Überblick
Datenschutzrecht: Was muss bei der Umsetzung der DSGVO beachtet werden?
Der Beitrag stammt aus der Vorbereitungsphase unmittelbar vor dem Geltungsbeginn der DSGVO. Als Überblick ist er weiterhin nützlich; für die aktuelle Ausgestaltung einzelner Pflichten ist die breitere Einbettung im Datenschutzrecht für Unternehmen die naheliegende Vertiefung.
Stand April 2026
Der Ausgangstext beschreibt den Umsetzungsdruck vor dem 25. Mai 2018. Die Grundbausteine gelten weiterhin: Verantwortlichkeit des Managements, Transparenz, Verzeichnis von Verarbeitungstätigkeiten, Auftragsverarbeitung, Sicherheitsmaßnahmen, Datenschutz-Folgenabschätzung, Meldeprozesse und fortlaufende Dokumentation. Einzelne Details des damaligen Stands sollten heute allerdings mit aktuellem Recht gegengeprüft werden: Technische und organisatorische Maßnahmen richten sich im Unternehmenskontext maßgeblich nach Art. 32 DSGVO, die Benennungspflicht für Datenschutzbeauftragte in Deutschland ist mit § 38 BDSG in seiner aktuellen Fassung zu lesen, risikobezogene Vorfallsbewertung bleibt bei Datenpannen zentral, und bei Websites, Apps oder Tracking-Konstellationen treten häufig zusätzlich Fragen des TDDDG hinzu.
Der ursprüngliche Beitrag
Viele Mythen, Sorgen und Unmut ranken sich um die Datenschutz-Grundverordnung (DSGVO). Selten wohl gab es in der letzten Zeit ein Thema, das in so vielen Unternehmer-Köpfen Beachtung gefunden hat.
Ja, Bußgelder drohen bei Nichtumsetzung. Wie hoch? Selbst das wissen die meisten in genauen Zahlen:
bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr nach Art. 83 DSGVO
Und sogar das Datum des Ablaufs der Übergangszeit ist nahezu jedem bekannt:
Der 25. Mai 2018 ist also der große Tag.
Es ist richtig, dass ein jedes Unternehmen sich so langsam mit der konkreten Umsetzung beschäftigen sollte. Brauchen wir Beratung und Begleitung bei der Umsetzung von und mit Externen? Kann unser interner Datenschutzbeauftragter die Umsetzung leisten oder brauchen wir Hilfe von außerhalb?
Beides kann zutreffen. Die DSGVO ist anders als viele meinen kein Hexenwerk. Der Glaube, dass dieses der Fall sein könnte, stammt häufig aus einer bisher gelebten, nennen wir es mal, „Auch-Schon-Eher-Nicht-Umsetzung des BDSG“.
Vorgenanntes ist nicht hilfreich, aber nicht zu ändern. Also was tun?
Nachfolgend erhalten Sie eine machbare Schritt-für-Schritt-Anleitung für die Umsetzung der DSGVO in Ihrem Unternehmen.
Datenschutz ist Aufgabe des Managements
Das Management ist verantwortlich und haftet. Außerdem funktioniert eine gelebte datenschutzkonforme Unternehmenskultur nur dann, wenn das Management Datenschutz vorlebt. Kennen Sie also grundlegenden Prinzipien der DSGVO? Lesenswerte Paragraphen sind an dieser Stelle die Art. 5 ff. DSGVO.
Die Datenschutzerklärung
Sich wenigstens nach außen schon einmal datenschutzkonform präsentieren: das klappt mithilfe einer gut gemachten Datenschutzerklärung. Betroffene Personen sind über die Verarbeitung ihrer Daten und ihre Betroffenenrechte zu informieren. Dies bitte auch noch transparent, leicht zugänglich und in einfacher, klarer Sprache gem. Art 12ff. DSGVO.
Verzeichnis von Verarbeitungstätigkeiten nebst Rechtsgrundlagen
Um die Erstellung eines Verarbeitungsverzeichnisses kommen Sie nicht herum. Gemäß Art. 30 DSGVO müssen Geschäftsabläufe, bei denen personenbezogene Daten (definiert in Art. 4 DSGVO) verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Dies betrifft insbesondere die Verarbeitung von Beschäftigtendaten, Kundendaten, Daten von Kindern und auch die Verarbeitung von Daten für Dritte als Auftragsverarbeiter. Außerdem sollten Sie in das Verarbeitungsverzeichnis die Rechtsgrundlage für die Zulässigkeit der Verarbeitung der jeweiligen Daten mit aufnehmen. Lesenswert hierzu sind die Art. 6 ff. DSGVO und § 26 BDSG neu.
Beim Einsatz von Dienstleistern beachten Sie auch die Grundsätze der Auftragsverarbeitung gem. Art. 28 DSGVO.
Ein BDSG (neu) wird es trotzdem geben
Warum? Ganz einfach, die DSGVO als unmittelbare geltende europäische Verordnung sieht zahlreiche Öffnungsklauseln vor, die dem nationalen Gesetzgeber die Möglichkeit geben individuelle Regelungen zu treffen. So zum Beispiel sieht die DSGVO für bestimmte Fälle keine Verpflichtung zur Benennung eines Datenschutzbeauftragten vor. § 38 Abs. 1 BDSG-neu (die offizielle Bezeichnung lautet Datenschutzanpassungs- und Umsetzungsgesetz - DSAnpUG) konkretisiert und erweitert diese Benennungspflicht innerhalb Deutschlands.
Anforderungen an die Sicherheit der Datenverarbeitung, die TOMS
Kontrollieren Sie, ob Sie oder der von Ihnen beauftragte Dienstleister bei der Verarbeitung von Daten hinreichende technisch-organisatorische Maßnahmen vorhalten, die ein angemessenes Schutzniveau gewährleisten, § 64 BDSG-neu. Spätestens hier ist Ihre IT gefragt. Nutzen Sie deren Wissen und binden Sie die IT vollumfänglich mit ein.
Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Sofern Ihr Unternehmen Datenverarbeitungen mit einem hohen Risiko für betroffene Personen bei sogenannten besonderen Kategorien personenbezogener Daten (s. Art 9 Abs. 1 DSGVO) durchführt, muss eine sogenannte Datenfolgeabschätzung erfolgen. Hierzu sollten Sie einen Prozess einführen, der Ihnen die Umsetzung und Aktualisierung erlaubt.
Meldepflichten
Melden Sie Ihren Datenschutzbeauftragten ab dem 25.05.2018 (und wirklich auch erst ab dann, vorherige Meldungen werden nicht berücksichtigt) an die für Sie zuständige Aufsichtsbehörde = die Landesdatenschutzbeauftragten Ihres Bundeslandes.
Wenn es um Meldepflichten geht, sollten Sie außerdem einen Prozess zur Meldung von Datenschutzverstößen einführen. Lesenswert hierzu ist Art. 33 DSGVO.
Und zu guter Letzt: Dokumentieren, dokumentieren, dokumentieren
Achten Sie darauf, dass Sie alles Vorgenannte dokumentieren und stellen Sie stets sicher, dass die Dokumentationen stetig aktualisiert werden.
Klingt nach viel Arbeit? Ja, vielleicht. Wenn Sie die vorgenannten Punkte hingegen Punkt für Punkt abarbeiten, werden Sie sehen, dass sich die DSGVO auch in Ihrem Unternehmen zeitnah umsetzen lässt.
Und sollten Sie Hilfe benötigen: Unsere als TÜV zertifizierte Datenschutzbeauftragte, Datenschutzauditor (TÜV) und als zertifizierte IT-Compliance-Manager zusatzausgebildeten Fachanwälte für IT-Recht stehen Ihnen bei der Umsetzung oder auch bei einzelnen Fragen mit Rat und Tat zur Seite. Hierbei verzichten wir auf langatmige juristische Ausführungen. Wir sind selbst Unternehmer und helfen Ihnen mit wirtschaftlichem Verstand und Tatkraft.
Was davon heute noch besonders zählt
- Datenschutz ist Organisationsaufgabe. Verantwortung, Freigaben und Nachweise müssen im Unternehmen zusammenpassen.
- Dokumente müssen zur tatsächlichen Verarbeitung passen. Datenschutzhinweise, Verzeichnis, AV-Verträge und interne Prozesse verlieren ihren Wert, wenn sie nur auf dem Papier stimmen.
- Sicherheit und Vorfallsreaktion brauchen gelebte Abläufe. Nicht der Textbaustein, sondern die belastbare Reaktion auf Risiken, Dienstleisterkonstellationen und Datenpannen entscheidet.
- Risikothemen sollten früh erkannt werden. Bei erhöhtem Risiko gehören Datenschutz-Folgenabschätzung und nachvollziehbare Maßnahmenplanung nicht an das Ende, sondern in die Vorbereitung.
Wer die laufenden Pflichten im Unternehmen heute umfassender ordnen, prüfen oder nachschärfen will, findet die breitere fachliche Einbettung auf der Seite Datenschutzrecht bei ITMR.