SaaS-Welt
Alle Rechner
Kalkulator

DSGVO
Compliance-Check

15 Fragen zu den wichtigsten DSGVO-Pflichten — mit Ampel-Ergebnis, Prioritätenliste und konkreten Handlungsfeldern.

KostenlosKein LoginArt. 13 bis Art. 4615 Fragen
Beispiel-AusgabeKostenlos · Kein Login

Compliance-Status

Gut aufgestellt

24 / 30 Punkte (80%)
Informationspflichten4/4
Rechtsgrundlagen3/4
Auftragsverarbeitung2/3
Technische Maßnahmen4/5
Ressourcen

DSGVO Compliance-Check

15 Fragen zu den wichtigsten DSGVO-Pflichten — mit Ampel-Ergebnis und Prioritätenliste.

Informationspflichten
1

Informieren Sie Nutzer beim Erheben von Daten über Zweck, Rechtsgrundlage und Speicherdauer der Verarbeitung?

Art. 13 DSGVO● Hohe Priorität

2

Weist Ihre Datenschutzerklärung auf alle Betroffenenrechte hin (Auskunft, Berichtigung, Löschung, Widerspruch, Portabilität, Beschwerde)?

Art. 13 Abs. 2 DSGVO● Hohe Priorität

Rechtsgrundlagen
3

Haben Sie für jede Datenverarbeitung (Newsletter, CRM, Analytics, Kontaktformular) eine dokumentierte Rechtsgrundlage?

Art. 6 DSGVO● Hohe Priorität

4

Wo Sie Einwilligungen nutzen: Sind diese freiwillig, eindeutig, informiert und jederzeit widerrufbar — ohne vorausgefüllte Checkboxen?

Art. 7 DSGVO● Hohe Priorität

Auftragsverarbeitung
5

Haben Sie mit allen Dienstleistern, die personenbezogene Daten verarbeiten (E-Mail, CRM, Hosting, Analytics, Payment), Auftragsverarbeitungsverträge (AVV) geschlossen?

Art. 28 DSGVO● Hohe Priorität

6

Verarbeiten Ihre Auftragsverarbeiter personenbezogene Daten ausschließlich auf Ihre dokumentierte Weisung — keine Eigenverarbeitung für eigene Zwecke?

Art. 28 Abs. 3 DSGVO

Technische Maßnahmen
7

Sind alle Webseiten und Datenübertragungen mit aktueller TLS-Verschlüsselung (HTTPS/TLS 1.2+) gesichert — inklusive Admin-Bereiche und APIs?

Art. 32 DSGVO● Hohe Priorität

8

Haben Sie Zugriffskontrollen implementiert: minimale Rechte (need-to-know), starke Passwörter und 2FA für Systeme mit Personendaten?

Art. 32 DSGVO● Hohe Priorität

9

Führen Sie regelmäßige Datensicherungen durch und testen Sie aktiv die Wiederherstellung?

Art. 32 DSGVO

Meldepflichten
10

Gibt es einen dokumentierten internen Prozess für Datenpannen-Meldungen innerhalb von 72 Stunden an die Aufsichtsbehörde?

Art. 33 DSGVO● Hohe Priorität

Datenschutzbeauftragter
11

Haben Sie geprüft, ob Ihr Unternehmen einen Datenschutzbeauftragten (DSB) bestellen muss, und entsprechend gehandelt?

Art. 37 DSGVO● Hohe Priorität

Verarbeitungsverzeichnis
12

Führen Sie ein aktuelles Verzeichnis aller Verarbeitungstätigkeiten (VVT) mit Zweck, Datenkategorien, Empfängern und Löschfristen?

Art. 30 DSGVO● Hohe Priorität

Drittlandtransfers
13

Wenn Sie US-amerikanische Tools nutzen (Google, AWS, Stripe, HubSpot etc.): Haben Sie geprüft, ob diese unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind?

Art. 44-46 DSGVO● Hohe Priorität

Cookie & Tracking
14

Setzt Ihre Webseite vor aktiver Einwilligung keine nicht-notwendigen Cookies oder Tracking-Skripte (Google Analytics, Facebook Pixel, LinkedIn Insight Tag)?

Art. 6 DSGVO + ePrivacy-RL● Hohe Priorität

15

Ist das Ablehnen von Cookies genauso einfach wie das Akzeptieren — mit gleichwertiger Ablehnen-Option auf gleicher Ebene ohne Dark Patterns?

Art. 7 DSGVO + ePrivacy-RL● Hohe Priorität

0 von 15 Fragen beantwortet

Noch 15 offen

Referenz

Wichtigste DSGVO-Artikel für Unternehmen

Die Artikel, die für die meisten Unternehmen im DACH-Raum relevant sind — und die häufigsten Grundlagen für Bußgelder.

Art. 5

Grundsätze

Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Rechenschaftspflicht.

Art. 6

Rechtsgrundlagen

Jede Verarbeitung braucht eine Grundlage: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse.

Art. 7

Einwilligung

Muss freiwillig, bestimmt, informiert und unmissverständlich erteilt werden. Muss jederzeit widerrufbar sein, ohne Nachteile.

Art. 13-14

Informationspflichten

Beim Erheben von Daten müssen Zweck, Rechtsgrundlage, Verantwortlicher, Speicherdauer und Betroffenenrechte mitgeteilt werden.

Art. 17

Löschrecht

Betroffene können Löschung ihrer Daten verlangen, wenn kein Verarbeitungsgrund mehr vorliegt. Praktisch: Löschprozesse und Fristen dokumentieren.

Art. 28

Auftragsverarbeitung

Mit jedem Dienstleister, der Daten in Ihrem Auftrag verarbeitet, ist ein AVV abzuschließen. Fehlt der AVV, ist die Verarbeitung rechtswidrig.

Art. 30

Verarbeitungsverzeichnis

Dokumentation aller Verarbeitungstätigkeiten mit Zweck, Kategorien, Empfängern und Löschfristen. Pflicht bei ≥250 MA oder risikoreicher Verarbeitung.

Art. 32

Technische Maßnahmen

Geeignete TOMs zum Schutz der Daten: Verschlüsselung, Zugangskontrollen, Pseudonymisierung, Verfügbarkeit, Belastbarkeit.

Art. 33

Meldepflicht bei Datenpannen

Bei Sicherheitsverletzungen mit Risiko für Betroffene: Meldung an Aufsichtsbehörde binnen 72 Stunden. Bei hohem Risiko auch direkte Betroffenen-Information (Art. 34).

Art. 37

Datenschutzbeauftragter

Pflicht in Deutschland ab 20 Personen mit regelmäßiger Datenverarbeitung (§ 38 BDSG) oder bei besonders sensibler Verarbeitung (Art. 9 DSGVO).

Art. 44-46

Drittlandtransfers

Daten dürfen nur in Länder außerhalb der EU/EWR übertragen werden, wenn ein Angemessenheitsbeschluss vorliegt (z.B. DPF für USA) oder SCCs vereinbart wurden.

Praxis-Kontext

Was DACH-Unternehmen am häufigsten falsch machen

Kein AVV mit US-Tools

Brevo, Stripe, HubSpot, Notion, Slack — fast jeder nutzt mehrere US-SaaS-Tools. Ohne AVV und geprüfte Transfergrundlage (DPF oder SCCs) ist die Nutzung rechtswidrig. Viele Anbieter haben AVVs im Kundenbereich — aber man muss sie aktiv abschließen.

Cookie-Banner als Falle

Ein Cookie-Banner allein macht noch keine DSGVO-Compliance. Entscheidend: Werden Cookies und Tracking-Skripte erst nach aktiver Einwilligung geladen? Und ist das Ablehnen genauso einfach wie das Akzeptieren? Viele Banner erfüllen diese Anforderungen nicht.

Fehlende Rechtsgrundlagen-Dokumentation

Jede Verarbeitung braucht eine Grundlage — und die muss dokumentiert sein. "Wir hatten gedacht, das sei in Ordnung" gilt nicht. Im VVT oder einer separaten Übersicht sollte für jeden Prozess stehen: Welche Rechtsgrundlage gilt, warum, und seit wann.

72-Stunden-Frist ohne Prozess

Bei einer Datenpanne haben Unternehmen 72 Stunden für die Meldung an die Aufsichtsbehörde. Wer diesen Prozess erst im Ernstfall definiert, handelt zu spät. Mindestens ein Ansprechpartner und ein einfaches Meldeformular sollten vorbereitet sein.

Hinweis: Dieser Check und die Praxis-Tipps ersetzen keine professionelle Datenschutzberatung. Bußgelder nach DSGVO können bis zu 4% des weltweiten Jahresumsatzes betragen — für verbindliche Einschätzungen einen DSB oder Fachanwalt hinzuziehen.

FAQ

Häufige Fragen zur DSGVO-Compliance

Was prüft der DSGVO Compliance-Check?
Der Check prüft 15 zentrale Pflichten aus der DSGVO: Informationspflichten (Art. 13/14), Rechtsgrundlagen (Art. 6/7), Auftragsverarbeitungsverträge (Art. 28), technisch-organisatorische Maßnahmen (Art. 32), Datenpannen-Meldepflichten (Art. 33), Datenschutzbeauftragter (Art. 37), Verarbeitungsverzeichnis (Art. 30), Drittlandtransfers (Art. 44-46) und Cookie-Compliance (ePrivacy-RL).
Ist dieses Tool eine offizielle Datenschutzberatung?
Nein. Der Check dient ausschließlich der ersten Orientierung. Er ersetzt keine individuelle Prüfung durch einen qualifizierten Datenschutzbeauftragten oder Rechtsanwalt. Für eine verbindliche DSGVO-Bewertung wenden Sie sich an Ihre zuständige Datenschutz-Aufsichtsbehörde oder einen Fachanwalt für Datenschutzrecht.
Was bedeutet "Hohe Priorität" bei einer Frage?
Fragen mit hoher Priorität decken DSGVO-Pflichten ab, deren Verletzung besonders häufig zu Bußgeldern oder Abmahnungen führt — z.B. fehlende Auftragsverarbeitungsverträge, kein HTTPS, Cookies ohne Einwilligung, oder fehlende Rechtsgrundlagen. Diese sollten als erstes adressiert werden.
Benötige ich als Solopreneur oder Kleinunternehmer überhaupt DSGVO-Compliance?
Ja. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten — unabhängig von Größe oder Umsatz. Auch Freelancer, die ein Kontaktformular oder Newsletter nutzen, sind betroffen. Bestimmte Erleichterungen gelten nur für spezifische Ausnahmen (z.B. Verarbeitungsverzeichnis ab 250 Mitarbeitern).
Was ist ein Auftragsverarbeitungsvertrag (AVV) und wann brauche ich einen?
Ein AVV (nach Art. 28 DSGVO) regelt, unter welchen Bedingungen ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten darf. Sie brauchen einen AVV mit jedem Anbieter, der Zugriff auf Kundendaten hat: Newsletter-Tool (Brevo, Mailchimp), CRM (HubSpot, Pipedrive), Cloud-Hosting (AWS, Hetzner), Analytics (Google Analytics) und anderen. Viele Anbieter stellen AVVs in ihren Kontoeinstellungen bereit.
Was ist das EU-US Data Privacy Framework (DPF) und warum ist es wichtig?
Das DPF (seit Juli 2023) ist der aktuelle Rechtsrahmen für Datentransfers zwischen der EU und den USA. US-Unternehmen können sich freiwillig zertifizieren lassen — dann ist der Transfer legal. Nicht-zertifizierte US-Anbieter benötigen Standardvertragsklauseln (SCCs) als Grundlage. Prüfen Sie den Status Ihrer US-Tools unter dataprivacyframework.gov.
Welche deutschen Datenschutz-Aufsichtsbehörden sind zuständig?
Die zuständige Aufsichtsbehörde richtet sich nach dem Bundesland des Unternehmenssitzes. Beispiele: Bayern (LDA), Berlin (BlnBDI), Hamburg (HmbBfDI), NRW (LDI NRW), Baden-Württemberg (LfDI BW), Hessen (HBDI). Für bundesweite oder überregionale Fälle ist der Bundesbeauftragte für Datenschutz (BfDI) zuständig.