KlarKonform Docs
DSGVO

Best Practices

Bewährte Vorgehensweisen für die DSGVO-Compliance

Diese Seite fasst bewährte Vorgehensweisen für die DSGVO-Compliance zusammen.

Schnellstart: Anwendung einrichten

Der effizienteste Weg, eine neue Anwendung DSGVO-konform zu dokumentieren:

┌─────────────────────────────────────────────────────────────────┐
│  1. ANWENDUNG AUS VORLAGE ERSTELLEN                             │
│     DSGVO → Anwendungen → "Aus Vorlage erstellen"               │
│     └── Vorlage wählen (z.B. Microsoft 365, Slack, etc.)        │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│  2. ANWENDUNG PRÜFEN & ANPASSEN                                 │
│     • Name/Beschreibung auf Ihr Unternehmen anpassen            │
│     • AVV-Status prüfen (Vertrag vorhanden?)                    │
│     • Serverstandort verifizieren                               │
│     • Verantwortlichen zuweisen                                 │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│  3. VERARBEITUNGSTÄTIGKEITEN ERSTELLEN                          │
│     Bei Anwendung → "Verarbeitungstätigkeit hinzufügen"         │
│     └── Vorgeschlagene VTs aus Vorlage übernehmen               │
│     └── Oder: Neue VT direkt anlegen                            │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│  4. VERARBEITUNGSTÄTIGKEITEN PRÜFEN                             │
│     Für jede VT kontrollieren:                                  │
│     • Zweck konkret formuliert?                                 │
│     • Rechtsgrundlage korrekt?                                  │
│     • Betroffene & Datenkategorien vollständig?                 │
│     • Löschfrist zugeordnet?                                    │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│  5. TOMs PRÜFEN & AKTIVIEREN                                    │
│     • Vorgeschlagene TOMs der Anwendung prüfen                  │
│     • Auf Ihre Situation anpassen (Standort, Branche)           │
│     • Nicht zutreffende TOMs entfernen                          │
│     • Fehlende TOMs ergänzen                                    │
│     • Status auf "Aktiv" setzen                                 │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│  ✓ FERTIG                                                       │
│    Anwendung ist dokumentiert und DSGVO-konform erfasst         │
└─────────────────────────────────────────────────────────────────┘

Checkliste pro Anwendung

SchrittPrüfpunkt
AnwendungName & Beschreibung angepasst
AnwendungAVV-Status korrekt
AnwendungServerstandort dokumentiert
VTsAlle relevanten VTs angelegt
VTsRechtsgrundlagen geprüft
VTsLöschfristen zugeordnet
TOMsAlle TOMs geprüft
TOMsNicht zutreffende entfernt
TOMsStatus "Aktiv" gesetzt

Typische Fehler vermeiden

FehlerBesser
Vorlage 1:1 übernehmenAuf Ihre Nutzung anpassen
Alle VTs aktivierenNur tatsächlich genutzte
TOMs ignorierenJeden TOM einzeln prüfen
AVV vergessenVor Nutzung AVV einholen

Ersteinrichtung

Tag 1: Grundlagen schaffen

  1. Standardwerte laden

    DSGVO → Löschkonzept → "Standardwerte laden"
DSGVO → TOMs → "Standardwerte laden"
DSGVO → Anwendungen → "Vorlagen aktivieren"

  2. Verantwortlichkeiten klären

    • Wer ist DSGVO-Verantwortlicher?
    • Gibt es einen Datenschutzbeauftragten?
    • Wer bearbeitet Betroffenenanfragen?

  3. Bestandsaufnahme starten

    • Liste aller eingesetzten Software erstellen
    • Mitarbeiterliste mit Datenzugang zusammenstellen
    • Websites und Online-Dienste erfassen

Woche 1: Kernprozesse dokumentieren

TagAufgabe
1-2Die 5 wichtigsten Verarbeitungstätigkeiten erfassen
3-4Alle Anwendungen mit Personenbezug auflisten
5AVV-Status für alle Anwendungen prüfen

Monat 1: Vollständigkeit erreichen

  • Alle Verarbeitungstätigkeiten erfasst
  • Alle Anwendungen mit AVV-Status
  • Alle Mitarbeiter mit Vereinbarung
  • Alle Websites mit Datenschutzerklärung
  • TOMs für alle Standorte

Laufender Betrieb

Tägliche Aufgaben

AufgabeWerWann
Betroffenenanfragen prüfenDSB/AdminMorgens
Neue Mitarbeiter erfassenHRBei Eintritt
Ausscheidende MitarbeiterHR/ITBei Austritt

Wöchentliche Aufgaben

AufgabeWerWann
AVV-Fristen prüfenAdminMontags
Offene VereinbarungenHRMittwochs
Compliance-Score prüfenAdminFreitags

Monatliche Aufgaben

AufgabeWer
Neue Anwendungen erfassenIT
Löschlauf durchführenIT/Admin
Bericht an GeschäftsführungDSB

Jährliche Aufgaben

AufgabeWann
Vollständige Revision aller VerarbeitungstätigkeitenQ1
TOM-WirksamkeitsprüfungQ2
Website-AuditsQ3
Mitarbeiter-SchulungQ4

Dokumentationsqualität

Vollständigkeit prüfen

Für jede Verarbeitungstätigkeit:

  • Name und Beschreibung aussagekräftig
  • Zweck konkret benannt
  • Rechtsgrundlage korrekt gewählt
  • Alle Betroffenen-Kategorien erfasst
  • Alle Datenkategorien erfasst
  • Alle Empfänger genannt
  • Löschfrist zugeordnet
  • DSFA-Erfordernis geprüft

Konsistenz wahren

✓ RICHTIG
Verarbeitungstätigkeit: Lohnabrechnung
├── Betroffene: Mitarbeiter
├── Empfänger: Finanzamt, Krankenkassen
└── Anwendung: DATEV (AVV vorhanden)

✗ FALSCH
Verarbeitungstätigkeit: Lohnabrechnung
├── Betroffene: (leer)
├── Empfänger: extern
└── Anwendung: (nicht verknüpft)

Verständlichkeit

  • Fachbegriffe erklären oder vermeiden
  • Abkürzungen ausschreiben
  • Konkrete Beispiele statt Abstraktion
  • Für Laien verständlich schreiben

Risikoorientierter Ansatz

Priorisierung nach Risiko

RisikolevelKriterienPriorität
HochBesondere Datenkategorien, große Mengen, vulnerable GruppenSofort bearbeiten
MittelRegelmäßige Verarbeitung, externe EmpfängerDiese Woche
NiedrigWenige Daten, nur internDiesen Monat

Risikobasierte TOMs

Hohes Risiko (Gesundheitsdaten)
└── Verstärkte Maßnahmen:
    ├── Verschlüsselung: AES-256
    ├── Zugriff: Nur autorisierte Personen
    ├── Protokollierung: Vollständig
    └── Backup: Täglich, verschlüsselt

Niedriges Risiko (öffentliche Kontaktdaten)
└── Standard-Maßnahmen:
    ├── Passwortschutz
    └── Regelmäßige Updates

Schulung und Awareness

Pflichtschulungen

ZielgruppeInhalteFrequenz
Alle MitarbeiterDSGVO-Grundlagen, BetroffenenrechteJährlich
IT-MitarbeiterTechnische Maßnahmen, Incident ResponseHalbjährlich
HR-MitarbeiterMitarbeiterdaten, BewerbermanagementJährlich
FührungskräfteVerantwortlichkeiten, SanktionenJährlich

Awareness-Maßnahmen

  • Poster zu Clean-Desk-Policy
  • Regelmäßige Tipps im Intranet
  • Phishing-Simulationen
  • Datenschutz-Quiz

Incident Response

Meldepflicht prüfen (Art. 33, 34)

Datenschutzvorfall erkannt


┌─────────────────────┐
│ Risiko für Rechte   │
│ und Freiheiten?     │
└─────────────────────┘

    ┌─────┴─────┐
    │           │
   Ja          Nein
    │           │
    ▼           ▼
72h Meldung   Dokumentieren
an Behörde    (intern)


┌─────────────────────┐
│ Hohes Risiko für    │
│ Betroffene?         │
└─────────────────────┘

   Ja


Benachrichtigung
der Betroffenen

Dokumentation eines Vorfalls

FeldInhalt
Datum/UhrzeitWann wurde der Vorfall entdeckt?
BeschreibungWas ist passiert?
Betroffene DatenWelche Daten sind betroffen?
Betroffene PersonenWie viele? Welche Kategorien?
UrsacheWie kam es dazu?
MaßnahmenWas wurde unternommen?
MeldungAn wen wurde gemeldet?

Audit-Vorbereitung

Unterlagen bereithalten

  • Verzeichnis von Verarbeitungstätigkeiten (PDF-Export)
  • AVV-Sammlung (alle Verträge)
  • TOM-Dokumentation mit Nachweisen
  • Löschkonzept
  • Schulungsnachweise
  • Richtlinien (IT-Sicherheit, Datenschutz, etc.)

Typische Prüfungsfragen

FrageVorbereitung
"Wo ist Ihr Verarbeitungsverzeichnis?"Export aus KlarKonform
"Welche Rechtsgrundlagen nutzen Sie?"Übersicht der Rechtsgrundlagen
"Wie stellen Sie Löschung sicher?"Löschkonzept erklären können
"Welche TOMs haben Sie?"TOM-Liste mit Nachweisen
"Wie reagieren Sie auf Anfragen?"Prozess demonstrieren

Vor dem Audit

  1. Aktualität prüfen

    • Alle Einträge auf dem neuesten Stand?
    • Keine veralteten Anwendungen?
    • Keine ausgeschiedenen Mitarbeiter?

  2. Lücken schließen

    • Fehlende AVVs einholen
    • Offene Vereinbarungen nachfassen
    • TOMs vervollständigen

  3. Test-Export

    • Alle Berichte einmal generieren
    • Auf Vollständigkeit prüfen
    • Lesbarkeit sicherstellen

Kontinuierliche Verbesserung

KPIs definieren

KPIZielMessung
Compliance-Score> 90%Wöchentlich
AVV-Abdeckung100%Monatlich
Mitarbeiter-Vereinbarungen100%Monatlich
Betroffenenanfragen in Frist100%Pro Anfrage
Vorfälle0Laufend

Regelmäßige Reviews

ReviewFrequenzTeilnehmer
Quick-CheckWöchentlichAdmin
StatusberichtMonatlichAdmin, GF
Vollständige RevisionJährlichAdmin, DSB, GF
Externe PrüfungAlle 2-3 JahreExterner Auditor

Lessons Learned

Nach jedem Vorfall oder Audit:

  1. Was lief gut?
  2. Was kann verbessert werden?
  3. Welche Maßnahmen ergreifen wir?
  4. Wer ist verantwortlich?
  5. Bis wann umsetzen?

Checkliste: Compliance-Status

Grün (Alles in Ordnung)

  • Compliance-Score > 90%
  • Keine überfälligen AVVs
  • Alle Mitarbeiter verpflichtet
  • Alle Anfragen in Frist bearbeitet
  • Jährliche Revision durchgeführt

Gelb (Handlungsbedarf)

  • Compliance-Score 70-90%
  • AVVs laufen bald ab
  • Einzelne Mitarbeiter ohne Vereinbarung
  • Anfragen nähern sich Frist
  • Revision überfällig

Rot (Sofortiger Handlungsbedarf)

  • Compliance-Score < 70%
  • AVVs abgelaufen
  • Viele Mitarbeiter ohne Vereinbarung
  • Anfragen über Frist
  • Keine Dokumentation vorhanden

Previous

Typische Fehler vermeiden

Next

Buchhaltungs-Modul

On this page

Schnellstart: Anwendung einrichtenCheckliste pro AnwendungTypische Fehler vermeidenErsteinrichtungTag 1: Grundlagen schaffenWoche 1: Kernprozesse dokumentierenMonat 1: Vollständigkeit erreichenLaufender BetriebTägliche AufgabenWöchentliche AufgabenMonatliche AufgabenJährliche AufgabenDokumentationsqualitätVollständigkeit prüfenKonsistenz wahrenVerständlichkeitRisikoorientierter AnsatzPriorisierung nach RisikoRisikobasierte TOMsSchulung und AwarenessPflichtschulungenAwareness-MaßnahmenIncident ResponseMeldepflicht prüfen (Art. 33, 34)Dokumentation eines VorfallsAudit-VorbereitungUnterlagen bereithaltenTypische PrüfungsfragenVor dem AuditKontinuierliche VerbesserungKPIs definierenRegelmäßige ReviewsLessons LearnedCheckliste: Compliance-StatusGrün (Alles in Ordnung)Gelb (Handlungsbedarf)Rot (Sofortiger Handlungsbedarf)