Datenschutzgrundverordnung: Was Unternehmen 2026 konkret umsetzen müssen

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, kurz DSGVO) gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten – ohne nationalen Umsetzungsakt. Sie schafft ein einheitliches Datenschutzrecht für rund 450 Millionen Menschen und verpflichtet jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, zur Einhaltung ihrer Grundsätze. Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes sind möglich (Art. 83 Abs. 5 DSGVO).

Dennoch zeigen Prüfungen der Datenschutzaufsichtsbehörden, dass viele mittelständische Unternehmen zentrale Pflichten – Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Auftragsverarbeitungsverträge – unvollständig oder gar nicht erfüllen. Dieser Artikel legt die sieben tragenden Grundsätze der DSGVO dar, benennt die operativen Pflichten, die regelmäßig mangelhaft sind, und erklärt, wann die Bestellung eines Datenschutzbeauftragten (DSB) zwingend wird.

Art. 5 DSGVO nennt sieben Grundsätze, die für jede Verarbeitung personenbezogener Daten gelten. Sie bilden das normative Fundament, auf dem alle weiteren Pflichten aufbauen.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Jede Verarbeitung braucht eine Rechtsgrundlage – entweder Einwilligung (Art. 6 Abs. 1 lit. a), Vertragserfüllung (lit. b), rechtliche Verpflichtung (lit. c), lebenswichtige Interessen (lit. d), öffentliches Interesse (lit. e) oder berechtigtes Interesse (lit. f). Fehlt die Rechtsgrundlage, ist die Verarbeitung rechtswidrig.

Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden (Art. 5 Abs. 1 lit. b). Eine nachträgliche Zweckänderung ist nur unter engen Voraussetzungen zulässig.

Datenminimierung: Nur die für den Verarbeitungszweck erforderlichen Daten dürfen erhoben werden. Viele Unternehmen verstoßen hier durch übermäßige Datenerhebung bei Bewerbungsverfahren oder Kundenkontaktformularen.

Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit: Daten müssen sachlich richtig und aktuell sein; veraltete Daten sind zu löschen oder zu berichtigen. Speicherfristen sind festzulegen und einzuhalten. Technische und organisatorische Maßnahmen (TOM) sichern Integrität und Vertraulichkeit.

Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können (Art. 5 Abs. 2). Das ist die Grundlage des gesamten Dokumentationsregimes der DSGVO. Ein externer Datenschutzbeauftragter unterstützt bei der systematischen Umsetzung dieser Rechenschaftspflicht.

Art. 30 DSGVO verpflichtet jeden Verantwortlichen – unabhängig von der Unternehmensgröße, sofern die Verarbeitung nicht nur gelegentlich erfolgt – zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Unternehmen unter 250 Beschäftigten sind nur dann ausgenommen, wenn ihre Verarbeitung voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt und keine besonderen Datenkategorien (Art. 9 DSGVO) betrifft – eine Ausnahme, die in der betrieblichen Praxis selten greift.

Das VVT muss nach Art. 30 Abs. 1 DSGVO für jede Verarbeitungstätigkeit enthalten: Name und Kontaktdaten des Verantwortlichen und ggf. des DSB, Zweck der Verarbeitung, Kategorien der betroffenen Personen und der Daten, Empfänger, Drittlandübermittlungen einschließlich Garantien, Löschfristen sowie eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

In der Prüfpraxis zeigt sich: Das VVT ist häufig veraltet (neue Softwaresysteme wurden nicht eingetragen), unvollständig (Auftragsverarbeiter fehlen) oder nicht konsistent mit den tatsächlichen Löschfristen. Die Aufsichtsbehörden fordern das VVT regelmäßig als erstes Dokument bei Beschwerden oder Prüfankündigungen an. Im CIVAC-Workspace wird das VVT als laufendes Projekt geführt, mit Versionierung, Änderungsprotokoll und jährlicher Überprüfungserinnerung.

Sobald ein Unternehmen personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt – Lohnabrechnung, Cloud-Hosting, E-Mail-Marketing, IT-Support mit Systemzugang – muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Der AVV ist keine Formalie: Er begründet die rechtliche Basis, auf der der Auftragsverarbeiter tätig werden darf, und legt dessen Pflichten gegenüber dem Verantwortlichen fest.

Der Mindestinhalt eines AVV nach Art. 28 Abs. 3 DSGVO umfasst: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen, Weisungsgebundenheit des Auftragsverarbeiters, Vertraulichkeitspflicht, technische und organisatorische Maßnahmen (Verweis auf Art. 32 DSGVO), Regelung zur Unterauftragsverarbeitung, Unterstützungspflichten bei Betroffenenanfragen und Datenpannenmeldungen, Rückgabe oder Löschung nach Vertragsende sowie Audit-Rechte des Verantwortlichen.

Viele Mittelständler nutzen Cloud-Dienste US-amerikanischer Anbieter (Microsoft 365, Google Workspace, Salesforce) ohne zu prüfen, ob der AVV den DSGVO-Anforderungen genügt und ob Drittlandübermittlungen durch Standardvertragsklauseln (SCC) nach Art. 46 DSGVO abgesichert sind. Fehlende oder inhaltlich unzureichende AVV sind einer der häufigsten Bußgeldauslöser bei Behördenprüfungen.

Die DSGVO gewährt betroffenen Personen weitreichende Rechte, deren Ausübung der Verantwortliche innerhalb strikter Fristen beantworten muss. Art. 12 Abs. 3 DSGVO schreibt eine Frist von einem Monat vor, die in begründeten Fällen um zwei weitere Monate verlängert werden kann – der Betroffene muss jedoch innerhalb des ersten Monats über die Verlängerung informiert werden.

Die relevantesten Rechte im Unternehmensalltag sind: Auskunftsrecht (Art. 15 DSGVO) – vollständige Kopie der verarbeiteten Daten und Informationen über Zweck, Empfänger, Speicherdauer; Recht auf Berichtigung (Art. 16); Recht auf Löschung/Vergessenwerden (Art. 17) – soweit keine Aufbewahrungspflichten nach Steuer- oder Handelsrecht entgegenstehen; Recht auf Einschränkung der Verarbeitung (Art. 18); Recht auf Datenübertragbarkeit (Art. 20) – für maschinell verarbeitete Daten auf Basis von Einwilligung oder Vertrag; Widerspruchsrecht (Art. 21) – insbesondere gegen Direktmarketing, das sofort wirkt.

Ohne klaren internen Prozess können Anfragen im Posteingang verschwinden oder zu spät beantwortet werden. Das löst zwar nicht automatisch ein Bußgeld aus, aber Beschwerden der Betroffenen bei der Aufsichtsbehörde. Im CIVAC-Workspace registriert das Aufgaben-Modul eingehende Betroffenenanfragen und steuert die Fristüberwachung automatisch.

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 Abs. 1 DSGVO erforderlich, wenn eine Verarbeitungsform voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Art. 35 Abs. 3 nennt Regelbeispiele: systematische umfangreiche Auswertung persönlicher Aspekte (Profiling), großflächige Verarbeitung besonderer Datenkategorien (Art. 9) und systematische Überwachung öffentlicher Bereiche.

Die Datenschutzkonferenz (DSK) hat Negativlisten veröffentlicht, die Verarbeitungen nennen, für die eine DSFA stets erforderlich ist. Dazu gehören: Einsatz biometrischer Erkennungssysteme, Scoring-Verfahren zur Bonitätsbewertung, umfangreiche Videoüberwachung sowie die Nutzung von KI-Systemen zur Entscheidungsfindung über Personen. Mit Inkrafttreten des EU AI Act (Pflichten für Hochrisiko-KI ab August 2026) erweitern sich die DSFA-relevanten Szenarien nochmals erheblich.

Eine DSFA muss nach Art. 35 Abs. 7 DSGVO enthalten: systematische Beschreibung der geplanten Verarbeitungsvorgänge, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikobewertung für betroffene Personen sowie geplante Abhilfemaßnahmen. Im CIVAC-Workspace ist die DSFA als Projekttyp mit den fünf Kernschritten (Scope, Uploads, Rückfragen, Risiken, Bericht) vorbefüllt und revisionssicher dokumentiert.

Art. 33 DSGVO verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) innerhalb von 72 Stunden nach Kenntnisnahme der zuständigen Aufsichtsbehörde zu melden – sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Frist läuft ab Kenntnis, nicht ab dem Zeitpunkt der Verletzung. Interne Eskalationswege müssen so gestaltet sein, dass das verantwortliche Organ unverzüglich informiert wird.

Inhalt der Meldung nach Art. 33 Abs. 3 DSGVO: Beschreibung der Verletzung (Art, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze), Name und Kontakt des DSB, wahrscheinliche Folgen der Verletzung sowie ergriffene oder geplante Abhilfemaßnahmen. Ist die vollständige Information bei Erstmeldung noch nicht verfügbar, kann in Etappen gemeldet werden – die 72-Stunden-Frist gilt für die Erstmeldung.

Liegt ein hohes Risiko für die betroffenen Personen vor, ist zusätzlich eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich – ohne unangemessene Verzögerung. Die Kombination aus Behördenmeldung und Betroffenenbenachrichtigung innerhalb enger Fristen ist ohne klares Incident-Response-Protokoll kaum zuverlässig umzusetzen. Der Datenschutzbeauftragte spielt dabei die zentrale Steuerungsrolle.

Art. 37 DSGVO i. V. m. § 38 BDSG begründet die Bestellpflicht für einen DSB in deutschen Unternehmen in drei Konstellationen: erstens, wenn die Kerntätigkeit des Unternehmens in der umfangreichen regelmäßigen und systematischen Überwachung von Personen besteht; zweitens, wenn die Kerntätigkeit die umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9) oder von Daten über strafrechtliche Verurteilungen umfasst; drittens – und dies ist die für den deutschen Mittelstand maßgebliche Schwelle – nach § 38 Abs. 1 BDSG, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Die Zahl von 20 Personen bezieht sich nicht auf die Gesamtbelegschaft, sondern auf die Personen, die regelmäßig mit Datenverarbeitung umgehen – Vertriebsmitarbeiter mit CRM-Zugang, HR mit Personalstammdaten, IT-Administratoren. In mittelständischen Unternehmen ab ca. 50 Beschäftigten ist diese Schwelle fast immer überschritten.

Der DSB kann intern bestellt oder extern beauftragt werden. Der externe DSB nach Art. 37 Abs. 6 DSGVO wird auf der Grundlage eines Dienstleistungsvertrags tätig, muss die erforderliche Fachkunde (Art. 37 Abs. 5) nachweisen und ist in dieser Funktion weisungsfrei (Art. 38 Abs. 3). Ein externer DSB ist oft wirtschaftlicher als eine interne Stelle – und bringt branchenübergreifende Erfahrung mit.

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Norm nennt als Beispiele: Pseudonymisierung und Verschlüsselung, Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die Fähigkeit zur Wiederherstellung nach einem Zwischenfall sowie ein Verfahren zur regelmäßigen Überprüfung der TOM-Wirksamkeit.

In der Praxis werden TOM häufig einmalig dokumentiert und dann nie wieder überprüft. Änderungen in der IT-Infrastruktur (neue Cloud-Dienste, Homeoffice-Regelungen, neue Endgeräte) ziehen jedoch neue Risiken nach sich, die die ursprünglichen TOM möglicherweise nicht abdecken. Die Aufsichtsbehörden erwarten daher eine regelmäßige Risikobewertung und Anpassung der TOM, nicht nur eine statische Dokumentation.

Besonders relevant für mittelständische Unternehmen: Zugangsmanagement (wer hat Zugang zu welchen Systemen), Verschlüsselung von Laptops und mobilen Endgeräten, Datensicherungskonzept mit Test der Wiederherstellung sowie Schulung der Mitarbeiter zu Datenschutz und Informationssicherheit. Letzteres überschneidet sich mit den Schulungspflichten nach § 38 BDSG und kann im CIVAC-Workspace als verpflichtende Online-Schulung mit Abschlusstest und Zertifikat abgebildet werden.

Die DSGVO ist seit acht Jahren in Kraft, doch strukturelle Lücken – fehlendes VVT, unvollständige AVV, kein Incident-Response-Prozess – sind in vielen Mittelstandsunternehmen noch immer die Regel. Die Aufsichtsbehörden prüfen diese Punkte systematisch und verhängen Bußgelder nicht nur bei großen Datenpannen, sondern auch bei nachgewiesener Dokumentationsmangelhaftigkeit.

CIVAC adressiert genau diese Lücken: Die Compliance-Plattform und Officer-as-a-Service bietet für den DSB-Bereich ein vollständiges Werkzeugset – vom geführten VVT über vorkonfigurierte DSFA-Projekte bis zum Incident-Response-Workflow mit automatischer Fristensteuerung. Lizenzieren Sie den Workspace für Ihren internen DSB – oder lassen Sie unsere zertifizierten Datenschutzbeauftragten die Funktion extern übernehmen.

Audit-fest, dokumentiert, DSGVO-fest. Der Prüfer ruft an, der Nachweis liegt bereit. Schreiben Sie uns unter info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.