Unser DSGVO Leitfaden für Alle!

DSGVO muss nicht kompliziert sein. Wir haben hier für euch einen kleinen Leitfaden der wichtigsten zu beachtenden Punkte bei der Bearbeitung von Personendaten erstellt. Unser Leitfaden funktioniert gut für Unternehmen verschiedener Größen. Dieser Artikel enthält Werbung für unser Produkt JOUO.

Grundprinzipien verstehen und anwenden

Die folgenden Prinzipien gelten für jede Datenverarbeitung von personenbezogenen Daten. Dabei spielt es keine Rolle, ob ihr mit Stift und Papier, Excel oder mit Datenbanken arbeitet. Ja, ihr habt recht gehört. Diese Grundsätze gelten auch für die Arbeit mit Papier und Stift.
 

  • Rechtmäßigkeit: Für jede Verarbeitung personenbezogener Daten ist eine rechtliche Grundlage erforderlich. Rechtmäßigkeit der Datenverarbeitung bedeutet nach der DSGVO, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn dafür eine gesetzlich zulässige Rechtsgrundlage vorliegt. Ohne eine solche Erlaubnis ist jede Verarbeitung unzulässig.

 

Anhand der folgenden Tabelle könnt ihr leicht prüfen ob eines der Kriterien für Rechtmäßigkeit auf euch zutrifft:

Art der Verarbeitung ja/nein
Habt ihr eine Einwilligung der betroffenen Person (z. B. Zustimmung zum Erhalt eines Newsletters) erhalten und habt ihr diese Einwilligung dokumentiert?  
Ist die Verarbeitung notwendig, um einen Vertrag mit der betroffenen Person zu erfüllen (z. B. Versandadresse für eine Bestellung)?  
Ist die Verarbeitung der Daten, die du sammeln willst, gesetzlich vorgeschrieben (z. B. steuerliche Aufbewahrungspflichten)?  
Sind lebenswichtige Interessen einer betroffenen Person oder einer anderen Person zu schützen (z. B. in einem medizinischen Notfall)?  
Müsst ihr eine Aufgabe im öffentlichen Interesse oder bei der Ausübung öffentlicher Gewalt wahrnehmen?  
Gibt es ein berechtigtes Interesse an der Erfassung von Daten, wie z.B. eine Bonitätsprüfung durch eine Bank. Dies ist erlaubt, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.  

 

  • Zweckbindung: Die Daten nur für festgelegte, eindeutige und legitime Zwecke erheben und nutzen. Ihr könnt die Tabelle oben nutzen, um eure Zwecke zu dokumentieren.
  • Datenminimierung: Nur so viele Daten wie nötig erfassen. Wenn nur die Mailadresse für die Kommunikation benötigt wird, dann verzichtet doch einfach auf das Abfragen weiterer Daten, wie bspw. Adresse. Wenn ihr euren Nutzern ein persönliches Erlebnis liefern wollt, dann fragt auch Name oder Vorname ab. Aber ihr könnt diese Information auch optional erfassen, wenn es sich z.B. um einen Newsletter handelt.
  • Richtigkeit: Die Daten aktuell und korrekt halten. Ein oft übersehener Punkt! Veraltete oder unrichtige Daten sind nicht nur fürs Geschäft schlecht.
  • Aufbewahrung: Daten nicht länger als erforderlich speichern. Gesetzlich vorgegebene Aufbewahrungsfristen sind zu beachten (bspw für Rechnungen).
  • Integrität und Vertraulichkeit: Technische und organisatorische Maßnahmen zum Schutz der Daten treffen.
  • Rechenschaftspflicht: Der Nachweis der Einhaltung aller DSGVO-Vorgaben muss jederzeit möglich sein.
    Ein zentraler Teil dieser Rechenschaftspflicht sind auch die ?Technische Organisatorischen Maßnahmen’ (TOMs).
    Wenn ihr Unterstützung benötigt oder euch der Aufwand zu groß erscheint, dann lasst euch von JOUO bei der Erstellung helfen.
    Hier geht es zum TOM Generator jouo.de. Verfügbar ab 01.08.2025

 

Du musst deine Dokumentationspflichten erfüllen

Diese Verpflichtung gilt tatsächlich auch für Kleinstbetriebe, Einzelunternehmer und Freelancer.

Im Grunde ist es sehr einfach. Erstelle zuerst ein Verzeichnis deiner Verarbeitungstätigkeiten: Erfasse dabei alle Prozesse, bei denen personenbezogene Daten verarbeitet werden (z.B. Kundendaten, Mitarbeiterdaten, Newsletter) usw.

Rechtsgrundlagen und Zwecke dokumentieren: Halte für jede Tätigkeit fest, auf welcher Rechtsgrundlage die Daten erhoben werden und welchem Zweck sie dienen. Nutze dazu als Vorlage die Tabelle Rechtsgrundlagen.

Lege Aufbewahrungsfristen fest: Definiere, wie lange welche Daten gespeichert werden. Unterscheide einfach zwischen gesetzlich vorgeschriebenen Aufbewahrungspflichten wie z.B. Rechnungen und Informationen über Kunden in deinem CRM. Prüfe regelmäßig die Einhaltung der von dir erstellten Fristen. Das erspart dir im Fall eines Schadens Ärger und Aufwand.

 

Informationspflichten umsetzen

Die DSGVO verpflichtet dich dazu, über deine Datenschutzmaßnahmen zu informieren. Erstelle eine verständliche Datenschutzerklärung und veröffentliche die Erklärung z.B. auf deiner Website und verweise in deinen Schriftstücken auf den Link mit der Datenschutzerklärung. Falls du keine Webseite hast, jedoch soziale Profile, füge bspw. einen Hinweis ein, dass deine Datenschutzerklärung auf Anfrage zugestellt werden kann.

Informationspflicht bei bzw. vor der Datenerhebung: Informiere Betroffene (z.B. Kunden, Mitarbeiter) über den Zweck, Umfang und Rechtsgrundlage der Datenerhebung sowie über ihre Rechte (Auskunft, Löschung, Widerspruch). Auch wenn du diese Informationen für selbstverständlich hältst, solltest du diesen Vorgang dokumentieren.

Technisch-organisatorische Maßnahmen (TOMs)

TOMs sind ein wichtiger Bestandteil deiner Datenschutzstrategie und du solltest wissen, was es mit dieser Anforderung auf sich hat.

TOMs beschreiben alle technischen UND organisatorischen Maßnahmen, die du in deinem Unternehmen triffst. Dazu gehören die Beschreibung und der Schutz des Ablageortes für mit Stift und Papier erstellte Dokumente, dazu gehört die Infrastruktur in deinem Büro, Netzwerk, Arbeitsplatzrechner und Server und dazu gehört auch deine IT und Internet Infrastruktur.

Welche Informationen müssen in einem TOM enthalten sein:

Beschränkst du die Zugriffsrechte deiner Mitarbeiter und Dienstleister? Beschreibe, welche Personen Zugriff auf Daten in deinem Unternehmen haben. Beschreibe z.B., dass nur befugte Personen Zugriff auf personenbezogene Daten erhalten und dass dafür z.B. ein Passwort benötigt wird.

Im Internet gibt es zahlreiche Tools, mit denen dir die Erstellung von TOMs erleichtert wird.

Mit einem Abo bei JOUO erhältst du nicht nur einen Überblick über die Risiken deines Internetangebotes sondern auch auch den TOM Generator, mit dessen Hilfe du ab 01.08.2025 leicht deine TOMS selbst erstellen kannst jouo.de

 

Datensicherheit und Datenintegrität gehören ebenfalls zu den Grundprinzipien der DSGVO

Zum Schutz deiner Daten musst du mit Passwortschutz und Verschlüsselung deine IT-Systeme und Daten sichern.

Backups: Mit regelmäßigen Datensicherungen schützt du dich vor Datenverlust.

Schulungen: Du solltest deine Mitarbeitenden regelmäßig für Datenschutz sensibilisieren. Diese Aufgabe kannst du selbst übernehmen oder Dienstleister dafür beauftragen.

 

Auftragsverarbeitung regeln

Was bedeutet das für dich?

Für deine externen Dienstleister (z.B. IT, Cloudanbieter oder deine Lohnbuchhaltung) solltest du Auftragsverarbeitungsverträge (AVV) abschließen. Viele Anbieter kommen von sich aus mit den entsprechenden Verträgen zu dir. Der AVV ist ein wesentlicher Bestandteil deines Datenschutzkonzeptes.

Prüfe, ob für alle deine Dienstleister Auftragsverarbeitungsverträge vorliegen.

Hier einige Beispiele für Auftragsverarbeitung:

  • Nutzung von Cloud- oder SaaS-Diensten für Kundendaten
  • Externes Hosting von Websites oder Datenbanken
  • Wartungsverträge von IT Dienstleistern
  • Einsatz von Newsletter- oder Marketing-Tools
  • Externe Lohn- und Gehaltsabrechnung

JOUO hilft dir dabei, die Infrastruktur zu erkennen, für die du unter Umständen einen AVV benötigst: jouo.de

Verträge, Verträge, Verträge: Du solltest prüfen, ob deine Dienstleister DSGVO-konform arbeiten. Dazu kannst du die Datenschutzerklärungen deiner Dienstleister als PDF herunterladen und speichern. .

Betroffenenrechte gewährleisten: Anfragen zeitnah beantworten

Datenschutz und damit die DSGVO werden nach unserem Geschmack viel zu häufig als Entschuldigung für Hemmnisse bei der Digitalisierung wahrgenommen. Tatsächlich ist der Datenschutz ein sinnvolles Instrument zur Wahrung unserer Rechte als Nutzer und Verbraucher. Genau so sollten wir die DSGVO auch als Unternehmer wahrnehmen und anwenden.

Das heißt, dass wir Anfragen von Betroffenen (z.B. Auskunft, Löschung, Berichtigung) zeitnah und vollständig beantworten müssen. Tatsächlich ist es sehr einfach, solche Anfragen zu beantworten, wenn alles vorgängig korrekt dokumentiert wurde.

Daher: Lege z.B. Prozesse für die Beantwortung von Nutzeranfragen fest. Das wird dir im Fall einer Datenschutzanfrage viel Aufregung und Zeit ersparen. Bei der Beschreibung deiner Prozesse kannst du auch gleich die Ablageorte für deine Dokumente festlegen.

Datenschutzverletzungen melden

Meldepflicht: Datenschutzverletzungen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde deines Unternehmensstandortes gemeldet werden. Wenn du den Verdacht hast, dass personenbezogene Daten von Kriminellen kopiert, d.h. gestohlen worden sind, bist du zur Meldung dieses Vorfalls verpflichtet. Dabei unterstützt dich dein regionales Vorfallmanagement der Polizei.

Vorfallmanagement etablieren: Definiere klare Abläufe für den Ernstfall. Du findest Vorlagen im Internet.

Datenschutzbeauftragter (DSB)

Für Unternehmen ab 20 Beschäftigten gilt: Ab 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten, muss ein DSB benannt werden. Dieser kann intern sein oder extern beauftragt werden

Für kleinere Unternehmen: Ein DSB kann sinnvoll sein, ist aber nicht zwingend vorgeschrieben.

Melde dich bei JOUO an und erhalte regelmäßig Informationen über Datensicherheit und Datenschutz deiner IT Infrastruktur.

Datenschutz als kontinuierlichen Prozess verstehen

Dein Geschäft und deine Geschäftsbeziehungen verändern sich kontinuierlich. Deshalb ist die regelmäßige Überprüfung und Anpassung deiner Datenschutzmaßnahmen nötig.

Neue Projekt oder Aufträge solltest du immer auch unter Datenschutzaspekten betrachten und bewerten. Sei es auf der Baustelle oder in einem Kaffeehaus. Vergiss nicht, dass auch handgeschriebene Listen mit persönlichen Informationen deiner Kunden oder Mitarbeiter unter den Datenschutz fallen.

 

Zum Schluss unsere Schritt-für-Schritt Anleitung

  • Bestandsaufnahme: Welche personenbezogenen Daten werden wo und wie verarbeitet?
  • Verzeichnis der Verarbeitungstätigkeiten anlegen.
  • Datenschutzerklärung und Informationspflichten umsetzen.
  • Technisch-organisatorische Maßnahmen prüfen und ggf. verbessern.
  • Verträge mit Dienstleistern prüfen/abschließen.
  • Mitarbeitende schulen.
  • Prozesse für Betroffenenrechte und Datenschutzverletzungen festlegen.
  • Regelmäßige Überprüfung und Anpassung.

 

Zu guter Letzt, prüfe mit JOUO, ob du alle Informationen über deine Web- Infrastruktur und deren Sicherheit besitzt. Für die DSGVO musst du bei Anfragen auch Auskunft geben können, wie deine Webinfrastruktur gesichert ist, ob dir Schwachstellen bekannt sind und wie diese geschützt sind. Lies hierzu auch unseren Artikel: Bring deinen Laden in Ordnung!

 

Einfach kostenlos anmelden und einen ersten SCAN durchführen: jouo.de

 

Wenn dir JOUO nützlich erscheint, dann kannst du jederzeit online ein JOUO Abo abschließen. Mit dem Abo erhältst du eine detaillierte Einsicht und kannst zusätzlich auch die JOUO TOM-Funktionalität hinzubuchen. Alle unsere Abos können monatlich gekündigt werden.

Mit JOUO Surface Attack Monitoring stärken Sie nachhaltig Ihre Cyber-Resilienz. 

Zum JOUO Angebot