"Haben Sie ein Datenschutzkonzept?"
Diese Frage bekommen Geschäftsführer immer häufiger gestellt. Von Datenschutzbehörden bei Anfragen oder Beschwerden. Von Großkunden im Rahmen von Lieferantenaudits. Von der eigenen Cyberversicherung bei Vertragsabschluss. Und von Bewerbern, die wissen wollen, wie ihr potenzieller Arbeitgeber mit Daten umgeht.
Die ehrliche Antwort in vielen KMU: "Nicht wirklich."
Es gibt vielleicht eine Datenschutzerklärung auf der Website. Vielleicht ein paar Einwilligungserklärungen. Vielleicht sogar einen bestellten Datenschutzbeauftragten. Aber ein durchdachtes, zusammenhängendes Datenschutzkonzept? Das fehlt.
Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie ein Datenschutzkonzept erstellen – praxistauglich, DSGVO-konform und ohne dass Sie dafür Jurist sein müssen.
Ein Datenschutzkonzept ist ein strukturiertes Dokument, das beschreibt, wie Ihr Unternehmen personenbezogene Daten verarbeitet und schützt. Es dient der Einhaltung der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Ein gutes Datenschutzkonzept hilft Ihnen, die Rechenschaftspflichten und Dokumentationspflichten der DSGVO systematisch zu erfüllen. Das Datenschutzkonzept ist kein einzelnes Formular, sondern ein Rahmenwerk aus mehreren zusammenhängenden Dokumenten – eng verknüpft mit dem IT-Sicherheitskonzept Ihres Unternehmens.
Das Datenschutzkonzept bzw. die Datenschutzrichtlinie gehört zu den wichtigsten Dokumenten für die Einhaltung der DSGVO. Ein gutes Datenschutzkonzept hilft Ihnen, die Anforderungen des Datenschutzes strukturiert zu erfüllen und den Stellenwert des Datenschutzes in Ihrem Unternehmen sichtbar zu machen.
Das Konzept beantwortet drei grundlegende Fragen:
Grundsätzlich jedes Unternehmen, das personenbezogene Daten verarbeitet – unabhängig von der Unternehmensgröße. Auch kleine Unternehmen mit wenigen Mitarbeitenden haben eine gesetzliche Pflicht zur Dokumentation. Datenschutz im Unternehmen beginnt mit der systematischen Dokumentation. Die Datenschutz-Grundverordnung verwendet den Begriff "Datenschutzkonzept" zwar nicht explizit, aber sie verlangt in Art. 5 Abs. 2 die Rechenschaftspflicht (Accountability): Sie müssen nachweisen können, dass Sie die Datenschutzgrundsätze einhalten. Und in Art. 24 verlangt sie, dass Sie geeignete technische und organisatorische Maßnahmen umsetzen und dies nachweisen können. Auch das BDSG konkretisiert diese Pflichten für deutsche Unternehmen. Die Einhaltung der DSGVO ist dabei keine einmalige Aufgabe, sondern ein fortlaufender Prozess.
Ein Datenschutzkonzept zu erstellen ist der strukturierte Weg, diese Nachweispflicht zu erfüllen. Die DSGVO fordert dabei, dass Unternehmen jederzeit nachweisen können, wie sie mit personenbezogenen Daten umzugehen haben. Ohne ein solches Konzept stehen Sie bei einer Prüfung durch die Aufsichtsbehörde mit leeren Händen da. Ein Datenschutzbeauftragter – ob intern oder externer Datenschutzbeauftragter – kann Sie bei der Erstellung des Datenschutzkonzeptes maßgeblich unterstützen.
Anders als im Strafrecht müssen bei der DSGVO nicht die Behörden beweisen, dass Sie etwas falsch gemacht haben. Sie müssen beweisen, dass Sie alles richtig machen. Ohne dokumentiertes Datenschutzkonzept können Sie das nicht.
Ein vollständiges Datenschutzkonzept für ein KMU besteht aus diesen Kerndokumenten. Ein allgemeines Datenschutzkonzept bildet den Rahmen, der dann auf Ihre spezifischen Verantwortlichkeiten und Verarbeitungstätigkeiten angepasst wird. Nutzen Sie diese Übersicht als Vorlage für die strukturierte Erstellung Ihres Datenschutzkonzeptes:
| Baustein | DSGVO-Bezug | Inhalt |
|---|---|---|
| Verarbeitungsverzeichnis | Art. 30 | Alle Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Empfänger, Löschfristen |
| Technisch-organisatorische Maßnahmen (TOMs) | Art. 32 | Wie Sie Daten technisch und organisatorisch schützen |
| Datenschutzerklärung | Art. 13/14 | Information für Betroffene auf Ihrer Website und in Verträgen |
| Auftragsverarbeitungsverträge (AVVs) | Art. 28 | Verträge mit allen Dienstleistern, die in Ihrem Auftrag Daten verarbeiten |
| Löschkonzept | Art. 17 | Wann und wie Sie Daten löschen |
| Rechte der Betroffenen | Art. 15–22 | Prozesse für Auskunft, Löschung, Berichtigung etc. |
| Datenschutz-Folgenabschätzung (DSFA) | Art. 35 | Bei risikoreichen Verarbeitungen und Datenverarbeitung mit hohem Risiko (falls zutreffend) |
| Meldeprozess Datenpannen | Art. 33/34 | Vorgehen bei Datenschutzverletzungen |
| Schulungskonzept | Art. 39 Abs. 1 lit. b | Regelmäßige Schulung der Mitarbeitenden |
Bevor Sie irgendetwas dokumentieren können, müssen Sie wissen, was Sie überhaupt tun. Die Bestandsaufnahme ist der wichtigste und oft aufwändigste Schritt.
Befragen Sie alle Abteilungen:
Für jede Verarbeitungstätigkeit notieren Sie:
Das Verzeichnis von Verarbeitungstätigkeiten (auch Verarbeitungsverzeichnis genannt) ist das Herzstück Ihres Datenschutzkonzeptes. Es ist für die meisten Unternehmen gesetzlich vorgeschrieben (ab 250 Mitarbeitende grundsätzlich, aber auch für kleinere Unternehmen bei regelmäßiger Datenverarbeitung personenbezogener Daten – was praktisch immer der Fall ist). Vorlagen und Muster für das Verarbeitungsverzeichnis finden Sie bei den Datenschutzaufsichtsbehörden der Länder.
Für jede Verarbeitungstätigkeit dokumentieren Sie:
Praxistipp: Starten Sie mit einer einfachen Excel-Tabelle als Vorlage oder nutzen Sie ein Muster für ein Datenschutzkonzept als Ausgangspunkt. Jede Zeile ist eine Verarbeitungstätigkeit, die Spalten entsprechen den oben genannten Pflichtangaben. 15–30 Verarbeitungstätigkeiten sind für ein typisches KMU normal. Es gibt auch kostenlose Vorlagen und Muster-Vorlagen zum Download, die die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten erleichtern.
Die TOMs beschreiben, wie Sie personenbezogene Daten konkret schützen. Die DSGVO nennt in Art. 32 beispielhaft:
Vertraulichkeit:
Integrität:
Verfügbarkeit und Belastbarkeit:
Verfahren zur regelmäßigen Überprüfung:
Praxistipp: Dokumentieren Sie, was Sie tatsächlich tun – nicht, was Sie gerne tun würden. Ein ehrliches Konzept mit Lücken ist besser als ein perfektes Konzept, das nicht der Realität entspricht. Die Lücken füllen Sie dann mit dem Maßnahmenplan.
Ihre Datenschutzerklärung auf der Website muss vollständig und aktuell sein. Sie informiert Besucher und Kunden darüber, wie Sie deren Daten verarbeiten.
Pflichtinhalte nach Art. 13 DSGVO:
Häufiger Fehler: Die Datenschutzerklärung wurde 2018 erstellt und seitdem nicht aktualisiert. Neue Tools (CRM, Newsletter, Analytics, KI-Tools) wurden eingeführt, aber die Datenschutzerklärung nicht angepasst. Das ist ein typischer Befund bei Audits.
Unser Hugo Check prüft Ihre Website automatisch auf DSGVO- und TDDDG-Konformität – einschließlich der Datenschutzerklärung.
Jeder Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Ohne AV-Verträge ist die Auftragsdatenverarbeitung rechtswidrig. Typische Auftragsverarbeiter sind:
Praxistipp: Erstellen Sie eine vollständige Liste aller Dienstleister, die Zugang zu personenbezogenen Daten haben. Prüfen Sie für jeden, ob ein AVV vorhanden ist. Die meisten großen Anbieter stellen standardisierte AVVs/DPAs bereit – Sie müssen sie nur abschließen.
Die DSGVO verlangt, dass Sie personenbezogene Daten löschen, wenn der Verarbeitungszweck entfällt – es sei denn, gesetzliche Aufbewahrungsfristen stehen dem entgegen. Ein Löschkonzept definiert für jede Datenkategorie:
| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage | Löschung |
|---|---|---|---|
| Rechnungen | 10 Jahre | § 147 AO, § 257 HGB | Nach Ablauf automatisch |
| Bewerbungsunterlagen (Absage) | 6 Monate | AGG-Klagefrist | Nach 6 Monaten |
| Kundendaten (Vertragsende) | 3 Jahre + lfd. Jahr | § 195 BGB (Verjährung) | Nach Ablauf |
| Mitarbeiterdaten (Austritt) | Bis zu 10 Jahre | Verschiedene Gesetze | Differenziert |
| Website-Logs | 7 Tage | Berechtigtes Interesse | Automatisch |
| Newsletter-Abmeldungen | Sofort (Inhalt), Sperrliste dauerhaft | Art. 17 / Art. 21 DSGVO | Sofort + Sperrliste |
Die DSGVO gibt betroffenen Personen umfangreiche Rechte. Sie müssen in der Lage sein, diese Rechte innerhalb der gesetzlichen Fristen (in der Regel ein Monat) zu erfüllen:
Definieren Sie einen klaren Prozess: Wer nimmt Anfragen entgegen? Wie wird die Identität des Anfragenden geprüft? Wer sammelt die Daten zusammen? Wer antwortet innerhalb welcher Frist?
Definieren Sie, was bei einer Datenschutzverletzung passiert:
Aus unserer Beratungspraxis kennen wir die typischen Stolpersteine:
1. Das Verzeichnis von Verarbeitungstätigkeiten fehlt oder ist unvollständig Ohne Verarbeitungsverzeichnis gibt es kein Datenschutzkonzept. Es ist die Grundlage für alles andere und nach der Datenschutz-Grundverordnung vorgeschrieben. Und ja: Fast jedes Unternehmen ist zur Führung verpflichtet – auch nach BDSG.
2. Die Datenschutzerklärung ist veraltet Die meisten Datenschutzerklärungen wurden 2018 erstellt und seitdem nicht aktualisiert. Jedes neue Tool, jeder neue Dienstleister muss berücksichtigt werden.
3. Auftragsverarbeitungsverträge fehlen Cloud-Dienste, Newsletter-Tools, Lohnabrechner – für alle brauchen Sie einen AVV. In vielen Unternehmen fehlen mehrere davon.
4. Kein Löschkonzept vorhanden Daten werden "einfach behalten". Ohne Löschkonzept verstoßen Sie gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
5. Mitarbeitende sind nicht geschult Datenschutz funktioniert nur, wenn alle Mitarbeitenden die Grundlagen kennen. Einmalige Schulung bei der Einstellung reicht nicht – jährliche Auffrischung ist Standard.
6. Einwilligungen sind fehlerhaft Einwilligungen müssen freiwillig, informiert, für den konkreten Fall und unmissverständlich sein. Vorangekreuzte Checkboxen, versteckte Klauseln in AGB oder fehlende Widerrufsmöglichkeiten machen die Einwilligung unwirksam. Der Grundsatz der Datensparsamkeit (auch: Datenminimierung) wird dabei häufig verletzt.
7. Das Konzept existiert nur auf Papier Ein Datenschutzkonzept muss gelebt werden. Wenn der dokumentierte Prozess nicht der Realität entspricht, nützt die schönste Dokumentation nichts. Im Audit fällt das sofort auf.
Viele Unternehmen suchen Vorlagen oder eine Muster-Vorlage als Ausgangspunkt für ihr Datenschutzkonzept. Das ist grundsätzlich sinnvoll – eine gute Vorlage spart Zeit bei der Erstellung. Beachten Sie aber: Jedes Datenschutzkonzept muss individuell auf Ihr Unternehmen und Ihre Datenverarbeitung zugeschnitten sein. Eine generische Vorlage zum Download kann immer nur ein Startpunkt sein. Auch der Schutz von Kundendaten muss spezifisch für Ihre Branche und Geschäftsmodelle dokumentiert werden.
Neben dem Datenschutzkonzept empfehlen wir, eine interne Datenschutzrichtlinie zu erstellen. Diese richtet sich an Ihre Mitarbeitenden und definiert verbindliche Regeln und Verantwortlichkeiten für den Umgang mit personenbezogenen Daten im Arbeitsalltag. Der Datenschutzbeauftragte sollte sowohl das Datenschutzkonzept als auch die Datenschutzrichtlinie regelmäßig überprüfen und aktualisiert halten. Die konsequente Einhaltung der Datenschutzrichtlinie stärkt den Schutz des Datenschutzes in Ihrem Unternehmen.
Ein Datenschutzkonzept zu erstellen muss nicht zur Mammutaufgabe werden. Mit professioneller Unterstützung ist ein strukturiertes, solides Konzept in 4–6 Wochen realisierbar.
Datenschutzberatung: Wir begleiten Sie bei der Erstellung Ihres Datenschutzkonzepts – von der Bestandsaufnahme über das Verarbeitungsverzeichnis bis zum fertigen Dokumentenpaket.
Externer Datenschutzbeauftragter: Als Ihr externer DSB erstellen wir das Datenschutzkonzept im Rahmen des Erst-Audits und halten es laufend aktuell. Ab 149 Euro pro Monat.
DSGVO-Audit: Sie haben bereits ein Datenschutzkonzept, sind aber unsicher, ob es vollständig und aktuell ist? Unser Audit prüft systematisch alle Bausteine und liefert einen konkreten Maßnahmenplan.
In unseren Audits sehen wir immer dasselbe Muster: Unternehmen, die sich zum ersten Mal mit ihrem Datenschutzkonzept beschäftigen, sind überrascht, wie viele personenbezogene Daten sie eigentlich verarbeiten. Die Bestandsaufnahme ist der Augenöffner – und der wichtigste Schritt. Wenn Sie wissen, was Sie tun, können Sie es auch schützen.
Nils OehmichenDatenschutzberater bei frag.hugo
Brauchen Sie Unterstützung bei Ihrem Datenschutzkonzept?
Ob Neuerstellung oder Überprüfung – wir helfen Ihnen, ein praxistaugliches Datenschutzkonzept aufzubauen, das Behörden, Kunden und Versicherungen überzeugt.
Erstgespräch buchen →Formal verlangt die DSGVO kein Dokument mit dem Titel "Datenschutzkonzept". Aber die Rechenschaftspflicht (Art. 5 Abs. 2) und die Nachweispflicht (Art. 24) verlangen, dass Sie Ihre Datenschutzmaßnahmen dokumentieren können. Ein Datenschutzkonzept ist der strukturierteste Weg, das zu tun. Praktisch gesprochen: Ja, jedes Unternehmen braucht eines.
Das hängt von der Größe und Komplexität Ihres Unternehmens und der Art der Datenverarbeitung ab. Für ein KMU mit 20–100 Mitarbeitenden rechnen Sie mit 30–60 Seiten Kernkonzept plus Anhänge (Verzeichnis von Verarbeitungstätigkeiten, TOMs, AVVs). Es geht nicht um Seitenzahlen, sondern um Vollständigkeit und Praxisbezug. Der Datenschutzbeauftragte kann die angemessene Tiefe einschätzen.
Grundsätzlich ja. Die DSGVO schreibt nicht vor, dass ein Jurist oder Berater das Konzept erstellt. In der Praxis empfehlen wir aber professionelle Unterstützung – zumindest für die Ersterfassung und das Verarbeitungsverzeichnis. Die rechtlichen Feinheiten (Rechtsgrundlagen, Drittlandtransfers, Folgenabschätzungen) erfordern Fachwissen.
Für ein KMU mit 20–100 Mitarbeitenden bewegen sich die Kosten für eine professionelle Erstellung typischerweise im niedrigen bis mittleren vierstelligen Bereich. Als Kunde unseres externen Datenschutzbeauftragten ist die Erstellung des Datenschutzkonzepts im Erst-Audit enthalten – ab 149 Euro monatlich.
Eine regelmäßige Überprüfung ist Pflicht: Mindestens jährlich sollte das gesamte Datenschutzkonzept überprüft und bei Bedarf aktualisiert werden. Zusätzlich muss es bei wesentlichen Änderungen der Datenverarbeitung angepasst werden: neue Software, neue Dienstleister, neue Verarbeitungstätigkeiten, organisatorische Veränderungen oder neue gesetzliche Anforderungen nach DSGVO oder BDSG. Ihr Datenschutzbeauftragter sollte die Aktualität laufend überwachen und sicherstellen, dass das Datenschutzkonzept stets den aktuellen Stand der Technik und Rechtslage widerspiegelt.
Ein fehlendes Datenschutzkonzept ist kein eigener Bußgeldtatbestand. Aber: Wenn die Aufsichtsbehörde prüft und Sie Ihre DSGVO-Konformität nicht nachweisen können, drohen Bußgelder für die einzelnen Verstöße – fehlende TOMs, fehlendes Verarbeitungsverzeichnis, fehlende AVVs. In der Summe kann das schnell im sechsstelligen Bereich liegen. Dazu kommt der Reputationsschaden, wenn Kunden oder Partner von der Prüfung erfahren. Meldepflichtige Datenpannen verschärfen die Lage zusätzlich, weil die Aufsichtsbehörde dann die gesamte Datenschutzorganisation unter die Lupe nimmt.
Ja. Seit dem Einsatz von KI-Tools wie ChatGPT, Copilot oder Gemini in Unternehmen müssen diese Verarbeitungstätigkeiten im Datenschutzkonzept dokumentiert werden. Das umfasst die Rechtsgrundlage, die Kategorien verarbeiteter Daten und die Verantwortlichkeiten. Besonders bei KI-Anwendungen, die personenbezogene Daten verarbeiten, ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu prüfen. Ihr Datenschutzbeauftragter sollte die KI-Nutzung regelmäßig bewerten.
Die Anforderungen des BDSG ergänzen die DSGVO für deutsche Unternehmen. Das BDSG fordert unter anderem, dass ein Datenschutzbeauftragter bestellt wird, sobald mindestens 20 Mitarbeitende regelmäßig mit der Auftragsdatenverarbeitung oder der automatisierten Verarbeitung personenbezogener Daten befasst sind. Darüber hinaus konkretisiert das BDSG die Anforderungen der DSGVO in Bereichen wie Videoüberwachung, Beschäftigtendatenschutz und der Zusammenarbeit mit der Aufsichtsbehörde. Ihr Datenschutzkonzept sollte sowohl die Anforderungen der DSGVO als auch die des BDSG abdecken, um datenschutzrechtliche Risiken zu minimieren und mit Daten sicher umzugehen.
Das Datenschutzkonzept und das IT-Sicherheitskonzept ergänzen sich und sollten aufeinander abgestimmt sein. Das Datenschutzkonzept regelt den rechtmäßigen Umgang mit personenbezogenen Daten — einschließlich Rechtsgrundlagen, Löschfristen und Betroffenenrechten. Das IT-Sicherheitskonzept definiert die technischen Schutzmaßnahmen für alle Unternehmensdaten und Systeme. Die technischen und organisatorischen Maßnahmen (TOMs) bilden die Schnittstelle: Sie sind sowohl Bestandteil des Datenschutzkonzeptes nach DSGVO als auch des IT-Sicherheitskonzepts. Wer beide Konzepte gemeinsam erstellt, vermeidet Doppelarbeit und stellt die Einhaltung der DSGVO und des BDSG sicher. Der Grundsatz der Datensparsamkeit — also nur die Daten zu verarbeiten, die tatsächlich benötigt werden — wirkt sich dabei direkt auf beide Bereiche aus.
Inhaltsverzeichnis
DSGVO-Bußgeld, Bussgeld und Strafen drohen auch KMU. Erfahren Sie, welche Verstöße am häufigsten von der Aufsichtsbehörde verhängt werden, wie DSGVO Bußgelder berechnet werden und wie Sie Datenschutzverletzungen vermeiden.
WeiterlesenHolen Sie sich die besten Praktiken für den Austausch von Cyber-Bedrohungsinformationen in der Branche, um Ihre Sicherheitsstrategie zu optimieren und sich
WeiterlesenCloud-Umgebungen erfordern ein effektives Schwachstellenmanagement, um sensible Daten zu schützen und den Herausforderungen der Bedrohungslandschaft zu beg
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
