DSGVO-Checkliste: 10 Schritte

DSGVO-Checkliste: In 10 Schritten zur Compliance

Die Datenschutz-Grundverordnung umfasst 99 Artikel und berührt nahezu jeden Unternehmensprozess. Diese Checkliste bricht die Anforderungen in zehn konkrete Schritte herunter — von der Bestandsaufnahme bis zur Audit-Readiness. Jeder Schritt enthält konkrete Maßnahmen und einen Zeitvergleich: Wie lange dauert es mit einem GRC-Tool wie Kopexa im Vergleich zur manuellen Umsetzung?

Schritt 1: Bestandsaufnahme aller Verarbeitungstätigkeiten

Bevor du DSGVO-Compliance aufbauen kannst, musst du wissen, welche personenbezogenen Daten in deinem Unternehmen verarbeitet werden. Erfasse alle Prozesse, in denen personenbezogene Daten erhoben, gespeichert, genutzt oder weitergegeben werden.

• Interviews mit allen Fachabteilungen durchführen
• IT-Systeme und Anwendungen inventarisieren
• Datenflüsse dokumentieren (intern und extern)
• Drittländer-Übermittlungen identifizieren

Ohne Tool: 3–6 Wochen | Mit Kopexa: 1–2 Wochen (Vorlagen und Fragenkataloge für Fachabteilungen)

Schritt 2: Verarbeitungsverzeichnis erstellen

Auf Basis der Bestandsaufnahme erstellst du das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Für jede Verarbeitungstätigkeit dokumentierst du Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Löschfristen und TOMs.

• Pflichtinhalte nach Art. 30 Abs. 1 vollständig erfassen
• Rechtsgrundlage für jede Verarbeitung zuordnen
• Löschfristen mit gesetzlichen Aufbewahrungspflichten abgleichen
• Bei Auftragsverarbeitung: separates Verzeichnis nach Abs. 2

Ohne Tool: 2–4 Wochen | Mit Kopexa: 3–5 Tage (strukturierte Eingabemasken, automatische Verknüpfungen)

Schritt 3: Rechtsgrundlagen prüfen

Jede Verarbeitung benötigt eine Rechtsgrundlage nach Art. 6 DSGVO. Prüfe für jede Verarbeitungstätigkeit, ob die gewählte Rechtsgrundlage korrekt ist und dokumentiert werden kann.

• Einwilligungen: Sind sie freiwillig, informiert, spezifisch und eindeutig? Ist der Widerruf dokumentiert?
• Vertragserfüllung: Sind nur die für den Vertrag notwendigen Daten erfasst?
• Berechtigtes Interesse: Ist die Interessenabwägung dokumentiert?
• Besondere Datenkategorien (Art. 9): Liegt ein Ausnahmetatbestand vor?

Ohne Tool: 1–2 Wochen | Mit Kopexa: 2–3 Tage (Rechtsgrundlagen-Zuordnung im Verarbeitungsverzeichnis)

Schritt 4: Technische und organisatorische Maßnahmen dokumentieren

Dokumentiere alle technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO: Verschlüsselung, Zugangskontrolle, Backup, Pseudonymisierung und regelmäßige Überprüfungsverfahren.

• Maßnahmen nach Schutzziel kategorisieren (Vertraulichkeit, Integrität, Verfügbarkeit)
• Verantwortliche für jede Maßnahme benennen
• Überprüfungsintervalle festlegen
• Nachweise (Zertifikate, Testberichte) zuordnen

Ohne Tool: 2–3 Wochen | Mit Kopexa: 3–5 Tage (Maßnahmenkatalog mit Vorlagen, automatisches Tracking)

Schritt 5: Datenschutzbeauftragten benennen

Prüfe, ob dein Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Nach BDSG ist das in Deutschland ab 20 Mitarbeitern der Fall, die regelmäßig personenbezogene Daten verarbeiten. Bei Kernverarbeitungen mit besonderen Datenkategorien oder systematischer Überwachung gilt die Pflicht unabhängig von der Unternehmensgröße.

• Entscheidung: interner oder externer DSB
• Benennung formal dokumentieren und Meldung an Aufsichtsbehörde
• Stellung und Aufgaben nach Art. 37–39 sicherstellen
• DSB in Datenschutzprozesse einbinden

Ohne Tool: 1 Woche | Mit Kopexa: 1–2 Tage (Checkliste und Dokumentationsvorlage)

Schritt 6: Betroffenenrechte-Prozess einrichten

Betroffene haben umfangreiche Rechte nach Art. 15–22 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Du brauchst einen dokumentierten Prozess, um diese Anfragen fristgerecht (in der Regel innerhalb eines Monats) zu bearbeiten.

• DSAR-Prozess definieren: Eingang, Identitätsprüfung, Bearbeitung, Antwort
• Fristen im System hinterlegen (1 Monat, verlängerbar auf 3 Monate)
• Antwortvorlagen für typische Anfragen erstellen
• Audit-Trail für Nachweisführung sicherstellen

Ohne Tool: 2–3 Wochen | Mit Kopexa: 3–5 Tage (DSAR-Workflow mit Fristenverwaltung und Vorlagen)

Schritt 7: Auftragsverarbeitung regeln

Identifiziere alle Dienstleister, die personenbezogene Daten in deinem Auftrag verarbeiten, und schließe Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO ab. Bei Dienstleistern in Drittländern muss zusätzlich ein Transfermechanismus dokumentiert werden.

• Auftragsverarbeiter-Register führen
• AVV-Pflichtinhalte prüfen (Art. 28 Abs. 3)
• Sub-Auftragsverarbeiter dokumentieren
• TOMs der Dienstleister einfordern und prüfen

Ohne Tool: 2–4 Wochen | Mit Kopexa: 1–2 Wochen (Vendor-Management mit AVV-Tracking)

Schritt 8: Datenpannen-Prozess etablieren

Art. 33 DSGVO verlangt die Meldung von Datenpannen an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden. Du brauchst einen funktionierenden Prozess, der sicherstellt, dass Datenpannen erkannt, bewertet und fristgerecht gemeldet werden.

• Meldeweg intern definieren: Wer meldet an wen?
• Bewertungsschema: Risiko für Betroffene einschätzen
• Meldeformulare der Aufsichtsbehörde bereithalten
• Dokumentation aller Vorfälle (auch der nicht meldepflichtigen)
• Benachrichtigung der Betroffenen bei hohem Risiko (Art. 34)

Ohne Tool: 1–2 Wochen | Mit Kopexa: 2–3 Tage (Incident-Management mit Eskalationsworkflow)

Schritt 9: Datenschutzhinweise und Einwilligungen aktualisieren

Prüfe alle Datenschutzhinweise (Website, App, Formulare, Verträge) auf Vollständigkeit und Verständlichkeit. Art. 13 und 14 DSGVO definieren die Pflichtinformationen. Einwilligungen müssen den Anforderungen von Art. 7 entsprechen.

• Datenschutzerklärung der Website: alle Pflichtangaben nach Art. 13
• Cookie-Banner: Einwilligung vor dem Setzen nicht notwendiger Cookies
• Einwilligungstexte: klar, verständlich, spezifisch
• Widerrufsrecht: einfach und jederzeit möglich

Ohne Tool: 1–2 Wochen | Mit Kopexa: 2–3 Tage (Vorlagen und Compliance-Checks)

Schritt 10: Audit-Readiness herstellen

Der letzte Schritt ist die Herstellung der Audit-Readiness: Kannst du bei einer Prüfung durch die Aufsichtsbehörde alle erforderlichen Nachweise vorlegen? Die Rechenschaftspflicht (Art. 5 Abs. 2) verlangt, dass du die Einhaltung der DSGVO jederzeit nachweisen kannst.

• Alle Dokumentationen auf Vollständigkeit prüfen
• Interne Audits durchführen
• Schulungsnachweise der Mitarbeiter sammeln
• Überprüfungsrhythmen für alle Dokumente festlegen
• Eskalationswege und Verantwortlichkeiten dokumentieren

Ohne Tool: 2–3 Wochen | Mit Kopexa: 3–5 Tage (Dashboard mit Compliance-Status, automatische Erinnerungen)

Gesamtübersicht: Zeitvergleich

Die Zeitersparnis mit einem GRC-Tool liegt bei typischerweise 60–70 %. Die größten Einsparungen ergeben sich bei der Dokumentation (Verarbeitungsverzeichnis, TOMs) und bei der Einrichtung wiederholbarer Prozesse (Betroffenenrechte, Datenpannen-Meldung).

Detaillierte Informationen zu den einzelnen Themen findest du auf den jeweiligen Unterseiten: DSGVO-Anforderungen, Verarbeitungsverzeichnis, TOMs, Betroffenenrechte, Auftragsverarbeitung und Meldepflicht. Falls du bereits ISO 27001 zertifiziert bist, hilft dir unser ISO 27001 Mapping, bereits abgedeckte Anforderungen zu identifizieren.