Datenschutz-Checkliste des BayLDA: So setzen Unternehmen die DSGVO um

29.08.2025 | Lisa Gschnitzer – Online Redaktion, Forum Verlag Herkert GmbH

articleimage
KI-generiert

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet jedes Unternehmen in der EU, personenbezogene Daten rechtmäßig zu verarbeiten und zu schützen. Doch welche Maßnahmen sind konkret umzusetzen? Dazu bietet die Datenschutz-Checkliste des BayLDA eine praxisnahe Orientierung. In diesem Artikel erfahren Sie, welche Themen die Checkliste behandelt und wie Sie die Vorgaben in Ihrem Unternehmen umsetzen können.

Inhaltsverzeichnis

  1. Was ist die Datenschutz-Checkliste des BayLDA?
  2. Welche Themen deckt die Datenschutz-Checkliste des BayLDA ab?
  3. Wie Unternehmen ihre Daten mit technischen und organisatorischen Maßnahmen schützen

Was ist die Datenschutz-Checkliste des BayLDA?

Die Datenschutz-Checkliste des BayLDA ist eine Orientierung, wie Unternehmen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umsetzen können.

Auch wenn sie für Kleinstunternehmen und Soloselbständige im Handel in Bayern erstellt wurde, ist sie überregional relevant. Denn die Grundlage bildet die DSGVO, die in der gesamten EU gilt.

Gut zu wissen:

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mit Sitz in Ansbach ist die Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich in Bayern. Es überwacht die Einhaltung der Datenschutzgesetze und berät Unternehmen in Datenschutzfragen.

Welche Themen deckt die Datenschutz-Checkliste des BayLDA ab?

Verzeichnis der Verarbeitungstätigkeiten (VVT) und Rechtsgrundlagen

Nach Art. 30 DSGVO müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen.

Darin werden alle Tätigkeiten erfasst, bei der Unternehmen personenbezogene Daten verarbeiten.

Das VVT enthält:

 

Beschreibung

Beispiel

Zweck der Verarbeitung

Warum werden personenbezogene Daten verarbeitet?

Versand von Werbe-E-Mails

Mittel der Verarbeitung

Mit welchen Systemen oder Tools erfolgt die Verarbeitung?

E-Mail-Tool wie Mailchimp

Betroffene Personengruppen

Auf wen bezieht sich die Verarbeitung?

Kunden, Interessenten

Datenkategorien

Welche Datenkategorien werden verarbeitet?

Name, E-Mail-Adresse, Anmeldedaten

Speicherdauer

Wann müssen die Daten gelöscht werden?

Bis Widerruf bzw. Fristen nach Steuerrecht

Übermittlung in Nicht-EU-Länder

Werden personenbezogene Daten in Nicht-EU-Länder übermittelt? Falls ja, in welche?

Ja, USA

 

Darüber hinaus braucht jede Verarbeitung eine Rechtsgrundlage (Art. 6 DSGVO). Diese sollte ebenfalls im VVT dokumentiert werden (z. B. Einwilligung, Vertrag oder Interessenabwägung).

Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine Risikobewertung und nur erforderlich, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Dies ist beispielsweise der Fall bei einer umfangreichen Verarbeitung sensibler Daten wie Gesundheitsdaten.

Tipp: Halten Sie im VVT fest, ob eine DSFA für die jeweilige Verarbeitung notwendig ist.

Videoüberwachung

Eine Videoüberwachung ist nur bei berechtigtem Interesse zulässig, wenn dieses das Interesse der Betroffenen überwiegt – z. B. zur Aufklärung von Diebstählen.

Dabei gilt:

  • Unternehmen dürfen nur die erforderlichen Bereiche überwachen und keine Beschäftigten filmen (z. B. in Sozialräumen oder Lagerbereichen).
  • Hinweisschilder müssen über Zweck und Kontaktdaten des Unternehmens informieren.
  • Es müssen Löschfristen der Überwachungen festgelegt werden.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter unterstützt Unternehmen dabei, die DSGVO umzusetzen.

Unternehmen müssen einen Datenschutzbeauftragten einsetzen, wenn bestimmte Kriterien erfüllt sind. Dies ist zum Beispiel der Fall, wenn die Kerntätigkeit des Unternehmens in der systematischen Überwachung von Personen liegt (Art. 37 DSGVO).

Webshop, Website und E-Mail

Beim Betrieb eines Webshops, einer Website oder geschäftlicher E-Mail-Konten über externe Anbieter handelt es sich um eine Auftragsverarbeitung.

Dabei verarbeitet der Dienstleister im Auftrag des Unternehmens personenbezogene Daten, wie Bestelldaten oder IP-Adressen.

Unternehmen müssen daher

  • mit dem Anbieter einen Vertrag zur Auftragsverarbeitung abschließen,
  • und die darin vereinbarten technischen und organisatorischen Maßnahmen umsetzen (z. B. Verschlüsselung, Backups etc.).

Office-Produkte aus der Cloud

Bei Cloud-Office-Lösungen erfolgt oft eine Datenübermittlung in ein Drittland, da diese Anbieter Server außerhalb der EU betreiben – z. B. in den USA.

Eine solche Übertragung ist nach DSGVO nur zulässig, wenn der Anbieter im EU-US Data Protection Framework (DPF) gelistet ist.

Unternehmen sollten daher

  • prüfen, ob der jeweilige Anbieter auf der offiziellen DPF-Liste des US-Handelsministeriums aufgeführt ist,
  • mit dem Anbieter einen Vertrag zur Auftragsverarbeitung abschließen,
  • und die im Vertrag vereinbarten technischen und organisatorischen Maßnahmen umsetzen.

Verwendung von Messenger-Diensten

Bei der geschäftlichen Kommunikation über Messenger sollten Unternehmen nur Dienste nutzen, die

  • eine Ende-zu-Ende-Verschlüsselung bieten,
  • und keinen Zugriff auf das gesamte Adressbuch verlangen.

Umgang mit Betroffenenrechten

Betroffene Personen haben verschiedene Rechte, wie Auskunft, Berichtigung, Löschung oder Widerspruch.

Um den richtigen Umgang damit sicherzustellen, sollten Unternehmen

  • die Kontaktdaten für Anfragen zu Betroffenenrechten gut sichtbar veröffentlichen (z. B. in der Datenschutzerklärung auf der Website),
  • und intern verantwortliche Personen benennen, die Anfragen bearbeiten.

Meldung von Sicherheitsvorfällen

Kommt es zu einer Datenschutzverletzung, müssen Unternehmen diesen Vorfall dokumentieren.

Besteht ein Risiko für Einzelpersonen, müssen sie den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Bei hohem Risiko sind auch die betroffenen Personen unverzüglich zu informieren.

Tracking auf Website

Beim Einsatz von Tracking-Technologien auf Websites gilt: Tracking ist nur mit Einwilligung erlaubt.

Hier sollten laut der Datenschutz-Checkliste des BayLDA zwei Bereiche beachtet werden:

  1. Die Datenschutzerklärung muss folgende Angaben in einer klaren und einfachen Sprache enthalten:
  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke und Rechtsgrundlage der Datenverarbeitung
  • Datenkategorien
  • Empfänger
  • Information über mögliche Datenübermittlung in ein Drittland und die dafür geltenden Garantien
  • Betroffenenrechte
2. Der Einwilligungsbanner muss folgende Anforderungen erfüllen:
  • Die Einwilligung wird mit einfacher Sprache eingeholt, bevor Cookies gesetzt werden.
  • Es besteht eine gleichwertige Möglichkeit, die Einwilligung abzulehnen (direkt auf der ersten Ebene des Banners ohne versteckte Optionen in Untermenüs).
  • Nutzer werden vollständig informiert über
    • den Zugriff auf ihr Endgerät,
    • den Zweck der Verarbeitung und mögliche Empfänger,
    • mögliche Übermittlungen in Drittländer,
    • und das Widerrufsrecht.

Werbung

Bei elektronischer Werbung ist eine Einwilligung der Empfänger erforderlich. Diese wird über das Double-Opt-In-Verfahren eingeholt: Der Empfänger muss seine E-Mail-Adresse über einen Link in der Anmelde-E-Mail bestätigen.

Außerdem muss jederzeit eine einfache Möglichkeit zum Widerruf der Einwilligung bestehen.

Auch bei elektronischer Werbung an Bestandskunden oder postalischer Werbung muss eine klare Möglichkeit zum Widerruf vorhanden sein.

Informationspflichten

Unternehmen sind verpflichtet, betroffene Personen verständlich darüber zu informieren, wie und warum ihre Daten verarbeitet werden. Dies kann beispielsweise durch Aushänge im Geschäft oder durch die Datenschutzerklärung auf der Website erfolgen.

Je nach Art der Datenerhebung müssen die betroffenen Personen zu unterschiedlichen Zeitpunkten informiert werden:

  • Direkte Datenerhebung: Sofort bei der Erhebung (z. B. Bestellung im Webshop)
  • Datenerhebung über Dritte: Spätestens innerhalb eines Monats (z. B. Nutzung von Adressdaten von externen Anbietern für Werbezwecke)

Einsatz von Künstlicher Intelligenz

Wenn Unternehmen Künstliche Intelligenz über Cloud-Dienste im Browser nutzen, sind folgende Punkte zu beachten:

  • Sie müssen einen Vertrag zur Auftragsverarbeitung mit dem KI-Anbieter abschließen.
  • Es muss geprüft werden, ob der KI-Anbieter die Eingabe- und Ausgabedaten nicht für eigene Zwecke verwendet.
  • Wenn KI-Tools ausschließlich ohne personenbezogene Daten genutzt werden, sind Mitarbeiter entsprechend zu schulen.
  • Mitarbeiter dürfen für die Verarbeitung personenbezogener Daten keine KI-Dienste verwenden, die nur für die private Nutzung vorgesehen sind.
  • Beschäftigte müssen sich bewusst sein, dass vor allem Generative KI falsche Inhalte erzeugen kann.

Wie Unternehmen ihre Daten mit technischen und organisatorischen Maßnahmen schützen

Die Datenschutz-Checkliste des BayLDA nennt verschiedene Maßnahmen, wie Unternehmen ihre personenbezogenen Daten absichern können.

Hier einige Tipps, die Sie direkt in Ihrem Unternehmen umsetzen können:

  • Verwenden Sie starke Passwörter, indem Sie Mindestanforderungen festlegen (z. B. Sonderzeichen). Bei einem Mitarbeiterwechsel sollten Sie Passwörter ändern.
  • Verschlüsseln Sie personenbezogene Daten im Ruhezustand (z. B. Festplatten), während der Übertragung (z. B. HTTPS für Websites) und in mobilen Datenträgern (z. B. Backups).
  • Aktivieren Sie automatische Updates für Betriebssysteme und Anwendungen.
  • Nutzen Sie die Zwei-Faktor-Authentifizierung bei Cloud-Diensten, um den Zugang zusätzlich zu schützen.
  • Legen Sie regelmäßige Offline-Backups auf externen Datenträgern an und bewahren Sie diese sicher auf.
  • Schulen Sie Ihre Mitarbeiter regelmäßig zu Datenschutz und IT-Sicherheit.
  • Erheben Sie nur die Daten, die unbedingt erforderlich sind, und löschen Sie nicht mehr benötigte Daten.
  • Verwenden Sie grundlegende Sicherheitsmaßnahmen, wie Firewalls, Antiviren-Programme und sichere Netzwerke.