DSGVO-Compliance-Checkliste: 12 Schritte zur vollständigen Datenschutz-Konformität

Warum diese Checkliste entscheidend ist

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in Kraft und betrifft jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet. Trotzdem zeigen Untersuchungen, dass ein erheblicher Anteil der kleinen und mittelständischen Unternehmen wesentliche Anforderungen nicht vollständig umgesetzt hat. Die Konsequenzen können gravierend sein: Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, Reputationsschäden und Vertrauensverlust bei Kunden.

Diese Checkliste führt Sie systematisch durch die zwölf wichtigsten Bereiche der DSGVO-Compliance. Arbeiten Sie jeden Punkt gewissenhaft ab, dokumentieren Sie Ihre Maßnahmen und schaffen Sie so eine belastbare Grundlage für den Ernstfall. Planen Sie etwa 30 Minuten für die vollständige Durcharbeitung ein.

---

Die 12 Schritte zur DSGVO-Konformität

Schritt 1: Verarbeitungsverzeichnis erstellen

• Erstellen Sie ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Dokumentieren Sie für jede Verarbeitung den Zweck, die Kategorien betroffener Personen und Daten, die Empfänger sowie die vorgesehenen Löschfristen. Dieses Verzeichnis muss jederzeit der Aufsichtsbehörde vorgelegt werden können und ist das Fundament Ihrer gesamten Datenschutz-Dokumentation. Aktualisieren Sie es mindestens vierteljährlich oder bei jeder Änderung der Verarbeitungsprozesse.

Schritt 2: Rechtsgrundlagen prüfen

• Stellen Sie sicher, dass für jede Datenverarbeitung eine gültige Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Prüfen Sie, ob eine Einwilligung, ein Vertrag, eine rechtliche Verpflichtung, ein berechtigtes Interesse oder ein anderer Erlaubnistatbestand greift. Dokumentieren Sie die gewählte Rechtsgrundlage im Verarbeitungsverzeichnis und überprüfen Sie regelmäßig, ob sie noch zutreffend ist, insbesondere bei Einwilligungen.

Schritt 3: Datenschutzerklärung aktualisieren

• Überprüfen und aktualisieren Sie Ihre Datenschutzerklärung gemäß Art. 13 und 14 DSGVO. Die Erklärung muss transparent, verständlich und leicht zugänglich sein. Sie muss alle verwendeten Dienste, Cookies, Tracking-Tools und Drittanbieter benennen sowie die Rechte der Betroffenen klar darstellen. Prüfen Sie auch, ob Ihre Cookie-Banner rechtmäßig gestaltet sind und keine Dark Patterns verwenden.

Schritt 4: Auftragsverarbeitungsverträge abschließen

• Schließen Sie mit allen Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten, AVV gemäß Art. 28 DSGVO ab. Dies betrifft Cloud-Anbieter, E-Mail-Dienste, Hosting-Provider, CRM-Systeme und jeden weiteren externen Dienstleister. Prüfen Sie bestehende Verträge auf Vollständigkeit und stellen Sie sicher, dass technische und organisatorische Maßnahmen vertraglich festgelegt sind. Nutzen Sie für den sicheren Dokumentenaustausch mit Dienstleistern Lösungen wie SendMeSafe, die bereits DSGVO-konform konzipiert sind.

Schritt 5: Technische und organisatorische Maßnahmen (TOM) dokumentieren

• Dokumentieren Sie alle technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Dazu gehören Verschlüsselung, Zugangskontrollen, Pseudonymisierung, regelmäßige Backups und Wiederherstellungstests. Erstellen Sie ein TOM-Dokument, das den Stand der Technik berücksichtigt und regelmäßig aktualisiert wird. Dieses Dokument wird auch als Anhang zu Ihren AVVs benötigt.

Schritt 6: Datenschutz-Folgenabschätzung durchführen

• Führen Sie eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch, sofern Ihre Verarbeitung ein hohes Risiko birgt. Identifizieren Sie Verarbeitungen mit hohem Risiko, etwa systematische Überwachung, Verarbeitung besonderer Datenkategorien oder Profiling. Dokumentieren Sie die Risikobewertung und die ergriffenen Gegenmaßnahmen sorgfältig. Im Zweifel konsultieren Sie Ihren Datenschutzbeauftragten.

Schritt 7: Datenschutzbeauftragten benennen

• Prüfen Sie, ob Sie einen Datenschutzbeauftragten (DSB) benennen müssen, und tun Sie dies gegebenenfalls. In Deutschland ist ein DSB ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, gesetzlich vorgeschrieben. Der DSB muss der Aufsichtsbehörde gemeldet und auf Ihrer Website benannt werden. Stellen Sie sicher, dass der DSB über ausreichend Ressourcen und Fachwissen verfügt.

Schritt 8: Betroffenenrechte sicherstellen

• Implementieren Sie Prozesse zur Wahrung der Betroffenenrechte gemäß Art. 15-22 DSGVO. Betroffene haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Definieren Sie klare Zuständigkeiten und Fristen, da Sie innerhalb eines Monats reagieren müssen. Testen Sie den Prozess mit einem Selbstversuch.

Schritt 9: Meldeprozess für Datenpannen einrichten

• Etablieren Sie einen Prozess zur Meldung von Datenschutzverletzungen gemäß Art. 33 und 34 DSGVO. Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Erstellen Sie einen Notfallplan mit klaren Verantwortlichkeiten, Kommunikationswegen und Vorlagen für die Meldung. Schulen Sie alle Mitarbeiter, damit sie Vorfälle sofort erkennen und melden können.

Schritt 10: Mitarbeiterschulungen durchführen

• Schulen Sie alle Mitarbeiter regelmäßig zu Datenschutz und Datensicherheit. Dokumentieren Sie die Teilnahme und Inhalte der Schulungen. Sensibilisieren Sie insbesondere für Phishing, Social Engineering und den sicheren Umgang mit personenbezogenen Daten. Neue Mitarbeiter sollten vor ihrem ersten Arbeitstag mit Datenzugang geschult werden. Wiederholen Sie die Schulungen mindestens jährlich.

Schritt 11: Löschkonzept implementieren

• Erstellen Sie ein Löschkonzept, das die Aufbewahrungsfristen für alle Datenkategorien definiert. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Berücksichtigen Sie gesetzliche Aufbewahrungsfristen aus HGB und AO und automatisieren Sie den Löschprozess, wo möglich. Dokumentieren Sie durchgeführte Löschungen nachvollziehbar.

Schritt 12: Regelmäßige Überprüfung und Audit planen

• Planen Sie regelmäßige interne Datenschutz-Audits und dokumentieren Sie die Ergebnisse. Mindestens einmal jährlich sollten alle Maßnahmen auf Aktualität und Wirksamkeit überprüft werden. Nutzen Sie die Ergebnisse, um Ihre Datenschutzstrategie kontinuierlich zu verbessern. Erwägen Sie die Beauftragung externer Prüfer für eine unabhängige Bewertung.

---

Zusammenfassung

DSGVO-Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Mit dieser Checkliste haben Sie die zwölf wichtigsten Bereiche systematisch abgedeckt: von der Dokumentation Ihrer Verarbeitungstätigkeiten über die technischen Schutzmaßnahmen bis hin zur Mitarbeiterschulung und dem Löschkonzept. Der Schlüssel zum Erfolg liegt in der konsequenten Dokumentation, regelmäßigen Überprüfung und der Bereitschaft, Prozesse kontinuierlich zu verbessern.

Nutzen Sie Werkzeuge wie SendMeSafe, die Datenschutz bereits in ihrem Design verankert haben, und machen Sie Compliance zu einem natürlichen Teil Ihres Arbeitsalltags statt zu einer bürokratischen Last.

---

Häufig gestellte Fragen

Wie oft muss ich diese Checkliste durcharbeiten?

Sie sollten diese Checkliste mindestens einmal jährlich vollständig durcharbeiten. Bei wesentlichen Änderungen in Ihren Geschäftsprozessen, neuen Dienstleistern oder Gesetzesänderungen sollten Sie die betroffenen Punkte sofort überprüfen. Viele Unternehmen integrieren die Prüfung in ihren Quartalsrhythmus, um den Aufwand überschaubar zu halten.

Was passiert, wenn ich nicht alle Punkte erfülle?

Nicht jeder Punkt ist für jedes Unternehmen gleich relevant. Entscheidend ist, dass Sie einen nachweisbaren und dokumentierten Weg zur Compliance beschreiten. Aufsichtsbehörden bewerten die erkennbare Bemühung und den Fortschritt positiv. Kritisch wird es nur, wenn grundlegende Maßnahmen wie das Verarbeitungsverzeichnis oder die Rechtsgrundlagen komplett fehlen.

Kann ich die DSGVO-Compliance vollständig intern umsetzen?

Für kleine und mittelständische Unternehmen ist eine interne Umsetzung grundsätzlich möglich, insbesondere mit strukturierten Hilfsmitteln wie dieser Checkliste. Bei komplexeren Verarbeitungen, internationalen Datentransfers oder besonderen Datenkategorien empfiehlt sich jedoch die Hinzuziehung externer Fachleute. Ein externer Datenschutzbeauftragter kann oft kosteneffizienter sein als ein interner.