeit in der systematischen Überwachung betroffener Personen besteht.

Ein externer Datenschutzbeauftragter bietet gegenüber einem internen DSB zahlreiche Vorteile: keine Interessenkonflikte, laufend aktuelles Fachwissen und keine zusätzlichen Personalkosten.

2. Verarbeitungsverzeichnis

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist für nahezu jedes Unternehmen Pflicht. Es dokumentiert alle Prozesse, bei denen personenbezogene Daten verarbeitet werden. Dazu gehören:

• Name und Kontaktdaten des Verantwortlichen
• Zwecke der Datenverarbeitung
• Kategorien betroffener Personen und personenbezogener Daten
• Empfänger der Daten
• Übermittlungen an Drittländer
• Löschfristen
• Beschreibung der technisch-organisatorischen Maßnahmen

3. Technisch-organisatorische Maßnahmen (TOM)

Nach Art. 32 DSGVO müssen Unternehmen angemessene Sicherheitsmaßnahmen implementieren. Dazu gehören:

• Zutrittskontrolle: Wer darf das Gebäude/den Serverraum betreten?
• Zugangskontrolle: Passwortrichtlinien, Zwei-Faktor-Authentifizierung
• Zugriffskontrolle: Berechtigungskonzepte, rollenbasierte Zugriffsrechte
• Weitergabekontrolle: Verschlüsselung, VPN-Verbindungen
• Eingabekontrolle: Protokollierung von Änderungen
• Auftragskontrolle: Vereinbarungen zur Auftragsverarbeitung
• Verfügbarkeitskontrolle: Backups, Notfallpläne
• Trennungsgebot: Zweckgetrennte Verarbeitung verschiedener Datenkategorien

4. Datenschutzerklärung und Informationspflichten

Ihre Datenschutzerklärung auf der Webseite muss den Anforderungen der Art. 13 und 14 DSGVO entsprechen. Prüfen Sie regelmäßig, ob alle eingesetzten Tools und Dienste korrekt aufgeführt sind. Insbesondere bei der Nutzung von Analyse-Tools, Social-Media-Plugins oder Newsletter-Diensten ist eine transparente Information der Besucher unerlässlich.

5. Auftragsverarbeitungsverträge (AVV)

Für jeden externen Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Dies betrifft unter anderem:

• Cloud-Anbieter und Hosting-Dienstleister
• IT-Support und Wartungsunternehmen
• Lohnbuchhaltung und Steuerberater
• Newsletter-Dienste und Marketing-Agenturen
• Aktenvernichtungsunternehmen

6. Mitarbeiterschulung und Sensibilisierung

Regelmäßige Datenschutz-Schulungen für alle Mitarbeiter sind essenziell. Themen sollten umfassen: Erkennen von Phishing-E-Mails, sicherer Umgang mit Passwörtern, Clean-Desk-Policy, korrektes Verhalten bei Datenpannen und die Rechte betroffener Personen.

7. Datenpannen-Management

Jedes Unternehmen muss einen Prozess für den Umgang mit Datenpannen etablieren. Nach Art. 33 DSGVO muss eine Datenpanne innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Konsequenzen bei Nicht-Einhaltung

Die Bußgelder für DSGVO-Verstöße können erheblich sein. Aufsichtsbehörden können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen. Auch Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände sind möglich.

Die sächsische Datenschutzaufsichtsbehörde hat in den letzten Jahren verstärkt Kontrollen durchgeführt und Bußgelder verhängt. Besonders im Fokus stehen die Bereiche Videoüberwachung, Online-Marketing und der Umgang mit Bewerberdaten.

Nächste Schritte für Ihr Unternehmen

Nutzen Sie diese Checkliste als Ausgangspunkt für eine umfassende Datenschutz-Prüfung in Ihrem Unternehmen. Die DATUREX GmbH in Dresden unterstützt Sie gerne bei der Umsetzung aller Anforderungen. Unser Team aus erfahrenen Datenschutzexperten erstellt eine individuelle Analyse Ihrer aktuellen Datenschutz-Situation und entwickelt pragmatische Lösungen für Ihr Unternehmen.

Branchenspezifische Datenschutz-Anforderungen

Neben den allgemeinen DSGVO-Anforderungen gelten in bestimmten Branchen zusätzliche Datenschutzvorschriften:

Gesundheitswesen

Arztpraxen, Krankenhäuser und Pflegeeinrichtungen verarbeiten besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Hier gelten zusätzlich die ärztliche Schweigepflicht, Regelungen des Infektionsschutzgesetzes und spezifische Aufbewahrungsfristen für Patientenakten.

Handwerk und produzierendes Gewerbe

Handwerksbetriebe verarbeiten Kundendaten, Mitarbeiterdaten und häufig auch Daten von Subunternehmern. Besondere Aufmerksamkeit erfordern die Videoüberwachung von Betriebsgeländen, GPS-Tracking von Firmenfahrzeugen und die digitale Zeiterfassung.

E-Commerce und Online-Handel

Online-Shops verarbeiten umfangreiche Kundendaten, setzen Tracking-Technologien ein und übermitteln Daten an Zahlungsdienstleister und Versandunternehmen. Hier sind insbesondere die Cookie-Einwilligung, die Datenschutzerklärung und die Auftragsverarbeitung mit externen Dienstleistern zu beachten.

Vereine und gemeinnützige Organisationen

Auch Vereine unterliegen der DSGVO und müssen die Daten ihrer Mitglieder schützen. Die Veröffentlichung von Fotos auf der Vereinswebseite, die Weitergabe von Mitgliederlisten und der Newsletter-Versand sind häufige Problemfelder.

Datenschutz-Folgenabschätzung: Wann ist sie Pflicht?

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die Aufsichtsbehörden haben Positivlisten veröffentlicht, die konkrete Verarbeitungstätigkeiten benennen, für die eine DSFA durchzuführen ist.

Typische Fälle sind:

• Systematische Videoüberwachung öffentlich zugänglicher Bereiche
• Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
• Systematische Bewertung persönlicher Aspekte (Profiling, Scoring)
• Einsatz von biometrischen Systemen zur Identifizierung
• Verarbeitung von Daten schutzbedürftiger Personen (Kinder, Patienten)

Regelmäßige Datenschutz-Audits

Ein einmaliger Datenschutz-Check reicht nicht aus. Unternehmen sollten mindestens jährlich ein Datenschutz-Audit durchführen, um die Einhaltung der DSGVO zu überprüfen und neue Risiken zu identifizieren. Ein solches Audit umfasst die Überprüfung aller Verarbeitungstätigkeiten, die Aktualität der technisch-organisatorischen Maßnahmen, die Wirksamkeit von Löschkonzepten und die Angemessenheit der Mitarbeiterschulungen.

Die DATUREX GmbH führt professionelle Datenschutz-Audits für Unternehmen aller Größen in Dresden und Sachsen durch. Unsere Experten identifizieren Schwachstellen und entwickeln praxisnahe Handlungsempfehlungen.

Betroffenenrechte: Was Ihre Kunden von Ihnen verlangen können

Die DSGVO räumt betroffenen Personen umfangreiche Rechte ein, die Unternehmen erfüllen müssen:

• Auskunftsrecht (Art. 15): Betroffene können Auskunft über ihre gespeicherten Daten verlangen
• Recht auf Berichtigung (Art. 16): Unrichtige Daten müssen korrigiert werden
• Recht auf Löschung (Art. 17): Unter bestimmten Voraussetzungen müssen Daten gelöscht werden
• Recht auf Einschränkung (Art. 18): Die Verarbeitung kann unter bestimmten Umständen eingeschränkt werden
• Recht auf Datenübertragbarkeit (Art. 20): Daten müssen in einem maschinenlesbaren Format bereitgestellt werden
• Widerspruchsrecht (Art. 21): Betroffene können der Verarbeitung widersprechen

Unternehmen müssen auf diese Anfragen innerhalb eines Monats reagieren. Fehlende oder verspätete Antworten können zu Beschwerden bei der Aufsichtsbehörde führen.

Datenschutz-Management-System (DSMS)

Ein strukturiertes Datenschutz-Management-System bildet das Rückgrat einer nachhaltigen DSGVO-Compliance. Es umfasst alle organisatorischen Prozesse, Richtlinien und Dokumentationen, die für einen wirksamen Datenschutz erforderlich sind. Die Kernelemente eines DSMS sind:

• Datenschutzleitlinie: Ein vom Management verabschiedetes Dokument, das die Datenschutzziele und -grundsätze des Unternehmens festlegt
• Verfahrensverzeichnis: Dokumentation aller Verarbeitungstätigkeiten nach Art. 30 DSGVO
• Risikoanalyse: Systematische Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen
• Schulungskonzept: Regelmäßige Fortbildung aller Mitarbeiter zu datenschutzrelevanten Themen
• Incident-Response-Plan: Klare Abläufe für den Umgang mit Datenpannen
• Kontinuierliche Verbesserung: Regelmäßige Audits und Anpassung der Maßnahmen an neue Anforderungen

Die DATUREX GmbH in Dresden unterstützt Unternehmen beim Aufbau eines professionellen Datenschutz-Management-Systems und übernimmt auf Wunsch die Funktion des externen Datenschutzbeauftragten.

Meldepflicht bei Datenpannen: Die 72-Stunden-Frist

Eine der wichtigsten Anforderungen der DSGVO ist die Meldepflicht bei Datenschutzverletzungen nach Art. 33 DSGVO. Wird eine Datenpanne festgestellt, muss der Verantwortliche die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Bei einem hohen Risiko müssen zusätzlich die betroffenen Personen informiert werden (Art. 34 DSGVO). Unternehmen, die keine funktionierenden Meldeprozesse etabliert haben, riskieren empfindliche Bußgelder allein wegen der verspäteten oder unterlassenen Meldung.

Datenschutz als kontinuierlicher Prozess

Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der in die Unternehmenskultur integriert werden muss. Die gesetzlichen Anforderungen entwickeln sich ständig weiter, neue Technologien schaffen neue Herausforderungen und die Rechtsprechung konkretisiert die Auslegung der DSGVO kontinuierlich. Ein jährlicher Datenschutz-Check, verbunden mit der Aktualisierung der Dokumentation und der Nachschulung der Mitarbeiter, ist das Mindestmaß an Engagement, das Unternehmen investieren sollten. Nur wer Datenschutz als strategische Aufgabe begreift, kann langfristig compliant bleiben und Wettbewerbsvorteile daraus ziehen. Die DATUREX GmbH in Dresden begleitet Unternehmen auf diesem Weg und stellt sicher, dass der Datenschutz laufend auf dem aktuellen Stand bleibt.