9 Schritte zur Gewährleistung der DSGVO-Konformität

Die Datenschutz-Grundverordnung (DSGVO) ist nach wie vor der Goldstandard für Datenschutzgesetze weltweit und hat Auswirkungen auf jede Organisation, die mit personenbezogenen Daten von EU-Bürgern umgeht. Seit ihrem Inkrafttreten im Jahr 2018 ist die Verordnung gereift – und mit ihr die Durchsetzung.

**Sind Sie im Jahr 2025 DSGVO-konform?****Lassen Sie uns herausfinden, was sich geändert hat, was weiterhin wichtig ist und wie Sie mit Zuversicht vorgehen können.

Was ist die DSGVO (ab 2025)?

‍

Die DSGVO wurde eingeführt, um die Datenschutzgesetze in Europa zu harmonisieren, die Rechte des Einzelnen zu stärken und die Art und Weise, wie Unternehmen den Datenschutz angehen, neu zu gestalten. Seit Beginn der Durchsetzung haben die Aufsichtsbehörden ihre Prüfungen intensiviert. Grenzüberschreitende Datenübertragungen, KI-gesteuerte Profilerstellung und Risiken durch Drittanbieter stehen ganz oben auf der Liste der Auslöser für die Durchsetzung.

Im Jahr 2025 haben neue Datenschutzrahmen zwischen der EU und den USA, eine sich entwickelnde Rechtsprechung und KI-Vorschriften (wie das KI-Gesetz der EU) das Puzzle der Compliance um weitere Schichten erweitert. Bei der DSGVO geht es nicht mehr nur um Checklisten, sondern um den Aufbau von Vertrauen und die Einbettung des Datenschutzes in jede Ebene Ihres Betriebs.

Wer muss sich daran halten?

Ganz gleich, ob Sie ein SaaS-Startup in Berlin oder eine US-amerikanische E-Commerce-Plattform sind, die in die EU verkauft – die Datenschutz-Grundverordnung gilt wahrscheinlich auch für Sie. Die extraterritoriale Reichweite der Verordnung betrifft:

• In der EU ansässige Unternehmen, unabhängig davon, wo die Daten verarbeitet werden
• Nicht-EU-Unternehmen, die EU-Bürgern Waren oder Dienstleistungen anbieten oder deren Verhalten überwachen

2025 Update: Die Schwelle für die Durchsetzung ist gesunken. Regulierungsbehörden gehen nun aktiver gegen KMU und Start-ups vor, insbesondere in Bereichen wie Gesundheitstechnologie, HR-Technologie und Marketingtechnologie.

Was die DSGVO verlangt

‍

Die DSGVO stellt klare Erwartungen an den Umgang von Unternehmen mit personenbezogenen Daten:

• Datenschutz muss von Anfang an in Prozesse und Produkte integriert werden („Datenschutz durch Design und durch datenschutzfreundliche Voreinstellungen“).
• Einzelpersonen haben umfangreiche Rechte, darunter das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit.
• Datenschutzverletzungen müssen innerhalb von 72 Stunden den Behörden gemeldet werden; in bestimmten Fällen auch den betroffenen Personen.
• Die Ernennung eines Datenschutzbeauftragten ist obligatorisch, insbesondere bei sensiblen Daten, KI-Einsatz oder groß angelegter Überwachung.
• Verantwortlichkeiten müssen in Verträgen mit Anbietern klar geregelt sein – die gemeinsame Haftung wird strenger gehandhabt.
• Auch kleine Unternehmen sind verpflichtet, genaue und aktuelle Aufzeichnungen über alle Datenverarbeitungsvorgänge zu führen.

Geldbußen und Trends bei der Durchsetzung

Seit 2018 sind die DSGVO-Bußgelder stark angestiegen. Ab 2025:

• Die Gesamtgeldbußen in der EU belaufen sich auf über 5 Milliarden Euro.
• Höchststrafen bleiben bestehen: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
• Häufige Verstöße: mangelnde Transparenz, fehlende Datensicherheit, unrechtmäßige Datenübermittlung und Missmanagement bei der Einwilligung.

9 Schritte zur Erreichung der DSGVO-Konformität

‍

1. Verstehen Sie das Gesetz (und halten Sie sich auf dem Laufenden)DSGVO ist nicht das einzige Regelwerk, das Sie beachten müssen. Um konform zu bleiben, müssen Sie die sich weiterentwickelnden Vorschriften wie das EU-KI-Gesetz, die noch ausstehende ePrivacy-Verordnung und lokale Datenschutzgesetze im Auge behalten. Urteile von Gremien wie dem Europäischen Datenschutzausschuss (EDPB) haben ebenfalls Einfluss darauf, wie die DSGVO durchgesetzt wird. Es ist wichtig, auf dem Laufenden zu bleiben, sei es durch technische Updates oder durch fachliche Beratung.‍
2. Entwickeln Sie einen Governance-PlanCompliance beginnt mit einer klaren Struktur. Das bedeutet, dass Verantwortlichkeiten über Abteilungen wie die Rechtsabteilung, die IT-Abteilung und den Betrieb hinweg zugewiesen werden, dass Zeitpläne und messbare KPIs festgelegt werden und dass die Führungsebene mit ins Boot geholt wird. So wird sichergestellt, dass der Datenschutz zu einer ständigen Geschäftspriorität wird und nicht nur ein einmaliges Projekt ist.‍
3. Durchführung von Datenaudits und Datenschutzfolgenabschätzungen (PIAs)Verwenden Sie strukturierte Rahmenwerke wie ISO/IEC 27701 oder das NIST Privacy Framework, um zu verstehen, wo Ihre Daten gespeichert sind, wie sie verarbeitet werden und wer Zugriff darauf hat. Diese Audits helfen dabei, Hochrisikobereiche zu erkennen, insbesondere solche, die mit künstlicher Intelligenz zu tun haben, und decken Schwachstellen in den Beziehungen zu Drittanbietern auf, die nach wie vor eine häufige Quelle für Datenschutzverletzungen sind.‍
4. Analysieren Sie Lücken und priorisieren Sie AbhilfemaßnahmenSetzen Sie die Erkenntnisse aus Audits in konkrete Maßnahmen um, indem Sie ermitteln, wo Ihr Unternehmen Defizite aufweist, z. B. bei unklaren Zustimmungsmechanismen oder veralteten Richtlinien zur Datenaufbewahrung. Bewerten Sie den Schweregrad und die Dringlichkeit jedes Problems, und ordnen Sie die Abhilfemaßnahmen nach den Auswirkungen auf das Unternehmen und dem Risiko ein.‍
5. Ernennung oder Überprüfung Ihres DatenschutzbeauftragtenEin Datenschutzbeauftragter ist erforderlich, wenn Ihre Kerntätigkeiten eine groß angelegte Überwachung oder die Verarbeitung von Daten besonderer Kategorien wie Gesundheits- oder biometrische Daten umfassen. In der heutigen Zeit sollte Ihr Datenschutzbeauftragter mit künstlicher Intelligenz und internationalen Datenströmen vertraut sein und in Geschäftsentscheidungen eingebunden sein, anstatt isoliert zu arbeiten.‍
6. Überprüfen Sie Datenübertragungen und Verträge mit LieferantenInternationale Datenübertragungen stehen auf dem Prüfstand. Verwenden Sie gegebenenfalls Standardvertragsklauseln (SCCs) oder verbindliche Unternehmensregeln (BCRs), um die Vorschriften einzuhalten. Stellen Sie sicher, dass in den Verträgen mit den Lieferanten Fristen für die Meldung von Verstößen, Einschränkungen für Unterauftragsverarbeiter und Kündigungsrechte festgelegt sind. Überprüfen Sie diese regelmäßig, um sie an die sich entwickelnden rechtlichen Anforderungen anzupassen.‍
7. Aktualisierung von Datenschutzhinweisen und internen RichtlinienIhre Datenschutzhinweise sollten auf allen Geräten und in mehreren Sprachen zugänglich sein, klar erklären, welche Daten gesammelt werden und warum, und regelmäßig aktualisiert werden, wenn sich Ihr Technologie-Stack weiterentwickelt. Stellen Sie intern sicher, dass die Richtlinien Remote-Arbeitspraktiken, Bring-Your-Own-Device-Risiken und neue Technologien wie KI berücksichtigen.‍
8. Regelmäßige Schulung der MitarbeiterDie Mitarbeiter sind Ihre erste Verteidigungslinie. Schulungen sollten ihnen helfen, Phishing und Social Engineering zu erkennen, auf Datenzugriffs- und -löschungsanfragen zu reagieren und KI-generierte Datensätze wie Chatbot-Protokolle zu verwalten. Rollenspezifische und spielerische Schulungsprogramme sind besonders effektiv, um die Mitarbeiterbindung und das Engagement zu steigern.‍
9. Einführung von Überwachungs- und DokumentationssystemenSchaffen Sie eine Infrastruktur, die Transparenz und Rechenschaftspflicht unterstützt. Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten (Record of Processing Activities, ROPA), überwachen Sie die Datennutzung in Echtzeit, und verfolgen Sie alle Anträge auf Zugang zu personenbezogenen Daten und Vorfälle von Datenschutzverletzungen. Verwenden Sie Tools für das Datenschutzmanagement, die sich in Ihre bestehenden Systeme wie HR, CRM und CMS integrieren lassen, um die Einhaltung der Vorschriften zu optimieren.

Wie Sie Ihre Compliance-Strategie priorisieren

Verwenden Sie diese einfache Matrix:

table, td, th {

table {

th, td {

Prioritätskriterien Zu stellende Fragen

Risikostufe** Könnte dies zu einer Datenverletzung, einer behördlichen Untersuchung oder einer Geldstrafe führen? Verarbeiten wir sensible oder große Datenmengen?

Kritische Geschäftslage Wird die Nichteinhaltung das Vertrauen der Kunden beschädigen, Geschäfte verzögern oder die Marktexpansion (insbesondere in der EU) blockieren?

Aufwand für die Umsetzung Was ist nötig, um dieses Problem zu lösen - Zeit, Kosten, interne Anpassung? Können wir es realistischerweise jetzt umsetzen?

Wiederverwendbarkeit Kann diese Lösung team- oder toolübergreifend eingesetzt werden (z. B. standardisierte Lieferantenvorlagen, wiederverwendbare Schulungsmodule)?