Die DSGVO gilt seit Mai 2018 — und doch haben viele Unternehmen noch immer erhebliche Lücken in ihrer Datenschutz-Compliance. Die österreichische Datenschutzbehörde (DSB) und der Europäische Datenschutzausschuss (EDSA) haben in den letzten Jahren ihre Prüfpraxis verschärft. Diese Checkliste hilft Ihnen, die wichtigsten Bereiche systematisch zu überprüfen.

1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Art. 30 DSGVO verpflichtet Unternehmen mit mehr als 250 Mitarbeitern — sowie kleinere Unternehmen, die regelmäßig oder systematisch personenbezogene Daten verarbeiten — zur Führung eines VVT.

  • Sind alle Verarbeitungstätigkeiten erfasst (inkl. HR, Marketing, CRM, Buchhaltung)?
  • Enthält jeder Eintrag: Zweck, Kategorien der Betroffenen, Datenkategorien, Rechtsgrundlage, Löschfristen, Empfänger?
  • Wurde das VVT in den letzten 12 Monaten überprüft und aktualisiert?

2. Datenschutzerklärungen und Einwilligungen

Art. 13/14 DSGVO fordern transparente Information der Betroffenen. Die DSB hat in mehreren Entscheidungen klargestellt, dass Cookie-Banner und Datenschutzerklärungen konkret, verständlich und vollständig sein müssen.

  • Sind alle Datenschutzerklärungen (Website, App, Vertragsunterlagen) auf dem aktuellen Stand?
  • Ist der Cookie-Banner DSGVO-konform (echte Wahlmöglichkeit, kein Dark Pattern, keine vorausgewählten Einwilligungen)?
  • Sind Einwilligungen dokumentiert und widerrufbar?
  • Werden Newsletter-Abonnements per Double-Opt-in gehandhabt?
Achtung: Die DSB hat mehrfach Cookie-Banner österreichischer Websites beanstandet, bei denen das Ablehnen von Tracking schwieriger gestaltet war als das Akzeptieren. Das stellt ein Dark Pattern dar und ist nicht DSGVO-konform.

3. Auftragsverarbeitungsverträge (AVV)

Art. 28 DSGVO verlangt einen schriftlichen Vertrag mit jedem Auftragsverarbeiter (Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet).

  • Wurden AVVs mit allen relevanten Dienstleistern abgeschlossen (Cloud-Anbieter, E-Mail-Marketing, Buchhaltungssoftware, IT-Dienstleister, Lohnverrechnung)?
  • Sind die AVVs inhaltlich vollständig (Art. 28 Abs. 3 DSGVO)?
  • Wurden Unterauftragsverarbeiter genehmigt und dokumentiert?

4. Drittlandtransfers

Seit dem Schrems-II-Urteil und dem EU-US Data Privacy Framework (2023) hat sich die Rechtslage für Datentransfers in Drittländer mehrfach geändert.

  • Werden personenbezogene Daten in Länder außerhalb des EWR übermittelt (z. B. USA, Indien)?
  • Stützt sich der Transfer auf einen Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) oder Binding Corporate Rules?
  • Wurden Transfer Impact Assessments (TIA) für risikoreiche Transfers durchgeführt?

5. Betroffenenrechte

Art. 12–23 DSGVO gewähren Betroffenen weitreichende Rechte. Die DSB prüft zunehmend, ob Unternehmen diese innerhalb der vorgeschriebenen Fristen (grundsätzlich 1 Monat) bearbeiten.

  • Gibt es einen dokumentierten Prozess für Auskunftsersuchen (Art. 15)?
  • Können Betroffene unkompliziert Löschung (Art. 17) oder Berichtigung (Art. 16) beantragen?
  • Werden Anfragen protokolliert (Eingang, Frist, Antwort)?

6. Datenschutz-Folgeabschätzung (DSFA)

Art. 35 DSGVO verlangt eine DSFA bei Verarbeitungen, die voraussichtlich ein hohes Risiko für Betroffene mit sich bringen — z. B. bei umfangreicher Profilbildung, Gesundheitsdaten oder systematischer Überwachung.

  • Wurde eine Schwellenwertanalyse für alle risikoreichen Verarbeitungen durchgeführt?
  • Liegen für betroffene Verarbeitungen vollständige DSFAs vor?
  • Wurden DSFAs bei wesentlichen Änderungen der Verarbeitung aktualisiert?

7. Technische und organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO fordert dem Risiko angemessene technische und organisatorische Schutzmaßnahmen. Ein zertifiziertes ISMS nach ISO 27001 ist der stärkste Nachweis für diesen Anforderungspunkt.

  • Sind die TOMs schriftlich dokumentiert und aktuell?
  • Umfassen sie: Verschlüsselung, Zugangskontrolle, Pseudonymisierung, Backup, Incident-Response?
  • Werden TOMs bei neuen Systemen und Projekten von Beginn an berücksichtigt (Privacy by Design)?
Schulungspflicht: Art. 39 Abs. 1 lit. b DSGVO verpflichtet DSBs zur Überwachung der Mitarbeiterschulung — aber auch ohne bestellten DSB sind Awareness-Maßnahmen eine Compliance-Anforderung. Schulungsnachweise sollten dokumentiert aufbewahrt werden.