DSGVO für Unternehmen: Vollständiger Compliance-Leitfaden 2026

Die Datenschutz-Grundverordnung (DSGVO) und das Organgesetz 3/2018 (LOPDGDD) sind keine bürokratische Formalität: Sie sind die Norm, die das Grundrecht auf Privatsphäre schützt und deren Nichtbeachtung Ihr Unternehmen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes kosten kann. Die spanische Datenschutzbehörde AEPD hat ihre Sanktionsfähigkeit umfassend unter Beweis gestellt: In den letzten Jahren hat sie Millionenbeträge gegen Unternehmen jeder Grössenordnung verhängt, von Grosskonzernen bis zu KMU und Selbstständigen. Dieser Leitfaden liefert Ihnen eine umfassende und praxisorientierte Sicht auf alles, was Sie tun müssen, um die DSGVO einzuhalten und Ihr Geschäft zu schützen.

TL;DR · Zusammenfassung

• Die sieben Grundsätze der DSGVO
• Das Verzeichnis von Verarbeitungstätigkeiten (VVT)
• Rechte der betroffenen Personen: praktische Pflichten
• Datenschutzverletzungen: die Meldepflicht

Die sieben Grundsätze der DSGVO

Die DSGVO ruht auf sieben Grundsätzen, die jede Verarbeitung personenbezogener Daten leiten müssen. Der Grundsatz der Rechtmässigkeit, Treu und Glauben und Transparenz verlangt, dass Daten rechtmässig, mit einer gültigen Rechtsgrundlage und in voller Transparenz gegenüber der betroffenen Person verarbeitet werden. Der Grundsatz der Zweckbindung legt fest, dass Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Der Grundsatz der Datenminimierung verlangt, dass ausschliesslich die unbedingt erforderlichen Daten erhoben werden. Der Grundsatz der Richtigkeit verlangt, dass die Daten aktuell und korrekt sind. Der Grundsatz der Speicherbegrenzung schreibt vor, dass Daten nicht länger aufbewahrt werden als erforderlich. Der Grundsatz der Integrität und Vertraulichkeit verlangt angemessene Sicherheitsmaßnahmen. Und der Grundsatz der Rechenschaftspflicht verpflichtet das Unternehmen, jederzeit nachweisen zu können, dass es alle vorgenannten Grundsätze einhält.

Die Rechtsgrundlagen: Warum dürfen Sie Daten verarbeiten?

Sie dürfen personenbezogene Daten nicht einfach so verarbeiten. Sie benötigen eine der sechs Rechtsgrundlagen, die die DSGVO anerkennt. Die Einwilligung der betroffenen Person, die freiwillig, spezifisch, informiert und unmissverständlich sein muss (und jederzeit widerrufbar). Die Erfüllung eines Vertrages, die die Verarbeitung der für die Erfüllung des Vertrages mit der betroffenen Person erforderlichen Daten rechtfertigt. Die Erfüllung einer rechtlichen Verpflichtung, wie steuerliche oder arbeitsrechtliche Pflichten. Der Schutz lebenswichtiger Interessen, beschränkt auf Notlagen. Das öffentliche Interesse oder die Ausübung öffentlicher Gewalt. Und das berechtigte Interesse, das eine Abwägung zwischen dem Interesse des Unternehmens und den Rechten der betroffenen Person erfordert.

Die richtige Rechtsgrundlage muss vor Beginn der Verarbeitung bestimmt und im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT ist das zentrale Dokument Ihrer DSGVO-Compliance. Es muss für jede Verarbeitung enthalten: den Namen und die Kontaktdaten des Verantwortlichen (und des DSB, falls anwendbar), den Zweck der Verarbeitung, die Rechtsgrundlage, die Kategorien betroffener Personen und personenbezogener Daten, die Empfänger der Daten (einschliesslich Auftragsverarbeiter und internationaler Übermittlungen), die Speicherfristen sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Das VVT ist kein statisches Dokument: Es muss aktualisiert werden, sobald eine neue Verarbeitung beginnt, sich der Zweck einer bestehenden ändert oder eines ihrer Elemente verändert wird.

Rechte der betroffenen Personen: praktische Pflichten

Die DSGVO erkennt acht Rechte an, die Ihr Unternehmen innerhalb von höchstens einem Monat bedienen können muss. Das Auskunftsrecht erlaubt der betroffenen Person, eine Kopie ihrer Daten und die Information über deren Verarbeitung zu erhalten. Das Recht auf Berichtigung erlaubt die Korrektur unrichtiger Daten. Das Recht auf Löschung (Recht auf Vergessenwerden) erlaubt die Beantragung der Löschung der Daten. Das Recht auf Einschränkung erlaubt unter bestimmten Umständen die Beschränkung der Verarbeitung. Das Recht auf Datenübertragbarkeit erlaubt den Erhalt der Daten in strukturierter Form und deren Übertragung an einen anderen Verantwortlichen. Das Widerspruchsrecht erlaubt den Widerspruch gegen die Verarbeitung. Das Recht, nicht ausschliesslich automatisierten Entscheidungen unterworfen zu werden, schützt vor Entscheidungen, die allein auf automatisierter Verarbeitung beruhen. Und das Recht auf Widerruf der Einwilligung kann jederzeit ausgeübt werden.

Ihr Unternehmen muss über dokumentierte Verfahren zur Bearbeitung jedes dieser Rechte verfügen, über einen zugänglichen Kommunikationskanal (E-Mail-Adresse, Webformular, Postanschrift) und über ein Register der eingegangenen und bearbeiteten Anträge.

Datenschutzverletzungen: die Meldepflicht

Wenn eine Datenschutzverletzung eintritt, die personenbezogene Daten betrifft (unbefugter Zugriff, Verlust, Zerstörung oder Veränderung), müssen Sie das Risiko für die Rechte und Freiheiten der betroffenen Personen bewerten und entsprechend handeln.

Besteht ein Risiko, müssen Sie die AEPD innerhalb von höchstens 72 Stunden ab Kenntnisnahme benachrichtigen. Ist das Risiko hoch, müssen Sie die betroffenen Personen zusätzlich unverzüglich informieren.

Die Meldung an die AEPD muss Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personen, Kontaktdaten der DSB oder einer Kontaktstelle, voraussichtliche Folgen der Verletzung und ergriffene Maßnahmen zur Schadensbegrenzung enthalten.

Die AEPD hat das Werkzeug "Comunica-Brecha" entwickelt, um die Bewertung und Meldung von Datenschutzverletzungen zu erleichtern. Warten Sie nicht auf einen Vorfall, um sich damit vertraut zu machen.

Sanktionen der AEPD: reale Beispiele

Die Sanktionen der DSGVO sind in zwei Stufen unterteilt. Verstösse der unteren Stufe können mit bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes sanktioniert werden. Verstösse der oberen Stufe erreichen 20 Millionen Euro oder 4 % des weltweiten Umsatzes.

In der spanischen Praxis hat die AEPD bedeutende Sanktionen gegen Unternehmen jeder Grösse verhängt. Sanktionen gegen KMU bewegen sich üblicherweise zwischen 1.000 und 60.000 Euro für Verstösse wie den Versand kommerzieller Kommunikation ohne Einwilligung, das Fehlen von Informationsklauseln, das Fehlen eines Vertrages mit Auftragsverarbeitern oder die verspätete oder fehlerhafte Bearbeitung von Anträgen zur Wahrnehmung von Betroffenenrechten.

Technische und organisatorische Sicherheitsmaßnahmen

Artikel 32 der DSGVO verlangt risikoangemessene Sicherheitsmaßnahmen. Er enthält keine geschlossene Liste, sondern jedes Unternehmen muss bewerten, welche Maßnahmen angemessen sind, unter Berücksichtigung des Stands der Technik, der Umsetzungskosten, der Art und des Umfangs der Verarbeitung sowie der Risiken für die Rechte der betroffenen Personen.

Die häufigsten Maßnahmen umfassen die rollenbasierte Zugriffskontrolle und Mehrfaktor-Authentifizierung, die Verschlüsselung von Daten bei der Übertragung und im Ruhezustand, regelmässige Backups mit Wiederherstellungsprüfung, die Schulung des Personals im Datenschutz, dokumentierte Verfahren des Vorfallmanagements, die Clear-Desk-Politik mit Bildschirmsperre sowie das Protokoll der Zugriffe auf personenbezogene Daten.

Die Zertifizierung nach ISO 27001 ist der belastbarste Nachweis dafür, dass Ihr Unternehmen angemessene Sicherheitsmaßnahmen anwendet, und wird von der AEPD als Beleg für die Rechenschaftspflicht anerkannt.

Konsultieren Sie meinen Leitfaden zu ISO 27001, um zu verstehen, wie ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) Ihre DSGVO-Compliance stärkt.

Checkliste der DSGVO-Compliance für KMU

Vergewissern Sie sich, dass Sie das vollständige und aktuelle Verzeichnis von Verarbeitungstätigkeiten, die Informationsklauseln an allen Erhebungsstellen (Website, Formulare, Verträge), die Verträge mit allen Auftragsverarbeitern, die dokumentierten Verfahren zur Bearbeitung der Rechte der betroffenen Personen, die aktualisierte Datenschutzerklärung auf Ihrer Website, die Verwaltung der Einwilligung für kommerzielle Kommunikation, die Risikoanalyse der Datenverarbeitung, die umgesetzten und dokumentierten Sicherheitsmaßnahmen, das Verfahren zur Meldung von Datenschutzverletzungen sowie die Benennung der oder des DSB, sofern verpflichtend, vorweisen können. Verwandt: Beratung Cybersicherheit Unternehmen: Leistungen und Kosten.

Konsultieren Sie meinen Artikel zur DSGVO für KMU in zehn Schritten für einen vereinfachten Compliance-Leitfaden.

Müssen Sie die DSGVO-Compliance Ihres Unternehmens auf den neuesten Stand bringen? Sprechen wir über ein Datenschutz-Audit, das Ihre Compliance-Lücken identifiziert und Ihnen einen priorisierten Aktionsplan an die Hand gibt.

Internationale Datenübermittlungen und Anbietermanagement

Die meisten heutigen Werkzeuge speichern Daten ausserhalb des Europäischen Wirtschaftsraums. Wenn Ihr Unternehmen US-Plattformen, asiatische Cloud-Anbieter oder spezialisierte SaaS-Dienste nutzt, müssen Sie eine geeignete Garantie für die internationale Übermittlung sicherstellen. Die häufigsten Mechanismen sind Angemessenheitsbeschlüsse der Europäischen Kommission, Standardvertragsklauseln (SCC) und Binding Corporate Rules für Konzerne. Dokumentieren Sie für jede Übermittlung die getroffenen Garantien, die Risikoanalyse und gegebenenfalls die ergänzenden Maßnahmen wie zusätzliche Verschlüsselung oder Pseudonymisierung sensibler Felder. Eine periodische Überprüfung des Bestands der Anbieter mit Zugang zu personenbezogenen Daten ist eine bewährte Praxis, um stille Risiken aufgrund von Änderungen bei Unterauftragsverarbeitern oder Standortwechseln zu vermeiden.

Datenschutz-Folgenabschätzung (DSFA)

Wenn eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, verlangt die DSGVO eine DSFA (Datenschutz-Folgenabschätzung). Typische Fälle sind systematische und umfangreiche Profilbildung, die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Massstab, die systematische Überwachung öffentlich zugänglicher Bereiche und der Einsatz neuer Technologien mit potenziell weitreichenden Auswirkungen, etwa fortgeschrittene KI-Systeme. Die DSFA muss systematisch beschreiben, was verarbeitet wird, die Notwendigkeit und Verhältnismässigkeit bewerten, die Risiken identifizieren und die ergriffenen Maßnahmen zur Risikominderung dokumentieren. Bei verbleibendem hohen Risiko ist eine vorherige Konsultation der AEPD vorgeschrieben.

Datenschutzbeauftragte oder Datenschutzbeauftragter (DSB)

Die Benennung einer oder eines DSB ist Pflicht in Behörden, in Unternehmen, deren Haupttätigkeit in einer systematischen und umfangreichen Überwachung von Personen besteht, und in Unternehmen, die umfangreich besondere Kategorien personenbezogener Daten verarbeiten. Das spanische LOPDGDD erweitert die Liste der zur Benennung verpflichteten Einheiten: Bildungseinrichtungen, Gesundheitseinrichtungen, Anbieter elektronischer Kommunikationsdienste, Glücksspielanbieter sowie Anbieter von Bewertungs- und Bonitätsdiensten gehören dazu. Die oder der DSB muss unabhängig handeln, direkt an die Geschäftsleitung berichten und über nachgewiesene Datenschutzkompetenz verfügen. Sie oder er kann intern angestellt oder extern beauftragt werden. Im Falle einer externen Beauftragung sollte ein Vertrag mit klar definiertem Leistungsumfang, Vertraulichkeitspflichten und Anforderungen an Erreichbarkeit und Reaktionszeiten geschlossen werden.

Verträge mit Auftragsverarbeitern

Jeder Dritte, der personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet, ist ein Auftragsverarbeiter und benötigt einen Vertrag nach Artikel 28 DSGVO. Typische Beispiele sind Hosting-Anbieter, Steuerberatungen, Lohnabrechnungsdienstleister, Marketing-Plattformen, Cloud-Dienste, IT-Wartung und externe Buchhaltung. Der Vertrag muss Gegenstand und Dauer der Verarbeitung, Art und Zweck, Datenarten und Kategorien betroffener Personen, die Pflichten und Rechte des Verantwortlichen, die vom Auftragsverarbeiter angewandten Sicherheitsmaßnahmen, die Bedingungen für den Einsatz von Unterauftragsverarbeitern, die Unterstützung bei der Bearbeitung der Rechte betroffener Personen und die Rückgabe oder Löschung der Daten am Ende der Verarbeitung regeln. Das Fehlen dieses Vertrages ist einer der häufigsten und sichtbarsten Verstösse gegen die DSGVO und einer der einfachsten, die die AEPD bei einer Inspektion feststellen kann.

Datenschutz durch Technikgestaltung und durch Voreinstellungen

Artikel 25 DSGVO verlangt, dass Datenschutz von Beginn an in Systeme und Prozesse integriert wird, und nicht erst nachträglich. In der Praxis bedeutet dies, datenschutzfreundliche Voreinstellungen festzulegen, die Datenerhebung auf das Minimum zu beschränken, die Pseudonymisierung und Verschlüsselung zu fördern und Datenschutz-Aspekte in der frühen Designphase jedes Projekts zu berücksichtigen. Dies ist nicht nur eine rechtliche Pflicht, sondern auch eine effektive Strategie zur Risikominderung: Es ist deutlich günstiger und sicherer, Datenschutzanforderungen vor der Implementierung zu erfüllen, als ein bereits aktives System anschliessend nachzubessern.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU. Verwandt: Audit der Cybersicherheit: vollständige Bewertung.

Häufig gestellte Fragen

Was ist DSGVO für Unternehmen?

Das VVT ist kein statisches Dokument: Es muss aktualisiert werden, sobald eine neue Verarbeitung beginnt, sich der Zweck einer bestehenden ändert oder eines ihrer Elemente verändert wird.

Für wen gilt sie?

Sie gilt für die Unternehmen und Organisationen, die nach der entsprechenden Vorschrift oder dem entsprechenden Gesetz verpflichtet sind, in Abhängigkeit von Sektor, Grösse oder Art der verarbeiteten Daten. Wenn eine Datenschutzverletzung eintritt, die personenbezogene Daten betrifft (unbefugter Zugriff, Verlust, Zerstörung oder Veränderung), müssen Sie das Risiko für die Rechte und Freiheiten der betroffenen Personen bewerten und entsprechend handeln.

Wie hoch sind die Sanktionen?

Die Sanktionen können je nach Art und Schwere des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen. Die Datenschutz-Grundverordnung (DSGVO) und das Organgesetz 3/2018 (LOPDGDD) sind keine bürokratische Formalität: Sie sind die Norm, die das Grundrecht auf Privatsphäre schützt und deren Nichtbeachtung Ihr Unternehmen bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes kosten kann.

Wie viel kostet die Einführung?

Für ein KMU bewegen sich die üblichen Kosten je nach Umfang zwischen 3.000 und 15.000 €, einschliesslich externer Beratung, Werkzeuge und Schulung. Die Sanktionen der DSGVO sind in zwei Stufen unterteilt. Verstösse der unteren Stufe können mit bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes sanktioniert werden.

Lesen Sie weiter unter Cybersicherheit

• Audit der Cybersicherheit: vollständige Bewertung
• Beratung Cybersicherheit Unternehmen: Leistungen und Kosten
• DSB Datenschutzbeauftragter: Pflicht und Aufgaben

Arbeiten Sie mit mir an Audit und Cybersicherheitsplan

Massgeschneiderte Beratung in Cybersicherheit für KMU. Erstes Gespräch kostenfrei.

Offizielle Quellen

• AEPD · spanische Datenschutzbehörde
• INCIBE · spanisches Institut für Cybersicherheit
• CCN-CERT · Computer Emergency Response Team des Nationalen Geheimdienstes
• BOE · Verordnung (EU) 2016/679 (DSGVO)
• BOE · Organgesetz 3/2018 (LOPDGDD)

Quellen: AENOR · BOE · ISO

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro