Datenschutz im Unternehmen: DSGVO-Check

Welche Gesetze sind für „Datenschutz im Unternehmen“ typischerweise relevant?

Auf den Punkt: Kern ist die DSGVO. In Deutschland ergänzt das BDSG (z. B. Beschäftigtendaten, DSB-Pflichten). Für Cookies/Endgerätezugriffe ist § 25 TDDDG zentral, und das DDG regelt u. a. Anbieterpflichten wie das Impressum.

DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden – also praktisch in jeder Firma, sobald es um Kund:innen, Beschäftigte, Interessent:innen oder Website-Nutzer:innen geht. Entscheidend ist: Sie müssen die Einhaltung nachweisen können (Dokumentation + gelebte Prozesse).

BDSG ergänzt die DSGVO in Deutschland, u. a. beim Beschäftigtendatenschutz (z. B. § 26 BDSG) und bei der Pflicht zur Benennung eines Datenschutzbeauftragten in bestimmten Fällen (§ 38 BDSG zusätzlich zu Art. 37 DSGVO).

TDDDG (früher TTDSG) regelt insbesondere das Speichern/Auslesen von Informationen auf Endgeräten – praktisch: Cookies, Tracking-Technologien, ähnliche Identifier. § 25 TDDDG ist die zentrale Norm für die Einwilligungspflicht und Ausnahmen.

DDG (seit 14.05.2024 statt TMG) betrifft Anbieterpflichten für digitale Dienste – für viele Unternehmen relevant, weil Website/Online-Auftritt regelmäßig ein „digitaler Dienst“ ist. Die Impressumspflicht findet sich in § 5 DDG.

Wer trägt die Verantwortung – und welche Rechtsgrundlagen braucht die Verarbeitung?

Auf den Punkt: Verantwortliche bestimmen Zweck und Mittel; Auftragsverarbeiter handeln weisungsgebunden. Jede Verarbeitung braucht eine Rechtsgrundlage (Art. 6 DSGVO) und muss die DSGVO-Grundsätze erfüllen.

In der Praxis entstehen viele Probleme, weil Rollen nicht sauber getrennt sind. Die wichtigsten Konstellationen:

• Verantwortlicher: entscheidet über „Warum“ und „Wie“ der Verarbeitung – trägt die Hauptpflichten (Information, Nachweise, Prozesse).
• Auftragsverarbeiter: verarbeitet Daten im Auftrag (z. B. Hosting, Newsletter-Tool, CRM/Helpdesk, Cloud-Speicher) – benötigt i. d. R. einen Auftragsverarbeitungsvertrag (AVV) mit Vorgaben der DSGVO.
• Gemeinsame Verantwortliche: wenn mehrere Parteien gemeinsam Zwecke/Mittel bestimmen (z. B. bestimmte Plattform-/Tracking-Setups) – dann braucht es eine klare Vereinbarung zur Aufgabenverteilung.

Die Rechtsgrundlage hängt vom Zweck ab. Typische Grundlagen nach Art. 6 DSGVO sind:

• Vertrag/Anbahnung (z. B. Kundendaten zur Vertragserfüllung)
• Rechtliche Pflicht (z. B. Aufbewahrungspflichten)
• Berechtigte Interessen (nur nach Abwägung, transparent dokumentiert)
• Einwilligung (freiwillig, informiert, eindeutig; jederzeit widerrufbar)

Sonderfall: Cookies/Tracking brauchen oft „doppelte“ Prüfung

Auf den Punkt: Für viele Tracker ist Einwilligung nach § 25 TDDDG nötig – zusätzlich brauchen Sie für die anschließende Datenverarbeitung auch eine DSGVO-Grundlage (meist Einwilligung).

Wichtig für die Praxis: Die Einwilligung nach TDDDG betrifft den Endgerätezugriff (Speichern/Auslesen). Die DSGVO betrifft die Verarbeitung personenbezogener Daten danach. In vielen Marketing-/Tracking-Konstellationen läuft beides faktisch auf Opt-in hinaus.

Welche organisatorischen Pflichten muss ein Unternehmen umsetzen?

Auf den Punkt: Das Pflichtprogramm besteht aus Verzeichnis, TOMs, ggf. DSFA, Verträgen/Rollen, Schulungen – und funktionierenden Prozessen für Betroffenenrechte, Löschung und Vorfälle.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Auf den Punkt: Das Verzeichnis zeigt, was Sie wofür verarbeiten, auf welcher Rechtsgrundlage, wie lange, mit welchen Empfängern und Schutzmaßnahmen – es ist die zentrale Nachweisgrundlage.

Ohne Verzeichnis lassen sich Datenschutzhinweise, Löschfristen, AV-Verträge und Risikoentscheidungen kaum konsistent steuern. In Prüfungen ist das Verzeichnis regelmäßig eines der ersten angeforderten Dokumente.

TOMs (Art. 32 DSGVO): „angemessene Sicherheit“

Auf den Punkt: Sicherheit muss zum Risiko passen – typisch sind Zugriffskonzepte, Verschlüsselung, Backups, Protokollierung, Patch-Management, Berechtigungskontrollen und klare Zuständigkeiten.

„Angemessen“ ist nicht beliebig: Je sensibler die Daten (z. B. Gesundheitsdaten) und je höher die Risiken, desto stärker müssen Maßnahmen, Tests und Kontrollen ausfallen.

Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Auf den Punkt: Eine DSFA ist nötig, wenn voraussichtlich ein hohes Risiko für Rechte/Freiheiten besteht (z. B. systematische Überwachung, besonders sensible Daten, umfangreiche Profile).

Die DSFA ist kein Formular, sondern ein Verfahren: Risiken erkennen, bewerten, Maßnahmen festlegen – und Entscheidung dokumentieren.

Datenschutzbeauftragter: Wann besteht eine Pflicht?

Auf den Punkt: Eine Pflicht kann sich aus Art. 37 DSGVO ergeben (z. B. umfangreiche Überwachung) und zusätzlich aus § 38 BDSG, u. a. wenn „in der Regel mindestens 20 Personen“ ständig mit automatisierter Verarbeitung beschäftigt sind.

Die Schwelle ist nicht das einzige Kriterium. Auch bei risikoreichen Verarbeitungen oder DSFA-Pflichten kann ein Datenschutzbeauftragter erforderlich sein. Zudem muss die Rolle fachlich geeignet und unabhängig ausgestaltet werden.

• Daten-Inventar: Prozesse/Systeme/Tools erfassen (HR, CRM, Newsletter, Support, Buchhaltung, Cloud).
• Verzeichnis erstellen/aktualisieren (Art. 30 DSGVO) – inkl. Zwecke, Empfänger, Speicherdauer.
• Rechtsgrundlagen je Verarbeitung festlegen und dokumentieren (Art. 6 DSGVO).
• AVV/Verträge prüfen: Hosting, SaaS, Newsletter, Tracking-Dienstleister.
• TOMs festlegen, umsetzen, regelmäßig prüfen (Art. 32 DSGVO).
• Löschkonzept + Aufbewahrungspflichten zusammenführen (Art. 5 DSGVO).
• Prozess Betroffenenrechte: Auskunft/Löschung/Widerspruch inkl. Identitätsprüfung und Fristen.
• Schulungen: Rollen/Vertraulichkeit, Phishing, Umgang mit Anfragen.
• Drittlandtransfer prüfen (Art. 44 ff. DSGVO), wenn Tools außerhalb EU/EWR genutzt werden.
• Incident-Plan für Datenpannen + Dokumentationsroutine (Art. 33 Abs. 5 DSGVO).

Datenschutz auf der Website: Datenschutzerklärung, Formulare, Cookies und Einbindungen

Auf den Punkt: Eine Website ist datenschutzrechtlich ein Bündel aus Hosting, Logs, Formularen, Tools und Drittinhalten. Transparenz (Art. 13 DSGVO) und saubere Rechtsgrundlagen sind Pflicht – bei vielen Cookies/Trackern zusätzlich Opt-in nach § 25 TDDDG.

Datenschutzerklärung: Was muss drinstehen?

Auf den Punkt: Erklären Sie verständlich: Verantwortliche, Zwecke, Rechtsgrundlagen, Empfänger/Dienstleister, Speicherdauer, Betroffenenrechte und Kontakt – abgestimmt auf Ihre tatsächlich genutzten Dienste.

Typische Bausteine sind: Hosting/Server-Logs, Kontaktformular, Newsletter, Bewerbungsformular, Webanalyse, eingebettete Inhalte (z. B. Karten/Videos), Social-Media-Plugins, Consent-Management.

Cookies/Consent: Wann brauche ich ein Banner?

Auf den Punkt: Für nicht notwendige Cookies/Tracker ist in vielen Fällen vorherige Einwilligung erforderlich. Ausnahmen bestehen v. a. für technisch notwendige Funktionen (z. B. Warenkorb, Login).

Praktisch heißt das: Sie sollten technische Notwendigkeit sauber abgrenzen und für Analyse/Marketing/Tracking eine echte Wahl ermöglichen (inkl. Ablehnen). Wichtig ist außerdem die Dokumentation der Entscheidung (Nachweisbarkeit).

Drittinhalte & Tools: Risikoquelle Nummer 1

Auf den Punkt: Viele Datenschutzprobleme entstehen durch eingebettete Inhalte und externe Tools (Videos, Karten, Schriftarten, Chat-Widgets). Prüfen Sie Empfänger, Übermittlungen in Drittländer und ob ein Opt-in nötig ist.

„Nice to know“: Selbst wenn Sie nur ein Plugin einbauen, können Daten (IP-Adresse, Geräteinformationen, Identifier) an Dritte fließen. Deshalb sollten Website-Änderungen immer ein kleiner Datenschutz-Check begleiten: Was wird geladen? Von wo? Mit welcher Rechtsgrundlage? Welche Informationstexte müssen angepasst werden?

Impressum & Gesetzesbezeichnungen (DDG/TDDDG)

Auf den Punkt: Prüfen Sie, ob Rechtstexte noch alte Bezeichnungen (TMG/TTDSG) enthalten. Seit 14.05.2024 gilt DDG statt TMG und TDDDG statt TTDSG.

Wichtig: Nicht jede Seite muss Gesetze zitieren – aber veraltete Verweise sind ein typisches Wartungsthema, insbesondere bei Vorlagen und Generator-Texten.

Betroffenenrechte, Löschung und Aufbewahrung: So wird es praxistauglich

Auf den Punkt: Entscheidend sind feste Abläufe: Wer nimmt Anfragen an, wie wird Identität geprüft, welche Systeme sind betroffen, welche Fristen gelten – und wie wird dokumentiert?

Typische Betroffenenrechte sind Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Damit das nicht im Tagesgeschäft untergeht, helfen drei Bausteine:

• Ticket-/Workflow-Logik: Eingang, Identitätsprüfung, Zuständigkeit, Fristen, Antwortbausteine.
• Systemkarte: Wo liegen welche Daten? (E-Mail, CRM, Tickets, ERP, Cloud, Backups)
• Löschkonzept: DSGVO-Speicherbegrenzung + gesetzliche Aufbewahrungspflichten zusammenführen.

Datenpannen: Meldepflichten, Kommunikation und Bußgeldrisiko

Auf den Punkt: Wenn personenbezogene Daten verletzt werden, müssen Sie Risiko und Meldepflicht prüfen. Wo nötig: Meldung an die Aufsicht „wo möglich“ binnen 72 Stunden (Art. 33 DSGVO) und ggf. Information Betroffener (Art. 34 DSGVO) – plus Dokumentation.

Datenpannen sind nicht nur Hackerangriffe. Häufige Praxisfälle sind Fehlversand, falsch konfigurierte Cloud-Freigaben, verlorene Geräte, unberechtigte interne Zugriffe oder kompromittierte Zugänge.

• 1) Eindämmen: Zugänge sperren, Systeme sichern, Logs erhalten.
• 2) Fakten klären: Welche Daten? Welche Betroffenen? Welche Ursache? Zeitraum?
• 3) Risiko bewerten: Risiko vs. hohes Risiko für Betroffene?
• 4) Dokumentieren: Vorfall, Auswirkungen, Maßnahmen (Art. 33 Abs. 5 DSGVO).
• 5) Meldung prüfen: ggf. Aufsicht informieren (Art. 33 DSGVO).
• 6) Betroffene informieren: wenn hohes Risiko (Art. 34 DSGVO), klar und handlungsorientiert.
• 7) Abhilfe umsetzen: Passwörter, Härtung, MFA, Prozesse, Schulungen.
• 8) Nacharbeit: Ursachenanalyse, TOMs anpassen, Lessons Learned.

Zum Sanktionsrisiko: Die DSGVO sieht Geldbußen vor, die wirksam, verhältnismäßig und abschreckend sein sollen (Art. 83 DSGVO). In der Praxis sinkt das Risiko deutlich, wenn Prozesse, Nachweise und Sicherheitsmaßnahmen erkennbar gelebt werden.