Datenschutzkonzept erstellen – Professionelle Vorlage und Anleitung

Ein Datenschutzkonzept ist das zentrale Dokument, das den gesamten Umgang Ihres Unternehmens mit personenbezogenen Daten beschreibt und steuert. Es dokumentiert Verantwortlichkeiten, Prozesse, technische Maßnahmen und Richtlinien – und bildet damit das Fundament für Ihre DSGVO-Compliance.

Viele Unternehmen verwechseln das Datenschutzkonzept mit der Datenschutzerklärung auf der Website. Das ist ein häufiger Irrtum: Während die Datenschutzerklärung Betroffene über die Datenverarbeitung informiert, ist das Datenschutzkonzept ein internes Strategiedokument, das die gesamte Datenschutzorganisation abbildet.

In diesem Leitfaden erfahren Sie, was in ein Datenschutzkonzept gehört, wie Sie es Schritt für Schritt erstellen und welche branchenspezifischen Besonderheiten zu beachten sind.

Was ist ein Datenschutzkonzept?

Ein Datenschutzkonzept ist ein strukturiertes Dokument, das alle datenschutzrelevanten Regelungen, Prozesse und Maßnahmen eines Unternehmens zusammenfasst. Es dient als:

• Organisationshandbuch: Wer ist für welche Datenschutz-Aufgabe verantwortlich?
• Prozessdokumentation: Wie werden Betroffenenrechte, Datenpannen und Löschungen gehandhabt?
• Nachweisdokument: Wie erfüllt das Unternehmen seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO?
• Schulungsgrundlage: Worauf müssen neue Mitarbeiter achten?
• Audit-Referenz: Welche Maßnahmen wurden umgesetzt und wie werden sie überprüft?

Die DSGVO schreibt das Datenschutzkonzept nicht explizit als einzelnes Dokument vor – aber die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und die Pflicht zur Dokumentation (Art. 24, 30, 32 DSGVO) machen es in der Praxis unverzichtbar. Aufsichtsbehörden erwarten bei Prüfungen ein nachvollziehbares Datenschutzkonzept. Wissen Sie, ob Ihr Unternehmen bereits DSGVO-konform aufgestellt ist? Ein DSGVO-Check liefert eine schnelle Bestandsaufnahme.

Datenschutzkonzept nach DSGVO – Pflichtbestandteile

Ein vollständiges Datenschutzkonzept nach DSGVO umfasst folgende Pflichtbestandteile:

1. Geltungsbereich und Zielsetzung

Definieren Sie klar, für welche Bereiche das Datenschutzkonzept gilt: Welche Standorte, Abteilungen, Tochtergesellschaften und IT-Systeme sind umfasst? Formulieren Sie die Datenschutzziele Ihres Unternehmens und die Verpflichtung zur Einhaltung der DSGVO.

2. Datenschutzorganisation und Verantwortlichkeiten

Dokumentieren Sie alle Rollen und Verantwortlichkeiten im Datenschutz:

• Verantwortlicher: Geschäftsführung mit Gesamtverantwortung (Art. 4 Nr. 7 DSGVO)
• Datenschutzbeauftragter: Name, Kontaktdaten, Aufgaben und Befugnisse
• Datenschutzkoordinatoren: Ansprechpartner in den Fachabteilungen
• IT-Sicherheitsbeauftragter: Verantwortlich für technische Maßnahmen (mehr zum ISB)
• Eskalationswege: Wer entscheidet bei datenschutzrelevanten Fragestellungen?

3. Verarbeitungsverzeichnis (VVT)

Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist ein zentraler Bestandteil des Datenschutzkonzepts. Es dokumentiert alle Verarbeitungstätigkeiten mit:

• Zweck der Verarbeitung
• Kategorien betroffener Personen und personenbezogener Daten
• Empfänger der Daten
• Drittlandtransfers
• Löschfristen
• Technische und organisatorische Maßnahmen

4. Rechtsgrundlagen der Datenverarbeitung

Für jede Verarbeitungstätigkeit muss eine gültige Rechtsgrundlage nach Art. 6 DSGVO dokumentiert sein:

Rechtsgrundlage	Artikel	Typische Anwendung
Einwilligung	Art. 6 Abs. 1 lit. a	Newsletter, Marketing, Tracking
Vertragserfüllung	Art. 6 Abs. 1 lit. b	Kundendaten, Bestellabwicklung
Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c	Steuerrecht, Handelsrecht, Sozialrecht
Berechtigtes Interesse	Art. 6 Abs. 1 lit. f	IT-Sicherheit, Fraud Detection, Direktwerbung

5. Technische und organisatorische Maßnahmen (TOMs)

Die TOMs nach Art. 32 DSGVO bilden den technischen Kern des Datenschutzkonzepts. Dokumentieren Sie alle Maßnahmen in folgenden Kategorien:

• Vertraulichkeit: Zugriffskontrolle, Verschlüsselung, Pseudonymisierung
• Integrität: Eingabekontrolle, Weitergabekontrolle, Änderungsprotokollierung
• Verfügbarkeit: Backup, Redundanz, Notfallplan
• Belastbarkeit: DDoS-Schutz, Lastverteilung, Disaster Recovery
• Wiederherstellbarkeit: Backup-Restore-Tests, Notfallpläne
• Verfahren zur Überprüfung: Regelmäßige Audits, Penetrationstests

6. Löschkonzept

Das Löschkonzept definiert, wann welche personenbezogenen Daten gelöscht werden müssen. Es berücksichtigt sowohl die DSGVO-Löschpflichten als auch gesetzliche Aufbewahrungsfristen:

Datenkategorie	Aufbewahrungsfrist	Rechtsgrundlage
Buchhaltungsunterlagen	10 Jahre	§ 147 AO, § 257 HGB
Handelsbriefe	6 Jahre	§ 257 HGB
Bewerbungsunterlagen	6 Monate nach Absage	§ 15 Abs. 4 AGG
Vertragsdaten	3 Jahre nach Vertragsende	§ 195 BGB (Verjährung)
Marketing-Einwilligungen	Bis zum Widerruf	Art. 7 Abs. 3 DSGVO
Website-Logfiles	7–30 Tage	Berechtigtes Interesse

7. Prozess für Betroffenenrechte

Dokumentieren Sie klare Prozesse für die Bearbeitung von Betroffenenanfragen:

• Auskunftsrecht (Art. 15 DSGVO): Wer bearbeitet Anfragen? Frist: 1 Monat
• Recht auf Löschung (Art. 17 DSGVO): Wie wird sichergestellt, dass Daten vollständig gelöscht werden?
• Recht auf Berichtigung (Art. 16 DSGVO): Wie werden fehlerhafte Daten korrigiert?
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): In welchem Format werden Daten bereitgestellt?
• Widerspruchsrecht (Art. 21 DSGVO): Wie wird ein Widerspruch umgesetzt?

8. Datenpannen-Management

Der Meldeprozess für Datenschutzverletzungen nach Art. 33/34 DSGVO muss klar definiert sein:

1. Erkennung: Wie werden Datenpannen erkannt? (Meldekanäle, Monitoring)
2. Bewertung: Wer bewertet das Risiko? (DSB, IT-Leitung, Geschäftsführung)
3. Meldung: An die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO)
4. Benachrichtigung: Betroffene informieren bei hohem Risiko (Art. 34 DSGVO)
5. Dokumentation: Jede Datenpanne dokumentieren – auch wenn keine Meldepflicht besteht
6. Nachbereitung: Ursachenanalyse und Maßnahmen zur Vermeidung

9. Notfallplan (Datenschutz-Incident-Response)

Definieren Sie für verschiedene Szenarien konkrete Handlungsanweisungen:

• Ransomware-Angriff mit Datenverschlüsselung
• Unbefugter Zugriff auf Kundendaten
• Verlust eines Laptops oder Mobilgeräts
• Fehlversand von E-Mails mit personenbezogenen Daten
• Datenleck durch ehemalige Mitarbeiter

Die IT-Sicherheitsberatung der DATUREX GmbH unterstützt Sie bei der Entwicklung praxistauglicher Notfallpläne.

Datenschutzkonzept vs. Datenschutzmanagementsystem (DSMS)

Ein Datenschutzkonzept und ein Datenschutzmanagementsystem werden oft verwechselt – es gibt jedoch wichtige Unterschiede:

Merkmal	Datenschutzkonzept	DSMS
Definition	Einzelnes Dokument mit Regeln und Maßnahmen	Umfassendes System aus Prozessen, Dokumenten und Kontrollen
Umfang	Statisch, wird periodisch aktualisiert	Dynamisch, kontinuierlicher Verbesserungsprozess (PDCA)
Geeignet für	KMU, Startups, einfache Strukturen	Große Unternehmen, komplexe Strukturen, Konzerne
Aufwand	Mittel – einmalige Erstellung + Updates	Hoch – laufender Betrieb, Audits, KVP
Kosten	1.500 – 5.000 EUR	10.000 – 50.000+ EUR
Verbindung zu ISMS	Optional	Oft kombiniert mit ISO 27001

Empfehlung: Die meisten KMU starten mit einem Datenschutzkonzept und entwickeln es bei Bedarf zu einem DSMS weiter. Ein externer Datenschutzbeauftragter kann Sie bei beiden Varianten unterstützen.

Datenschutzkonzept erstellen – Schritt für Schritt

So erstellen Sie Ihr Datenschutzkonzept systematisch und effizient:

Schritt 1: Bestandsaufnahme (Ist-Analyse)

Erfassen Sie den aktuellen Stand Ihres Datenschutzes:

• Welche personenbezogenen Daten verarbeiten Sie?
• In welchen Systemen und Anwendungen werden Daten gespeichert?
• Welche Dienstleister haben Zugriff auf personenbezogene Daten?
• Welche Datenschutz-Dokumente existieren bereits?
• Wo gibt es Lücken und Handlungsbedarf?

Schritt 2: Verarbeitungsverzeichnis erstellen

Dokumentieren Sie alle Verarbeitungstätigkeiten nach Art. 30 DSGVO. Das Verarbeitungsverzeichnis ist die Grundlage für alle weiteren Schritte. Erfassen Sie für jede Verarbeitung: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Löschfristen und TOMs.

Schritt 3: Risikobewertung durchführen

Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen. Bei Verarbeitungen mit hohem Risiko (z. B. umfangreiche Videoüberwachung, Profiling, Verarbeitung von Gesundheitsdaten) ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO Pflicht.

Schritt 4: TOMs definieren und dokumentieren

Legen Sie basierend auf der Risikobewertung die erforderlichen technischen und organisatorischen Maßnahmen fest. Dokumentieren Sie jede Maßnahme mit: Beschreibung, Verantwortlichkeit, Umsetzungsstatus und Überprüfungsintervall.

Schritt 5: Prozesse definieren

Erstellen Sie klare Prozessbeschreibungen für:

• Bearbeitung von Betroffenenanfragen (Auskunft, Löschung, Berichtigung)
• Meldung und Dokumentation von Datenpannen
• Einholung und Verwaltung von Einwilligungen
• Prüfung und Abschluss von Auftragsverarbeitungsverträgen
• Durchführung von Datenschutz-Schulungen
• Löschung und Archivierung von Daten

Schritt 6: Richtlinien erstellen

Formulieren Sie verbindliche Richtlinien für Ihre Mitarbeiter:

• Allgemeine Datenschutzrichtlinie
• E-Mail- und Internet-Nutzungsrichtlinie
• Passwort-Richtlinie
• Clean-Desk-Richtlinie
• Homeoffice-Richtlinie
• BYOD-Richtlinie (Bring Your Own Device)

Schritt 7: Freigabe und Kommunikation

Lassen Sie das Datenschutzkonzept von der Geschäftsführung freigeben und kommunizieren Sie es an alle Mitarbeiter. Stellen Sie sicher, dass jeder Mitarbeiter Zugang zum Dokument hat und die für ihn relevanten Teile kennt.

Schritt 8: Regelmäßige Überprüfung

Ein Datenschutzkonzept ist kein statisches Dokument. Prüfen und aktualisieren Sie es mindestens jährlich sowie bei:

• Neuen Verarbeitungstätigkeiten
• Änderungen der Rechtsgrundlage
• Organisatorischen Veränderungen
• Datenschutzvorfällen
• Technischen Änderungen an IT-Systemen

Branchenspezifische Anforderungen an das Datenschutzkonzept

Je nach Branche gelten über die allgemeinen DSGVO-Anforderungen hinaus spezifische Vorgaben:

Gesundheitswesen

• Besondere Schutzmaßnahmen für Gesundheitsdaten (Art. 9 DSGVO)
• Ärztliche Schweigepflicht (§ 203 StGB) zusätzlich zur DSGVO
• Patientenrechtegesetz und Aufbewahrungsfristen für Patientenakten (10–30 Jahre)
• Spezielle Anforderungen an die Telematik-Infrastruktur

Finanzbranche

• Bankgeheimnis (§ 383 ZPO) zusätzlich zum Datenschutz
• Anforderungen der BaFin (BAIT, KAIT, VAIT)
• Geldwäschegesetz (GwG) erfordert umfangreiche Datenerhebung
• PSD2 und Zahlungsdiensterecht

E-Commerce

• TTDSG für Cookie-Consent und Tracking
• Fernabsatzrecht und Widerrufsbelehrung
• Zahlungsdaten und PCI-DSS-Compliance
• Cross-Border-Handel und internationale Datentransfers

Personalwesen / HR

• Beschäftigtendatenschutz (§ 26 BDSG)
• Betriebsrat und Mitbestimmung bei Datenverarbeitungen
• Bewerbermanagement und Aufbewahrungsfristen
• Zeiterfassung, GPS-Tracking und Mitarbeiterüberwachung

IT-Dienstleister und Softwareunternehmen

• Doppelrolle als Verantwortlicher und Auftragsverarbeiter
• Besonders strenge TOMs erforderlich (Zugriff auf Kundendaten)
• Entwicklungsprozesse mit Privacy by Design (Art. 25 DSGVO)
• Testdaten anonymisieren – keine Echtdaten in Entwicklungsumgebungen
• Kombination mit ISO 27001 und NIS2-Anforderungen beachten

Öffentliche Verwaltung und Kommunen

• Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) zusätzlich zur DSGVO
• Besondere Anforderungen an die Transparenz und Rechenschaftspflicht
• Informationsfreiheitsgesetz und Akteneinsichtsrecht
• OZG-Umsetzung und digitale Verwaltungsleistungen

Häufige Fehler bei der Erstellung eines Datenschutzkonzepts

In unserer Beratungspraxis als externer Datenschutzbeauftragter stoßen wir regelmäßig auf dieselben Fehler bei Datenschutzkonzepten:

1. Zu allgemein und abstrakt: Ein Datenschutzkonzept muss konkret auf Ihr Unternehmen zugeschnitten sein. Allgemeine Textbausteine aus dem Internet erfüllen nicht die Rechenschaftspflicht. Benennen Sie konkrete Systeme, Prozesse und Verantwortliche.
2. Einmal erstellt, nie aktualisiert: Ein Datenschutzkonzept von 2018 ist 2026 wertlos. Neue Verarbeitungstätigkeiten, Dienstleister und Rechtsänderungen müssen zeitnah eingearbeitet werden.
3. Keine Verbindung zum Tagesgeschäft: Das Konzept existiert als Dokument, wird aber im Arbeitsalltag nicht gelebt. Mitarbeiter kennen es nicht, Prozesse werden nicht befolgt. Lösung: regelmäßige Schulungen und Integration in Onboarding-Prozesse.
4. TOMs nur aufgelistet, nicht beschrieben: „Verschlüsselung“ allein reicht nicht. Dokumentieren Sie: Welche Verschlüsselung? Welcher Algorithmus? Welche Systeme? Wer ist verantwortlich?
5. Löschkonzept fehlt oder ist unrealistisch: Löschfristen müssen technisch umsetzbar sein. Prüfen Sie, ob Ihre Systeme die definierten Löschungen tatsächlich automatisiert durchführen können.
6. Auftragsverarbeiter nicht vollständig erfasst: Viele Unternehmen vergessen Cloud-Dienste, die „nebenbei“ genutzt werden – Trello, Slack, Zoom, Google Analytics. Jeder Dienst mit Personendatenzugriff muss ins Konzept.
7. Datenpannen-Prozess nur auf dem Papier: Testen Sie Ihren Meldeprozess mindestens einmal jährlich mit einer Übung. Weiß jeder Mitarbeiter, an wen er sich bei einem Vorfall wenden muss?

Muster und Vorlage: Gliederung eines Datenschutzkonzepts

Die folgende Gliederung dient als Vorlage für Ihr Datenschutzkonzept. Passen Sie die Inhalte an die Gegebenheiten Ihres Unternehmens an:

1. Einleitung und Zielsetzung
   • Geltungsbereich
   • Datenschutzziele des Unternehmens
   • Verpflichtung der Geschäftsführung
2. Datenschutzorganisation
   • Verantwortlicher und Kontaktdaten
   • Datenschutzbeauftragter und Aufgaben
   • Datenschutzkoordinatoren
   • Organigramm und Berichtslinien
3. Verarbeitungstätigkeiten
   • Verarbeitungsverzeichnis (Verweis oder Auszug)
   • Rechtsgrundlagen je Verarbeitung
   • Datenschutz-Folgenabschätzungen
4. Technische und organisatorische Maßnahmen
   • Zugriffskontrolle und Berechtigungskonzept
   • Verschlüsselung und Pseudonymisierung
   • Backup und Wiederherstellung
   • Physische Sicherheit
5. Löschkonzept
   • Aufbewahrungsfristen je Datenkategorie
   • Löschprozess und -verantwortlichkeiten
   • Technische Umsetzung
6. Auftragsverarbeitung
   • Liste aller Auftragsverarbeiter
   • AVV-Management-Prozess
   • Drittlandtransfers
7. Betroffenenrechte
   • Prozesse für Auskunft, Löschung, Berichtigung
   • Fristen und Verantwortlichkeiten
8. Datenpannen-Management
   • Meldeprozess (intern und extern)
   • Bewertungskriterien
   • Dokumentation
9. Schulungskonzept
   • Schulungsinhalte und -frequenz
   • Zielgruppen
   • Dokumentation
10. Audit und Überprüfung
    • Audit-Plan und -Intervalle
    • KPIs und Erfolgsmessung
    • Kontinuierlicher Verbesserungsprozess
11. Anhänge
    • Richtlinien (E-Mail, Passwort, Homeoffice etc.)
    • Formulare und Vorlagen
    • Kontaktdaten Aufsichtsbehörde

Kosten der Erstellung eines Datenschutzkonzepts

Die Kosten für ein professionelles Datenschutzkonzept hängen von der Unternehmensgröße und der Komplexität der Datenverarbeitung ab:

Unternehmensgröße	Aufwand	Kosten (ca.)
Kleinunternehmen (bis 20 MA)	2–3 Tage	1.500 – 3.000 EUR
Mittelstand (20–100 MA)	5–10 Tage	3.000 – 8.000 EUR
Großunternehmen (100+ MA)	10–20 Tage	8.000 – 20.000+ EUR

Tipp: Mit einem externen Datenschutzbeauftragten ist die Erstellung des Datenschutzkonzepts oft in der Monatspauschale enthalten oder wird zu einem Vorzugspreis erstellt. Die DATUREX GmbH erstellt Ihr Datenschutzkonzept im Rahmen des Erstaudits – professionell, vollständig und auf Ihre Branche zugeschnitten.

DATUREX – Ihr Datenschutzkonzept vom Experten

Die DATUREX GmbH erstellt professionelle Datenschutzkonzepte für Unternehmen in ganz Deutschland. Als TÜV-, BSI- und IHK-zertifizierte Datenschutzexperten mit über 20 Jahren IT-Erfahrung liefern wir praxistaugliche Konzepte, die nicht nur auf dem Papier funktionieren.

Unsere Leistungen rund um das Datenschutzkonzept:

• Datenschutzkonzept erstellen: Vollständig, branchenspezifisch und audit-sicher
• Externer Datenschutzbeauftragter: Laufende Betreuung ab 150 EUR/Monat
• Verarbeitungsverzeichnis: Erstellung und Pflege als Grundlage des Konzepts
• TOM-Beratung: Technische Maßnahmen bewerten und optimieren
• Datenschutzberatung: Ganzheitliche DSGVO-Compliance
• Schulungen: Mitarbeiter-Schulungen basierend auf Ihrem Datenschutzkonzept
• Kombination mit Informationssicherheit: Datenschutzkonzept + IT-Sicherheitskonzept aus einer Hand

Kostenlose Erstberatung zum Datenschutzkonzept anfordern

Wir analysieren Ihren aktuellen Stand und erstellen ein maßgeschneidertes Datenschutzkonzept für Ihr Unternehmen.

Häufig gestellte Fragen zum Datenschutzkonzept

Ist ein Datenschutzkonzept gesetzlich vorgeschrieben?

Die DSGVO schreibt kein einzelnes Dokument namens „Datenschutzkonzept“ vor. Allerdings ergibt sich aus der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und den Dokumentationspflichten (Art. 24, 30, 32 DSGVO) die Notwendigkeit, alle Datenschutzmaßnahmen strukturiert zu dokumentieren. Ein Datenschutzkonzept ist der praxistauglichste Weg, diese Anforderungen zu erfüllen.

Was ist der Unterschied zwischen Datenschutzkonzept und Datenschutzerklärung?

Die Datenschutzerklärung ist ein externes Dokument, das Betroffene über die Datenverarbeitung informiert (Art. 13/14 DSGVO). Das Datenschutzkonzept ist ein internes Strategiedokument, das die gesamte Datenschutzorganisation, Maßnahmen und Prozesse beschreibt.

Wie umfangreich muss ein Datenschutzkonzept sein?

Der Umfang richtet sich nach der Größe und Komplexität des Unternehmens. Für ein KMU mit einfacher Datenverarbeitung reichen oft 20–30 Seiten plus Anhänge. Große Unternehmen mit komplexen Verarbeitungen benötigen deutlich umfangreichere Dokumentationen.

Wer erstellt das Datenschutzkonzept?

In der Regel erstellt der Datenschutzbeauftragte das Konzept in Zusammenarbeit mit der IT-Abteilung und den Fachabteilungen. Ein externer Datenschutzbeauftragter bringt Erfahrung aus vielen Unternehmen mit und kann das Konzept effizient erstellen.

Wie oft muss das Datenschutzkonzept aktualisiert werden?

Mindestens einmal jährlich sollte eine Überprüfung und Aktualisierung stattfinden. Bei wesentlichen Änderungen – neue Geschäftsprozesse, neue IT-Systeme, Gesetzesänderungen oder Datenschutzvorfälle – muss das Konzept zeitnah angepasst werden.

Was kostet ein professionelles Datenschutzkonzept?

Je nach Unternehmensgröße und Komplexität liegt der Aufwand zwischen 1.500 und 20.000 EUR. Bei der DATUREX GmbH ist die Erstellung des Datenschutzkonzepts oft Teil der laufenden Betreuung als externer Datenschutzbeauftragter und wird im Rahmen des Erstaudits erstellt.