Was muss ein Unternehmen für die DSGVO tun?

Unternehmen müssen u. a. ein Verarbeitungsverzeichnis führen (Art. 30 DSGVO), Rechtsgrundlagen für alle Verarbeitungen dokumentieren, technische und organisatorische Schutzmaßnahmen umsetzen (Art. 32), Auftragsverarbeitungsverträge abschließen (Art. 28), Betroffenenrechte gewährleisten und ggf. einen Datenschutzbeauftragten bestellen.

Braucht mein Unternehmen einen Datenschutzbeauftragten?

In Deutschland ist ein DSB Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG), oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien oder systematischen Überwachung besteht (Art. 37 DSGVO).

Wie oft muss die DSGVO-Compliance überprüft werden?

Mindestens einmal jährlich sollte ein umfassendes Audit durchgeführt werden. Zusätzlich ist eine anlassbezogene Prüfung bei neuen Tools, Dienstleistern oder Geschäftsprozessen erforderlich. Mitarbeiterschulungen sollten ebenfalls jährlich stattfinden.

Was sind die häufigsten DSGVO-Verstöße in Unternehmen?

Die häufigsten Verstöße sind: fehlendes oder veraltetes Verarbeitungsverzeichnis, unvollständige Datenschutzerklärung, fehlerhafte Cookie-Consent-Implementierung, fehlende Auftragsverarbeitungsverträge, kein Löschkonzept, mangelnde Mitarbeiterschulungen und unzureichende technische Schutzmaßnahmen.

DSGVO Checkliste für Unternehmen 2026 — Alles was Sie brauchen

Die DSGVO ist seit 2018 in Kraft — und trotzdem haben viele Unternehmen sie noch nicht vollständig umgesetzt. Oder die Umsetzung ist veraltet, weil sich Rechtsprechung, Technik und Geschäftsprozesse weiterentwickelt haben. Diese Checkliste bringt Sie auf den aktuellen Stand 2026 und zeigt Ihnen systematisch, was Sie tun müssen.

Ich habe diese Checkliste aus der Praxis heraus entwickelt. Sie deckt alle wesentlichen Bereiche ab und ist so aufgebaut, dass Sie sie Punkt für Punkt durcharbeiten können.

1. Organisatorische Grundlagen

Datenschutzbeauftragter (DSB)

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO und § 38 BDSG erforderlich, wenn:

✅ Mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG)
✅ Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht (Art. 37 Abs. 1 lit. c DSGVO)
✅ Die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfordert (Art. 37 Abs. 1 lit. b DSGVO)

Praxis-Tipp: Auch wenn Sie keinen DSB bestellen müssen, brauchen Sie jemanden, der sich um den Datenschutz kümmert. Der DSB kann intern oder extern bestellt werden.

Datenschutz-Management-System

Ein systematisches Datenschutz-Management umfasst:

✅ Klare Zuständigkeiten und Verantwortlichkeiten
✅ Dokumentierte Prozesse für alle datenschutzrelevanten Vorgänge
✅ Regelmäßige Überprüfung und Aktualisierung
✅ Schulungen für alle Mitarbeiter

Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verarbeitungsverzeichnis ist Pflicht für jedes Unternehmen (mit wenigen Ausnahmen für Unternehmen unter 250 Mitarbeitern, die aber in der Praxis kaum greifen). Es muss enthalten:

✅ Name und Kontaktdaten des Verantwortlichen und ggf. des DSB
✅ Zwecke der Verarbeitung
✅ Kategorien betroffener Personen und personenbezogener Daten
✅ Kategorien von Empfängern
✅ Übermittlungen in Drittländer
✅ Vorgesehene Löschfristen
✅ Technische und organisatorische Maßnahmen (wenn möglich)

Häufiger Fehler: Das Verarbeitungsverzeichnis wird einmal erstellt und dann nie wieder angefasst. Es muss aktuell sein — bei jedem neuen Tool, jedem neuen Prozess, jeder Änderung.

2. Rechtsgrundlagen und Transparenz

Rechtsgrundlagen dokumentieren

Für jede Verarbeitung personenbezogener Daten brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO:

✅ Einwilligung (lit. a): Freiwillig, informiert, widerrufbar, nachweisbar
✅ Vertragserfüllung (lit. b): Nur für tatsächlich erforderliche Daten
✅ Rechtliche Pflicht (lit. c): Steuerrecht, Handelsrecht, Sozialrecht
✅ Berechtigtes Interesse (lit. f): Mit dokumentierter Interessenabwägung

Datenschutzerklärung (Art. 13/14 DSGVO)

Ihre Datenschutzerklärung muss:

✅ Alle Verarbeitungen vollständig und aktuell abbilden
✅ In klarer und einfacher Sprache verfasst sein
✅ Leicht zugänglich sein (von jeder Seite Ihrer Website erreichbar)
✅ Rechtsgrundlagen, Zwecke, Speicherfristen und Empfänger benennen
✅ Betroffenenrechte aufführen
✅ Kontaktdaten des Verantwortlichen und ggf. des DSB enthalten
✅ Hinweis auf Beschwerderecht bei der Aufsichtsbehörde

Informationspflichten bei Datenerhebung

Bei jeder Erhebung personenbezogener Daten müssen Betroffene informiert werden:

✅ Bei Erhebung beim Betroffenen: Art. 13 DSGVO (z. B. Kontaktformular, Bestellung)
✅ Bei Erhebung bei Dritten: Art. 14 DSGVO (z. B. Adresskauf, Auskunfteien)

3. Technische und organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO verlangt angemessene Schutzmaßnahmen. Was angemessen ist, hängt vom Risiko ab. Mindeststandards 2026:

IT-Sicherheit

✅ Verschlüsselung: SSL/TLS für alle Websites, verschlüsselte E-Mail-Kommunikation bei sensiblen Daten
✅ Zugangskontrolle: Starke Passwörter, Zwei-Faktor-Authentifizierung (2FA) für alle kritischen Systeme
✅ Berechtigungskonzept: Need-to-know-Prinzip, regelmäßige Überprüfung der Zugriffsrechte
✅ Backup: Regelmäßige, verschlüsselte Datensicherung mit getesteter Wiederherstellung
✅ Updates: Zeitnahe Installation von Sicherheitsupdates für alle Systeme
✅ Firewall und Malware-Schutz: Aktuelle Schutzsoftware auf allen Endgeräten

Physische Sicherheit

✅ Zutrittskontrolle zu Serverräumen und Büros
✅ Verschlossene Aktenschränke für papiergebundene Unterlagen
✅ Sichere Vernichtung von Datenträgern und Papierunterlagen (DIN 66399)

Organisatorische Maßnahmen

✅ Vertraulichkeitsverpflichtung aller Mitarbeiter (§ 53 BDSG)
✅ Clean-Desk-Policy: Keine offen zugänglichen personenbezogenen Daten
✅ Homeoffice-Regelung: Datenschutzanforderungen für mobiles Arbeiten
✅ Schulungen: Regelmäßige Datenschutzschulungen für alle Mitarbeiter

4. Website und Online-Präsenz

✅ Cookie-Banner mit echter Wahlfreiheit (kein Dark Pattern)
✅ Opt-in für alle nicht technisch notwendigen Cookies
✅ Ablehnung genauso einfach wie Zustimmung
✅ Kein Tracking vor Einwilligung
✅ Einwilligungen dokumentiert und nachweisbar

Kontaktformulare

✅ Nur erforderliche Daten als Pflichtfelder
✅ Hinweis auf Datenschutzerklärung
✅ Verschlüsselte Übertragung (HTTPS)
✅ Keine unnötige Datenspeicherung

✅ Double-Opt-in-Verfahren
✅ Abmeldemöglichkeit in jeder E-Mail
✅ Einwilligung nachweisbar dokumentiert
✅ Separate Einwilligung (nicht mit AGB-Akzeptanz gekoppelt)

✅ Social-Media-Plugins nur mit 2-Klick-Lösung oder Shariff
✅ Datenschutzhinweise für Social-Media-Auftritte
✅ Bei Facebook-Fanpages: Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO)

Nutzen Sie unseren DSGVO-Check, um Ihre Website automatisch auf diese Punkte zu prüfen.

5. Auftragsverarbeitung

✅ Alle Auftragsverarbeiter identifiziert und dokumentiert
✅ AVV nach Art. 28 DSGVO mit jedem Auftragsverarbeiter abgeschlossen
✅ Unterauftragsverarbeiter bekannt und genehmigt
✅ Drittlandtransfers geprüft und abgesichert
✅ Regelmäßige Überprüfung der AVVs (mindestens jährlich)

Mehr zum Thema AVV erfahren Sie in unserem Glossar.

6. Betroffenenrechte

Interne Prozesse müssen sicherstellen, dass folgende Rechte fristgerecht erfüllt werden:

✅ Auskunft (Art. 15): Vollständige Auskunft innerhalb eines Monats
✅ Berichtigung (Art. 16): Falsche Daten unverzüglich korrigieren
✅ Löschung (Art. 17): Daten löschen, wenn kein Grund mehr für die Speicherung besteht
✅ Einschränkung (Art. 18): Verarbeitung auf Antrag einschränken
✅ Datenübertragbarkeit (Art. 20): Daten in maschinenlesbarem Format bereitstellen
✅ Widerspruch (Art. 21): Widerspruch gegen bestimmte Verarbeitungen bearbeiten
✅ Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit möglich, so einfach wie die Erteilung

Frist: Ein Monat nach Eingang (Art. 12 Abs. 3 DSGVO). Verlängerung um zwei weitere Monate bei komplexen Anfragen möglich, aber der Betroffene muss innerhalb des ersten Monats informiert werden.

7. Datenpannen-Management

Meldepflicht (Art. 33 DSGVO)

✅ Interner Prozess zur Erkennung und Bewertung von Datenpannen etabliert
✅ Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden (wenn Risiko für Betroffene)
✅ Benachrichtigung der Betroffenen bei hohem Risiko (Art. 34 DSGVO)
✅ Dokumentation aller Datenpannen — auch der nicht meldepflichtigen (Art. 33 Abs. 5)

Reaktionsplan

✅ Verantwortlichkeiten klar definiert (wer entscheidet, wer meldet)
✅ Kontaktdaten der zuständigen Aufsichtsbehörde griffbereit
✅ Vorlagen für Meldungen vorbereitet
✅ Regelmäßige Übungen / Simulation

8. Löschkonzept und Speicherfristen

✅ Für jede Datenkategorie ist eine Speicherfrist definiert
✅ Löschung erfolgt automatisiert oder durch regelmäßige manuelle Prüfung
✅ Gesetzliche Aufbewahrungspflichten werden berücksichtigt:
- Steuerrechtlich: 10 Jahre (§ 147 AO)
- Handelsrechtlich: 6 Jahre (§ 257 HGB)
- Gewährleistung: 2-3 Jahre
✅ Nach Ablauf der Aufbewahrungsfrist werden Daten tatsächlich gelöscht

9. Beschäftigtendatenschutz

✅ Verarbeitung von Beschäftigtendaten auf Rechtsgrundlage (§ 26 BDSG / Art. 6 DSGVO)
✅ Bewerberdaten nach Absage innerhalb von 6 Monaten gelöscht (es sei denn, Einwilligung zur längeren Speicherung)
✅ Krankmeldungen und Gesundheitsdaten besonders geschützt (Art. 9 DSGVO)
✅ Videoüberwachung am Arbeitsplatz nur mit Rechtsgrundlage und Verhältnismäßigkeit
✅ Privatnutzung von E-Mail und Internet klar geregelt

10. Regelmäßige Überprüfung

Die DSGVO-Compliance ist kein einmaliges Projekt — sie ist ein fortlaufender Prozess:

✅ Jährliches Audit aller Verarbeitungstätigkeiten und Maßnahmen
✅ Anlassbezogene Prüfung bei neuen Tools, Prozessen oder Dienstleistern
✅ Schulungen mindestens einmal jährlich für alle Mitarbeiter
✅ Dokumentation aller Änderungen und Prüfungen

Die kompakte Übersicht

Bereich	Status
Datenschutzbeauftragter	☐ Geprüft / bestellt
Verarbeitungsverzeichnis	☐ Aktuell
Datenschutzerklärung	☐ Vollständig
Cookie-Consent	☐ DSGVO-konform
AVVs	☐ Alle abgeschlossen
TOMs	☐ Dokumentiert
Betroffenenrechte	☐ Prozesse etabliert
Datenpannen-Prozess	☐ Eingerichtet
Löschkonzept	☐ Umgesetzt
Beschäftigtendatenschutz	☐ Geregelt
Schulungen	☐ Durchgeführt

Fazit

Diese Checkliste gibt Ihnen einen klaren Fahrplan für Ihre DSGVO-Compliance 2026. Arbeiten Sie die Punkte systematisch durch — und scheuen Sie sich nicht, Hilfe zu holen, wenn Sie unsicher sind.

Starten Sie mit unserem DSGVO-Check für eine automatische Erstbewertung Ihrer Website. Bei akutem Handlungsbedarf hilft unser Rettungspaket. Und in unserer Produktübersicht finden Sie die Lösung, die zu Ihrem Unternehmen passt.

Fachbegriffe erklären wir verständlich in unserem DSGVO-Glossar.

1. Organisatorische Grundlagen#

Datenschutzbeauftragter (DSB)#

Datenschutz-Management-System#

Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)#

2. Rechtsgrundlagen und Transparenz#

Rechtsgrundlagen dokumentieren#

Datenschutzerklärung (Art. 13/14 DSGVO)#

Informationspflichten bei Datenerhebung#

3. Technische und organisatorische Maßnahmen (TOMs)#

IT-Sicherheit#

Physische Sicherheit#

Organisatorische Maßnahmen#

4. Website und Online-Präsenz#

Cookie-Consent#

Kontaktformulare#

Newsletter#

Social Media#

5. Auftragsverarbeitung#

6. Betroffenenrechte#

7. Datenpannen-Management#

Meldepflicht (Art. 33 DSGVO)#

Reaktionsplan#

8. Löschkonzept und Speicherfristen#

9. Beschäftigtendatenschutz#

10. Regelmäßige Überprüfung#

Die kompakte Übersicht#

Fazit#

Häufig gestellte Fragen (FAQ)#