Zurück zu den Artikeln
RGPD
DSGVO Datenschutz Compliance Leitfaden BfDI

DSGVO-konform: Der komplette Leitfaden 2026

15. Oktober 2025 10 Min. Lesezeit DPLIANCE

DSGVO-konform in 2026: Warum jetzt der richtige Zeitpunkt ist

DSGVO-konform zu sein ist keine Option mehr. Es ist eine geschäftliche Notwendigkeit. Acht Jahre nach Inkrafttreten der Datenschutz-Grundverordnung hat sich die Durchsetzung in Deutschland drastisch verschärft: 2025 verhängten die deutschen Aufsichtsbehörden 249 Bußgelder mit einer Gesamthöhe von rund 46,9 Millionen Euro. Vodafone allein wurde vom BfDI mit 45 Millionen Euro bestraft — aufgeteilt in 15 Millionen Euro wegen mangelhafter Auftragsverarbeitung und 30 Millionen Euro für IT-Sicherheitsmängel.

Die Botschaft ist unmissverständlich: Die Schonfrist ist vorbei. Ob KMU oder Großkonzern — wer nicht DSGVO-konform handelt, riskiert empfindliche Strafen, Reputationsschäden und den Verlust von Kundenvertrauen.

Dieser Leitfaden erklärt die 8 zentralen DSGVO-Pflichten, bietet eine praxistaugliche Checkliste nach Unternehmensgröße und zeigt, welche Tools die Umsetzung erleichtern.

Was bedeutet DSGVO-konform?

DSGVO-konform bedeutet, dass ein Unternehmen alle Anforderungen der Datenschutz-Grundverordnung (Verordnung EU 2016/679) vollständig erfüllt. Das betrifft nicht nur die technische Umsetzung, sondern auch organisatorische Maßnahmen, Prozesse und die Unternehmenskultur im Umgang mit personenbezogenen Daten.

Wen betrifft die DSGVO?

Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von Personen in der EU verarbeitet — unabhängig davon, ob das Unternehmen seinen Sitz in der EU hat oder nicht. In der Praxis bedeutet das: Jedes Unternehmen mit einer Website, einem Kontaktformular, einer Kundendatenbank oder einem Newsletter ist betroffen.

DSGVO und deutsches Datenschutzrecht

In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Zusätzlich gibt es das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), das speziell den Datenschutz bei Telemedien regelt — etwa das Setzen von Cookies und den Einsatz von Tracking-Tools auf Websites.

Die Aufsicht liegt bei den Landesdatenschutzbehörden (LfDI) der jeweiligen Bundesländer sowie dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden und Telekommunikationsunternehmen.

Die 8 zentralen Pflichten der DSGVO

1. Verzeichnis von Verarbeitungstätigkeiten führen (Artikel 30)

Das Verzeichnis von Verarbeitungstätigkeiten ist das Fundament jeder DSGVO-Compliance. Es dokumentiert sämtliche Vorgänge, bei denen personenbezogene Daten verarbeitet werden: Erhebung, Speicherung, Nutzung, Übermittlung und Löschung.

Was muss enthalten sein:

  • Zweck jeder Verarbeitung
  • Kategorien der verarbeiteten Daten
  • Empfänger der Daten
  • Aufbewahrungsfristen
  • Technische und organisatorische Schutzmaßnahmen (TOMs)
  • Angaben zu Drittlandübermittlungen

Häufiger Irrtum: Viele Unternehmen glauben, dass die Ausnahme für Unternehmen mit weniger als 250 Beschäftigten (Artikel 30 Absatz 5) sie vom Verzeichnis befreit. Das stimmt nicht. Sobald die Verarbeitung nicht nur gelegentlich erfolgt — und das trifft auf praktisch jedes Unternehmen mit einer Website zu — ist das Verzeichnis Pflicht.

Ein Tool wie Complio kann die Erfassung Ihrer Webverarbeitungstätigkeiten automatisieren und Lücken in Ihrer Dokumentation aufdecken.

2. Datenschutzbeauftragten benennen (Artikel 37 DSGVO, § 38 BDSG)

Deutschland hat mit § 38 BDSG eine strengere Regelung als die meisten EU-Länder: Ein Datenschutzbeauftragter (DSB) ist Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Darüber hinaus ist ein DSB immer Pflicht bei:

  • Verarbeitungen, die einer Datenschutz-Folgenabschätzung bedürfen
  • Geschäftsmäßiger Verarbeitung personenbezogener Daten (z. B. Auskunfteien)
  • Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten)

Intern oder extern? Beide Optionen sind zulässig. Ein externer DSB bietet oft Vorteile für KMU: keine Personalkosten, kein Kündigungsschutz-Risiko und sofortige Fachkompetenz. Die Kosten liegen typischerweise zwischen 300 und 800 Euro monatlich für kleine Unternehmen.

3. Datenschutz-Folgenabschätzung durchführen (Artikel 35)

Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die deutschen Aufsichtsbehörden (DSK) haben eine gemeinsame Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA zwingend erforderlich ist.

Typische Fälle, die eine DSFA erfordern:

  • Umfangreiche Videoüberwachung (Stichwort: Notebooksbilliger — 10,4 Mio. Euro Bußgeld wegen Videoüberwachung von Mitarbeitern)
  • Profiling und automatisierte Entscheidungsfindung
  • Systematische Überwachung öffentlich zugänglicher Bereiche
  • Verarbeitung von Gesundheitsdaten in großem Umfang
  • Einsatz neuer Technologien wie KI-Systeme

Praxistipp: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellt eine Muster-DSFA zur Verfügung, die als Ausgangspunkt dienen kann.

4. Betroffenenrechte gewährleisten (Artikel 15–22)

Ihre Kunden, Mitarbeiter und Geschäftspartner haben umfassende Rechte:

  • Auskunftsrecht (Artikel 15): Welche Daten verarbeiten Sie über eine Person?
  • Recht auf Berichtigung (Artikel 16): Korrektur unrichtiger Daten
  • Recht auf Löschung (Artikel 17): Das “Recht auf Vergessenwerden”
  • Recht auf Datenübertragbarkeit (Artikel 20): Daten in maschinenlesbarem Format
  • Widerspruchsrecht (Artikel 21): Gegen bestimmte Verarbeitungen

Frist: Sie müssen innerhalb eines Monats antworten. Diese Frist beginnt mit Eingang des Antrags, nicht erst nach Identitätsprüfung.

Reales Beispiel: Der Hamburgische Beauftragte für Datenschutz verhängte 2025 ein Bußgeld von 492.000 Euro gegen ein Finanzunternehmen, das Auskunftsersuchen von Betroffenen schlicht ignoriert hatte.

5. Einwilligung korrekt einholen (Artikel 7)

Wo die Einwilligung als Rechtsgrundlage dient, muss sie:

  • Freiwillig sein: Kein Nachteil bei Verweigerung
  • Informiert sein: Klare Angaben zu Zweck und Empfänger
  • Unmissverständlich sein: Eine eindeutige Handlung (kein vorausgefülltes Kästchen)
  • Widerrufbar sein: Genauso einfach wie die Erteilung

Beim Cookie-Consent besonders wichtig: Das TDDDG verlangt, dass vor dem Setzen nicht technisch notwendiger Cookies eine wirksame Einwilligung eingeholt wird. “Ablehnen” muss genauso einfach sein wie “Akzeptieren” — Nudging und Dark Patterns sind unzulässig.

Cookilio ist eine DSGVO-konforme Consent-Management-Plattform, die alle technisch nicht notwendigen Tracker blockiert, bis der Nutzer aktiv eingewilligt hat — mit gleichwertigen Schaltflächen für Akzeptieren und Ablehnen.

6. Auftragsverarbeitung vertraglich regeln (Artikel 28)

Wenn Sie Dienstleister einsetzen, die in Ihrem Auftrag personenbezogene Daten verarbeiten — Cloud-Anbieter, E-Mail-Marketing-Tools, Hosting-Provider, Lohnbuchhaltung — benötigen Sie einen Auftragsverarbeitungsvertrag (AVV).

Der AVV muss regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen des Auftragsverarbeiters
  • Unterauftragsverarbeitung

Wichtig: Die Nutzung US-amerikanischer Cloud-Dienste (AWS, Google Cloud, Microsoft Azure) wirft zusätzliche Fragen auf, insbesondere wegen des CLOUD Act und der Unsicherheiten rund um das EU-US Data Privacy Framework. DSGVO-konforme Alternativen mit europäischem Hosting minimieren dieses Risiko erheblich.

Mirage Analytics bietet eine vollständig in Europa gehostete Web-Analytics-Lösung — ohne Datentransfer in Drittländer und ohne die Notwendigkeit eines Cookie-Banners für das Tracking.

7. Datenpannen melden (Artikel 33 und 34)

Bei einer Datenpanne (Verletzung des Schutzes personenbezogener Daten) gelten strenge Meldefristen:

  • 72-Stunden-Frist: Meldung an die zuständige Aufsichtsbehörde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko
  • Unverzüglich: Benachrichtigung der betroffenen Personen, wenn ein hohes Risiko besteht

Was als Datenpanne gilt:

  • Hackerangriffe mit Datenverlust
  • Versehentlicher E-Mail-Versand an falsche Empfänger
  • Verlust eines unverschlüsselten USB-Sticks
  • Fehlkonfigurierte Cloud-Speicher
  • Ransomware-Angriffe

Dokumentationspflicht: Auch Datenpannen, die nicht meldepflichtig sind, müssen intern dokumentiert werden — mit Beschreibung des Vorfalls, seiner Auswirkungen und der ergriffenen Abhilfemaßnahmen.

8. Technische und organisatorische Maßnahmen umsetzen (Artikel 32)

Die DSGVO verlangt “geeignete technische und organisatorische Maßnahmen” (TOMs) zum Schutz personenbezogener Daten. Was “geeignet” ist, hängt vom Risiko ab.

Typische technische Maßnahmen:

  • Verschlüsselung bei Übertragung und Speicherung
  • Zugangskontrollen und Berechtigungsmanagement
  • Pseudonymisierung
  • Regelmäßige Sicherheitsupdates
  • Backup-Konzept und Wiederherstellungsverfahren

Typische organisatorische Maßnahmen:

  • Datenschutzrichtlinien und Arbeitsanweisungen
  • Schulung der Mitarbeiter
  • Zugangsberechtigungskonzept
  • Besucherregelungen
  • Clean-Desk-Policy

Best Practice: Orientieren Sie sich am IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) als anerkanntem Standard für IT-Sicherheitsmaßnahmen in Deutschland.

Checkliste nach Unternehmensgröße

Kleinstunternehmen (1–9 Mitarbeiter)

  • Datenschutzerklärung auf der Website (individuell, nicht kopiert)
  • Cookie-Consent-Banner mit gleichwertiger Ablehnen-Option
  • Verzeichnis der Verarbeitungstätigkeiten (vereinfacht)
  • Auftragsverarbeitungsverträge mit allen Dienstleistern
  • Löschkonzept für Kundendaten
  • Sichere Passwörter und Zwei-Faktor-Authentifizierung
  • Verschlüsselte Kommunikation (TLS für E-Mail und Website)
  • Mitarbeiterbelehrung zum Datenschutz

Kleine Unternehmen (10–49 Mitarbeiter)

Alle Punkte der Kleinstunternehmen, plus:

  • Datenschutzbeauftragter ab 20 Personen mit Datenverarbeitung
  • Dokumentierte Prozesse für Betroffenenanfragen
  • Regelmäßige Datenschutzschulungen
  • Incident-Response-Plan für Datenpannen
  • Überprüfung aller Auftragsverarbeiter
  • Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen

Mittlere Unternehmen (50–249 Mitarbeiter)

Alle vorherigen Punkte, plus:

  • Datenschutzbeauftragter (intern oder extern) — zwingend
  • Formalisiertes Datenschutz-Management-System (DSMS)
  • Regelmäßige interne Audits
  • Datenschutz-Folgenabschätzungen für alle risikoreichen Verarbeitungen
  • Löschkonzept mit definierten Fristen pro Datenart
  • Whistleblowing-System (Hinweisgeberschutzgesetz)

Großunternehmen (250+ Mitarbeiter)

Alle vorherigen Punkte, plus:

  • Vollständiges Verzeichnis aller Verarbeitungstätigkeiten (keine Ausnahme mehr)
  • Datenschutz-Team oder dedizierte Datenschutzabteilung
  • Privacy by Design und Privacy by Default in allen Entwicklungsprozessen
  • Regelmäßige Penetrationstests und Sicherheitsaudits
  • Transfer Impact Assessments für Drittlandübermittlungen
  • Koordination mit NIS2-Anforderungen (ab 2025 verpflichtend für viele Sektoren)

Die wichtigsten DSGVO-Bußgelder in Deutschland

Die deutschen Aufsichtsbehörden greifen zunehmend hart durch. Ein Überblick über die bedeutendsten Fälle:

UnternehmenBußgeldVerstoßBehörde
Vodafone45 Mio. EURAuftragsverarbeitung, IT-SicherheitBfDI
H&M35,3 Mio. EURÜberwachung von MitarbeiternHmbBfDI
Deutsche Wohnen14,5 Mio. EURUnzulässige DatenspeicherungBlnBDI
Notebooksbilliger10,4 Mio. EUR (reduziert auf 900.000 EUR)VideoüberwachungLfD Niedersachsen
1&1 Telecom9,55 Mio. EURUnzureichende AuthentifizierungBfDI

Trend 2025: Obwohl die Gesamtzahl der Bußgelder leicht rückläufig war, stieg die Gesamtsumme deutlich. Die Behörden konzentrieren sich auf weniger, aber härtere Strafen. Bremen verhängte mit 101 Bußgeldern die meisten Strafen, gefolgt von Hessen mit 47.

Tools für die DSGVO-Konformität

Web-Analytics ohne Datenschutzrisiko

Google Analytics überträgt Nutzerdaten an Server in den USA — ein DSGVO-Risiko, das viele Unternehmen unterschätzen. Mirage Analytics ist eine souveräne Web-Analytics-Lösung, die vollständig in Europa gehostet wird. Dank eines cookielosen Tracking-Ansatzes ist kein Cookie-Banner für das Analytics-Tracking erforderlich — ein Vorteil sowohl für die DSGVO-Konformität als auch für die Nutzererfahrung.

Ein DSGVO-konformes Cookie-Banner ist kein Nice-to-have, sondern Pflicht. Cookilio blockiert alle nicht technisch notwendigen Tracker, bevor der Nutzer seine Einwilligung erteilt hat, und stellt sicher, dass die Ablehnung genauso einfach ist wie die Zustimmung — vollständig konform mit den Anforderungen der deutschen Aufsichtsbehörden und des TDDDG.

Automatisierter Website-Compliance-Audit

Complio scannt Ihre Website automatisch und identifiziert DSGVO-Verstöße: fehlende oder fehlerhafte Datenschutzerklärung, nicht konforme Cookie-Nutzung, fehlende Impressumsangaben und Sicherheitslücken. So erhalten Sie einen klaren Überblick über Ihren Compliance-Status — ohne teure externe Beratung.

Häufig gestellte Fragen

Was kostet ein DSGVO-Verstoß?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. In der Praxis liegen die Strafen für KMU meist im fünf- bis sechsstelligen Bereich. Dazu kommen Kosten für Rechtsberatung, Schadenersatzforderungen Betroffener und der Reputationsschaden, der sich kaum beziffern lässt.

Reicht eine Datenschutzerklärung aus einem Datenschutz-Generator?

Nein. Generierte Datenschutzerklärungen sind bestenfalls ein Startpunkt. Sie müssen an die tatsächlichen Verarbeitungen Ihres Unternehmens angepasst werden. Eine Datenschutzerklärung, die Dienste erwähnt, die Sie nicht nutzen, oder Verarbeitungen verschweigt, die Sie durchführen, ist nicht DSGVO-konform und kann bei einem Audit zum Problem werden.

Wie oft muss ich meine DSGVO-Maßnahmen überprüfen?

Es gibt keine feste Frist, aber Best Practice ist mindestens einmal jährlich eine vollständige Überprüfung — und zusätzlich bei jedem wesentlichen Änderungsereignis: neuer Dienstleister, neues Tool, neuer Verarbeitungszweck, Änderung der Unternehmensstruktur.

Was ändert sich 2026 für DSGVO-konforme Unternehmen?

Ab August 2026 gelten die Hauptpflichten der KI-Verordnung (AI Act). Unternehmen, die KI-Systeme einsetzen, müssen sicherstellen, dass diese sowohl DSGVO-konform als auch AI-Act-konform sind. Zudem verschärft die NIS2-Umsetzung die IT-Sicherheitsanforderungen für viele Sektoren erheblich — mit direkten Auswirkungen auf die technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO.

Braucht jedes Unternehmen einen Datenschutzbeauftragten?

In Deutschland: ab 20 Personen, die regelmäßig mit automatisierter Datenverarbeitung befasst sind, ja — unabhängig von der Rechtsform. Darüber hinaus bei jeder Verarbeitung, die eine DSFA erfordert, und bei geschäftsmäßiger Verarbeitung personenbezogener Daten zum Zweck der Übermittlung.

Nächste Schritte: DSGVO-konform werden

DSGVO-Konformität ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Beginnen Sie mit dem, was sofort umsetzbar ist:

  1. Bestandsaufnahme: Welche personenbezogenen Daten verarbeiten Sie wo, warum und wie lange?
  2. Website-Audit: Prüfen Sie Ihre Website auf DSGVO-Konformität — Datenschutzerklärung, Cookie-Banner, Tracking-Tools, Formulare.
  3. Lücken schließen: Identifizieren Sie die größten Risiken und priorisieren Sie die Maßnahmen.
  4. Dokumentieren: Alles, was Sie tun, muss nachweisbar sein — Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO.
  5. Kontinuierlich verbessern: Datenschutz ist kein Zustand, sondern ein Prozess.

DPLIANCE bietet als Anbieter souveräner Data- und KI-Lösungen die Werkzeuge, die Sie für eine nachhaltige DSGVO-Konformität benötigen — von cookieloser Web-Analyse über Consent-Management bis zum automatisierten Compliance-Audit. Alle Daten werden ausschließlich in Europa gehostet, auf souveräner Infrastruktur.

Schreiben Sie uns

contact@dpliance.com
Kontaktieren Sie uns