Fragt die Aufsichtsbehörde nach Ihrer Datenschutzdokumentation, haben Sie wenige Tage Zeit. Nicht Wochen. Nicht irgendwann.
In der Praxis sieht es bei vielen kleinen und mittleren Unternehmen so aus: Es gibt eine Datenschutzerklärung auf der Website. Vielleicht ein Verarbeitungsverzeichnis in einer alten Excel-Tabelle. Aber eine vollständige, aktuelle Dokumentation? Fehlanzeige.
Das Problem: Art. 5 Abs. 2 DSGVO – die sogenannte Rechenschaftspflicht – dreht die Beweislast um. Sie müssen belegen, dass Sie die Datenschutzgrundsätze einhalten. Wer das nicht kann, verstößt bereits gegen die DSGVO. Unabhängig davon, ob die Datenverarbeitung selbst korrekt läuft.
Die DSGVO verteilt ihre Dokumentationspflichten über mehrere Artikel. Für Sie als Geschäftsführer bedeutet das: Ein einzelnes Dokument reicht nicht. Sie brauchen ein System aus aufeinander abgestimmten Unterlagen.
| Dokument | Rechtsgrundlage | Pflicht für KMU? |
|---|---|---|
| Verarbeitungsverzeichnis (VVT) | Art. 30 DSGVO | Ja, immer |
| Technisch-organisatorische Maßnahmen (TOM) | Art. 32 DSGVO | Ja, immer |
| Datenschutzerklärung (Website) | Art. 13, 14 DSGVO | Ja, immer |
| Auftragsverarbeitungsverträge (AVV) | Art. 28 DSGVO | Ja, bei Dienstleistern |
| Löschkonzept | Art. 17 DSGVO | Ja, immer |
| Einwilligungsmanagement | Art. 7 DSGVO | Ja, bei Einwilligungen |
| Datenschutz-Folgenabschätzung (DSFA) | Art. 35 DSGVO | Bei hohem Risiko |
| Datenschutzbericht | Art. 5 Abs. 2 DSGVO (Nachweis) | Empfohlen |
Achtung: Die EU-Kommission plant Erleichterungen bei der VVT-Pflicht für Unternehmen unter 750 Mitarbeitern. Bis diese Reform in Kraft tritt, gelten die bisherigen Pflichten unverändert. Wer jetzt dokumentiert, ist auf der sicheren Seite.
Die DSGVO schreibt keinen formellen Datenschutzbericht vor. Trotzdem ist er das wichtigste Instrument, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen. Denn bei einer Prüfung durch die Aufsichtsbehörde zählt nur, was dokumentiert ist.
Ein guter Datenschutzbericht beantwortet drei Fragen:
Der Bericht geht an die Geschäftsleitung. Er zeigt schwarz auf weiß, ob der Datenschutz im Unternehmen funktioniert – oder wo Lücken bestehen. Für Geschäftspartner und Auftraggeber ist er zudem ein starkes Signal: Dieses Unternehmen nimmt Datenschutz ernst.
Erfassen Sie alle Verarbeitungstätigkeiten in Ihrem Unternehmen. Wer verarbeitet welche Daten, zu welchem Zweck, auf welcher Rechtsgrundlage? Das Ergebnis ist Ihr Verarbeitungsverzeichnis – die Basis für alles Weitere.
Listen Sie Ihre technisch-organisatorischen Maßnahmen auf: Zugangskontrollen, Verschlüsselung, Backup-Konzept, Berechtigungskonzept. Halten Sie für jede Maßnahme fest, wann sie eingeführt wurde und wer verantwortlich ist.
Identifizieren Sie alle Dienstleister, die personenbezogene Daten für Sie verarbeiten – von der Cloud-Software bis zum Lohnabrechnungsbüro. Für jeden brauchen Sie einen Auftragsverarbeitungsvertrag.
Definieren Sie für jede Datenkategorie, wann Daten gelöscht werden müssen. Ohne Löschkonzept verstoßen Sie gegen den Grundsatz der Speicherbegrenzung.
Prüfen Sie einmal im Jahr, ob alle Dokumente aktuell sind. Fassen Sie die Ergebnisse in einem Datenschutzbericht zusammen. So schaffen Sie den Nachweis, den Art. 5 Abs. 2 DSGVO verlangt.
Viele Geschäftsführer schieben das Thema Datenschutzdokumentation auf die lange Bank. Zu abstrakt, zu bürokratisch. Dabei zeigt die Praxis: Wenn die Geschäftsleitung versteht, was auf dem Spiel steht, ändert sich die Haltung schnell.
„Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern."
Nils OehmichenDatenschutzberater bei frag.hugoDatenschutzdokumentation ist kein Selbstzweck. Sie schützt vor Bußgeldern, stärkt das Vertrauen von Kunden und Geschäftspartnern und gibt Ihnen selbst Klarheit darüber, wie Ihr Unternehmen mit Daten umgeht.
Ein externer Datenschutzbeauftragter bringt dabei einen entscheidenden Vorteil: Er kennt die Anforderungen aus dutzenden Mandaten und baut Ihre Dokumentation nach bewährten Standards auf. Statt bei null anzufangen, profitieren Sie von Vorlagen und Erfahrungswerten.
Das Wichtigste: Die DSGVO verlangt nicht Perfektion – sie verlangt Nachweisbarkeit. Sechs Dokumente, einmal im Jahr geprüft und in einem Datenschutzbericht zusammengefasst: Das ist der pragmatische Weg zur vollständigen Datenschutzdokumentation. Fangen Sie mit dem Verarbeitungsverzeichnis an – der Rest baut darauf auf.
Dokumentation lückenhaft?
Wir prüfen Ihre Datenschutzdokumentation und schließen Lücken.
Kostenlose Erstberatung buchen →Mindestens ein Verarbeitungsverzeichnis, TOM-Dokumentation, Datenschutzerklärung, AVV-Vorlagen und Löschkonzept. Je nach Größe und Risiko kommen Datenschutz-Folgenabschätzung und Datenschutzbericht hinzu.
Die DSGVO schreibt keinen formellen Bericht vor. Aber Art. 5 Abs. 2 verlangt, dass Sie die Einhaltung der Datenschutzgrundsätze nachweisen können. Ein jährlicher Datenschutzbericht ist dafür der beste und effizienteste Weg.
Bei jeder Änderung an Verarbeitungstätigkeiten – etwa wenn ein neues Tool eingeführt oder ein Dienstleister gewechselt wird. Zusätzlich sollte mindestens einmal jährlich ein vollständiges Review stattfinden.
Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes nach Art. 83 DSGVO. Aufsichtsbehörden können Nachweise jederzeit anfordern. Ohne Dokumentation fehlt der Nachweis – unabhängig davon, ob Sie den Datenschutz in der Praxis einhalten.
Ja. Ein externer DSB erstellt und pflegt die komplette Dokumentation. Das ist oft effizienter als eine interne Lösung, weil er erprobte Vorlagen und Erfahrung aus vielen Mandaten mitbringt.
Inhaltsverzeichnis
Was sind personenbezogene Daten nach der DSGVO? Definition, Beispiele, besondere Kategorien und was das für Ihr Unternehmen bedeutet.
WeiterlesenDSGVO Dokumentationspflichten: Welche Dokumente Ihr Unternehmen braucht – komplette Übersicht mit Praxis-Checkliste für Hamburger KMU.
WeiterlesenLöschkonzept nach DSGVO erstellen: Praxis-Anleitung mit Aufbewahrungsfristen, DIN 66398 und detaillierter Checkliste für Hamburger KMU.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutzberatung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
