Häufige Fragen (FAQ)
Antworten auf die häufigsten Fragen zum DSGVO-Modul
Allgemein
Wer muss das DSGVO-Modul nutzen?
Grundsätzlich jedes Unternehmen, das personenbezogene Daten verarbeitet. Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30) ist Pflicht für:
- Unternehmen ab 250 Mitarbeitern
- Bei regelmäßiger Verarbeitung
- Bei Verarbeitung besonderer Datenkategorien (Gesundheit, Religion, etc.)
- Bei Verarbeitung mit Risiko für Betroffene
Praxistipp: Auch kleine Unternehmen sollten dokumentieren – bei einer Prüfung wird erwartet, dass Sie Ihre Datenverarbeitung kennen.
Was kostet ein DSGVO-Verstoß?
| Verstoßkategorie | Maximales Bußgeld |
|---|---|
| Formale Verstöße (z.B. fehlendes Verzeichnis) | 10 Mio. € oder 2% Jahresumsatz |
| Materielle Verstöße (z.B. unrechtmäßige Verarbeitung) | 20 Mio. € oder 4% Jahresumsatz |
Zusätzlich: Schadensersatzansprüche von Betroffenen!
Wie oft muss ich das DSGVO-Modul aktualisieren?
- Verarbeitungstätigkeiten: Bei jeder Änderung, mindestens jährliche Überprüfung
- TOMs: Bei technischen Änderungen, mindestens jährlich
- Anwendungen: Bei neuen Tools sofort, AVV-Status regelmäßig prüfen
- Löschkonzept: Bei Änderung von Aufbewahrungsfristen
- Mitarbeitervereinbarungen: Bei Eintritt, Austritt, Rollenwechsel
Verarbeitungstätigkeiten
Was ist der Unterschied zwischen Verarbeitung und Verarbeitungstätigkeit?
- Verarbeitung: Jeder einzelne Vorgang (Erheben, Speichern, Ändern, Löschen)
- Verarbeitungstätigkeit: Zusammenfassung zusammengehöriger Verarbeitungen zu einem Zweck
Beispiel:
- Verarbeitungstätigkeit: "Lohnabrechnung"
- Verarbeitungen darin: Stammdaten erheben, Gehalt berechnen, Lohnzettel erstellen, ans Finanzamt melden
Muss ich jede Excel-Tabelle als Verarbeitungstätigkeit erfassen?
Nein, erfassen Sie Verarbeitungstätigkeiten auf Prozessebene, nicht auf Tool-Ebene.
Richtig: "Kundenbetreuung" als Verarbeitungstätigkeit, die CRM, E-Mail und Excel umfasst
Falsch: "Excel-Tabelle Kundenliste" als eigene Verarbeitungstätigkeit
Welche Rechtsgrundlage soll ich wählen?
| Situation | Rechtsgrundlage |
|---|---|
| Kunde kauft etwas | Vertragserfüllung |
| Mitarbeiter anstellen | Vertragserfüllung |
| Newsletter versenden | Einwilligung |
| Lohnsteuer abführen | Rechtliche Verpflichtung |
| Werbung an Bestandskunden | Berechtigtes Interesse |
| Website-Analyse | Einwilligung oder berechtigtes Interesse |
Im Zweifel: Einwilligung ist immer sicher, aber aufwändig zu verwalten.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Eine DSFA ist eine erweiterte Risikoanalyse, die erforderlich ist bei:
- Systematischer Überwachung öffentlicher Bereiche
- Umfangreicher Verarbeitung besonderer Kategorien
- Automatisierter Einzelentscheidung mit Rechtswirkung
- Neuen Technologien mit hohem Risiko
Das System zeigt einen Hinweis, wenn eine DSFA empfohlen wird.
Auftragsverarbeitung (AVV)
Wann brauche ich einen AVV?
AVV erforderlich:
- Cloud-Dienste, die Ihre Daten speichern
- Externes Lohnbüro
- Newsletter-Dienstleister
- Hosting-Provider
- IT-Wartung mit Datenzugriff
Kein AVV erforderlich:
- Steuerberater (eigenständig verantwortlich)
- Rechtsanwalt (Berufsgeheimnis)
- Post/Paketdienste (nur Transport)
- Banken (für Zahlungsverkehr)
Der Anbieter hat keinen AVV – was tun?
- Nachfragen: Viele Anbieter haben AVVs, die nicht prominent verlinkt sind
- Standard-AVV vorschlagen: Sie können dem Anbieter einen eigenen AVV anbieten
- Alternative suchen: Wenn kein AVV möglich, anderen Anbieter wählen
- Risiko dokumentieren: Falls unvermeidbar, Risikobewertung durchführen
Was ist mit US-Anbietern nach Schrems II?
Seit dem Data Privacy Framework (DPF) 2023:
| Anbieter-Status | Maßnahme |
|---|---|
| DPF-zertifiziert | Angemessenheitsbeschluss gilt |
| Nicht DPF-zertifiziert | SCC + Transfer Impact Assessment |
Prüfen Sie: https://www.dataprivacyframework.gov/s/participant-search
Wie lange ist ein AVV gültig?
- Unbefristet: Gilt, bis er gekündigt wird
- Befristet: Muss vor Ablauf erneuert werden
- Automatische Verlängerung: Prüfen Sie die Kündigungsfristen
Das System erinnert Sie 90 Tage vor Ablauf befristeter AVVs.
TOMs
Welche TOMs brauche ich mindestens?
Die DSGVO nennt als Beispiele:
- Pseudonymisierung und Verschlüsselung
- Vertraulichkeit, Integrität, Verfügbarkeit
- Rasche Wiederherstellung
- Regelmäßige Überprüfung
Mindestens abdecken: Alle 9 TOM-Kategorien im System
Muss ich teure Sicherheitssoftware kaufen?
Nein, der "Stand der Technik" bedeutet nicht "teuerste Lösung". Berücksichtigt werden:
- Implementierungskosten
- Art und Umfang der Verarbeitung
- Eintrittswahrscheinlichkeit von Risiken
- Schwere möglicher Schäden
Beispiel: Ein Handwerksbetrieb braucht keine Enterprise-Firewall, aber grundlegenden Passwortschutz.
Wie weise ich die Umsetzung von TOMs nach?
| Nachweis | Beispiel |
|---|---|
| Richtlinie | IT-Sicherheitsrichtlinie |
| Protokoll | Penetrationstest-Bericht |
| Screenshot | Firewall-Konfiguration |
| Zertifikat | ISO 27001 |
| Vertrag | SLA mit Rechenzentrum |
Löschkonzept
Wann beginnt die Aufbewahrungsfrist?
| Dokumenttyp | Fristbeginn |
|---|---|
| Buchungsbelege | Ende des Kalenderjahres der Erstellung |
| Verträge | Ende der Vertragslaufzeit |
| Bewerbungen | Ende des Bewerbungsprozesses |
| Personalakten | Ende des Arbeitsverhältnisses |
Darf ich Daten früher löschen als vorgeschrieben?
Nein! Gesetzliche Aufbewahrungspflichten gehen vor. Wenn Sie z.B. Rechnungen vor Ablauf der 10-Jahres-Frist löschen, verstoßen Sie gegen das Steuerrecht.
Was bedeutet "Löschen" technisch?
- Logisches Löschen: Daten werden als gelöscht markiert (recoverable)
- Physisches Löschen: Daten werden überschrieben (nicht recoverable)
Für DSGVO-Compliance reicht logisches Löschen, wenn:
- Daten nicht mehr zugänglich sind
- Sie zeitnah physisch gelöscht werden (z.B. nächster Backup-Zyklus)
Was ist mit Backups?
Backups müssen nicht sofort bereinigt werden, aber:
- Löschkonzept muss Backup-Aufbewahrung berücksichtigen
- Bei Restore gelöschte Daten identifizieren und erneut löschen
- Backup-Aufbewahrung begrenzen (z.B. max. 90 Tage)
Mitarbeitervereinbarungen
Muss jeder Mitarbeiter unterschreiben?
Ja, wenn er Zugang zu personenbezogenen Daten hat. Das betrifft praktisch alle Büro-Mitarbeiter.
Ausnahmen: Mitarbeiter ohne jeden Datenzugang (z.B. reine Produktionsmitarbeiter ohne IT-Zugang)
Was, wenn ein Mitarbeiter nicht unterschreiben will?
- Aufklären: Oft Missverständnis über den Inhalt
- Gespräch: Gründe erfragen
- Konsequenz: Ohne Unterschrift kein Zugang zu personenbezogenen Daten
- Ultima Ratio: Arbeitsrechtliche Maßnahmen (Abmahnung bis Kündigung)
Wie oft muss erneuert werden?
- Bei unbefristeten Vereinbarungen: Nur bei wesentlichen Änderungen
- Bei befristeten Vereinbarungen: Vor Ablauf
- Empfehlung: Jährliche Überprüfung, ob Aktualisierung nötig
Ist die digitale Unterschrift rechtssicher?
Ja, die qualifizierte elektronische Signatur ist der handschriftlichen Unterschrift rechtlich gleichgestellt (eIDAS-Verordnung). Documenso erfüllt diese Anforderungen.
Websites
Was muss in die Datenschutzerklärung?
Mindestens:
- Name und Kontakt des Verantwortlichen
- Kontakt des DSB (falls vorhanden)
- Zwecke und Rechtsgrundlagen der Verarbeitung
- Empfänger der Daten
- Drittlandtransfers
- Speicherdauer
- Betroffenenrechte
- Widerrufsrecht bei Einwilligung
- Beschwerderecht bei Aufsichtsbehörde
Brauche ich ein Cookie-Banner?
Ja, wenn Sie:
- Tracking-Cookies setzen (Google Analytics, etc.)
- Marketing-Cookies nutzen
- Eingebettete Inhalte mit Cookies haben (YouTube, etc.)
Nein, für:
- Technisch notwendige Cookies (Session, Warenkorb)
- Reine Statistik ohne Personenbezug (z.B. Matomo ohne Cookies)
Wie oft muss die Datenschutzerklärung geprüft werden?
- Bei jeder Änderung der Datenverarbeitung
- Bei neuen Tools/Plugins auf der Website
- Mindestens jährlich
- Nach Gesetzesänderungen
Betroffenenrechte
Wie lange habe ich Zeit für eine Auskunft?
1 Monat nach Eingang des Antrags. Verlängerung um weitere 2 Monate nur bei komplexen Anfragen mit Begründung.
Was muss ich bei einer Auskunft herausgeben?
- Verarbeitungszwecke
- Datenkategorien
- Empfänger
- Speicherdauer
- Herkunft der Daten
- Bestehen automatisierter Entscheidungen
- Kopie der personenbezogenen Daten
Kann ich eine Löschanfrage ablehnen?
Ja, wenn:
- Gesetzliche Aufbewahrungspflichten bestehen
- Die Verarbeitung zur Rechtsverteidigung erforderlich ist
- Journalistische/wissenschaftliche Zwecke
Die Ablehnung muss begründet werden!
Compliance-Score
Warum ist mein Score unter 100%?
Häufige Gründe:
- Nicht alle TOM-Kategorien abgedeckt
- Verarbeitungstätigkeiten ohne Löschklasse
- AVVs ausstehend oder abgelaufen
- Mitarbeiter ohne unterschriebene Vereinbarung
- Websites ohne aktuelles Audit
Wie erreiche ich 100%?
- Alle Pflichtfelder in Verarbeitungstätigkeiten ausfüllen
- Jeder Verarbeitungstätigkeit eine Löschklasse zuordnen
- Alle 9 TOM-Kategorien mit mind. 1 umgesetzten TOM abdecken
- Alle AVVs als "unterschrieben" oder "nicht erforderlich" markieren
- Alle Mitarbeiter mit unterschriebener Vereinbarung
- Alle Websites mit aktuellem Audit
Wer sieht meinen Compliance-Score?
Nur Administratoren Ihres Mandanten. Der Score wird nicht an Behörden übermittelt.