“Haben Sie Ihre Datenschutzdokumentation griffbereit?”
Diese Frage stellt die Aufsichtsbehörde bei jeder Prüfung. Und sie erwartet eine Antwort innerhalb weniger Tage. Nicht in Wochen. Nicht irgendwann.
Die Realität in vielen KMU: Es gibt eine Datenschutzerklärung auf der Website. Vielleicht ein Verarbeitungsverzeichnis in einer Excel-Tabelle. Aber eine vollständige, aktuelle DSGVO-Dokumentation? Fehlanzeige.
Das Problem: Die DSGVO kennt keine Schonfrist für unvollständige Dokumentation. Art. 5 Abs. 2 DSGVO – die sogenannte Rechenschaftspflicht – verpflichtet jedes Unternehmen, die Einhaltung der Datenschutzgrundsätze nachzuweisen. Wer das nicht kann, verstößt bereits gegen die DSGVO. Unabhängig davon, ob die Datenverarbeitung selbst korrekt ist.
Die Rechenschaftspflicht (Accountability) ist einer der sieben Grundsätze der DSGVO. Sie besagt: Der Verantwortliche muss nicht nur die Datenschutzgrundsätze einhalten. Er muss die Einhaltung auch nachweisen können.
Das klingt nach einer Formalität. Ist es nicht.
Anders als im Strafrecht muss die Aufsichtsbehörde nicht beweisen, dass Sie gegen die DSGVO verstoßen. Sie müssen beweisen, dass Sie alles richtig machen. Fehlt die Dokumentation, fehlt der Nachweis – und damit liegt bereits ein Verstoß vor.
Konkret bedeutet das: Wenn die Datenschutzbehörde bei Ihnen anklopft – etwa nach einer Beschwerde eines Kunden oder einer Datenpanne – müssen Sie belegen können, dass Sie:
All das geht nur mit Dokumentation.
Die DSGVO nennt den Begriff “Dokumentationspflicht” nicht explizit. Aber aus verschiedenen Artikeln ergibt sich eine klare Liste von Dokumenten, die jedes Unternehmen vorhalten muss. Die folgende Tabelle zeigt alle DSGVO-Pflichtdokumente mit der jeweiligen Rechtsgrundlage:
| Dokument | DSGVO-Artikel | Pflicht für KMU? | Beschreibung |
|---|---|---|---|
| Verarbeitungsverzeichnis (VVT) | Art. 30 | Ja | Alle Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Empfänger, Löschfristen |
| Technisch-organisatorische Maßnahmen (TOMs) | Art. 32 | Ja | Dokumentation aller Schutzmaßnahmen für personenbezogene Daten |
| Auftragsverarbeitungsverträge (AVVs) | Art. 28 | Ja | Verträge mit allen Dienstleistern, die in Ihrem Auftrag Daten verarbeiten |
| Datenschutzerklärung | Art. 13/14 | Ja | Information für Betroffene über die Datenverarbeitung |
| Löschkonzept | Art. 17, Art. 5 Abs. 1 lit. e | Ja | Aufbewahrungsfristen und Löschprozesse |
| Einwilligungsnachweise | Art. 7 | Ja, wenn Einwilligung als Rechtsgrundlage | Dokumentation aller erteilten und widerrufenen Einwilligungen |
| Datenschutz-Folgenabschätzung (DSFA) | Art. 35 | Bei Risikoverarbeitungen | Risikoanalyse für besonders sensible Verarbeitungen |
| Meldeprozess Datenpannen | Art. 33/34 | Ja | Dokumentiertes Verfahren für Datenschutzverletzungen |
| Betroffenenrechte-Prozess | Art. 15–22 | Ja | Dokumentierte Abläufe für Auskunft, Löschung, Widerspruch |
| Schulungsnachweise | Art. 39 Abs. 1 lit. b | Ja | Nachweis regelmäßiger Datenschutzschulungen |
Wer ein Datenschutzkonzept erstellt hat, deckt viele dieser Punkte bereits ab. Aber: Einzelne Bausteine wie das Verarbeitungsverzeichnis oder das Löschkonzept müssen als eigenständige Dokumente vorliegen.
Unser Datenschutzberater Nils kennt die Reaktion aus dutzenden Erstgesprächen:
“Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.”
Das Gegenteil ist der Fall. Eine saubere Dokumentation schützt Sie. Sie ist Ihr Beweis, dass Sie Datenschutz ernst nehmen. Und sie reduziert im Ernstfall das Bußgeld erheblich – denn die Aufsichtsbehörde berücksichtigt bei der Bemessung, wie kooperativ und wie gut dokumentiert ein Unternehmen aufgestellt ist.
In der Praxis sehen wir bei kleinen und mittleren Unternehmen immer wieder dieselben Lücken:
1. Verarbeitungsverzeichnis fehlt oder ist veraltet. Viele Unternehmen haben ein VVT einmal erstellt – etwa bei der DSGVO-Einführung 2018. Seitdem wurde es nicht aktualisiert. Neue Tools, neue Dienstleister, neue Prozesse sind nicht erfasst.
2. AVVs sind unvollständig. Cloud-Dienste, E-Mail-Marketing, Lohnbuchhaltung, CRM – für jeden dieser Dienstleister brauchen Sie einen Auftragsverarbeitungsvertrag. Bei den meisten KMU fehlen 30 bis 50 Prozent der AVVs.
3. Kein Löschkonzept. Daten werden unbegrenzt gespeichert. Aber Art. 17 DSGVO verlangt die Löschung, sobald der Zweck entfällt. Ohne dokumentierte Löschfristen und Löschprozesse verstoßen Sie gegen die Speicherbegrenzung.
4. Kein dokumentierter Meldeprozess. Wenn eine Datenpanne passiert, haben Sie 72 Stunden. Ohne vorbereiteten Prozess verlieren Sie wertvolle Zeit – und riskieren ein zusätzliches Bußgeld wegen verspäteter Meldung.
5. Schulungen nicht nachgewiesen. Mitarbeitende wurden vielleicht mündlich informiert. Aber ohne Teilnahmelisten oder Zertifikate gibt es keinen Nachweis.
Nutzen Sie diese Checkliste, um Ihre DSGVO-Dokumentation zu prüfen:
Nicht sicher, wo Sie stehen? Mit dem frag.hugo Datenschutz-Check finden Sie es in wenigen Minuten heraus.
Dokumentation lückenhaft?
Wir prüfen Ihre DSGVO-Dokumentation und füllen die Lücken – systematisch und pragmatisch.
Dokumentations-Check anfragen →Der Aufbau einer vollständigen DSGVO-Dokumentation muss kein Mammutprojekt sein. Gehen Sie in drei Phasen vor:
Phase 1: Bestandsaufnahme (1–2 Wochen). Erfassen Sie alle Verarbeitungstätigkeiten und vorhandenen Dokumente. Identifizieren Sie die Lücken. Priorisieren Sie nach Risiko.
Phase 2: Kerndokumente erstellen (2–4 Wochen). Beginnen Sie mit dem Verarbeitungsverzeichnis. Es bildet die Grundlage für alle weiteren Dokumente. Dann folgen TOMs, AVVs und Löschkonzept.
Phase 3: Prozesse etablieren (laufend). Richten Sie feste Termine für die jährliche Überprüfung ein. Schulen Sie Mitarbeitende. Dokumentieren Sie Änderungen.
Ein externer Datenschutzbeauftragter kann diesen Prozess begleiten und sicherstellen, dass nichts vergessen wird. Der BfDI (Bundesbeauftragte für den Datenschutz) stellt zudem hilfreiche Orientierungshilfen bereit.
Die DSGVO-Dokumentationspflichten sind kein Selbstzweck. Sie sind Ihr Schutzschild. Wer sauber dokumentiert, kann bei einer Prüfung gelassen reagieren, reduziert Bußgeldrisiken und schafft Vertrauen bei Kunden und Geschäftspartnern. Starten Sie mit dem Verarbeitungsverzeichnis, arbeiten Sie die Checkliste ab – und halten Sie Ihre Dokumentation aktuell. Mindestens einmal pro Jahr.
Die Hamburgische Datenschutzbehörde hat in ihren Tätigkeitsberichten mehrfach betont, dass lückenhafte Dokumentation einer der häufigsten Mängel bei Prüfungen ist. Hamburger Unternehmen aus dem E-Commerce — einem der stärksten Wirtschaftszweige der Stadt — stehen dabei besonders im Fokus, weil sie große Mengen personenbezogener Daten verarbeiten. Wer seine Nachweispflichten systematisch erfüllen will, findet in unserer DSGVO-Beratung für Hamburg einen pragmatischen Einstieg: Wir bauen Ihre Dokumentation Schritt für Schritt auf.
Pflichtdokumente sind mindestens: Verarbeitungsverzeichnis (Art. 30), TOM-Dokumentation (Art. 32), Datenschutzerklärung (Art. 13/14), Auftragsverarbeitungsverträge (Art. 28) und Nachweise über Einwilligungen, sofern diese als Rechtsgrundlage dienen.
Sie müssen nicht nur die DSGVO einhalten, sondern dies auch nachweisen können. Die Beweislast liegt bei Ihnen. Ohne Dokumentation können Sie bei einer Prüfung nicht belegen, dass Sie rechtskonform arbeiten.
Die DSGVO nennt keine feste Frist, aber die dreijährige Regelverjährung (§ 195 BGB) ist ein guter Anhaltspunkt. Einwilligungsnachweise sollten Sie so lange aufbewahren, wie die Verarbeitung auf der Einwilligung basiert – und drei Jahre darüber hinaus.
Fehlende Dokumentation ist ein eigenständiger DSGVO-Verstoß. Aufsichtsbehörden können Bußgelder bis 10 Millionen Euro oder 2 % des Jahresumsatzes verhängen. In der Praxis führen Dokumentationslücken oft zu Nachfristen und Anordnungen.
In der Regel ja. Die Ausnahme für Unternehmen unter 250 Mitarbeitern greift nur, wenn die Verarbeitung nicht regelmäßig erfolgt. Da praktisch jedes Unternehmen regelmäßig Kunden- oder Mitarbeiterdaten verarbeitet, gilt die Pflicht fast immer.
Inhaltsverzeichnis
Verarbeitungsverzeichnis nach DSGVO Art. 30 erstellen: Schritt-für-Schritt-Anleitung mit Vorlage und Beispielen für Hamburger KMU.
WeiterlesenDatenschutzaudit durchführen: Kompletter Ablauf in 6 Schritten, typische Kosten und detaillierte Prüf-Checkliste für Hamburger KMU.
WeiterlesenDatenschutzbeauftragter bestellen: Der komplette Ablauf in 5 Schritten für Hamburger Unternehmen – von der Pflichtprüfung bis zur Behördenmeldung.
Weiterlesen Über den Autor
Co-Founder
Jens ist Co-Founder und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Mit über 20 Jahren IT-Erfahrung verbindet er technisches Know-how mit strategischem Denken, um Datenschutz und Compliance für KMU zugänglich zu machen.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
