DSGVO-Compliance-Checkliste 2026: Schritt-für-Schritt-Leitfaden

Die DSGVO-Compliance nach der Verordnung (EU) 2016/679 verlangt von Organisationen dokumentierte Maßnahmen in vierzehn ineinandergreifenden Bereichen, von der Datenerfassung und der Bestimmung der Rechtsgrundlage bis hin zur Reaktion auf Datenschutzverletzungen und laufenden Mitarbeiterschulungen. Der Grundsatz der Rechenschaftspflicht nach Artikel 5 Absatz 2 verlangt von Verantwortlichen, die Einhaltung der Vorschriften jederzeit nachweisen zu können, was einen systematischen, nachweisgestützten Ansatz zur grundlegenden Pflicht macht.
DSGVO-Compliance ist kein einmaliges Projekt. Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) verlangt dokumentierte Nachweise der Einhaltung, und jede Änderung Ihrer Verarbeitungstätigkeiten kann neue Pflichten auslösen. Diese Checkliste behandelt jeden zentralen Compliance-Bereich mit Verweisen auf die einschlägigen DSGVO-Artikel, offizielle Leitlinien des EDSA und die bedeutendsten aktuellen Entwicklungen.
Informationsstand: 19.05.2026. Dieser Beitrag stellt allgemeine rechtliche Informationen dar und ist keine Rechtsberatung. Wenden Sie sich für eine auf Ihre Organisation zugeschnittene Beratung an eine qualifizierte Datenschutzanwältin, einen qualifizierten Datenschutzanwalt oder eine Fachperson für Datenschutz.
Räumlicher Geltungsbereich: Diese Checkliste behandelt die Einhaltung der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679), wie sie in den EU- und EWR-Mitgliedstaaten gilt. Sie behandelt weder die UK GDPR (die nach dem Brexit von der EU-DSGVO abweicht) noch nationale Umsetzungsgesetze. Für einen Vergleich siehe DSGVO im Vergleich zur UK GDPR. Für einen grundlegenden Überblick über die Verordnung siehe Was ist die DSGVO.
Die DSGVO-Compliance-Checkliste im Überblick
Die DSGVO-Compliance erfordert Maßnahmen in vierzehn ineinandergreifenden Bereichen. Die folgenden Abschnitte behandeln jeden davon im Einzelnen. Beginnen Sie mit der Datenerfassung, denn jeder weitere Schritt setzt voraus, dass Sie wissen, welche Daten Sie besitzen und warum.
| Schritt | Compliance-Bereich | Wichtige Artikel | Priorität |
|---|---|---|---|
| 1 | Datenerfassung und Verzeichnis von Verarbeitungstätigkeiten | Art. 30 | Grundlage |
| 2 | Bestimmung der Rechtsgrundlage | Art. 6 | Kritisch |
| 3 | Datenschutzerklärungen und Transparenz | Art. 12, 13, 14 | Kritisch |
| 4 | Einwilligungsmanagement | Art. 7, 8 | Wenn Einwilligung die Rechtsgrundlage ist |
| 5 | Verfahren für Betroffenenrechte | Art. 15-22 | Kritisch |
| 6 | Bestellung eines Datenschutzbeauftragten | Art. 37-39 | Wenn erforderlich |
| 7 | Datenschutz-Folgenabschätzungen | Art. 35 | Vor risikoreicher Verarbeitung |
| 8 | Auftragsverarbeiterverträge (AVV) | Art. 28 | Kritisch |
| 9 | Sicherheitsmaßnahmen | Art. 32 | Kritisch |
| 10 | Plan zur Reaktion auf Datenschutzverletzungen | Art. 33, 34 | Kritisch |
| 11 | Garantien für internationale Datenübermittlungen | Kapitel V | Wenn Daten die EU/EWR verlassen |
| 12 | Datenschutz durch Technikgestaltung und Voreinstellungen | Art. 25 | Laufend |
| 13 | Mitarbeiterschulung und Rechenschaftspflicht | Art. 39 Abs. 1 lit. b | Laufend |
| 14 | Lieferantenmanagement und laufende Überprüfung | Art. 24, 28 | Laufend |
Schritt 1: Datenerfassung und Verzeichnis von Verarbeitungstätigkeiten (Artikel 30)
Bevor Ihre Organisation die DSGVO einhalten kann, muss sie wissen, welche personenbezogenen Daten sie erhebt, woher diese Daten stammen, wohin sie gelangen und zu welchem Zweck sie verarbeitet werden. Die Datenerfassung bildet die Grundlage jeder weiteren Compliance-Maßnahme. Artikel 30 verlangt anschließend, dieses Wissen in schriftlichen Verzeichnissen von Verarbeitungstätigkeiten (VVT) festzuhalten.
Was im Datenbestandsverzeichnis zu dokumentieren ist
Erfassen Sie für jede Verarbeitungstätigkeit:
- Kategorien personenbezogener Daten (Namen, E-Mail-Adressen, IP-Adressen, Gesundheitsdaten, Finanzdaten, biometrische Daten)
- Kategorien betroffener Personen (Kundinnen und Kunden, Beschäftigte, Website-Besuchende, Bewerbende)
- Zweck jeder Verarbeitungstätigkeit
- Rechtsgrundlage für die Verarbeitung (siehe Schritt 2)
- Speicherorte und Systeme
- Wer Zugriff hat (interne Rollen und externe Empfänger)
- Speicherfristen oder die Kriterien zu deren Bestimmung
- Ob Daten die EU/den EWR verlassen und, falls ja, über welchen Übermittlungsmechanismus
Was Verantwortliche nach Artikel 30 Absatz 1 aufzeichnen müssen
Artikel 30 Absatz 1 verlangt von Verantwortlichen die Führung schriftlicher Verzeichnisse mit folgenden Angaben:
- Name und Kontaktdaten des Verantwortlichen (sowie gegebenenfalls Kontaktdaten der oder des Datenschutzbeauftragten)
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und personenbezogener Daten
- Kategorien von Empfängern, einschließlich Drittländern
- Angaben zu internationalen Übermittlungen und dem jeweiligen Rechtsmechanismus
- Vorgesehene Speicherfristen
- Eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen
Auftragsverarbeiter unterliegen einer parallelen Pflicht nach Artikel 30 Absatz 2: Sie müssen die Kategorien von Verarbeitungen dokumentieren, die sie im Auftrag jedes Verantwortlichen durchführen.
Die KMU-Ausnahme und die vorgeschlagene Änderung durch den Digital Omnibus
Artikel 30 Absatz 5 befreit Organisationen mit weniger als 250 Beschäftigten derzeit von der Pflicht, ein vollständiges Verzeichnis zu führen, sofern die Verarbeitung voraussichtlich kein Risiko für betroffene Personen birgt, nur gelegentlich erfolgt und keine besonderen Datenkategorien umfasst. In der Praxis verarbeiten die meisten Organisationen Daten so regelmäßig, dass diese Ausnahme selten vollständig greift.
Der Digital-Omnibus-Vorschlag vom November 2025 würde diese Schwelle auf weniger als 750 Beschäftigte anheben (mit zusätzlichen finanziellen Kriterien), vorbehaltlich derselben Ausnahme bei hohem Risiko. EDSA und EDSB begrüßten in ihrer gemeinsamen Stellungnahme 2/2026 das Vereinfachungsziel, empfahlen jedoch, die Ausnahme zur Klarheit an die gesetzlichen Definitionen von KMU und kleinen Unternehmen mittlerer Kapitalisierung zu koppeln. Dieser Vorschlag ist zum Zeitpunkt dieses Beitrags noch nicht in Kraft getreten.

Schritt 2: Die Rechtsgrundlage für jede Verarbeitungstätigkeit bestimmen (Artikel 6)
Artikel 6 der DSGVO verlangt, dass jede Verarbeitungstätigkeit auf einer von sechs Rechtsgrundlagen beruht. Die Rechtsgrundlage muss vor Beginn der Verarbeitung festgelegt werden; ein nachträglicher Wechsel ist nicht zulässig.
Die sechs Rechtsgrundlagen
| Rechtsgrundlage | Wann sie anwendbar ist | Wesentliche Voraussetzungen |
|---|---|---|
| Einwilligung (Art. 6 Abs. 1 lit. a) | Die betroffene Person willigt freiwillig ein | Freiwillig, für den bestimmten Fall, informiert, unmissverständlich; jederzeit widerrufbar |
| Vertrag (Art. 6 Abs. 1 lit. b) | Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich | Muss erforderlich, nicht nur zweckmäßig sein |
| Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Die Verarbeitung ist nach EU-Recht oder dem Recht eines Mitgliedstaats vorgeschrieben | Die konkrete rechtliche Vorgabe muss benannt werden |
| Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d) | Die Verarbeitung ist zum Schutz des Lebens einer Person erforderlich | Eng gefasst; nicht routinemäßig anwendbar |
| Öffentliche Aufgabe (Art. 6 Abs. 1 lit. e) | Die Verarbeitung ist zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich | Typischerweise Behörden |
| Berechtigte Interessen (Art. 6 Abs. 1 lit. f) | Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich | Eine dokumentierte Interessenabwägung ist erforderlich |
Für besondere Kategorien personenbezogener Daten nach Artikel 9 (Gesundheitsdaten, biometrische Daten, genetische Daten, rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, strafrechtliche Verurteilungen) sind sowohl eine Rechtsgrundlage nach Artikel 6 als auch eine gesonderte Bedingung nach Artikel 9 erforderlich.
Viele Organisationen greifen standardmäßig auf die Einwilligung zurück, obwohl berechtigte Interessen oder die vertragliche Erforderlichkeit passender wären. Die Einwilligung erzeugt laufende Verwaltungspflichten, einschließlich Nachweisführung, Widerrufsmechanismen und gegebenenfalls erneuter Einwilligung. Ausführliche Hinweise finden Sie unter DSGVO-Einwilligungsanforderungen.
Schritt 3: Klare Datenschutzerklärungen verfassen (Artikel 12, 13, 14)
Die Artikel 13 und 14 verpflichten Organisationen, betroffenen Personen transparente Informationen bereitzustellen. Die CEF-2026-Durchsetzungsaktion des EDSA konzentriert sich speziell auf die Transparenz- und Informationspflichten nach den Artikeln 12, 13 und 14, sodass die Aufsichtsbehörden in allen EU-Mitgliedstaaten dieses Jahr aktiv Datenschutzerklärungen prüfen.
Erforderlicher Inhalt einer DSGVO-Datenschutzerklärung
Eine regelkonforme Datenschutzerklärung muss Folgendes enthalten:
- Identität und Kontaktdaten des Verantwortlichen sowie gegebenenfalls Kontaktdaten der oder des Datenschutzbeauftragten
- Die Zwecke und die Rechtsgrundlage für jede Verarbeitungstätigkeit
- Kategorien der erhobenen personenbezogenen Daten
- Empfänger oder Kategorien von Empfängern
- Angaben zu etwaigen internationalen Datenübermittlungen und den bestehenden Garantien
- Speicherfristen oder die zu deren Bestimmung herangezogenen Kriterien
- Alle acht Betroffenenrechte
- Das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen
- Ob die Bereitstellung der Daten eine gesetzliche oder vertragliche Pflicht ist
- Informationen zu automatisierten Entscheidungen einschließlich Profiling sowie zur zugrunde liegenden Logik
Werden Daten unmittelbar bei der betroffenen Person erhoben (Artikel 13), muss die Erklärung zum Zeitpunkt der Erhebung bereitgestellt werden. Werden Daten von Dritten bezogen (Artikel 14), muss die Erklärung innerhalb eines Monats bereitgestellt werden. Artikel 12 verlangt eine klare, verständliche Sprache, die präzise, transparent und leicht zugänglich ist; ein mehrstufiger Ansatz (kurze Zusammenfassung mit Links zu ausführlichen Abschnitten) hat sich bewährt.
Schritt 4: Einen Prozess für das Einwilligungsmanagement einrichten (Artikel 7, 8)
Ist die Einwilligung die gewählte Rechtsgrundlage, stellt Artikel 7 spezifische Anforderungen. Eine Einwilligung, die diese Anforderungen nicht erfüllt, ist unwirksam, und die Verarbeitung entbehrt einer Rechtsgrundlage.
Anforderungen an eine wirksame Einwilligung nach der DSGVO
„Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat." (DSGVO, Artikel 7 Absatz 1)
Eine wirksame Einwilligung nach Artikel 7 muss:
- Freiwillig sein: keine Kopplung eines Dienstes an die Einwilligung in nicht erforderliche Verarbeitungen; kein Machtungleichgewicht, das eine echte Wahl verhindert
- Für den bestimmten Fall erteilt werden: gesonderte Einwilligung für jeden einzelnen Verarbeitungszweck; gebündelte Einwilligung ist unwirksam
- Informiert sein: Die betroffene Person muss wissen, wer die Daten zu welchem Zweck erhebt und dass ein Widerruf möglich ist
- Unmissverständlich sein: Eine eindeutige bestätigende Handlung ist erforderlich; bereits angekreuzte Kästchen, Schweigen und Untätigkeit stellen keine Einwilligung dar
- Widerrufbar sein: Der Widerruf muss ebenso einfach sein wie die Erteilung; eine fortgesetzte Verarbeitung nach dem Widerruf ist unzulässig
Für die Verarbeitung personenbezogener Daten von Kindern verlangt Artikel 8 die Einwilligung der Eltern für Kinder unter 16 Jahren; die Mitgliedstaaten können diese Grenze auf 13 Jahre absenken.
Anforderungen an die Infrastruktur des Einwilligungsmanagements
- Zeitpunkt, Mechanismus und den zum Zeitpunkt der Einwilligung angezeigten Text für jede Person erfassen
- Den Widerruf der Einwilligung ermöglichen und die nachgelagerte Unterdrückung in allen Systemen auslösen
- Kennzeichnen, wann die Einwilligung eingeholt wurde und ob sie noch aktuell ist
- Workflows für die erneute Einwilligung bei geänderten Verarbeitungszwecken unterstützen
- Einwilligungsnachweise in einem Format speichern, das der Aufsichtsbehörde auf Anfrage zugänglich ist
Schritt 5: Verfahren für Betroffenenrechte aufbauen (Artikel 15-22)
Die DSGVO gewährt Einzelpersonen acht Rechte in Bezug auf ihre personenbezogenen Daten. Eine ausführliche Darstellung jedes Rechts finden Sie unter Betroffenenrechte nach der DSGVO.
Die acht Rechte im Überblick
| Recht | Artikel | Kernpflicht |
|---|---|---|
| Auskunft | 15 | Eine Kopie der Daten und bestimmte Angaben innerhalb eines Monats bereitstellen |
| Berichtigung | 16 | Unrichtige oder unvollständige Daten unverzüglich berichtigen beziehungsweise vervollständigen |
| Löschung | 17 | Daten löschen, wenn sie nicht mehr erforderlich sind, die Einwilligung widerrufen wurde oder ein Widerspruch erfolgreich ist |
| Einschränkung | 18 | Die Verarbeitung aussetzen, während Richtigkeit oder Rechtmäßigkeit strittig sind |
| Datenübertragbarkeit | 20 | Daten in einem strukturierten, maschinenlesbaren Format bereitstellen |
| Widerspruch | 21 | Die Verarbeitung auf Grundlage berechtigter Interessen oder zu Direktmarketingzwecken beenden |
| Automatisierte Entscheidungsfindung | 22 | Nicht ohne menschliche Überprüfung ausschließlich automatisierten Entscheidungen mit erheblichen Auswirkungen unterworfen werden |
Operative Checkliste für Verfahren zu Betroffenenrechten
- Ein Team oder eine Person mit der Bearbeitung von Anträgen betroffener Personen betrauen
- Eingangskanäle einrichten und den Eingang umgehend bestätigen
- Verfahren zur Identitätsprüfung aufbauen, um unbefugte Offenlegung zu verhindern
- Alle Systeme mit personenbezogenen Daten erfassen, damit Daten rasch aufgefunden und zusammengestellt werden können
- Dokumentieren, wie jede Art von Recht behandelt wird, einschließlich Teilantworten und Ablehnungen
- Fristen nachverfolgen: Der Standardzeitraum beträgt einen Kalendermonat; eine Verlängerung auf drei Monate ist bei komplexen Anträgen zulässig, die betroffene Person muss jedoch innerhalb des ersten Monats informiert werden
- Kundenkontaktpersonal darin schulen, Anträge zu Betroffenenrechten zu erkennen, auch wenn die Person keine juristische Terminologie verwendet

Schritt 6: Bei Bedarf eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen (Artikel 37)
Artikel 37 der DSGVO macht die Bestellung einer oder eines Datenschutzbeauftragten in drei Fällen verpflichtend.
Wann eine Bestellung verpflichtend ist
Eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter muss bestellt werden, wenn:
- Der Verantwortliche oder Auftragsverarbeiter eine Behörde oder öffentliche Stelle ist (Gerichte in ihrer justiziellen Tätigkeit sind ausgenommen)
- Die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfordert
- Die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9) oder Daten über strafrechtliche Verurteilungen (Artikel 10) umfasst
„Kerntätigkeit" bezeichnet die Haupttätigkeit der Organisation, nicht Nebentätigkeiten in Personalwesen oder IT, wie sie bei jedem Arbeitgeber anfallen. „Umfangreich" hat keinen festen zahlenmäßigen Schwellenwert; die Leitlinien des EDSA zu Datenschutzbeauftragten berücksichtigen die Zahl der betroffenen Personen, das Datenvolumen, die geografische Reichweite und die Dauer der Verarbeitung.
Anforderungen an Datenschutzbeauftragte nach den Artikeln 38 und 39
Die oder der Datenschutzbeauftragte muss über Fachwissen im Datenschutzrecht verfügen, direkt der höchsten Managementebene unterstellt sein, ihre oder seine Aufgaben unabhängig und ohne Weisungen ausüben und mit angemessenen Ressourcen und Zugang zu den Verarbeitungsvorgängen ausgestattet sein. Die oder der Datenschutzbeauftragte darf wegen der Erfüllung ihrer oder seiner Aufgaben nicht abberufen oder benachteiligt werden. Die Kontaktdaten müssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.
Der Bericht des EDSA zur koordinierten Durchsetzung 2023 zu Datenschutzbeauftragten stellte fest, dass viele Organisationen ihren Datenschutzbeauftragten weiterhin keine echte Unabhängigkeit und angemessene Ressourcen einräumen und ihnen widersprüchliche Aufgaben zuweisen, die Interessenkonflikte erzeugen.
Schritt 7: Datenschutz-Folgenabschätzungen durchführen (Artikel 35)
Eine DSFA ist vor jeder Verarbeitung erforderlich, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Die Pflicht entsteht bereits vor Beginn der Verarbeitung; nachträgliche DSFA erfüllen Artikel 35 nicht.
Wann eine DSFA stets erforderlich ist
Eine DSFA ist verpflichtend bei:
- Systematischer und umfassender Bewertung von Personen einschließlich Profiling mit erheblichen Auswirkungen
- Umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten oder Daten über strafrechtliche Verurteilungen
- Systematischer Überwachung öffentlich zugänglicher Bereiche in großem Umfang
Die nationalen Aufsichtsbehörden veröffentlichen eigene Listen von Verarbeitungsvorgängen, die eine DSFA erfordern. Prüfen Sie die von Ihrer federführenden Aufsichtsbehörde veröffentlichte Liste.
KI-Systeme und DSFA
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689), die am 1. August 2024 in Kraft trat, gilt überall dort neben der DSGVO, wo KI-Systeme personenbezogene Daten verarbeiten. Die CNIL und der EDSA haben bestätigt, dass eine DSFA nach Artikel 35 DSGVO für Hochrisiko-KI-Systeme (aufgeführt in Anhang III der KI-Verordnung) grundsätzlich als erforderlich anzusehen ist. Die Anforderungen der KI-Verordnung an technische Dokumentation und Datenverwaltung nach den Artikeln 10 und 11 können in die DSFA einfließen, sofern die DSFA sämtliche nach Artikel 35 Absatz 7 DSGVO erforderlichen Elemente enthält.
Was eine DSFA nach Artikel 35 Absatz 7 enthalten muss
- Eine systematische Beschreibung der Verarbeitungsvorgänge und ihrer Zwecke
- Eine Bewertung der Erforderlichkeit und Verhältnismäßigkeit der Verarbeitung
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- Die zur Bewältigung dieser Risiken vorgesehenen Maßnahmen
Ergibt die DSFA hohe Restrisiken, die nicht abgemildert werden können, muss der Verantwortliche vor Beginn der Verarbeitung die Aufsichtsbehörde konsultieren (vorherige Konsultation nach Artikel 36). DSFA müssen überprüft werden, sobald sich die Verarbeitung wesentlich ändert.
Schritt 8: Auftragsverarbeiterverträge abschließen (Artikel 28)
Verarbeiten Drittanbieter personenbezogene Daten in Ihrem Auftrag, verlangt Artikel 28 vor Beginn der Verarbeitung einen schriftlichen Auftragsverarbeitungsvertrag.
Verpflichtende Regelungen in einem AVV nach Artikel 28
Jeder Auftragsverarbeitungsvertrag muss vorsehen, dass der Auftragsverarbeiter:
- personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet
- sicherstellt, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind
- angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzt (Artikel 32)
- den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen unterstützt
- bei DSFA, vorheriger Konsultation, Meldung von Verletzungen und Sicherheitspflichten unterstützt
- alle personenbezogenen Daten nach Vertragsende nach Wahl des Verantwortlichen löscht oder zurückgibt
- alle zum Nachweis der Einhaltung von Artikel 28 erforderlichen Informationen zur Verfügung stellt und Prüfungen ermöglicht
- Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzt
Checkliste zur Bewertung von Lieferanten
- Alle bestehenden Verträge mit Lieferanten prüfen, die personenbezogene Daten verarbeiten
- Sicherstellen, dass Auftragsverarbeitungsverträge vorliegen und alle verpflichtenden Regelungen nach Artikel 28 enthalten
- Sicherheitsmaßnahmen der Lieferanten anhand von Fragebögen, Zertifizierungen (ISO 27001, SOC 2 Typ II) oder Prüfungsrechten bewerten
- Prüfen, ob der Lieferant Daten außerhalb der EU/des EWR übermittelt, und den rechtlichen Übermittlungsmechanismus bestätigen
- Listen der Unterauftragsverarbeiter und Verfahren bei deren Änderung überprüfen
- Einen regelmäßigen Überprüfungszyklus für Lieferanten festlegen (mindestens jährlich oder bei wesentlichen Änderungen)
Schritt 9: Technische und organisatorische Sicherheitsmaßnahmen umsetzen (Artikel 32)
Artikel 32 verlangt angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen müssen am Stand der Technik, den Implementierungskosten sowie Art, Umfang, Umständen und Zwecken der Verarbeitung ausgerichtet sein, ebenso an der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für betroffene Personen.
Artikel 32 nennt ausdrücklich
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme sicherzustellen
- Die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem Vorfall rasch wiederherzustellen
- Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen
Über diese im Gesetz genannten Beispiele hinaus setzen Organisationen üblicherweise Folgendes um: rollenbasierte Zugriffskontrollen und den Grundsatz der minimalen Rechtevergabe; Multi-Faktor-Authentifizierung; Netzwerksegmentierung; Schwachstellenmanagement und Update-Zeitpläne; Endpunktschutz; Kontrollen zur Verhinderung von Datenabfluss; physische Sicherheit; sowie Sicherheitsbewertungen von Lieferanten.
Zu den organisatorischen Maßnahmen zählen eine dokumentierte Informationssicherheitsrichtlinie, ein Klassifizierungsschema für Daten, klare Rollen und Zuständigkeiten, das Management von Sicherheitsvorfällen sowie Verfahren zum Risikomanagement bei Dritten.
Schritt 10: Einen Plan zur Reaktion auf Datenschutzverletzungen aufbauen und testen (Artikel 33, 34)
Die DSGVO sieht strenge Fristen für die Meldung von Datenschutzverletzungen vor. Eine verspätete Meldung kann unabhängig von einem Bußgeld für den zugrunde liegenden Sicherheitsvorfall erhebliche Bußgelder nach sich ziehen. Eine ausführliche Darstellung der Meldepflichten finden Sie unter DSGVO-Meldung von Datenschutzverletzungen: Die 72-Stunden-Regel.
Die 72-Stunden-Meldepflicht nach Artikel 33
Nach Artikel 33 Absatz 1 muss ein Verantwortlicher die zuständige Aufsichtsbehörde „unverzüglich und, wenn möglich, binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde" informieren. Der EDSA legt „bekannt" als den Zeitpunkt aus, zu dem der Verantwortliche mit angemessener Gewissheit weiß, dass ein Sicherheitsvorfall eingetreten ist, der personenbezogene Daten betrifft.
Meldungen nach Artikel 33 Absatz 3 müssen enthalten: die Art der Verletzung sowie die ungefähre Anzahl betroffener Personen und Datensätze; die Kontaktdaten der oder des Datenschutzbeauftragten; die wahrscheinlichen Folgen der Verletzung; sowie die ergriffenen oder vorgeschlagenen Maßnahmen zu ihrer Bewältigung.
Die Pflicht nach Artikel 34 zur Benachrichtigung betroffener Personen
Birgt eine Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen, muss der Verantwortliche diese unverzüglich benachrichtigen. Artikel 34 Absatz 3 sieht begrenzte Ausnahmen vor, wenn die Daten verschlüsselt oder unverständlich gemacht wurden, nachträgliche Maßnahmen das hohe Risiko unwahrscheinlich gemacht haben oder eine individuelle Benachrichtigung unverhältnismäßigen Aufwand erfordern würde (in diesem Fall kann eine öffentliche Mitteilung erfolgen).
Auftragsverarbeiter müssen den Verantwortlichen unverzüglich informieren, sobald sie von einer Verletzung Kenntnis erlangen (Artikel 33 Absatz 2). Auftragsverarbeitungsverträge sollten eine vertragliche Frist festlegen, üblicherweise 24 bis 48 Stunden.
Operative Checkliste zur Reaktion auf Datenschutzverletzungen
- Technische Erkennungskontrollen umsetzen: Angriffserkennung, Protokollüberwachung und Anomaliealarme
- Ein Reaktionsteam mit festgelegten Rollen, einem Eskalationspfad und einer klaren organisatorischen Definition von „Kenntniserlangung" einrichten
- Eine Vorlage zur Bewertung der Verletzung erstellen, um das Risiko für betroffene Personen einzuschätzen
- Meldevorlagen für die Aufsichtsbehörde und die betroffenen Personen vorbereiten
- Ein Verletzungsregister führen, das alle Vorfälle dokumentiert, auch solche unterhalb der Meldeschwelle
- Das Verfahren zur Reaktion auf Verletzungen mindestens jährlich durch Simulationsübungen testen
Schritt 11: Garantien für internationale Datenübermittlungen einrichten (Kapitel V)
Übermittlungen personenbezogener Daten in Länder außerhalb der EU/des EWR sind nur zulässig, wenn einer der Mechanismen aus Kapitel V vorliegt.
Übermittlungsmechanismen
| Mechanismus | Wann anzuwenden |
|---|---|
| Angemessenheitsbeschluss (Art. 45) | Übermittlung in ein Land, das die Kommission für angemessen erklärt hat (Beispiele: Japan, Republik Korea, Vereinigtes Königreich, USA im Rahmen des EU-US-Datenschutzrahmens) |
| Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) | Häufigster Mechanismus für Länder ohne Angemessenheitsbeschluss; die Kommission verabschiedete im Juni 2021 überarbeitete SCCs |
| Verbindliche interne Datenschutzvorschriften (Art. 47) | Genehmigter konzerninterner Mechanismus für multinationale Organisationen |
| Spezifische Ausnahmetatbestände (Art. 49) | Eng gefasste Ausnahmen für gelegentliche Übermittlungen, wenn kein anderer Mechanismus verfügbar ist |
Transfer-Folgenabschätzungen
Bei Verwendung von SCCs oder verbindlichen internen Datenschutzvorschriften verlangen die Empfehlungen 01/2020 des EDSA eine Transfer-Folgenabschätzung, um zu prüfen, ob das Recht des Empfängerlandes ein im Wesentlichen gleichwertiges Schutzniveau wie das EU-Recht bietet. Die Bewertung muss Überwachungsgesetze, staatliche Zugriffsrechte, verfügbare Rechtsbehelfe und die bisherige Praxis der Behörden im Zielland berücksichtigen. Angemessenheitsbeschlüsse sollten laufend überwacht werden: Der Gerichtshof der Europäischen Union hat bereits Angemessenheitsbeschlüsse für ungültig erklärt, und der EU-US-Datenschutzrahmen bleibt weiterhin Gegenstand laufender Rechtsstreitigkeiten.
Schritt 12: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verankern (Artikel 25)
Artikel 25 verpflichtet Verantwortliche, Datenschutzgrundsätze bereits in den frühesten Phasen jeder neuen Verarbeitungstätigkeit oder jedes neuen Systems zu berücksichtigen (durch Technikgestaltung) und sicherzustellen, dass für jeden Zweck nur die minimal erforderlichen Daten verarbeitet werden (durch datenschutzfreundliche Voreinstellungen).
Datenschutz durch Technikgestaltung in der Praxis
- Eine Datenschutzprüfung als verpflichtenden Meilenstein in Ihren Projektmanagement- oder Produktentwicklungsprozess aufnehmen
- Zugriffskontrollen, Verschlüsselung und Pseudonymisierung von Anfang an in die Systemarchitektur einbauen
- Technologien auswählen, die die Datenexposition minimieren
- Gestaltungsentscheidungen und die berücksichtigten Datenschutzabwägungen dokumentieren
Datenschutzfreundliche Voreinstellungen in der Praxis
Die Standardeinstellungen müssen die datenschutzfreundlichsten verfügbaren Einstellungen sein. Praktische Maßnahmen umfassen: Formulare zur Datenerhebung mit minimaler Feldanzahl; Opt-in statt Opt-out als Standard für nicht erforderliche Verarbeitungen; automatische Löschung nach Ablauf der Speicherfrist; rollenbasierte Zugriffskontrollen; sowie datenschutzfreundliche Voreinstellungen bei Analyse- und Tracking-Konfigurationen.
Schritt 13: Mitarbeiterschulung und Rechenschaftspflicht (Artikel 39 Absatz 1 Buchstabe b)
Artikel 39 Absatz 1 Buchstabe b nennt die Sensibilisierung des Personals als eine der verpflichtenden Aufgaben der oder des Datenschutzbeauftragten. Der Grundsatz der Rechenschaftspflicht nach Artikel 5 Absatz 2 verlangt auch von Organisationen ohne verpflichtende Bestellung einer oder eines Datenschutzbeauftragten den Nachweis entsprechender Schulungen. Durchsetzungsentscheidungen nennen unzureichende Mitarbeiterschulung häufig als erschwerenden Umstand.
Anforderungen an das Schulungsprogramm
- Allen Beschäftigten, die personenbezogene Daten verarbeiten, eine DSGVO-Grundschulung anbieten, bevor sie mit der Verarbeitung beginnen, und diese mindestens jährlich auffrischen
- Rollenspezifische Schulungen für risikoreiche Funktionen bereitstellen: Personalwesen, Marketing, IT und Entwicklung, Kundenservice
- Beschäftigte zu den spezifischen Datenschutzerklärungen, Rechtsgrundlagen, Speicherfristen und Meldeverfahren Ihrer Organisation schulen
- Alle Schulungen dokumentieren: wer teilgenommen hat, Datum, Format und Inhalt
- Kompetenz bewerten, nicht nur die Teilnahme erfassen
Organisationen, die bei behördlichen Prüfungen durchgängig gut abschneiden, verankern den Datenschutz in ihrer Unternehmenskultur durch sichtbares Engagement der Führungsebene, Datenschutz-Champions in jeder Abteilung, klare Eskalationswege für Datenschutzbedenken und regelmäßige interne Kommunikation zur Bekräftigung der Datenschutzerwartungen.
Schritt 14: Lieferantenmanagement und laufende Überprüfung (Artikel 24, 28)
Artikel 24 verpflichtet Verantwortliche, geeignete Maßnahmen umzusetzen und die Einhaltung der Vorschriften fortlaufend nachweisen zu können. Compliance-Programme benötigen regelmäßige Überprüfungszyklen, nicht nur eine einmalige Umsetzung.
Rahmen für die laufende Compliance-Überprüfung
- Jährliche Compliance-Prüfung: Überprüfen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten, Ihre Datenschutzerklärungen, Einwilligungsnachweise, Auftragsverarbeitungsverträge und Sicherheitsmaßnahmen mindestens einmal jährlich oder bei jeder wesentlichen Änderung der Verarbeitung
- Überprüfung der DSFA: Überarbeiten Sie DSFA, sobald sich Art, Umfang, Umstände oder Zweck der Verarbeitung wesentlich ändern
- Lieferantenüberprüfungen: Bewerten Sie Auftragsverarbeiter regelmäßig erneut; überprüfen Sie Listen von Unterauftragsverarbeitern, Zertifizierungen und Übermittlungsmechanismen; beobachten Sie Sicherheitsvorfälle bei Lieferanten
- Beobachtung der Gesetzgebung: Verfolgen Sie Leitlinien des EDSA, Vorgaben nationaler Aufsichtsbehörden, Urteile des EuGH sowie Entwicklungen einschließlich des Gesetzgebungsverfahrens zum Digital Omnibus
- Nachbereitung von Vorfällen: Führen Sie nach jedem Sicherheitsvorfall eine Nachbereitung durch und aktualisieren Sie Verfahren, Kontrollen und Schulungen entsprechend
Dokumentation der Rechenschaftspflicht
Führen Sie eine Compliance-Akte mit: Ihrem Verzeichnis von Verarbeitungstätigkeiten; DSFA und deren Überprüfungshistorie; Auftragsverarbeitungsverträgen; Einwilligungsnachweisen und Widerrufsprotokollen; Schulungsnachweisen; Sicherheitsbewertungen; dem Verletzungsregister; sowie der Dokumentation zur Bestellung der oder des Datenschutzbeauftragten. Diese Nachweise bilden die Beweisgrundlage, sollte eine Aufsichtsbehörde ein Verfahren einleiten.
Aktuelle Entwicklungen: die EU-KI-Verordnung und der Digital Omnibus vom November 2025
Die EU-KI-Verordnung und die DSGVO-Compliance
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) trat am 1. August 2024 in Kraft und gilt in Phasen. Die Verbote für KI-Systeme mit unannehmbarem Risiko galten ab dem 2. Februar 2025. Die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck galten ab dem 2. August 2025. Die meisten Pflichten für Hochrisiko-KI-Systeme gelten ab dem 2. August 2026.
Artikel 2 Absatz 7 der KI-Verordnung stellt ausdrücklich klar, dass das EU-Datenschutzrecht auf die Verarbeitung personenbezogener Daten während des gesamten Lebenszyklus von KI-Systemen uneingeschränkt anwendbar bleibt. Der EDSA bestätigte in seiner Erklärung 3/2024, dass Datenschutzaufsichtsbehörden ihre vollständige Aufsichtsrolle nach der DSGVO auch dort behalten, wo die KI-Verordnung parallele Pflichten schafft.
Für Organisationen, die KI-Systeme entwickeln oder einsetzen, die personenbezogene Daten verarbeiten, gilt:
- Die Verarbeitung personenbezogener Daten zum Training von KI-Modellen erfordert eine Rechtsgrundlage nach Artikel 6 DSGVO (und nach Artikel 9 bei besonderen Kategorien personenbezogener Daten)
- Hochrisiko-KI-Systeme (Anhang III der KI-Verordnung), die personenbezogene Daten verarbeiten, sollten als DSFA-pflichtig nach Artikel 35 DSGVO behandelt werden; die technische Dokumentation der KI-Verordnung kann in die DSFA einfließen, sofern alle Elemente nach Artikel 35 Absatz 7 vorhanden sind
- Die Datenverwaltungspflichten nach Artikel 10 der KI-Verordnung für Hochrisiko-KI-Systeme, die Datenqualität und die Prüfung auf Verzerrungen betreffen, ergänzen die Grundsätze der Datenminimierung und Richtigkeit der DSGVO
Die CNIL hat ausführliche Empfehlungen zur DSGVO-Compliance für die Entwicklung von KI-Systemen veröffentlicht, die Rechtsgrundlagen für Trainingsdaten, Datenminimierung bei der Modellentwicklung, Betroffenenrechte für Personen, deren Daten im Training verwendet werden, sowie Datenschutz durch Technikgestaltung in der Modellarchitektur behandeln.
Der Digital-Omnibus-Vorschlag vom November 2025
Am 19. November 2025 veröffentlichte die Europäische Kommission das Digital-Omnibus-Paket mit vorgeschlagenen Änderungen an der DSGVO, der ePrivacy-Richtlinie, der NIS-2-Richtlinie, der Datenverordnung und der EU-KI-Verordnung. Die vorgeschlagenen DSGVO-Änderungen befinden sich im EU-Gesetzgebungsverfahren und sind noch nicht in Kraft.
Zu den wichtigsten vorgeschlagenen DSGVO-Änderungen im Digital Omnibus zählen:
- Angehobene Schwelle nach Artikel 30 Absatz 5: Die KMU-Ausnahme vom Verzeichnis würde von weniger als 250 auf weniger als 750 Beschäftigte steigen (mit zusätzlichen finanziellen Kriterien), sofern die Verarbeitung kein hohes Risiko birgt
- KI-Training als berechtigtes Interesse: eine Klarstellung, dass die Verarbeitung personenbezogener Daten zur Entwicklung und zum Einsatz von KI-Systemen ein berechtigtes Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe f darstellen kann, vorbehaltlich Erforderlichkeit, Verhältnismäßigkeit und geeigneter Garantien
- Überarbeitete Definition personenbezogener Daten: Informationen würden für eine Stelle nicht als personenbezogene Daten gelten, die nach vernünftigem Ermessen über keine Mittel zur Identifizierung der Person verfügt oder bei der die Identifizierung gesetzlich untersagt ist oder unverhältnismäßigen Aufwand erfordern würde
- Änderungen bei Cookie- und Tracking-Regeln: Änderungen der ePrivacy-Regeln zur Verringerung der Einwilligungsmüdigkeit durch Cookie-Banner
EDSA und EDSB veröffentlichten die gemeinsame Stellungnahme 2/2026, in der sie die Vereinfachung der Aufzeichnungspflichten begrüßten, zugleich aber Bedenken hinsichtlich der Neudefinition personenbezogener Daten und deren Vereinbarkeit mit der EU-Grundrechtecharta äußerten. Datenschutzorganisationen haben mehrere Bestimmungen kritisiert. Organisationen sollten den Prozess beobachten, ihre Compliance-Programme jedoch erst nach Inkrafttreten des Vorschlags anpassen.
Haftungsausschluss
Dieser Beitrag enthält allgemeine rechtliche Informationen zur Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und verwandten EU-Rechtsvorschriften nach dem Stand vom 19.05.2026. Er stellt keine Rechtsberatung dar und begründet kein Mandatsverhältnis. Die Compliance-Anforderungen hängen von Ihren konkreten Verarbeitungstätigkeiten, Ihrer Branche, Ihrer Größe und den Mitgliedstaaten ab, in denen Sie tätig sind. Wenden Sie sich vor Compliance-Entscheidungen an eine qualifizierte, in der jeweiligen Rechtsordnung zugelassene Datenschutzanwältin, einen entsprechenden Anwalt oder eine zertifizierte Fachperson für Datenschutz. Die in diesem Beitrag genannten Digital-Omnibus-Vorschläge vom November 2025 sind Gesetzgebungsvorschläge und noch nicht in Kraft getreten.
Über die Autorenschaft
[PLATZHALTER: Autorenverzeichnis in Vorbereitung]
Zitierte Quellen
- Datenschutz-Grundverordnung, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016. https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Europäischer Datenschutzausschuss (EDSA). https://edpb.europa.eu/edpb_en
- Europäische Kommission, Datenschutz in der EU. https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en
- Europäische Kommission, Wann ist eine DSFA erforderlich? https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-dpia-required_en
- Europäische Kommission, Anforderungen an Datenschutzbeauftragte. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/data-protection-officers/does-my-companyorganisation-need-have-data-protection-officer-dpo_en
- EDSA, Leitlinien zu DSFA und risikoreicher Verarbeitung. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_en
- EDSA, Artikel 30, Verzeichnis von Verarbeitungstätigkeiten. https://www.edpb.europa.eu/gdpr-articles/article-30-records-processing-activities_en
- EDSA, Artikel 33, Meldung von Verletzungen an die Aufsichtsbehörde. https://www.edpb.europa.eu/gdpr-articles/article-33-notification-personal-data-breach-supervisory-authority_en
- EDSA, Bericht zur koordinierten Durchsetzung: Datenschutzbeauftragte (Januar 2024). https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf
- Europäische Kommission, Was ist eine Verletzung des Schutzes personenbezogener Daten? https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en
- ICO, Wann benötigen wir eine DSFA? https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
- ICO, Wie dokumentieren wir unsere Verarbeitungstätigkeiten? https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/documentation/how-do-we-document-our-processing-activities/
- Europäische Kommission, Grundsätze der DSGVO. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/principles-gdpr_en
- EU-KI-Verordnung, Verordnung (EU) 2024/1689. https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
- Europäische Kommission, Die KI-Verordnung tritt in Kraft (1. August 2024). https://commission.europa.eu/news-and-media/news/ai-act-enters-force-2024-08-01_en
- Erklärung 3/2024 des EDSA zur Rolle der Aufsichtsbehörden im Rahmen der KI-Verordnung. https://www.edpb.europa.eu/news/news/2024/edpb-adopts-statement-dpas-role-ai-act-framework-eu-us-data-privacy-framework-faq_en
- Europäische Kommission, Vorschlag für eine Digital-Omnibus-Verordnung (19. November 2025). https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
- EDSA und EDSB, Gemeinsame Stellungnahme 2/2026 zum Digital Omnibus. https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_en
- EDSA und EDSB, Gezielte Änderungen der DSGVO: Vereinfachung der Aufzeichnungspflichten. https://www.edpb.europa.eu/news/news/2025/targeted-modifications-gdpr-edpb-edps-welcome-simplification-record-keeping_en
- EDSA, CEF 2026: Koordinierte Durchsetzung zu Transparenz- und Informationspflichten. https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- CNIL, Entwicklung von KI-Systemen: Empfehlungen zur Einhaltung der DSGVO. https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
- EDSA, Leitlinien zum Zusammenspiel von DSA und DSGVO. https://www.edpb.europa.eu/news/news/2025/interplay-between-dsa-and-gdpr-edpb-adopts-guidelines_en
Verwandte Artikel
- Was ist die DSGVO: ein umfassender Überblick über die Verordnung
- Betroffenenrechte nach der DSGVO: ausführliche Hinweise zu allen acht individuellen Rechten
- DSGVO-Einwilligungsanforderungen: Standards für eine wirksame Einwilligung und Verwaltungspflichten
- DSGVO-Meldung von Datenschutzverletzungen: Die 72-Stunden-Regel: die Meldepflichten im Detail
- DSGVO für kleine Unternehmen: Hinweise speziell für KMU einschließlich der vorgeschlagenen Digital-Omnibus-Änderungen
- EU-Datenschutzrecht: der vollständige Überblick über den Datenschutz in der EU
Letzte Aktualisierung: 19.05.2026. Die zitierten Gesetze und Leitlinien geben den zum 19.05.2026 geltenden Stand wieder. Die genannten Digital-Omnibus-Vorschläge stammen vom 19. November 2025 und sind noch nicht in Kraft getreten.
Frequently Asked Questions
Was ist der erste Schritt bei der DSGVO-Compliance?
Der erste Schritt ist die Durchführung einer Datenerfassung und der Aufbau Ihres Verzeichnisses von Verarbeitungstätigkeiten nach Artikel 30. Sie müssen jede Kategorie personenbezogener Daten identifizieren, die Ihre Organisation erhebt, woher sie stammt, wie sie verarbeitet wird, wer Zugriff darauf hat und wo sie gespeichert wird. Ohne ein vollständiges Bild Ihrer Datenflüsse können Sie weder Rechtsgrundlagen korrekt bestimmen noch zutreffende Datenschutzerklärungen verfassen oder angemessene Sicherheitsmaßnahmen umsetzen.
Benötigt jede Organisation eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten?
Nein. Eine Bestellung ist nur verpflichtend für Behörden, Organisationen, deren Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfordert, sowie Organisationen, die besondere Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten, Daten über strafrechtliche Verurteilungen) in großem Umfang verarbeiten (Artikel 37 DSGVO). Viele Organisationen bestellen freiwillig eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. Wird eine solche Person benannt, gelten unabhängig davon, ob dies verpflichtend oder freiwillig geschieht, die vollständigen DSGVO-Regeln zu Unabhängigkeit, Ressourcen und Schutz vor Abberufung.
Wie oft sollte die DSGVO-Compliance überprüft werden?
Die DSGVO-Compliance erfordert eine fortlaufende Pflege. Das Verzeichnis von Verarbeitungstätigkeiten sollte bei jeder Änderung der Verarbeitung aktualisiert werden. DSFA müssen überprüft werden, sobald sich Art, Umfang oder Zweck der Verarbeitung wesentlich ändern. Datenschutzerklärungen sollten aktualisiert werden, sobald neue Verarbeitungen eingeführt werden. Mitarbeiterschulungen sollten mindestens jährlich aufgefrischt werden. Die meisten Organisationen führen einmal jährlich eine umfassende Compliance-Prüfung durch und lösen bei wesentlichen operativen Änderungen zusätzliche Überprüfungen aus.
Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Eine DSFA ist vor jeder Verarbeitung erforderlich, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen birgt (Artikel 35 DSGVO). Sie ist stets erforderlich bei systematischem Profiling mit erheblichen Auswirkungen, umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten und umfangreicher systematischer Überwachung öffentlicher Bereiche. Die nationalen Aufsichtsbehörden veröffentlichen zusätzliche Listen DSFA-pflichtiger Vorgänge. Für Betreiber von Hochrisiko-KI-Systemen nach der EU-KI-Verordnung haben CNIL und EDSA bestätigt, dass eine DSFA grundsätzlich als erforderlich anzusehen ist.
Was muss eine DSGVO-Datenschutzerklärung enthalten?
Eine Datenschutzerklärung muss die Identität und Kontaktdaten des Verantwortlichen, gegebenenfalls die Kontaktdaten der oder des Datenschutzbeauftragten, die Zwecke und die Rechtsgrundlage der Verarbeitung, die Kategorien der erhobenen Daten, die Empfänger, die Speicherfristen, Angaben zu internationalen Übermittlungen, alle acht Betroffenenrechte, das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie Informationen zu automatisierten Entscheidungen enthalten. Die Erklärung muss in klarer, einfacher Sprache verfasst sein (Artikel 12 DSGVO). Die CEF-2026-Durchsetzungsaktion des EDSA konzentriert sich speziell auf Datenschutzerklärungen nach den Artikeln 12, 13 und 14.
Welche Bußgelder drohen bei Nichteinhaltung der DSGVO?
DSGVO-Bußgelder erreichen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei Verstößen gegen Kernprinzipien, Betroffenenrechte und Regeln zur internationalen Datenübermittlung. Bußgelder der unteren Stufe von bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes gelten für administrative Verstöße einschließlich der Nichtführung des Verzeichnisses nach Artikel 30 oder der Nichtbestellung einer erforderlichen Datenschutzbeauftragten oder eines erforderlichen Datenschutzbeauftragten. Aufsichtsbehörden können zudem Verwarnungen, Rügen und Verarbeitungsverbote aussprechen. Durchsetzungsdaten und Fallbeispiele finden Sie unter DSGVO-Bußgelder und Sanktionen.
Was müssen Auftragsverarbeiterverträge nach Artikel 28 enthalten?
Auftragsverarbeitungsverträge nach Artikel 28 müssen festlegen: Gegenstand, Dauer, Art und Zweck der Verarbeitung; Arten personenbezogener Daten und Kategorien betroffener Personen; Pflichten des Auftragsverarbeiters, nur nach dokumentierter Weisung des Verantwortlichen zu handeln; Vertraulichkeitspflichten des Personals; Sicherheitsmaßnahmen; Unterstützung bei Betroffenenrechten und der Meldung von Verletzungen; Löschung oder Rückgabe der Daten nach Vertragsende; Prüfungsrechte; sowie Bedingungen für die Unterauftragsverarbeitung, die eine vorherige schriftliche Genehmigung erfordern.
Wie wirkt sich die EU-KI-Verordnung auf die DSGVO-Compliance aus?
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) gilt überall dort neben der DSGVO, wo KI-Systeme personenbezogene Daten verarbeiten. Artikel 2 Absatz 7 der KI-Verordnung erhält die DSGVO-Pflichten ausdrücklich vollständig aufrecht. Für Hochrisiko-KI-Systeme nach Anhang III sollten Betreiber eine DSFA nach Artikel 35 DSGVO als grundsätzlich erforderlich behandeln. Der Digital-Omnibus-Vorschlag vom November 2025 enthält eine Klarstellung, wonach die Verarbeitung für die KI-Entwicklung ein berechtigtes Interesse darstellen kann, dieser Vorschlag ist jedoch noch nicht geltendes Recht.
Was ändert der Digital-Omnibus-Vorschlag vom November 2025 an der DSGVO?
Der am 19. November 2025 veröffentlichte Digital Omnibus schlägt vor, die KMU-Ausnahme vom Verzeichnis nach Artikel 30 Absatz 5 von weniger als 250 auf weniger als 750 Beschäftigte anzuheben; klarzustellen, dass KI-Training ein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f darstellen kann; die Definition personenbezogener Daten für Stellen einzuschränken, die die Person nicht identifizieren können; sowie die Regeln zur Einwilligung beim Online-Tracking anzupassen. Es handelt sich um Vorschläge im Gesetzgebungsverfahren, die noch nicht in Kraft sind.
Was ist eine Transfer-Folgenabschätzung und wann ist sie erforderlich?
Eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) ist eine Analyse, ob der Rechtsrahmen eines Drittlands ein im Wesentlichen gleichwertiges Schutzniveau wie das EU-Recht bietet. Sie ist erforderlich, wenn für internationale Datenübermittlungen nach Kapitel V DSGVO Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften herangezogen werden. Die Empfehlungen 01/2020 des EDSA geben die Methodik vor. Die TIA muss Überwachungsgesetze, staatliche Zugriffsrechte, verfügbare Rechtsbehelfe sowie die bisherige Praxis der Behörden im Zielland untersuchen.
Sources and References
- DSGVO, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(eur-lex.europa.eu).gov
- Europäischer Datenschutzausschuss (EDSA)(edpb.europa.eu).gov
- Europäische Kommission: Datenschutz in der EU(commission.europa.eu).gov
- Europäische Kommission: Wann ist eine DSFA erforderlich?(commission.europa.eu).gov
- Europäische Kommission: Anforderungen an Datenschutzbeauftragte(commission.europa.eu).gov
- EDSA: Leitlinien zu DSFA und risikoreicher Verarbeitung(edpb.europa.eu).gov
- EDSA: Artikel 30, Verzeichnis von Verarbeitungstätigkeiten(edpb.europa.eu).gov
- EDSA: Artikel 33, Meldung von Verletzungen an die Aufsichtsbehörde(edpb.europa.eu).gov
- EDSA: Bericht zur koordinierten Durchsetzung 2023 zu Datenschutzbeauftragten(edpb.europa.eu).gov
- Europäische Kommission: Was ist eine Verletzung des Schutzes personenbezogener Daten?(commission.europa.eu).gov
- ICO: Wann benötigen wir eine DSFA?(ico.org.uk).gov
- ICO: Dokumentation von Verarbeitungstätigkeiten(ico.org.uk).gov
- Europäische Kommission: Grundsätze der DSGVO(commission.europa.eu).gov
- EU-KI-Verordnung, Verordnung (EU) 2024/1689(eur-lex.europa.eu).gov
- Europäische Kommission: Die KI-Verordnung tritt in Kraft (August 2024)(commission.europa.eu).gov
- Erklärung 3/2024 des EDSA zur Rolle der Aufsichtsbehörden im Rahmen der KI-Verordnung(edpb.europa.eu).gov
- Europäische Kommission: Vorschlag für eine Digital-Omnibus-Verordnung (November 2025)(digital-strategy.ec.europa.eu).gov
- Gemeinsame Stellungnahme 2/2026 von EDSA und EDSB zum Digital Omnibus(edpb.europa.eu).gov
- EDSA: Gezielte Änderungen der DSGVO, Vereinfachung der Aufzeichnungspflichten(edpb.europa.eu).gov
- EDSA: CEF 2026, Koordinierte Durchsetzung zu Transparenz- und Informationspflichten(edpb.europa.eu).gov
- CNIL: Entwicklung von KI-Systemen, Empfehlungen zur Einhaltung der DSGVO(cnil.fr).gov
- EDSA: Leitlinien zum Zusammenspiel von DSA und DSGVO(edpb.europa.eu).gov