Datenschutz im Unternehmen: Pflichten, Strukturen und Nachweisführung

Betrieblicher Datenschutz ist seit dem 25. Mai 2018 durch die DSGVO (Verordnung (EU) 2016/679) und das BDSG 2018 rechtsverbindlich strukturiert. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO stellt die Beweislast vollständig auf den Verantwortlichen um: Nicht die Aufsichtsbehörde muss Verstöße beweisen – das Unternehmen muss die Einhaltung nachweisen. Wer keine Dokumentation führt, hat im Prüfungsfall strukturell das Nachsehen.

Dieser Artikel beschreibt, welche operativen Datenschutzpflichten Unternehmen ab welcher Größe treffen, welche Dokumentation Mindeststandard ist, wie Mitarbeiterschulungen rechtssicher organisiert werden und wann ein externer Datenschutzbeauftragter die effektivere Lösung gegenüber einer internen Bestellung ist.

Unabhängig von Größe und Branche treffen jeden Verantwortlichen im Sinne der DSGVO sechs operative Mindestpflichten. Erstens: das Führen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Zweitens: die Implementierung technischer und organisatorischer Maßnahmen (TOM) nach Art. 32 DSGVO. Drittens: der Abschluss von Auftragsverarbeitungsverträgen (AVV) nach Art. 28 DSGVO mit allen Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten. Viertens: die Information betroffener Personen nach Art. 13 und 14 DSGVO. Fünftens: die Beantwortung von Betroffenenanfragen innerhalb von einem Monat nach Art. 12 Abs. 3 DSGVO. Sechstens: die Meldung von Datenpannen binnen 72 Stunden nach Art. 33 DSGVO.

Hinzu kommen branchenspezifische Anforderungen: Gesundheitsunternehmen verarbeiten besondere Datenkategorien nach Art. 9 DSGVO und benötigen zusätzlich eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO. Finanzdienstleister unterliegen zusätzlich dem BDSG und dem Bankgeheimnis nach § 2 Abs. 1 BDSG. Arbeitgeber müssen § 26 BDSG für die Datenverarbeitung im Beschäftigungsverhältnis beachten.

Die häufigste Lücke in mittelständischen Unternehmen ist nicht das Fehlen einzelner Dokumente, sondern die mangelnde Aktualität. Ein VVT, das beim Einsatz neuer Software-Tools nicht aktualisiert wird, ist im Prüfungsfall wertlos. Ein strukturierter DSB-Prozess stellt sicher, dass Änderungen systematisch erfasst werden.

Die DSGVO schreibt keine explizite Schulungsfrequenz vor, fordert aber unter Art. 32 Abs. 4, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, nur auf Anweisung des Verantwortlichen handeln und entsprechend unterwiesen sind. Ergänzend verlangt Art. 39 Abs. 1 lit. b DSGVO vom DSB, Mitarbeiter in Datenschutzfragen zu schulen und zu sensibilisieren.

In der Praxis hat sich die jährliche Datenschutzschulung als Mindeststandard etabliert, den Aufsichtsbehörden und Zertifizierungsstellen gleichermaßen erwarten. Die Schulung muss dokumentiert sein: Datum, Teilnehmer, Inhalt, Testergebnis. Eine Online-Schulung mit automatischem Abschluss-Tracking erfüllt diese Anforderung, sofern die Plattform DSGVO-konform betrieben wird und die Ergebnisse revisionssicher gespeichert werden.

Besondere Sorgfalt ist bei privilegierten Zugriffsrechten geboten: IT-Administratoren, HR-Mitarbeiter und Führungskräfte mit Zugang zu Personalakten sollten vertieft geschult werden. Die Schulungsinhalte sind an neue Risiken anzupassen – etwa bei Einführung neuer KI-Tools, Messaging-Apps oder Cloud-Dienste. Der CIVAC-Workspace enthält Schulungsmodule mit Test, Zertifikat und Abschluss-Tracking, die den Schulungsnachweis revisionssicher im Compliance-Dossier ablegen.

Die Datenschutzerklärung auf der Website ist die primäre Erfüllung der Informationspflicht nach Art. 13 DSGVO gegenüber Websitebesuchern. Pflichtinhalt ist: Identität und Kontaktdaten des Verantwortlichen; Kontaktdaten des DSB; Zwecke und Rechtsgrundlagen jeder Verarbeitung; ggf. berechtigte Interessen nach Art. 6 Abs. 1 lit. f; Empfänger oder Kategorien von Empfängern; Übermittlungen in Drittländer; Speicherdauer; Betroffenenrechte; Widerrufsrecht bei einwilligungsbasierter Verarbeitung; Beschwerderecht bei der Aufsichtsbehörde.

Ein häufiger Fehler: Die Datenschutzerklärung wird bei Einführung neuer Dienste – Analytics-Tools, Chat-Widgets, CRM-Integration – nicht aktualisiert. Jeder neue Drittdienstleister, der personenbezogene Daten der Websitebesucher verarbeitet, muss in der Datenschutzerklärung aufgeführt sein. Nicht aufgeführte Dienste gelten als nicht informiert offengelegt – was nach Art. 13 DSGVO eine Pflichtverletzung darstellt.

Für Bestandskunden und Mitarbeiter gilt Art. 14 DSGVO, wenn Daten nicht direkt bei der betroffenen Person erhoben werden. Diese Informationspflicht ist häufig nicht umgesetzt, obwohl sie z. B. bei der Datenübernahme aus Ausschreibungsdatenbanken oder beim Kauf von Adresslisten unmittelbar greift. Verweise auf das aktuelle Muster der Datenschutzkonferenz (DSK) sind ein sinnvoller Ausgangspunkt, ersetzen aber nicht die individuelle Anpassung.

Jeder externe Dienstleister, der personenbezogene Daten im Auftrag des Unternehmens verarbeitet, benötigt einen AVV nach Art. 28 DSGVO. Das betrifft Cloud-Speicher, E-Mail-Provider, HR-Software, Lohnbuchhaltungsdienste, Web-Hosting und Analysetools gleichermaßen. Der AVV ist nicht verhandelbar – fehlt er, liegt ein Verstoß vor, unabhängig davon, ob die Verarbeitung selbst rechtmäßig ist.

Für Übermittlungen in Länder außerhalb des EWR, für die kein Angemessenheitsbeschluss der EU-Kommission besteht, sind Standardvertragsklauseln (SCC, Beschluss 2021/914/EU) oder Binding Corporate Rules (BCR) erforderlich. Das EU-US Data Privacy Framework (Beschluss 2023/1795/EU) ermöglicht seit Juli 2023 die Übermittlung in die USA an zertifizierte Empfänger ohne zusätzliche Garantien. Dieser Status kann jederzeit durch politische Entscheidungen berührt werden – Unternehmen sollten die Zertifizierung ihrer US-Dienstleister regelmäßig überprüfen.

Die praktisch sicherste Lösung bleibt die Wahl von Dienstleistern mit ausschließlicher EU-Datenresidenz. CIVAC betreibt seine Plattform mit EU-Datenresidenz als vertraglichem Bestandteil – kein Datentransfer in Drittstaaten, AES-256-Verschlüsselung at rest, TLS 1.3 in transit.

Art. 35 DSGVO verpflichtet den Verantwortlichen zur Durchführung einer Datenschutz-Folgeabschätzung (DSFA), wenn eine Verarbeitungsart voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Die Aufsichtsbehörden haben in Muss-Listen (nach Art. 35 Abs. 4 DSGVO) konkretisiert, welche Verarbeitungsarten stets eine DSFA erfordern. In Deutschland zählen dazu u. a.: systematische und umfangreiche Verarbeitung von Gesundheitsdaten; Videoüberwachung öffentlich zugänglicher Bereiche; KI-basierte Scoring-Systeme; Verarbeitung biometrischer Daten zur eindeutigen Identifikation.

Die DSFA-Pflicht tritt unabhängig davon ein, ob tatsächlich ein Schaden eingetreten ist – entscheidend ist die Risikoprüfung im Vorhinein. Eine Verarbeitung ohne erforderliche DSFA zu starten ist ein eigenständiger Verstoß gegen Art. 35 DSGVO, der separat von der eigentlichen Verarbeitung bewertet wird.

Der Ablauf einer DSFA ist in Art. 35 Abs. 7 DSGVO vorgegeben: systematische Beschreibung der Verarbeitungsvorgänge; Bewertung der Notwendigkeit und Verhältnismäßigkeit; Bewertung der Risiken; Maßnahmen zur Risikominimierung. Die Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO ist vorgeschrieben, wenn nach der DSFA ein hohes Restrisiko verbleibt. Der CIVAC-Workspace enthält DSFA-Vorlagen, die den Prozess strukturiert abbilden.

Ein strukturierter Datenpannen-Prozess besteht aus drei Phasen: Erkennung, interne Eskalation und externe Meldung. Die Erkennung setzt voraus, dass Mitarbeiter wissen, was eine Datenpanne ist – nicht nur Hacking-Angriffe, sondern auch versehentlich versandte E-Mails an falsche Empfänger, verlorene unverschlüsselte USB-Sticks oder der Verlust eines ungeschützten Laptops. Jede dieser Ereignisse kann meldepflichtig sein.

Die interne Eskalation muss schnell sein: Der DSB oder die Datenschutzkoordinationsstelle muss innerhalb weniger Stunden informiert werden. Die 72-Stunden-Frist nach Art. 33 DSGVO lässt keinen Raum für mehrtägige interne Klärungsprozesse. Parallel zur Meldung an die Behörde ist zu prüfen, ob betroffene Personen nach Art. 34 DSGVO direkt informiert werden müssen.

Die Meldung erfolgt in Deutschland an die zuständige Landesdatenschutzbehörde – für Hamburg ist das der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI). Die meisten Behörden bieten Online-Meldeformulare an. Alle Datenpannen, auch solche, die nicht meldepflichtig sind, sind intern zu dokumentieren (Art. 33 Abs. 5 DSGVO).

§ 26 BDSG regelt die Datenverarbeitung im Beschäftigungsverhältnis. Danach dürfen Beschäftigtendaten verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Einwilligungen im Beschäftigungsverhältnis sind möglich, aber wegen des Abhängigkeitsverhältnisses regelmäßig auf ihre Freiwilligkeit zu prüfen – Aufsichtsbehörden legen hier einen strengen Maßstab an.

Betriebsrat und Mitbestimmung: Wenn ein Arbeitgeber technische Einrichtungen einführt, die das Verhalten oder die Leistung von Mitarbeitern überwachen, ist der Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG zu beteiligen. Das gilt für Zeiterfassungssysteme, E-Mail-Monitoring, GPS-Tracking und Produktivitäts-Software. Eine fehlende Betriebsvereinbarung kann dazu führen, dass die erhobenen Daten in Kündigungsschutzverfahren nicht verwertbar sind.

Bewerberdaten unterliegen besonderen Anforderungen: Sie dürfen nur so lange gespeichert werden, wie das Bewerbungsverfahren andauert – in der Regel vier bis sechs Monate nach Abschluss. Anschließend sind sie zu löschen. Ausnahme: Die betroffene Person hat ausdrücklich in eine längere Speicherung eingewilligt. Absagen und Bewerbungsunterlagen nicht zu löschen ist ein verbreiteter, aber leicht vermeidbarer Datenschutzverstoß.

Unternehmen haben bei der Datenschutzorganisation strukturell zwei Optionen: den internen DSB als Mitarbeiter in Personalunion mit einer anderen Funktion oder den externen DSB auf Dienstleistungsbasis nach Art. 37 Abs. 6 DSGVO. Beide Modelle haben spezifische Stärken und Risiken.

Der interne DSB kennt das Unternehmen gut, ist schwerer erreichbar für externe Anfragen und kostet keine separate Vergütung. Risiken: Rollenkonflikt bei der Übernahme operativer IT- oder HR-Aufgaben; fehlende Fachtiefe bei komplexen Rechtsfragen; mangelnde Unabhängigkeit, wenn der DSB gegenüber der Geschäftsführung weisungsgebunden ist. Art. 38 Abs. 3 DSGVO verbietet diese Weisungsgebundenheit ausdrücklich.

Der externe DSB bringt strukturelle Unabhängigkeit, aktuelles Fach- und Rechtswissen, Haftungsabdeckung und Kapazität für Sonderaufgaben mit. Er kennt den Betrieb zunächst weniger, was durch strukturierte Einarbeitung kompensierbar ist. Für Unternehmen ab 50 Mitarbeitern mit mehreren Verarbeitungstätigkeiten, einem AVV-Portfolio von mehr als zehn Dienstleistern und gelegentlichen DSFA-Anforderungen ist der externe DSB häufig die effizientere Wahl. CIVAC stellt externen DSB über sein zertifiziertes Partnernetz innerhalb von zwei Werktagen bereit.

Ein funktionierendes Datenschutz-Management beginnt mit einer Bestandsaufnahme: Welche Verarbeitungstätigkeiten gibt es? Welche Drittdienstleister sind im Einsatz? Besteht die DSB-Bestellpflicht? Sind aktuelle AVV abgeschlossen? Gibt es einen Datenpannen-Prozess? Diese fünf Fragen identifizieren die größten Lücken und priorisieren die Maßnahmen.

Andere führen Compliance wie einen Aktenschrank. CIVAC führt sie wie Software: Alle Dokumentationspflichten, Fristen, Schulungsnachweise und Audit-Protokolle laufen in einem Workspace zusammen, der von internen oder externen Beauftragten gleichermaßen genutzt wird. Die Berichtslinie zur Geschäftsleitung ist im System abgebildet – Berichte werden nicht per E-Mail versendet, sondern im Workspace protokolliert und als PDF exportiert.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie einen externen DSB über CIVAC bestellen. Beide Modelle sind innerhalb von zwei Werktagen einsatzbereit. Aus dem Lesen einen Auftrag machen: info@civac.de.