DSGVO-Checkliste: So empfangen Sie Kundendokumente rechtskonform

Diese DSGVO-Checkliste für den Dokumentenempfang umfasst 10 Punkte, die Ihr Unternehmen erfüllen muss, um Kundendokumente rechtskonform entgegenzunehmen: von Verschlüsselung über Auftragsverarbeitungsverträge bis hin zu regelmäßigen Audits. Nutzen Sie diese Checkliste als praktischen Leitfaden, um Ihre Prozesse zu überprüfen und Lücken zu schließen.

Warum eine Checkliste für den Dokumentenempfang?

Der Empfang von Kundendokumenten ist ein alltäglicher Vorgang in fast jedem Unternehmen. Steuerberater empfangen Steuerbescheide, Anwälte erhalten Vertragsentwürfe, Personalabteilungen sammeln Bewerbungsunterlagen, Immobilienverwaltungen bekommen Mietverträge. All diese Dokumente enthalten personenbezogene Daten und unterliegen der DSGVO.

Das Problem: Viele Unternehmen haben zwar ein Datenschutzkonzept, aber der konkrete Prozess des Dokumentenempfangs wird darin oft nur oberflächlich behandelt. Dabei liegt genau hier ein erhebliches Risiko -- denn jeder unsichere Empfangsweg ist ein potenzieller Datenschutzverstoß.

Diese 10-Punkte-Checkliste gibt Ihnen einen klaren, praktischen Rahmen, um Ihren Dokumentenempfang DSGVO-konform zu gestalten. Für einen umfassenden Überblick über die DSGVO-Anforderungen an die Dateiübertragung lesen Sie auch unseren Guide zur DSGVO-konformen Dateiübertragung.

Die 10-Punkte-Checkliste

Punkt 1: Verschlüsselung bei der Übertragung

Anforderung: Alle Dokumente, die Sie von Kunden empfangen, müssen während der Übertragung verschlüsselt sein.

Was das bedeutet:

• Die Übertragung muss über TLS 1.2 oder höher erfolgen.
• Unverschlüsselte Übertragungswege (Standard-E-Mail, FTP) sind nicht zulässig.
• Der Kunde muss keine technischen Vorkehrungen treffen -- die Verschlüsselung muss automatisch erfolgen.

So setzen Sie es um:

• Verwenden Sie Upload-Links mit automatischer TLS-Verschlüsselung.
• Vermeiden Sie die Aufforderung an Kunden, Dokumente per E-Mail zu senden. Warum E-Mail-Anhänge problematisch sind, erfahren Sie in unserem Beitrag: E-Mail-Anhänge als Sicherheitsrisiko.
• Prüfen Sie, ob Ihr Webserver ein gültiges SSL-Zertifikat verwendet.

Prüffrage: Werden alle Kundendokumente über einen verschlüsselten Kanal (HTTPS/TLS) empfangen?

---

Punkt 2: Verschlüsselung bei der Speicherung

Anforderung: Empfangene Dokumente müssen verschlüsselt gespeichert werden (encryption at rest).

Was das bedeutet:

• Dateien dürfen nicht im Klartext auf Servern oder lokalen Festplatten liegen.
• Die Verschlüsselung muss den aktuellen technischen Standards entsprechen (z. B. AES-256).
• Schlüssel müssen sicher verwaltet werden.

So setzen Sie es um:

• Nutzen Sie einen Speicherdienst mit automatischer Verschlüsselung bei der Speicherung.
• Vermeiden Sie das Speichern von Kundendokumenten auf unverschlüsselten lokalen Festplatten.
• Aktivieren Sie die Festplattenverschlüsselung auf allen Arbeitsgeräten, die mit Kundendokumenten in Berührung kommen.

Prüffrage: Werden alle gespeicherten Kundendokumente verschlüsselt abgelegt?

---

Punkt 3: Auftragsverarbeitungsvertrag (AVV)

Anforderung: Wenn Sie einen externen Dienst für den Dokumentenempfang nutzen, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Was das bedeutet:

• Der AVV muss Gegenstand, Dauer, Art und Zweck der Verarbeitung regeln.
• Der Dienstleister muss technische und organisatorische Maßnahmen nachweisen.
• Unterauftragsverarbeiter müssen benannt und genehmigt werden.
• Der Serverstandort und mögliche Drittlandübermittlungen müssen geklärt sein.

So setzen Sie es um:

• Prüfen Sie, ob Ihr aktueller Dateiübertragungsdienst einen AVV anbietet.
• Schließen Sie den AVV ab, bevor Sie den Dienst für personenbezogene Daten nutzen.
• Dokumentieren Sie den AVV in Ihrem Verzeichnis der Verarbeitungstätigkeiten.
• Bevorzugen Sie Anbieter mit Serverstandort in der EU.

Informationen zur DSGVO-Konformität und zum AVV finden Sie in unserer Dokumentation.

Prüffrage: Haben Sie mit jedem externen Dienst, über den Sie Kundendokumente empfangen, einen gültigen AVV abgeschlossen?

---

Punkt 4: Zweckbindung und Datenminimierung

Anforderung: Dokumente dürfen nur für den angegebenen Zweck empfangen und verarbeitet werden. Es sollen nur die Daten erhoben werden, die tatsächlich benötigt werden.

Was das bedeutet:

• Fordern Sie nur die Dokumente an, die Sie tatsächlich benötigen.
• Teilen Sie dem Kunden den Zweck der Datenerhebung mit.
• Verwenden Sie die empfangenen Dokumente nicht für andere Zwecke als den angegebenen.

So setzen Sie es um:

• Geben Sie in der Beschreibung des Upload-Links klar an, welche Dokumente benötigt werden und wofür.
• Erstellen Sie für verschiedene Zwecke separate Upload-Links.
• Schulen Sie Mitarbeiter, keine überflüssigen Dokumente anzufordern.

Prüffrage: Werden nur die Dokumente angefordert, die für den jeweiligen Zweck tatsächlich erforderlich sind?

---

Punkt 5: Zugangskontrolle

Anforderung: Nur autorisierte Personen dürfen auf empfangene Kundendokumente zugreifen.

Was das bedeutet:

• Definieren Sie, wer in Ihrem Unternehmen auf welche Dokumente zugreifen darf.
• Setzen Sie das Prinzip der minimalen Berechtigung um (Need-to-know).
• Schützen Sie den Zugang zu Dokumenten durch Authentifizierung.

So setzen Sie es um:

• Nutzen Sie die Team-Funktionalität von SendMeSafe, um individuelle Zugriffsrechte zu vergeben.
• Schützen Sie Upload-Links mit Passwörtern für sensible Dokumente.
• Verwenden Sie starke Passwörter und Zwei-Faktor-Authentifizierung für Ihre eigenen Konten.
• Prüfen Sie regelmäßig, wer Zugriff auf welche Kunden und Dokumente hat.

Prüffrage: Ist der Zugriff auf Kundendokumente auf die Personen beschränkt, die ihn für ihre Arbeit benötigen?

---

Punkt 6: Aufbewahrungsfristen und Löschkonzept

Anforderung: Kundendokumente dürfen nicht unbegrenzt aufbewahrt werden. Nach Zweckerfüllung oder Ablauf gesetzlicher Aufbewahrungsfristen müssen sie gelöscht werden.

Was das bedeutet:

• Definieren Sie für jeden Dokumenttyp eine Aufbewahrungsfrist.
• Implementieren Sie einen Prozess zur regelmäßigen Löschung.
• Dokumentieren Sie die Löschung.

So setzen Sie es um:

• Nutzen Sie Ablaufdaten für Upload-Links, um den Empfangszeitraum zu begrenzen.
• Erstellen Sie eine Übersicht der Aufbewahrungsfristen für verschiedene Dokumenttypen:
  • Steuerunterlagen: 10 Jahre (§ 147 AO)
  • Geschäftsbriefe: 6 Jahre (§ 147 AO)
  • Bewerbungsunterlagen: 6 Monate nach Besetzung der Stelle
  • Allgemeine Kundendokumente: Nach Zweckerfüllung
• Richten Sie einen regelmäßigen Löschzyklus ein (z. B. quartalsweise Prüfung).
• Dokumentieren Sie jede Löschung im Audit-Trail.

Prüffrage: Haben Sie definierte Aufbewahrungsfristen für alle Dokumenttypen und einen funktionierenden Löschprozess?

---

Punkt 7: Dokumentation und Audit-Trail

Anforderung: Sie müssen nachweisen können, dass Sie die DSGVO einhalten (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Was das bedeutet:

• Protokollieren Sie, wann welche Dokumente empfangen, eingesehen und gelöscht wurden.
• Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO).
• Halten Sie Ihre technischen und organisatorischen Maßnahmen schriftlich fest.

So setzen Sie es um:

• Nutzen Sie den integrierten Audit-Trail von SendMeSafe, der alle Aktionen automatisch protokolliert.
• Erstellen Sie einen Eintrag in Ihrem Verzeichnis der Verarbeitungstätigkeiten für den Dokumentenempfang.
• Dokumentieren Sie Ihre Sicherheitsmaßnahmen (Verschlüsselung, Zugangskontrolle, Löschkonzept).

Prüffrage: Können Sie jederzeit nachweisen, wer wann auf welche Kundendokumente zugegriffen hat?

---

Punkt 8: Mitarbeiterschulung

Anforderung: Mitarbeiter, die mit Kundendokumenten umgehen, müssen im Datenschutz geschult sein.

Was das bedeutet:

• Mitarbeiter müssen die DSGVO-Grundlagen kennen.
• Sie müssen wissen, wie der sichere Dokumentenempfang in Ihrem Unternehmen funktioniert.
• Sie müssen erkennen, wann ein Datenschutzvorfall vorliegt und wie sie reagieren sollen.

So setzen Sie es um:

• Führen Sie bei der Einstellung eine Datenschutzschulung durch.
• Wiederholen Sie die Schulung jährlich.
• Erstellen Sie eine kurze Anleitung für den sicheren Dokumentenempfang:
  • Welcher Kanal wird für welchen Dokumenttyp genutzt?
  • Wie werden Upload-Links erstellt und geteilt?
  • Was tun bei einem Datenschutzvorfall?
• Dokumentieren Sie die Teilnahme an Schulungen.

Prüffrage: Wurden alle Mitarbeiter, die mit Kundendokumenten arbeiten, im Datenschutz geschult?

---

Punkt 9: Incident-Response-Plan

Anforderung: Sie müssen auf Datenschutzvorfälle vorbereitet sein und innerhalb von 72 Stunden reagieren können (Art. 33 DSGVO).

Was das bedeutet:

• Sie benötigen einen dokumentierten Prozess für den Umgang mit Datenschutzvorfällen.
• Verantwortlichkeiten müssen klar definiert sein.
• Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen können.
• Betroffene müssen bei hohem Risiko unverzüglich informiert werden.

So setzen Sie es um:

• Erstellen Sie einen Incident-Response-Plan mit folgenden Elementen:
  • Wer ist der Datenschutzbeauftragte oder Ansprechpartner?
  • Wie wird ein Vorfall erkannt und gemeldet (intern)?
  • Wer entscheidet über die Meldung an die Aufsichtsbehörde?
  • Wie werden Betroffene informiert?
  • Wie wird der Vorfall dokumentiert?
• Testen Sie den Plan regelmäßig (z. B. durch simulierte Vorfälle).
• Halten Sie die Kontaktdaten der zuständigen Aufsichtsbehörde bereit.

Prüffrage: Haben Sie einen dokumentierten Incident-Response-Plan, und kennen alle relevanten Mitarbeiter ihre Rolle darin?

---

Punkt 10: Betroffenenrechte gewährleisten

Anforderung: Personen, deren Daten Sie verarbeiten, haben Rechte nach der DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.

Was das bedeutet:

• Sie müssen auf Anfragen zu Betroffenenrechten zeitnah reagieren können (in der Regel innerhalb eines Monats).
• Sie müssen wissen, welche Dokumente einer bestimmten Person Sie gespeichert haben.
• Sie müssen Dokumente auf Anfrage löschen oder herausgeben können.

So setzen Sie es um:

• Nutzen Sie das Kundenverwaltungssystem von SendMeSafe, um alle Dokumente einer Person schnell zu finden.
• Implementieren Sie einen Prozess für Auskunfts- und Löschanfragen:
  • Identifikation der anfragenden Person
  • Zusammenstellung aller gespeicherten Dokumente
  • Bereitstellung in einem gängigen Format (Datenübertragbarkeit)
  • Löschung auf Anfrage (sofern keine gesetzliche Aufbewahrungspflicht besteht)
• Dokumentieren Sie jede Anfrage und Ihre Reaktion.

Prüffrage: Können Sie innerhalb eines Monats auf Anfragen zu Betroffenenrechten reagieren?

---

Punkt 11 (Bonus): Regelmäßige Audits

Empfehlung: Überprüfen Sie Ihre Datenschutzmaßnahmen regelmäßig und passen Sie sie an aktuelle Bedrohungen und Anforderungen an.

Was das bedeutet:

• Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.
• Technische Maßnahmen müssen regelmäßig überprüft werden.
• Neue Bedrohungen und regulatorische Änderungen erfordern Anpassungen.

So setzen Sie es um:

• Führen Sie mindestens jährlich eine Überprüfung Ihrer Datenschutzmaßnahmen durch.
• Prüfen Sie insbesondere:
  • Sind alle AVV noch aktuell?
  • Werden Aufbewahrungsfristen eingehalten?
  • Sind die technischen Maßnahmen noch auf dem aktuellen Stand?
  • Wurden neue Verarbeitungstätigkeiten aufgenommen?
  • Gab es Datenschutzvorfälle und welche Lehren wurden daraus gezogen?
• Dokumentieren Sie die Ergebnisse des Audits und abgeleitete Maßnahmen.

Prüffrage: Wann haben Sie zuletzt Ihre Datenschutzmaßnahmen für den Dokumentenempfang überprüft?

Zusammenfassung: Die komplette Checkliste

Nutzen Sie diese Übersicht als schnelle Referenz:

Nr.	Prüfpunkt	Status
1	Verschlüsselung bei Übertragung (TLS)	--
2	Verschlüsselung bei Speicherung (at rest)	--
3	Auftragsverarbeitungsvertrag (AVV)	--
4	Zweckbindung und Datenminimierung	--
5	Zugangskontrolle (Need-to-know)	--
6	Aufbewahrungsfristen und Löschkonzept	--
7	Dokumentation und Audit-Trail	--
8	Mitarbeiterschulung	--
9	Incident-Response-Plan	--
10	Betroffenenrechte umsetzbar	--
Bonus	Regelmäßige Audits	--

Wie SendMeSafe die Checkliste erfüllt

SendMeSafe wurde speziell für den DSGVO-konformen Dokumentenaustausch entwickelt und adressiert die meisten Punkte dieser Checkliste automatisch:

Checklisten-Punkt	SendMeSafe-Lösung
Verschlüsselung (Übertragung)	TLS 1.2+ automatisch
Verschlüsselung (Speicherung)	Verschlüsselte Speicherung auf EU-Servern
AVV	Auftragsverarbeitungsvertrag verfügbar
Zweckbindung	Beschreibungen und separate Links pro Zweck
Zugangskontrolle	Team-Rollen und Berechtigungen
Aufbewahrung/Löschung	Ablaufdaten und Löschfunktion
Audit-Trail	Vollständige Protokollierung
Betroffenenrechte	Kundenverwaltung mit Löschfunktion

Die Punkte Mitarbeiterschulung, Incident-Response-Plan und regelmäßige Audits sind organisatorische Maßnahmen, die Sie unabhängig von der eingesetzten Software umsetzen müssen. SendMeSafe unterstützt Sie dabei durch transparente Dokumentation und einfache Handhabung.

Nächste Schritte

1. Bestandsaufnahme: Gehen Sie die Checkliste durch und markieren Sie, welche Punkte Sie bereits erfüllen.
2. Lücken identifizieren: Für jeden nicht erfüllten Punkt definieren Sie eine konkrete Maßnahme.
3. Priorisieren: Beginnen Sie mit den Punkten, die das höchste Risiko darstellen (typischerweise Verschlüsselung und Zugangskontrolle).
4. Umsetzen: Implementieren Sie die Maßnahmen schrittweise.
5. Dokumentieren: Halten Sie alle Maßnahmen und Entscheidungen schriftlich fest.
6. Wiederholen: Überprüfen Sie die Checkliste regelmäßig (mindestens jährlich).

Fazit

DSGVO-konformer Dokumentenempfang erfordert einen systematischen Ansatz. Mit dieser 10-Punkte-Checkliste haben Sie einen klaren Leitfaden, der die wesentlichen Anforderungen abdeckt. Die gute Nachricht: Mit der richtigen technischen Lösung lassen sich viele dieser Punkte automatisiert erfüllen, sodass Sie sich auf die organisatorischen Maßnahmen konzentrieren können.

---

Setzen Sie die Checkliste in die Praxis um. Testen Sie SendMeSafe 14 Tage kostenlos und erfüllen Sie die technischen Anforderungen der DSGVO-Checkliste ab dem ersten Tag. Keine Kreditkarte erforderlich.