Datenschutzverordnung im Unternehmen: vom Gesetzestext zum belegbaren Nachweis

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) gilt seit dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten und wird in Deutschland durch das BDSG ergänzt. Wer personenbezogene Daten verarbeitet, schuldet nicht nur Rechtskonformität, sondern den Nachweis dieser Konformität: Art. 5 Abs. 2 DSGVO verlangt explizit Rechenschaft. Aufsichtsbehörden prüfen seit 2024 spürbar häufiger, und Bußgelder erreichen bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO).

Dieser Leitfaden übersetzt die zentralen Pflichten der Datenschutzverordnung in einen operativen Officer-Betrieb. Sie erfahren, welche Artikel den Alltag prägen, wie Verarbeitungsverzeichnis, Meldepfad und Auftragsverarbeitung zusammenspielen und wie Sie die DSGVO als belegbaren Prozess führen statt als Pflichtordner. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für deutsche Unternehmen und liefert die Vorlagen, die diesen Weg verkürzen.

Die DSGVO regelt die Verarbeitung personenbezogener Daten natürlicher Personen und stützt jede Verarbeitung auf eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Sechs Grundsätze prägen den Alltag: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität. Der siebte, Rechenschaft, ist der entscheidende. Er verschiebt die Beweislast: Nicht die Aufsicht muss einen Verstoß nachweisen, das Unternehmen muss die Einhaltung belegen.

Daraus folgen vier operative Kernpflichten. Erstens das Verarbeitungsverzeichnis nach Art. 30 DSGVO mit Zweck, Kategorien, Empfängern, Löschfristen und technisch-organisatorischen Maßnahmen. Zweitens die Auftragsverarbeitungsverträge nach Art. 28 DSGVO für jeden Dienstleister, der Daten in fremdem Auftrag verarbeitet. Drittens technische und organisatorische Maßnahmen nach Art. 32 DSGVO, vom Berechtigungskonzept bis zur Verschlüsselung. Viertens die Meldepflichten nach Art. 33 und 34 DSGVO bei Datenpannen.

Hinzu treten Betroffenenrechte (Art. 15-22 DSGVO), Datenschutz-Folgenabschätzungen bei hohem Risiko (Art. 35 DSGVO) und die Bestellung eines Datenschutzbeauftragten unter den Voraussetzungen von Art. 37 DSGVO und § 38 BDSG. Wer einen externen Datenschutzbeauftragten bestellt, lagert Sachkunde aus und gewinnt eine unabhängige Berichtslinie. Frist läuft ab Kenntnis. Wer hier improvisiert, verliert genau die 72 Stunden, die das Gesetz lässt.

Die Bestellpflicht ergibt sich aus Art. 37 DSGVO und § 38 BDSG. Drei Fallgruppen: erstens Behörden und öffentliche Stellen, zweitens Unternehmen mit Kerntätigkeit in umfangreicher regelmäßiger Überwachung Betroffener, drittens Unternehmen mit Kerntätigkeit in der Verarbeitung besonderer Kategorien nach Art. 9 oder strafrechtlicher Daten nach Art. 10. § 38 BDSG ergänzt die deutsche Schwelle: Bestellpflicht, sobald in der Regel mindestens 20 Personen ständig automatisiert mit personenbezogenen Daten umgehen.

Für die meisten Mittelständler greift damit § 38 BDSG. Die Bestellung erfolgt schriftlich, der Beauftragte berichtet unmittelbar an die oberste Leitungsebene und genießt Benachteiligungsschutz nach Art. 38 Abs. 3 DSGVO. Externe Bestellung ist zulässig und üblich, weil sie Interessenkonflikte ausschließt: Wer im Unternehmen IT-Verantwortung oder HR trägt, prüft seine eigenen Prozesse, was Art. 38 Abs. 6 DSGVO untersagt.

Aufsichtsbehörden verlangen bei Anfragen regelmäßig drei Belege: Bestellurkunde mit Datum und Unterschrift, Meldung an die Aufsicht nach Art. 37 Abs. 7 DSGVO und Berichtsweg an die Geschäftsführung. Bestellurkunde, unterschrieben, abgelegt, belegbar. Fehlt einer dieser drei Belege, gilt die Bestellung als unvollständig, das Bußgeldrisiko nach Art. 83 Abs. 4 DSGVO greift, und § 130 OWiG aktiviert die Aufsichtspflicht der Geschäftsleitung.

Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. Ausgenommen sind nur Unternehmen unter 250 Beschäftigten, sofern die Verarbeitung weder regelmäßig noch riskant ist und keine besonderen Kategorien betrifft. In der Praxis erfüllt fast jedes Unternehmen die Pflicht, weil schon Lohnabrechnung und CRM regelmäßige Verarbeitungen sind.

Das Verzeichnis dokumentiert pro Verarbeitung: Verantwortlicher, Zweck, Kategorien Betroffener und Daten, Empfänger einschließlich Drittlandsübermittlungen, Löschfristen und TOM nach Art. 32. Es ist kein Marketingdokument, sondern Arbeitsgrundlage für jede Aufsichtsanfrage, jede Datenpanne und jede Folgenabschätzung. Wer das Verzeichnis aktuell hält, kann binnen Stunden auf eine Datenpanne reagieren, weil Betroffene und Datenfluss bereits dokumentiert sind.

Typische Schwachstellen sind veraltete Einträge nach Tool-Wechseln, fehlende Drittlandsangaben bei Cloud-Diensten und ungepflegte Löschfristen. Aufsichtsbehörden verlangen das Verzeichnis seit 2024 routinemäßig in elektronischer Form. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer das Verzeichnis im Workspace pflegt, mit klaren Verantwortlichkeiten und automatischen Review-Zyklen, hält die Pflicht lebendig statt einmal jährlich.

Art. 28 DSGVO regelt die Auftragsverarbeitung. Jeder Dienstleister, der personenbezogene Daten weisungsgebunden verarbeitet, braucht einen schriftlichen Vertrag mit zehn Mindestinhalten: Gegenstand, Dauer, Art und Zweck, Art der Daten, Kategorien Betroffener, Pflichten des Auftragnehmers, Subunternehmer-Regelung, Unterstützungspflichten, Rückgabe oder Löschung, Audit-Rechte. Fehlt der AV-Vertrag, ist die Verarbeitung rechtswidrig und bußgeldbewehrt.

Typische AV-Konstellationen: Cloud-Anbieter, Lohnbüros, IT-Dienstleister, Marketing-Tools, Versanddienstleister. Konzerninterne Datenflüsse zwischen Schwestergesellschaften sind ebenfalls AV-pflichtig. Sobald der Dienstleister außerhalb des EWR sitzt, greift Kapitel V DSGVO: Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) in der 2021er Fassung oder Binding Corporate Rules. Nach dem Schrems-II-Urteil (EuGH C-311/18) ist zusätzlich ein Transfer Impact Assessment Pflicht, das die Rechtslage im Drittland prüft.

Für US-Transfers gilt seit dem 10. Juli 2023 das EU-US Data Privacy Framework als Angemessenheitsbeschluss, sofern der Empfänger zertifiziert ist. Unzertifizierte US-Anbieter brauchen weiterhin SCC plus TIA. Der Datenschutzbeauftragte prüft AV-Verträge, dokumentiert Transfers und führt das Drittlands-Register. Im DSB-Mandat sind diese Prüfungen Teil des monatlichen Berichts.

Art. 33 DSGVO verpflichtet zur Meldung jeder Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde binnen 72 Stunden nach Kenntnisnahme, sofern ein Risiko für Betroffene besteht. Bei hohem Risiko kommt nach Art. 34 die Pflicht zur Information der Betroffenen hinzu. Die Uhr startet, sobald eine verantwortliche Person Kenntnis erlangt, nicht erst nach interner Eskalation.

Eine Datenpanne ist mehr als ein Hackerangriff. Verlorene Laptops, falsch adressierte E-Mails, fehlgeleitete Briefe, Phishing mit Datenabfluss, unbefugter Mitarbeiterzugriff, fehlerhafte Berechtigungen, Backup-Verlust: alle fallen unter Art. 4 Nr. 12 DSGVO. Die Meldepflicht entfällt nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko führt. Diese Risikobeurteilung ist zu dokumentieren, auch bei Nicht-Meldung.

Operativ braucht es drei Bausteine: eine Meldeadresse für interne Hinweise, einen Eskalationspfad mit Rollen und Fristen sowie ein Vorlagenset für Aufsichtsmeldung, Betroffeneninformation und interne Lessons Learned. CIVAC stellt im Workspace einen vorkonfigurierten Datenpannen-Pfad bereit, der dem 72-Stunden-Takt folgt und die Aufsichtsmeldung in den Formaten der Landesbehörden vorbereitet. Der Prüfer ruft an, der Nachweis liegt bereit. Wer den Pfad einmal im Jahr probt, verliert in der Krise keine Zeit mit Zuständigkeiten.

Art. 32 DSGVO verlangt geeignete TOM unter Berücksichtigung von Stand der Technik, Umsetzungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos. Konkret nennt die Norm Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und ein Verfahren zur regelmäßigen Überprüfung.

In der Praxis bedeuten TOM ein dokumentiertes Berechtigungskonzept mit Rollen, eine Verschlüsselung ruhender und übertragener Daten, ein Patch- und Schwachstellenmanagement, Backups mit erprobter Wiederherstellung, eine Mehrfaktor-Authentifizierung für privilegierte Zugriffe und ein Logging, das auffällige Zugriffe erkennt. Wer ein ISO/IEC 27001:2022 ISMS betreibt, erfüllt Art. 32 weitgehend automatisch, weil die 93 Controls des Anhangs A die DSGVO-Anforderungen abdecken.

Aufsichtsbehörden bewerten TOM nicht abstrakt, sondern an Vorfällen. Nach einer Datenpanne wird gefragt: War das Risiko absehbar? Waren die Maßnahmen angemessen? Wurde das Konzept geprüft? Wer TOM nur einmal beim Audit dokumentiert und danach nicht pflegt, verliert die Verteidigung. Die CIVAC-Plattform verknüpft Verzeichnis, TOM-Dokumentation und Auditlauf, sodass Änderungen automatisch im Nachweis sichtbar werden.

Art. 35 DSGVO fordert eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten Betroffener bedeutet. Die Aufsichtsbehörden veröffentlichen Blacklist und Whitelist. Typische DSFA-Anlässe: systematische Überwachung, umfangreiche Verarbeitung besonderer Kategorien, automatisierte Entscheidungen mit Rechtswirkung, Verarbeitung von Beschäftigtendaten mit Profiling, Einsatz neuer Technologien wie KI-gestützte Auswahlverfahren.

Die DSFA dokumentiert Verarbeitungszweck, Notwendigkeit, Risikoanalyse, Abhilfemaßnahmen und Restrisiko. Sie wird vom Verantwortlichen geführt, der DSB berät und prüft (Art. 35 Abs. 2 DSGVO). Bei verbleibend hohem Restrisiko ist die Aufsicht vorab zu konsultieren (Art. 36 DSGVO). Diese Konsultation dauert in der Regel acht Wochen, verlängerbar um sechs, und verzögert Projektstarts spürbar.

Mit dem EU AI Act treten ab August 2026 zusätzliche Pflichten in Kraft, die mit der DSFA verzahnt werden müssen, insbesondere bei Hochrisiko-KI-Systemen im HR-Kontext oder bei Kreditscoring. Die DSFA ist damit kein einmaliges Dokument, sondern ein lebendiger Nachweis, der bei jeder System- oder Prozessänderung aktualisiert wird. CIVAC-Vorlagen führen durch die DSFA-Struktur und verknüpfen sie mit dem Verarbeitungsverzeichnis.

Die DSGVO kennt zwei Bußgeldstufen. Art. 83 Abs. 4 sanktioniert Verstöße gegen Pflichten der Verantwortlichen und Auftragsverarbeiter, etwa fehlendes Verzeichnis oder unzureichende TOM, mit bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes. Art. 83 Abs. 5 trifft Verstöße gegen Grundsätze, Betroffenenrechte und Transfers mit bis zu 20 Mio. Euro oder 4 Prozent. Maßstab ist der höhere Wert.

Daneben greift § 130 OWiG. Geschäftsführer und Vorstände haften persönlich, wenn sie Aufsichtspflichten verletzen und dadurch Verstöße ermöglichen. Eine fehlende Bestellurkunde, ein nicht gepflegtes Verzeichnis oder ein ungeprobter Meldepfad reichen für den Vorwurf der Aufsichtspflichtverletzung. Persönliche Bußgelder erreichen bis 1 Mio. Euro. Hinzu treten zivilrechtliche Schadensersatzansprüche nach Art. 82 DSGVO, die Gerichte seit 2024 spürbar zusprechen, auch bei reinen immateriellen Schäden (EuGH C-300/21).

Versicherer reagieren mit klaren Exklusionen für vorsätzliche oder grob fahrlässige DSGVO-Verstöße. Wer ohne Bestellurkunde, ohne Verzeichnis oder ohne dokumentierte TOM operiert, riskiert nicht nur das Bußgeld, sondern auch den Versicherungsschutz. Die Antwort ist nicht Aktenschrank, sondern Plattform: Pflichten als Workflow, Nachweise als Datenpunkte.

Die DSGVO wird nicht einfacher, weil sie alt wird. Aufsichtsbehörden professionalisieren ihre Prüfungen, EuGH-Urteile verschärfen Detailfragen, und der AI Act legt eine zweite Compliance-Ebene auf. Wer die Datenschutzverordnung weiterhin als Jahresritual führt, läuft mit jedem Jahr stärker in den Nachweisrückstand.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Im Workspace finden Sie Verarbeitungsverzeichnis, AV-Register, TOM-Dokumentation, Datenpannen-Pfad, DSFA-Vorlagen und einen Berichtsweg an die Geschäftsleitung. 37 einsatzbereite Audit-Vorlagen, 25 Beauftragten-Rollen live, EU-Datenresidenz, Bestellurkunde und Berichtslinie im Standard. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege führen zum gleichen Ergebnis: ein Datenschutz, der dem Audit standhält.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir klären in einem strukturierten Erstgespräch, ob Lizenz oder Mandat zu Ihrem Risiko, Ihrer Branche und Ihrer Größe passt, und liefern innerhalb von zwei Werktagen den Bestellungsentwurf, statt der branchenüblichen zwei bis sechs Wochen.