DSGVO-Schnellcheck für Eigenentwicklungen - Jan Reinhardt

Betroffenenrechte

Nutzer können eine Auskunft über ihre gespeicherten Daten anfordern

Art. 15 DSGVO: Jede Person hat das Recht zu erfahren, welche Daten über sie gespeichert sind.

So setzen Sie es um:

Mindestens: Eine E-Mail-Adresse, an die Auskunftsersuchen geschickt werden können, mit garantierter Antwort binnen 30 Tagen. Besser: Ein „Meine Daten"-Bereich im Benutzerkonto, in dem Nutzer ihre gespeicherten Daten selbst einsehen können. Bei internen Anwendungen reicht ein dokumentierter Prozess (z. B. Anfrage an IT-Abteilung mit Ticket-System).

Betrifft: Alle Anwendungen, die personenbezogene Daten verarbeiten — egal ob Kunden, Mitarbeiter oder Geschäftspartner.

Nutzer können fehlerhafte Daten korrigieren lassen

Art. 16 DSGVO: Unrichtige Daten müssen auf Verlangen berichtigt werden.

So setzen Sie es um:

Ideal: Nutzer können Stammdaten (Name, Adresse, Kontakt) selbst im Profil bearbeiten. Für Daten, die nicht selbst änderbar sein sollen (z. B. Vertragsdaten): Ein Formular oder eine E-Mail-Adresse zur Korrekturanfrage. Wichtig: Die Korrektur muss auch in Backups und bei Dritten nachgezogen werden.

Betrifft: Alle Anwendungen mit Benutzerkonten oder gespeicherten Stammdaten — Kundenportale, CRM-Systeme, HR-Software.

Nutzer können die Löschung ihrer Daten verlangen

Art. 17 DSGVO („Recht auf Vergessenwerden"): Daten müssen gelöscht werden, wenn kein Aufbewahrungsgrund mehr besteht.

So setzen Sie es um:

Eine E-Mail-basierte Löschanfrage ist rechtlich ausreichend — aber nur, wenn sie zuverlässig und fristgerecht (30 Tage) bearbeitet wird. Komfortabler: Ein „Konto löschen"-Button im Benutzerprofil. Wichtig: Gesetzliche Aufbewahrungsfristen (z. B. 10 Jahre für Rechnungen) haben Vorrang — dann wird gesperrt statt gelöscht. Löschen heißt auch: Backups und verbundene Systeme berücksichtigen.

Betrifft: Kundenportale, Online-Shops, SaaS-Anwendungen, Newsletter-Systeme — überall wo Endkunden Konten haben.

Nutzer können ihre Daten in einem gängigen Format exportieren

Art. 20 DSGVO: Daten müssen in einem maschinenlesbaren Format bereitgestellt werden können (z. B. CSV, JSON).

So setzen Sie es um:

Ein „Daten exportieren"-Button im Benutzerkonto, der eine CSV- oder JSON-Datei erzeugt. Mindestens: Auf Anfrage per E-Mail wird ein Export innerhalb von 30 Tagen bereitgestellt. Der Export muss die vom Nutzer bereitgestellten Daten enthalten — nicht unbedingt abgeleitete Daten (z. B. interne Bewertungen).

Betrifft: Vor allem bei Verträgen und Einwilligungen: SaaS-Plattformen, Cloud-Dienste, soziale Netzwerke. Weniger relevant bei reinen Mitarbeiter-Anwendungen.

Nutzer können der Verarbeitung ihrer Daten widersprechen

Art. 21 DSGVO: Bei Direktwerbung oder berechtigtem Interesse muss ein Widerspruchsrecht bestehen.

So setzen Sie es um:

Bei Werbung: Ein Abmeldelink in jeder E-Mail plus eine Opt-out-Seite. Bei berechtigtem Interesse: Ein Kontaktweg (E-Mail, Formular), über den der Widerspruch erklärt werden kann. Die Anwendung muss den Widerspruch technisch umsetzen können — also ein Flag „Verarbeitung gesperrt" pro Nutzer.

Betrifft: Newsletter-Systeme, Marketing-Automation, CRM mit Scoring/Profiling, Anwendungen mit Interessenabwägung als Rechtsgrundlage.

Einwilligung & Transparenz

Vor der Datenerhebung wird eine ausdrückliche Einwilligung eingeholt

Art. 6/7 DSGVO: Ohne Rechtsgrundlage (z. B. Einwilligung, Vertrag) dürfen keine personenbezogenen Daten verarbeitet werden.

So setzen Sie es um:

Eine Checkbox (nicht vorausgewählt!) vor dem Absenden eines Formulars, z. B.: „Ich bin damit einverstanden, dass meine Daten zum Zweck der Anfrage verarbeitet werden." Bei Vertragserfüllung (z. B. Bestellung) ist keine zusätzliche Einwilligung nötig — aber eine Information. Wichtig: Die Einwilligung muss dokumentiert werden (wer, wann, wofür).

Betrifft: Kontaktformulare, Newsletter-Anmeldungen, Registrierungen, Cookie-Banner — jede Stelle, an der Daten ohne Vertragsbezug erhoben werden.

Die Einwilligung kann jederzeit widerrufen werden — genauso einfach wie sie erteilt wurde

Art. 7 Abs. 3 DSGVO: Der Widerruf muss genauso leicht möglich sein wie die Einwilligung.

So setzen Sie es um:

Wenn die Einwilligung per Checkbox erteilt wurde, muss der Widerruf genauso einfach sein — z. B. ein Klick im Benutzerkonto oder ein Abmeldelink. Nicht ausreichend: „Bitte schreiben Sie einen Brief an unsere Zentrale." Ein Medienbruch (online erteilt → offline widerrufen) ist unzulässig.

Betrifft: Alle Anwendungen, die Einwilligungen einholen: Newsletter, Tracking, Marketing, freiwillige Datenerhebungen.

Eine verständliche Datenschutzerklärung ist in der Anwendung verlinkt

Art. 13/14 DSGVO: Nutzer müssen über Zweck, Dauer und Empfänger der Verarbeitung informiert werden.

So setzen Sie es um:

Ein permanent sichtbarer Link „Datenschutz" im Footer oder in der Navigation. Die Erklärung muss benennen: Welche Daten, warum, wie lange, an wen weitergegeben, welche Rechte. Bei internen Anwendungen: Aushang oder Link im Intranet. Tipp: Einfache Sprache verwenden, nicht nur Juristendeutsch.

Betrifft: Jede Anwendung mit Benutzeroberfläche — ob öffentliche Website, Kundenportal oder interne Software für Mitarbeiter.

Es wird klar kommuniziert, wofür die Daten verwendet werden

Art. 5 Abs. 1b DSGVO: Daten dürfen nur für den angegebenen Zweck verarbeitet werden.

So setzen Sie es um:

Bei jedem Formular kurz angeben, wofür die Daten verwendet werden: „Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet." Wenn Daten später für einen neuen Zweck genutzt werden sollen, muss erneut informiert/eingewilligt werden. Intern: Verarbeitungsverzeichnis pflegen.

Betrifft: Alle Anwendungen — besonders relevant, wenn Daten für mehrere Zwecke verwendet werden (z. B. Bestellung + Newsletter + Analyse).

Datensparsamkeit & Speicherung

Es werden nur die Daten erhoben, die für den Zweck tatsächlich nötig sind

Art. 5 Abs. 1c DSGVO: Keine „Vorratsspeicherung" — nur erheben, was wirklich gebraucht wird.

So setzen Sie es um:

Formulare kritisch prüfen: Braucht das Kontaktformular wirklich Geburtsdatum und Telefonnummer? Pflichtfelder auf das Minimum beschränken. Faustregel: Wenn Sie nicht in einem Satz erklären können, wofür ein Feld gebraucht wird, ist es überflüssig. Optional-Felder klar als solche kennzeichnen.

Betrifft: Alle Anwendungen mit Formularen — Registrierungen, Bestellprozesse, Kontaktformulare, Bewerbungsportale.

Es gibt definierte Löschfristen — Daten werden nicht unbegrenzt gespeichert

Art. 5 Abs. 1e DSGVO: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.

So setzen Sie es um:

Pro Datenkategorie eine Frist definieren, z. B.: Bewerbungsunterlagen 6 Monate nach Absage, Logfiles 90 Tage, inaktive Accounts 2 Jahre, Rechnungen 10 Jahre (gesetzlich). Diese Fristen dokumentieren und — idealerweise automatisiert — durchsetzen (z. B. Cronjob der alte Daten löscht).

Betrifft: Jede Anwendung, die personenbezogene Daten speichert — von der einfachen Kontaktliste bis zur komplexen Unternehmenssoftware.

Ein automatisches oder dokumentiertes Löschkonzept ist vorhanden

Regelmäßige Prüfung und Löschung veralteter Daten — idealerweise automatisiert.

So setzen Sie es um:

Variante A (ideal): Automatische Löschung per Zeitsteuerung — z. B. ein Hintergrundjob, der monatlich Daten löscht, deren Frist abgelaufen ist. Variante B (Minimum): Eine dokumentierte Checkliste, die quartalsweise abgearbeitet wird (manuell, aber nachweisbar). In beiden Fällen: Protokollieren, was wann gelöscht wurde.

Betrifft: Alle Anwendungen mit langfristiger Datenspeicherung — CRM, ERP, HR-Systeme, Archive, Datenbanken.

In Test- und Entwicklungsumgebungen werden keine echten Personendaten verwendet

Echte Daten in Testumgebungen sind ein häufiges Datenschutzrisiko. Anonymisierte Testdaten verwenden.

So setzen Sie es um:

Testdatenbank mit anonymisierten oder fiktiven Daten befüllen (Faker-Libraries nutzen). Wenn echte Daten zum Debuggen nötig sind: Nur mit Zugangsschutz und nach dem Test sofort wieder löschen. Produktivdatenbanken niemals 1:1 in die Testumgebung kopieren.

Betrifft: Entwicklungsteams und IT-Abteilungen — relevant bei jeder Software, die aktiv weiterentwickelt wird.

Technische Sicherheit

Daten werden verschlüsselt übertragen (HTTPS/TLS)

Art. 32 DSGVO: Angemessene technische Maßnahmen zum Schutz der Daten — HTTPS ist Pflicht.

So setzen Sie es um:

Ein SSL/TLS-Zertifikat einrichten (bei den meisten Hostern kostenlos via Let's Encrypt). HTTP-Zugriffe automatisch auf HTTPS umleiten. Auch interne Anwendungen im Firmennetz sollten HTTPS nutzen — spätestens wenn Mitarbeiter über VPN oder von extern zugreifen.

Betrifft: Jede Webanwendung ohne Ausnahme — öffentlich oder intern, ob Shop, Portal oder Intranet.

Sensible Daten sind auch in der Datenbank verschlüsselt gespeichert

Besonders wichtig bei Gesundheits-, Finanz- oder Authentifizierungsdaten.

So setzen Sie es um:

Spalten mit besonders sensiblen Daten (Gesundheitsdaten, Bankverbindungen, Ausweiskopien) auf Anwendungsebene verschlüsseln — z. B. mit AES-256. Die Schlüssel getrennt von der Datenbank aufbewahren. Für normale Stammdaten (Name, E-Mail) ist Datenbank-Verschlüsselung „at rest" ausreichend (die meisten Cloud-Anbieter bieten das standard).

Betrifft: Anwendungen mit besonders schützenswerten Daten: Gesundheitswesen, Finanzbranche, HR-Systeme mit Gehaltsdaten, Anwendungen die Ausweisdokumente speichern.

Passwörter werden gehasht gespeichert (z. B. bcrypt), nicht im Klartext

Klartext-Passwörter sind ein schwerwiegendes Sicherheitsrisiko. Stand der Technik ist bcrypt oder Argon2.

So setzen Sie es um:

Jedes Framework bietet eingebaute Passwort-Hashing-Funktionen — diese nutzen, niemals selbst implementieren. PHP: password_hash(), Laravel: Hash::make(). Bestehende Klartext-Passwörter beim nächsten Login automatisch hashen. Passwort-Regeln (Mindestlänge 8–12 Zeichen) erzwingen.

Betrifft: Jede Anwendung mit Login-Funktion — egal ob 5 oder 5.000 Benutzer.

Es gibt ein Rollen- und Rechtekonzept — nicht jeder sieht alles

Art. 25 DSGVO (Privacy by Design): Zugriff nur auf die Daten, die für die jeweilige Rolle nötig sind.

So setzen Sie es um:

Mindestens: Admin vs. Normaler Benutzer unterscheiden. Besser: Feingranulare Rollen (z. B. Sachbearbeiter sieht nur eigene Fälle, Teamleiter sieht das Team, Admin sieht alles). Das Prinzip „Need to know" umsetzen. Bei kleinen Teams reicht oft: Admin, Bearbeiter, Nur-Lesen.

Betrifft: Jede Anwendung mit mehreren Benutzern — besonders relevant bei Anwendungen mit Kunden-, Personal- oder Finanzdaten.

Zugriffe auf personenbezogene Daten werden protokolliert

Nachvollziehbarkeit: Wer hat wann auf welche Daten zugegriffen? Wichtig für Audits und Vorfälle.

So setzen Sie es um:

Ein Audit-Log, das mindestens speichert: Wer (User-ID), wann (Zeitstempel), was (welche Aktion auf welchem Datensatz). Nicht nötig: Jeden Lesezugriff loggen. Sinnvoll: Änderungen, Löschungen, Exporte und Zugriffe auf besonders sensible Daten. Das Log selbst schützen (nicht durch normale Benutzer löschbar).

Betrifft: Anwendungen mit sensiblen Daten und mehreren Benutzern — Patientenverwaltung, Personalakte, Finanzsysteme, Behördenanwendungen.

Regelmäßige Backups werden erstellt und getestet

Art. 32 DSGVO: Die Fähigkeit, Daten nach einem Zwischenfall rasch wiederherzustellen, ist Pflicht.

So setzen Sie es um:

Automatische tägliche Backups (Datenbank + Dateien). Mindestens monatlich testen, ob die Wiederherstellung funktioniert. Backups verschlüsselt und an einem anderen Ort aufbewahren (nicht auf demselben Server). Aufbewahrungsfrist für Backups definieren — auch Backups unterliegen den Löschfristen!

Betrifft: Jede produktive Anwendung — vom kleinen Blog mit Kommentaren bis zur unternehmenskritischen Datenbank.

Organisation & Dokumentation

Ein Verzeichnis der Verarbeitungstätigkeiten (VVT) ist vorhanden

Art. 30 DSGVO: Pflicht für fast alle Unternehmen — dokumentiert, welche Daten wofür verarbeitet werden.

So setzen Sie es um:

Eine Tabelle (Excel reicht aus!) mit folgenden Spalten: Verarbeitungstätigkeit, Zweck, betroffene Personengruppen, Datenkategorien, Empfänger, Löschfristen, technische Schutzmaßnahmen. Pro Anwendung/Prozess eine Zeile. Muss nicht perfekt sein — aber es muss existieren und aktuell gehalten werden.

Betrifft: Pflicht für Unternehmen mit mehr als 250 Mitarbeitern oder bei regelmäßiger Verarbeitung sensibler Daten. In der Praxis: Jedes Unternehmen sollte eines haben.

Mit externen Dienstleistern (Hosting, Cloud, E-Mail) bestehen AV-Verträge

Art. 28 DSGVO: Wenn Dritte Daten verarbeiten, muss ein Auftragsverarbeitungsvertrag geschlossen werden.

So setzen Sie es um:

Für jeden externen Dienst, der personenbezogene Daten verarbeitet, einen AV-Vertrag abschließen: Hoster, Cloud-Provider, E-Mail-Dienst, Newsletter-Tool, Analyse-Tool. Die meisten großen Anbieter stellen fertige AV-Verträge bereit (oft unter „Datenschutz" oder „DPA" auf der Website). Sammeln und ablegen.

Betrifft: Jedes Unternehmen, das externe IT-Dienste nutzt — also praktisch alle. Besonders wichtig bei US-amerikanischen Cloud-Diensten (Stichwort Drittlandtransfer).

Bei risikoreicher Verarbeitung wurde eine Datenschutz-Folgenabschätzung durchgeführt

Art. 35 DSGVO: Bei besonders sensiblen Daten (Gesundheit, Scoring, Profiling) ist eine DSFA Pflicht.

So setzen Sie es um:

Prüfen: Verarbeitet die Anwendung Gesundheitsdaten, erstellt sie Profile, bewertet sie Personen automatisch, überwacht sie öffentliche Bereiche? Falls ja: Eine strukturierte Risikoanalyse durchführen und dokumentieren. Vorlagen gibt es bei den Aufsichtsbehörden (z. B. LfDI). Falls nein: Kurz dokumentieren, warum keine DSFA nötig ist.

Betrifft: Gesundheits-Apps, HR-Systeme mit automatisierter Bewertung, Scoring-Systeme, Videoüberwachung, Profiling, KI-basierte Entscheidungssysteme.

Es gibt einen dokumentierten Prozess für Datenschutzvorfälle

Art. 33/34 DSGVO: Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.

So setzen Sie es um:

Ein einseitiges Dokument mit: Wer muss informiert werden (intern), wer meldet an die Behörde, Kontaktdaten der zuständigen Aufsichtsbehörde, Vorlage für die Meldung. Den Prozess einmal im Jahr durchsprechen. Wichtig: Die 72-Stunden-Frist beginnt bei Kenntnis — nicht erst nach Analyse.

Betrifft: Jedes Unternehmen, das personenbezogene Daten verarbeitet. Auch kleine Teams — gerade dort fehlt oft ein klarer Prozess.

Mitarbeiter, die mit der Anwendung arbeiten, sind im Datenschutz geschult

Menschliche Fehler sind die häufigste Ursache für Datenschutzverstöße — regelmäßige Sensibilisierung hilft.

So setzen Sie es um:

Mindestens jährlich eine kurze Unterweisung (30–60 Minuten): Was sind personenbezogene Daten, worauf achten, was tun bei Verdacht auf Datenpanne. Muss kein teures Seminar sein — ein internes Meeting oder ein kurzes E-Learning reicht. Teilnahme dokumentieren (Unterschrift oder digitaler Nachweis).

Betrifft: Alle Unternehmen mit Mitarbeitern, die am PC arbeiten — vom Empfang über die Buchhaltung bis zur Geschäftsführung.

DSGVO-Schnellcheck

Betroffenenrechte

Einwilligung & Transparenz

Datensparsamkeit & Speicherung

Technische Sicherheit

Organisation & Dokumentation

Bestätigen