2026-03-08
By Emre SalmanogluDatenschutz: Der umfassende Leitfaden für Compliance- und Sicherheitsteams
Erfahren Sie, wie Sie Datenschutzkontrollen implementieren, die DSGVO, ISO 27001, SOC 2, NIS2 und DORA erfüllen. Behandelt Datenklassifizierung, Einwilligungsmanagement, DSFAs, Betroffenenrechte und Compliance-Nachweise.
Datenschutz
DSGVO
Datenschutz-Grundverordnung
Privacy by Design
Compliance
Was ist Datenschutz?
Datenschutz ist die Disziplin, die sicherstellt, dass personenbezogene Daten in Übereinstimmung mit gesetzlichen Anforderungen und individuellen Rechten erhoben, verarbeitet, gespeichert und geteilt werden. Er regelt die Regeln, wie Organisationen mit personenbezogenen Daten umgehen — von der Einholung der Einwilligung bis zur Löschung — und gibt Einzelpersonen Kontrolle über ihre Informationen.
In der regulatorischen Landschaft der DSGVO, CCPA und weltweit aufkommender Datenschutzgesetze ist Datenschutz zu einem Vorstandsthema geworden, das dedizierte Prozesse, Technologien und Governance-Strukturen erfordert.
Datenschutzgrundsätze
| Grundsatz | Beschreibung | DSGVO-Artikel |
|---|---|---|
| Rechtmäßigkeit, Fairness, Transparenz | Daten rechtmäßig, fair und transparent verarbeiten | Art. 5(1)(a) |
| Zweckbindung | Daten für festgelegte, eindeutige, legitime Zwecke erheben | Art. 5(1)(b) |
| Datenminimierung | Nur das Notwendige erheben | Art. 5(1)(c) |
| Richtigkeit | Personenbezogene Daten korrekt und aktuell halten | Art. 5(1)(d) |
| Speicherbegrenzung | Daten nur so lange wie nötig aufbewahren | Art. 5(1)(e) |
| Integrität und Vertraulichkeit | Daten mit angemessener Sicherheit schützen | Art. 5(1)(f) |
| Rechenschaftspflicht | Einhaltung aller Grundsätze nachweisen | Art. 5(2) |
Rechtsgrundlagen für die Verarbeitung
| Rechtsgrundlage | Wann zu verwenden | Beispiele |
|---|---|---|
| Einwilligung | Einzelperson gibt frei informierte Zustimmung | Marketing-E-Mails, Cookies, Analytics |
| Vertrag | Verarbeitung zur Vertragserfüllung notwendig | Auftragsabwicklung, Serviceerbringung |
| Rechtliche Verpflichtung | Verarbeitung gesetzlich vorgeschrieben | Steuerberichterstattung, regulatorische Meldungen |
| Lebenswichtige Interessen | Schutz des Lebens einer Person | Notfall-Datenaustausch im Gesundheitswesen |
| Öffentliches Interesse | Verarbeitung zum öffentlichen Nutzen | Öffentliche Gesundheit, Archivierung |
| Berechtigte Interessen | Geschäftsbedürfnis abgewogen gegen individuelle Rechte | Betrugsprävention, Netzwerksicherheit |
Betroffenenrechte
| Recht | DSGVO-Artikel | Antwortfrist | Zentrale Anforderungen |
|---|---|---|---|
| Auskunft | Art. 15 | 1 Monat | Kopie aller personenbezogenen Daten bereitstellen |
| Berichtigung | Art. 16 | 1 Monat | Unrichtige Daten korrigieren |
| Löschung | Art. 17 | 1 Monat | Daten löschen, wenn nicht mehr benötigt |
| Einschränkung | Art. 18 | 1 Monat | Verarbeitung begrenzen, während Streitigkeiten gelöst werden |
| Datenübertragbarkeit | Art. 20 | 1 Monat | Daten in maschinenlesbarem Format bereitstellen |
| Widerspruch | Art. 21 | 1 Monat | Verarbeitung für berechtigte Interessen stoppen |
| Automatisierte Entscheidungen | Art. 22 | 1 Monat | Recht, keiner automatisierten Entscheidung unterworfen zu werden |
Datenschutz-Folgenabschätzung (DSFA)
| Phase | Aktivitäten | Ergebnis |
|---|---|---|
| Screening | Feststellen, ob DSFA erforderlich (Hochrisiko-Verarbeitung) | DSFA-Erforderlichkeitsbewertung |
| Beschreibung | Verarbeitungsaktivität, Datenflüsse, Zwecke dokumentieren | Verarbeitungsbeschreibung |
| Erforderlichkeitsbewertung | Verhältnismäßigkeit und Datenminimierung bewerten | Erforderlichkeits- und Verhältnismäßigkeitsanalyse |
| Risikoidentifizierung | Risiken für Rechte und Freiheiten der Betroffenen identifizieren | Risikoregister |
| Risikominderung | Maßnahmen zur Adressierung identifizierter Risiken bestimmen | Minderungsplan |
| DSB-Konsultation | Beratung durch den Datenschutzbeauftragten einholen | DSB-Stellungnahme |
| Dokumentation | Bewertung, Entscheidungen und Restrisiken aufzeichnen | DSFA-Bericht |
Aufbewahrungsrahmen
| Datenkategorie | Typische Aufbewahrung | Rechtsgrundlage | Löschungsmethode |
|---|---|---|---|
| Kundenverträge | Laufzeit + 6 Jahre | Rechtliche Verpflichtung (Verjährungsfrist) | Sichere Löschung |
| Beschäftigtendaten | Laufzeit + 7 Jahre | Rechtliche Verpflichtung (Steuer-, Arbeitsrecht) | Sichere Löschung |
| Marketing-Einwilligung | Bis zum Widerruf | Einwilligung | Sofortige Entfernung |
| Website-Analytics | 26 Monate | Berechtigtes Interesse | Automatische Löschung |
| Sicherheits-Logs | 1-5 Jahre | Berechtigtes Interesse / rechtliche Verpflichtung | Automatische Löschung |
| Backup-Daten | 90 Tage rollierend | Berechtigtes Interesse | Automatische Rotation |
Internationale Datenübermittlungen
| Mechanismus | Anwendungsfall | Komplexität |
|---|---|---|
| Angemessenheitsbeschluss | Übermittlungen in Länder mit angemessenem Schutz | Niedrig |
| Standardvertragsklauseln (SVK) | Häufigster Mechanismus für Drittlandübermittlungen | Mittel |
| Binding Corporate Rules (BCR) | Konzerninterne Übermittlungen in multinationalen Unternehmen | Hoch |
| Ausnahmen | Ausdrückliche Einwilligung, Vertragserfordernis | Einzelfallbasis |
| EU-US Data Privacy Framework | Übermittlungen an zertifizierte US-Unternehmen | Mittel |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | DSGVO | ISO 27001 | SOC 2 | NIS2 |
|---|---|---|---|---|
| Datenschutzrichtlinie | Art. 13-14 | A.5.34 | P1.1 | Art. 21 |
| Einwilligungsmanagement | Art. 6-7 | A.5.34 | P3.1 | — |
| Betroffenenrechte | Art. 15-22 | A.5.34 | P4.1-P8.1 | — |
| Verarbeitungsverzeichnis | Art. 30 | A.5.34 | P1.2 | — |
| DSFA | Art. 35 | A.5.34 | — | Art. 21(2)(a) |
| Meldung von Datenschutzverletzungen | Art. 33-34 | A.5.24 | CC7.3 | Art. 23 |
| Internationale Übermittlungen | Art. 44-49 | A.5.34 | P5.1 | — |
| Datenschutzbeauftragter | Art. 37-39 | — | — | — |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Datenschutzrichtlinie | Veröffentlichte, aktuelle Datenschutzerklärung | Alle Frameworks |
| Verarbeitungsverzeichnis (VVT) | Vollständiges Inventar der Verarbeitungstätigkeiten | DSGVO, ISO 27001 |
| Einwilligungsaufzeichnungen | Nachweis gültiger Einwilligungseinholung und -verwaltung | DSGVO |
| DSFA-Berichte | Abgeschlossene Bewertungen für Hochrisiko-Verarbeitung | DSGVO, NIS2 |
| Betroffenenanfragen-Protokoll | Aufzeichnungen eingegangener Anfragen und Antworten | DSGVO |
| Auftragsverarbeitungsverträge | Verträge mit Auftragsverarbeitern nach Artikel 28 | DSGVO |
| Internationale Übermittlungsmechanismen | SVK, BCR oder Angemessenheitsdokumentation | DSGVO |
| Aufbewahrungsplan | Dokumentierte Aufbewahrungsfristen mit Rechtsgrundlage | Alle Frameworks |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Für alles auf Einwilligung setzen | Einwilligungsmüdigkeit, ungültige Einwilligung, Widerrufsrisiko | Geeignete Rechtsgrundlage wählen — Einwilligung ist eine von sechs Optionen |
| Kein Dateninventar | Kann VVT oder Betroffenenrechte nicht erfüllen | Umfassendes Datenmapping erstellen und pflegen |
| Aufbewahrungsfristen ignorieren | Unbefristete Datenspeicherung erhöht Verletzungsauswirkungen | Automatisierte Aufbewahrungs- und Löschrichtlinien implementieren |
| Datenschutzrichtlinie als Pflichtübung | Non-Compliance, Durchsetzungsmaßnahmen | Sicherstellen, dass Richtlinie tatsächliche Praktiken widerspiegelt |
| Kein DSFA-Prozess | Fehlende Risikobewertungen für Hochrisiko-Verarbeitung | DSFA-Screening- und Bewertungsprozess implementieren |
| Datenschutz als reines IT-Thema behandeln | Fehlende Geschäftsprozess- und Rechtsdimensionen | Bereichsübergreifendes Datenschutzprogramm mit Recht, IT und Fachbereichen |
Wie Orbiq Datenschutz-Compliance unterstützt
Orbiq hilft Ihnen, Datenschutzkontrollen nachzuweisen:
- Evidenzsammlung — Datenschutzrichtlinien, DSFAs, VVT und Einwilligungsaufzeichnungen zentralisieren
- Kontinuierliche Überwachung — Datenschutzkontrolleffektivität und Compliance-Raten verfolgen
- Trust Center — Ihre Datenschutzlage über Ihr Trust Center teilen
- Compliance-Mapping — Datenschutzkontrollen auf DSGVO, ISO 27001, SOC 2 und NIS2 abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für Auditoren- und Aufsichtsbehörden-Review
Weiterführende Artikel
- Datenklassifizierung — Daten für angemessene Datenschutzkontrollen klassifizieren
- Verschlüsselung — Personenbezogene Daten technisch schützen
- Identity and Access Management — Zugriff auf personenbezogene Daten kontrollieren
- Incident Response — Meldeverfahren bei Datenschutzverletzungen
- Third-Party Risk Management — Risiken von Auftragsverarbeitern managen
- ISMS — Datenschutz im Informationssicherheits-Managementsystem