Secrails LogoSECRAILS
Secrails LogoSECRAILS
Anmelden
Zurück zum BlogDatenschutz & Datensicherheit

DSGVO-Compliance-Checkliste: Alles, was Sie 2025 wissen müssen

secrails··9 Min.
GDPRData PrivacyComplianceCloud SecurityPolicy-as-Code
DSGVO-Compliance-Checkliste mit EU-Verordnungsdokumenten, Prüfstempeln und Datenflussdiagrammen auf dunkelblauem Hintergrund

Die EU verhängte 2021 eine DSGVO-Strafe von 746 Millionen Euro gegen Amazon. 2023 traf es Meta mit 1,2 Milliarden Euro. Das sind keine Ausreißer – das sind Signale. Die Aufsichtsbehörden haben von Abmahnungen zu echter Durchsetzung gewechselt, und Unternehmen, die die DSGVO noch immer als bürokratisches Checklistenprojekt behandeln, spielen mit dem Feuer.

Ob Sie Sicherheitsingenieur sind und verstehen möchten, was die DSGVO auf technischer Ebene tatsächlich fordert, oder Compliance-Verantwortlicher eines US-Unternehmens, das plötzlich feststellt, dass sein SaaS-Produkt personenbezogene Daten von EU-Bürgern verarbeitet – diese Checkliste liefert Substanz, keine Worthülsen.

Was ist die DSGVO und für wen gilt sie?

Die Datenschutz-Grundverordnung trat am 25. Mai 2018 in Kraft und ersetzte den Flickenteppich nationaler Datenschutzgesetze unter der Richtlinie 95/46/EG. Der autoritäre Rechtstext ist über EUR-Lex zugänglich, während das Informationsportal gdpr.eu eine lesbarere Fassung bietet.

Der Teil, den US-Unternehmen konsequent unterschätzen: Die DSGVO gilt für jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet – unabhängig davon, wo diese Organisation ansässig ist. Ein Startup in Austin, das Abonnements an Berliner Nutzer verkauft, fällt darunter. Ein B2B-SaaS-Unternehmen in Singapur, das Daten französischer Bürger hostet, fällt darunter. Die extraterritoriale Reichweite ist in Artikel 3 explizit verankert.

Zwei Rollen sind entscheidend: Verantwortliche bestimmen Zweck und Mittel der Verarbeitung. Auftragsverarbeiter handeln im Auftrag der Verantwortlichen. Als Cloud-Dienstleister oder Infrastrukturanbieter sind Sie wahrscheinlich Auftragsverarbeiter – was bedeutet, dass Verarbeitungsverträge nach Artikel 28 in jedem Kundenvertrag unverzichtbar sind.

Die wichtigsten DSGVO-Artikel

Es gibt insgesamt 99 DSGVO-Artikel, aber die durchsetzungsrelevantesten konzentrieren sich auf wenige Kernthemen. Statt ein DSGVO-PDF herunterzuladen und auf das Beste zu hoffen, sollten Sie diese inhaltlich verstehen.

Artikel 5 — Grundsätze der Datenverarbeitung

Sechs Grundsätze regeln jede rechtmäßige Verarbeitung: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; sowie Integrität und Vertraulichkeit. Der Rechenschaftspflicht-Grundsatz nach Artikel 5(2) überspannt sie alle: Wenn Sie Compliance nicht nachweisen können, gilt sie als nicht erfüllt.

Artikel 32 — Sicherheit der Verarbeitung

Hier wird die DSGVO technisch. Artikel 32 fordert angemessene technische und organisatorische Maßnahmen – Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. „Angemessen" ist bewusst vage, aber Behörden messen es am Stand der Technik. 2025 bedeutet das Zero-Trust-Architektur, Ende-zu-Ende-Verschlüsselung und automatisiertes Schwachstellenmanagement.

Artikel 33 — Meldung von Datenpannen

72 Stunden. Das ist Ihr Fenster, um die Aufsichtsbehörde nach Bekanntwerden einer Datenpanne zu benachrichtigen. Nicht 72 Geschäftsstunden. Nicht nachdem Ihr Rechtsteam die Prüfung abgeschlossen hat. 72 Stunden ab Kenntnis.

Die DSGVO-Compliance-Checkliste

1. Datenmapping und Verarbeitungsverzeichnis (VVT)

Artikel 30 verpflichtet Verantwortliche und Auftragsverarbeiter zur Führung von Verarbeitungsverzeichnissen. Das Cloud Inventory-Tool ist hier direkt relevant – Sie können keine Datenflüsse kartieren, die Sie nicht sehen.

2. Rechtmäßige Grundlagen für jede Verarbeitungstätigkeit

Sechs Rechtsgrundlagen existieren nach Artikel 6: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Einwilligung unter der DSGVO muss freiwillig, spezifisch, informiert und unmissverständlich sein. Vorausgefüllte Kästchen reichen nicht.

3. Datenschutz-Folgenabschätzung (DSFA)

Artikel 35 schreibt DFSAs für Verarbeitungen mit hohem Risiko vor. Das ist keine bürokratische Übung – es ist eine strukturierte Risikobewertung. Wenn Ihre DSFA ein inakzeptabel hohes Restrisiko ergibt, müssen Sie vor der Verarbeitung die Aufsichtsbehörde konsultieren.

4. Datenschutzbeauftragten (DSB) benennen

Artikel 37 schreibt einen DSB für Behörden, Organisationen mit umfangreicher systematischer Überwachung und Verarbeiter besonderer Kategorien vor. Der DSB muss an die höchste Managementebene berichten.

5. Technische Sicherheitsmaßnahmen nach Artikel 32

Verschlüsselung, Zugriffskontrollen, Netzwerksegmentierung, regelmäßige Schwachstellenanalysen und Incident-Response-Pläne. Die Compliance-Lösung von SECRAILS hilft Teams, technische Kontrollen regulatorischen Anforderungen zuzuordnen. Für Cloud-Infrastruktur ist CSPM-Tooling unerlässlich, um Fehlkonfigurationen zu erkennen, die personenbezogene Daten exponieren könnten.

6. Drittanbieter-Auftragsverarbeiter mit Artikel-28-Verträgen verwalten

Jeder Drittanbieter, der im Auftrag EU-Personendaten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag (AVV). Ihre Anbieterliste ist fast sicher länger als Ihre AVV-Liste. Prüfen Sie beides.

7. Internationale Datentransfers absichern

Datentransfers außerhalb der EU/des EWR erfordern einen geeigneten Übertragungsmechanismus. Nach Schrems II sind Standardvertragsklauseln (SCC) der häufigste Weg – aber eine Transfer Impact Assessment (TIA) ist für jede Übertragung erforderlich.

DSGVO-Compliance für US-Unternehmen

Wenn Ihre Website Bestellungen von EU-Bürgern akzeptiert oder Ihre App in Deutschland im App Store verfügbar ist, sind Sie in der Pflicht. Das bedeutet: Ernennung eines EU-Vertreters nach Artikel 27 und Umsetzung aller oben genannten Punkte. US-Rechtsstandards erfüllen DSGVO-Anforderungen nicht.

Die Cloud Security- und Policy-as-Code-Lösungen von SECRAILS geben Entwicklungsteams die Leitplanken, um datenschutzverletzende Konfigurationen zu verhindern, bevor sie in die Produktion gelangen.

Was Prüfer und Behörden prüfen

Aufsichtsbehörden schauen nicht nur, ob es eine Datenpanne gab. Sie prüfen, ob angemessene Kontrollen vorhanden waren, ob diese nachgewiesen werden konnten und ob die Reaktion angemessen war. Der Rechenschaftsgrundsatz aus Artikel 5(2) ist das übergeordnete Prinzip. Teams, die VM Scans und automatisierte Compliance-Tools einsetzen, können Audit-Trails automatisch generieren – unendlich besser, als Belege nachträglich zu rekonstruieren.

Organisationen, die bei Kontrollmaßnahmen trotz starker Kontrollen erwischt wurden, kommen bei Behörden weit besser weg als solche, die wegen schwacher Kontrollen aufgefallen sind. Diese Unterscheidung ist bei Bußgeldentscheidungen im achtstelligen Bereich enorm wichtig.

Frequently Asked Questions

Gilt die DSGVO für US-Unternehmen ohne EU-Niederlassungen?

Ja. Artikel 3(2) der DSGVO legt ausdrücklich einen extraterritorialen Anwendungsbereich fest. Wenn Ihre Organisation EU-Bürgern Waren oder Dienstleistungen anbietet – selbst kostenlos – oder ihr Verhalten überwacht, gilt die DSGVO unabhängig davon, wo Sie ansässig sind. US-Unternehmen, die personenbezogene Daten aus der EU verarbeiten, müssen zudem einen EU-Vertreter nach Artikel 27 benennen.

Was gilt nach DSGVO-Artikel 33 als Datenpanne?

Eine Datenpanne ist jeder Sicherheitsvorfall, der zur versehentlichen oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu personenbezogenen Daten führt. Nicht jede Datenpanne erfordert eine Benachrichtigung der Betroffenen – nur solche, die ein hohes Risiko für deren Rechte und Freiheiten darstellen.

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend?

Artikel 35 schreibt eine DSFA vor, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Personen zur Folge hat. Dies umfasst insbesondere: systematisches Profiling mit erheblichen Auswirkungen, umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten und systematische Überwachung öffentlich zugänglicher Bereiche.

Welche DSGVO-Compliance-Tools eignen sich am besten für technische Teams?

Kein einziges Tool deckt die DSGVO vollständig ab. Datenschutz-Management-Plattformen (OneTrust, Didomi) verwalten Einwilligungen und Hinweise. Data-Discovery-Tools (BigID, Spirion) finden personenbezogene Daten in Ihrer Umgebung. GRC-Plattformen (Vanta, Drata) verwalten Kontrollnachweise. Für die technischen Sicherheitskontrollen nach Artikel 32 – Cloud-Konfigurationsscans, Schwachstellenmanagement, Secret Detection – ergänzen spezialisierte Sicherheitsplattformen die Datenschutz-Tools.

Was ist die Höchststrafe nach der DSGVO und wie wird sie berechnet?

DSGVO-Bußgelder funktionieren auf zwei Ebenen. Die untere Ebene umfasst Verstöße gegen Auftragsverarbeiterpflichten, Einwilligungsregeln und bestimmte Transparenzanforderungen – bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Die obere Ebene umfasst Verstöße gegen die Grundprinzipien, Betroffenenrechte und internationale Transferregeln – bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.

DSGVO-Technologiekontrollen automatisieren

Hören Sie auf, DSGVO-Artikel-32-Compliance in Tabellenkalkulationen zu verwalten. Ordnen Sie Cloud-Fehlkonfigurationen, Schwachstellen und Richtlinienverstöße automatisch regulatorischen Anforderungen zu.

Compliance-Automatisierung erkunden