Eine strukturierte DSGVO Checkliste ist das wichtigste Werkzeug für jedes Unternehmen, das personenbezogene Daten verarbeitet. Seit dem Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 haben Aufsichtsbehörden in der gesamten EU Bußgelder in Milliardenhöhe verhängt. Die Durchsetzung hat sich laut der DLA Piper GDPR Fines Survey in den vergangenen Jahren deutlich verschärft.
Diese DSGVO Checkliste führt Sie systematisch durch alle wesentlichen Pflichten der Verordnung. Ob Sie Datenschutzbeauftragter sind, ein Compliance-Programm aufbauen oder Ihr bestehendes Datenschutzkonzept überprüfen möchten — die folgenden Punkte decken alle Bereiche ab, die Aufsichtsbehörden regelmäßig prüfen. Ergänzend empfehlen wir unseren englischsprachigen GDPR Compliance Checklist Guide als Referenz.
Was umfasst eine DSGVO Checkliste?
Die DSGVO stellt Anforderungen in mehreren Bereichen: Rechtmäßigkeit der Verarbeitung, Transparenz, Betroffenenrechte, Datensicherheit, internationale Datenübermittlungen und organisatorische Governance. Eine vollständige DSGVO Checkliste muss jeden dieser Bereiche systematisch abdecken, da Aufsichtsbehörden bei Prüfungen einen ganzheitlichen Ansatz verfolgen.
Der zentrale Ausgangspunkt ist Artikel 5 DSGVO, der sieben verbindliche Grundsätze festlegt. Jeder Punkt in dieser Checkliste lässt sich auf einen oder mehrere dieser Grundsätze zurückführen. Eine detaillierte Übersicht über die DSGVO Anforderungen finden Sie in unserem Leitfaden.
Anwendungsbereich und Verzeichnis der Verarbeitungstätigkeiten
Bevor Sie mit der Checkliste beginnen, stellen Sie sicher, dass die DSGVO auf Ihre Verarbeitungstätigkeiten anwendbar ist. Die Verordnung gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet — unabhängig davon, wo die Organisation ihren Sitz hat. Dies umfasst auch Unternehmen außerhalb Europas, die Waren oder Dienstleistungen an EU-Bürger anbieten oder deren Verhalten beobachten.
Verantwortliche und Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Artikel 30 DSGVO führen. Dieses Verzeichnis bildet das Fundament Ihres Compliance-Programms und sollte dokumentieren:
- Jede Kategorie personenbezogener Daten, die Sie verarbeiten
- Die Zwecke jeder Verarbeitungstätigkeit und die Rechtsgrundlage für jeden Zweck
- Datenempfänger und beteiligte Auftragsverarbeiter
- Aufbewahrungsfristen für jede Datenkategorie
- Technische und organisatorische Sicherheitsmaßnahmen
Ohne ein aktuelles, vollständiges VVT kann keine andere Compliance-Aktivität zuverlässig durchgeführt werden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) empfiehlt dieses Verzeichnis als ersten Schritt jeder Datenschutzprüfung.
Rechtsgrundlagen der Verarbeitung
Jede Verarbeitungstätigkeit muss sich auf eine der sechs Rechtsgrundlagen in Artikel 6 DSGVO stützen. Die am häufigsten geprüften sind die Einwilligung und das berechtigte Interesse. Wenn Sie sich auf eine Einwilligung stützen, überprüfen Sie, dass diese freiwillig, spezifisch, informiert und unmissverständlich erteilt wurde. Vorangekreuzte Kontrollkästchen, gebündelte Einwilligungen und Consent Walls wurden von Aufsichtsbehörden wiederholt als nicht konform eingestuft.
Bei Verarbeitungen auf Grundlage des berechtigten Interesses müssen Sie einen dreistufigen Abwägungstest durchführen und dokumentieren: das berechtigte Interesse identifizieren, die Erforderlichkeit der Verarbeitung nachweisen und es gegen die Rechte und Freiheiten der betroffenen Personen abwägen. Die EDPB-Leitlinien zur Einwilligung sind die maßgebliche Referenz für die korrekte Einholung von Einwilligungen.
Wie prüfen Sie die organisatorischen Maßnahmen?
Die DSGVO verlangt sowohl technische als auch organisatorische Maßnahmen, um den Schutz personenbezogener Daten sicherzustellen. Die folgende DSGVO Checkliste hilft Ihnen bei der systematischen Überprüfung dieser Anforderungen.
Datenschutzbeauftragter und Privacy by Design
Die DSGVO verlangt die Benennung eines Datenschutzbeauftragten (DSB) für öffentliche Stellen und für Organisationen, deren Kerntätigkeit in der umfangreichen systematischen Überwachung betroffener Personen oder der Verarbeitung besonderer Kategorien personenbezogener Daten besteht. In Deutschland gilt zusätzlich nach Paragraph 38 BDSG die Pflicht zur Benennung ab 20 Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Unser Guide zu Data Subject Access Requests zeigt, wie Betroffenenanfragen effizient bearbeitet werden.
Datenschutz muss darüber hinaus ab der Entwurfsphase in Verarbeitungstätigkeiten integriert werden. Dies bedeutet die Anwendung von Datenminimierung, Pseudonymisierung und Zugriffskontrollen als Standardeinstellungen. Artikel 25 DSGVO macht Privacy by Design und Privacy by Default zu verbindlichen Anforderungen, nicht zu optionalen Empfehlungen. Die EU-Kommission hat in ihrem zweiten Evaluierungsbericht zur DSGVO festgestellt, dass Organisationen, die Privacy by Design konsequent umsetzen, signifikant weniger Datenschutzverletzungen verzeichnen.
Sicherheitsmaßnahmen und Meldepflichten
Die DSGVO schreibt angemessene technische und organisatorische Sicherheitsmaßnahmen vor, die dem Risiko angemessen sein müssen. Ihre Checkliste sollte folgende Punkte überprüfen:
- Verschlüsselung personenbezogener Daten bei der Übertragung und im Ruhezustand
- Zugriffskontrollen mit rollenbasierter Berechtigungsvergabe
- Regelmäßige Schwachstellenanalysen und Penetrationstests
- Schulungen zur Datensicherheit für Mitarbeiter mindestens einmal jährlich
- Einen dokumentierten Notfallplan für Datenschutzverletzungen
Bei einer Datenschutzverletzung muss die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigt werden, wenn die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. In Deutschland sind Meldungen an die jeweilige Landesdatenschutzbehörde zu richten. Die Zahl der gemeldeten Datenschutzverletzungen in der EU steigt seit Einführung der DSGVO kontinuierlich an.
Betroffenenrechte und Datenlöschung
Die DSGVO gewährt betroffenen Personen umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Ihre DSGVO Checkliste muss bestätigen, dass:
- Dokumentierte Verfahren für die Bearbeitung jeder Art von Anfrage vorhanden sind
- Antwortfristen die Einmonatsfrist der DSGVO einhalten
- Identitätsüberprüfungen vor der Datenherausgabe durchgeführt werden
- Löschungs- und Portabilitätsanfragen technisch in allen Systemen umgesetzt werden können
Weitere Informationen zum Thema Löschung finden Sie in unserem Artikel zum Recht auf Löschung nach der DSGVO. Das Auskunftsrecht nach DSGVO ist eines der am häufigsten ausgeübten Betroffenenrechte. Laut einer Erhebung der deutschen Aufsichtsbehörden betreffen rund 52% aller Betroffenenanfragen in Deutschland Auskunftsersuchen nach Artikel 15 DSGVO.
Aufbewahrungsfristen und Löschkonzepte
Ein wesentlicher Bestandteil jeder DSGVO Checkliste ist die Definition und Durchsetzung von Aufbewahrungsfristen. Der Grundsatz der Speicherbegrenzung verlangt, dass personenbezogene Daten nur so lange aufbewahrt werden, wie es für den jeweiligen Zweck erforderlich ist. In der Praxis bedeutet dies, dass Unternehmen ein umfassendes Löschkonzept erstellen müssen, das für jede Datenkategorie klare Aufbewahrungsfristen definiert und automatisierte Löschroutinen vorsieht. Der BfDI hat festgestellt, dass mangelnde Löschkonzepte zu den häufigsten Mängeln bei Datenschutzprüfungen zählen.
Welche Bußgelder drohen bei Verstößen?
Die DSGVO sieht Bußgelder von bis zu EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Für eine detaillierte Analyse der Bußgeldpraxis empfehlen wir unseren Überblick zu GDPR Fines.
Datenschutz-Folgenabschätzung
Bei Verarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, ist eine Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DSGVO durchzuführen. Der EDPB hat Leitlinien veröffentlicht, die konkret beschreiben, wann eine DSFA erforderlich ist. Zu den typischen Auslösern gehören automatisierte Einzelentscheidungen, systematische Videoüberwachung und die umfangreiche Verarbeitung besonderer Datenkategorien. Unser Leitfaden zur Data Protection Impact Assessment bietet weitere Informationen.
Internationale Datenübermittlungen
Wenn Sie personenbezogene Daten in Drittländer übermitteln, müssen Sie geeignete Garantien sicherstellen. Nach dem Schrems-II-Urteil und dem neuen EU-US Data Privacy Framework müssen Unternehmen für jede Übermittlung ein angemessenes Schutzniveau nachweisen — sei es durch Angemessenheitsbeschlüsse, Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften. Verstöße gegen Vorschriften für internationale Datenübermittlungen waren in der Vergangenheit Gegenstand besonders hoher Bußgelder. Die sorgfältige Prüfung von Datenübermittlungen in Drittländer sollte daher ein fester Bestandteil jeder DSGVO Checkliste sein.
FAQ
Für welche Unternehmen gilt die DSGVO?
Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von Personen in der EU verarbeiten — unabhängig von Größe oder Standort. Dies umfasst auch Unternehmen außerhalb der EU, die Waren oder Dienstleistungen an EU-Bürger anbieten oder deren Verhalten beobachten.
Wie oft sollte eine DSGVO Checkliste überprüft werden?
Eine DSGVO Checkliste sollte mindestens einmal jährlich vollständig überprüft werden. Darüber hinaus ist eine Aktualisierung bei wesentlichen Änderungen der Verarbeitungstätigkeiten, der IT-Infrastruktur oder bei neuen regulatorischen Anforderungen erforderlich. Mit dem im November 2025 von der EU-Kommission vorgelegten Digital-Omnibus-Paket stehen weitreichende Änderungen der DSGVO bevor — unter anderem eine Ausweitung der Erleichterungen für KMU und neue Regelungen zu KI-Systemen — weshalb Unternehmen ihre Checklisten bereits jetzt auf die geplanten Reformen hin überprüfen sollten.
Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?
Der Verantwortliche bestimmt die Zwecke und Mittel der Datenverarbeitung, während der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Beide haben eigene Pflichten unter der DSGVO, die in einem Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO festgelegt werden müssen.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
