DSGVO Dokumentations-Kit

Jedes in der EU niedergelassene Unternehmen — oder das Daten von EU-Bürgerinnen und -Bürgern verarbeitet — fällt in den Anwendungsbereich. Es gibt keine Mindestgröße. Verpflichtungen wie das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und die Bestellung eines Datenschutzbeauftragten (§ 38 BDSG) hängen jedoch von Größe, Branche und Verarbeitungsart ab.

Das DSGVO-Kit kostet einmalig 990 € (Basis), 1.290 € (Plus, inkl. E-Learning-Modul) oder 1.490 € (Komplett, inkl. E-Learning + Trainer-Pack). Alle drei Tiers enthalten den vollen Kit-Inhalt mit 67 personalisierten Vorlagen. Es gibt kein Abo. Einmal kaufen, immer aktuell inklusive (Details AGB § 7). Geld-zurück-Garantie (Details AGB § 8). Lizenz für Käufer + Konzern (§15 AktG) — unbegrenzte interne Nutzung.

Ja, in der Praxis fast immer. Die 250-MA-Schwelle in Art. 30 Abs. 5 DSGVO greift nur, wenn die Verarbeitung kein Risiko für Betroffene birgt, nicht regelmäßig erfolgt UND keine besonderen Daten betrifft. Personalverarbeitung, CRM und Newsletter erfüllen schon je für sich das Kriterium 'regelmäßig' und schließen die Ausnahme aus.

Pflicht — bei voraussichtlich hohem Risiko nach Art. 35 DSGVO. Die Aufsichtsbehörden veröffentlichen Muss-Listen (DSK 'Liste mit zwingender DSFA'): u. a. systematische Bewertung, große Mengen Art. 9-Daten, Tracking, KI-Profiling. Eine vorherige Schwellwertanalyse ist Praxis-Standard.

Nein. Das BayLDA hat 2024 klargestellt: Steuerberater sind kein Auftragsverarbeiter, sondern eigenständig Verantwortliche. Kein AVV erforderlich. Lohnbüro: anders, hier liegt typischerweise Auftragsverarbeitung vor — AVV nach Art. 28 ist Pflicht.

Innerhalb 72h ab Kenntnis muss die zuständige Aufsichtsbehörde informiert werden (Art. 33). Inhalt: Art der Verletzung, betroffene Personenkategorien und -anzahl, mögliche Folgen, getroffene Maßnahmen. Bei voraussichtlich hohem Risiko zusätzlich Information der Betroffenen (Art. 34). Praxis-Tipp: Workflow vorab dokumentieren.

Ja. Die SCC 2021/914 sind weiterhin Hauptinstrument für Drittlandtransfers. Das EU-US Data Privacy Framework (DPF, in Kraft seit 07/2023, vom EuG bestätigt 09/2025) erlaubt zusätzlich Transfers in zertifizierte US-Unternehmen ohne SCC. Transfer Impact Assessment (TIA) bleibt Pflicht.

Nein. Der EuGH hat in C-673/17 und Folge-Urteilen bestätigt: ein Cookie-Banner muss eine ECHTE Wahl bieten — 'Akzeptieren' und 'Ablehnen' gleich prominent. Kein Dark Pattern. Kein vorausgewähltes Feld. Die TDDDG-Konformität (DE) verlangt zusätzlich Pre-Consent-Modus für nicht zwingend erforderliche Cookies.

Bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (höherer Wert). In Deutschland 2024: AOK 1,24 Mio. EUR, H&M 35,3 Mio. EUR, Deutsche Wohnen 14,5 Mio. EUR. KMU-typische Bußgelder: 5.000–80.000 EUR pro Verstoß. Das BfDI-Tätigkeitsbericht zeigt: 85 % der Aufsichtsanfragen beginnen mit der Forderung nach VVT-Vorlage.

Pflicht ab 20 ständigen Beschäftigten, die mit personenbezogener Datenverarbeitung beschäftigt sind (§ 38 BDSG). Außerdem: bei Kerntätigkeit Profiling/Überwachung oder besonderen Kategorien (Art. 9 DSGVO), unabhängig von der Mitarbeiterzahl. Externer DSB ist zulässig und oft kostengünstiger.

Mit Anpassungen ja. Die DSK hat 2024 klargestellt: M365-Standard-Konfiguration ist nicht DSGVO-konform. Pflicht: AVV mit MS, EU Data Boundary aktiviert, Telemetrie reduziert, Copilot mit Tenant-Isolation. Ein dokumentierter M365-Bewertungsprozess ist Audit-Pflicht.

Aufsichts-Standard: jährliche Auffrischung + bei Anlass (neue Verfahren, Vorfälle, Rechtsprechungsänderungen). DSK und BvD bestätigen: einmalige Schulung reicht nicht. Aufzeichnung mit Teilnahmenachweis ist Pflicht (Art. 5 Abs. 2 Rechenschaftspflicht).

Bei automatisierten Entscheidungen (Scoring, ADM nach Art. 22) müssen Verantwortliche dem Betroffenen das 'aussagekräftige Wissen über die involvierte Logik' offenlegen. Praktisch: Kreditscoring, HR-Algorithmen, Versicherungs-Tarifierung — der Algorithmus muss erklärbar sein.

Vier aktuelle Urteile prägen die DSGVO-Praxis: (1) C-21/23 Lindenapotheke (04.10.2024) — Online-Verkauf rezeptpflichtiger Arzneimittel = Verarbeitung von Gesundheitsdaten, Wettbewerber können nach UWG klagen; (2) C-446/21 Meta Platforms/Schrems (04.10.2024) — Zweckbindung verbietet zeitlich unbegrenzte Speicherung, öffentlich gemachte Daten erlauben keine Verarbeitung weiterer sensibler Daten; (3) C-655/23 Quirin Privatbank (04.09.2025) — Art. 82 Schadensersatz bei E-Mail an Dritten im Bewerbungsprozess; (4) C-526/24 Brillen Rottler (19.03.2026) — Auskunftsantrag missbräuchlich wenn allein zur Schadensersatz-Generierung gestellt (relativiert C-300/21).

Sechs Rekord-Verfahren prägen die Bußgeldpraxis seit 2024: TikTok 530 Mio. EUR (DPC IE, 2025 — China-Datentransfer/Kinderschutz); Google 325 Mio. EUR (CNIL FR, 2025 — Gmail-Ads ohne Consent); LinkedIn 310 Mio. EUR (DPC IE, 24.10.2024 — Werbenutzung ohne gültige Einwilligung); Uber 290 Mio. EUR (AP NL, 08.2024 — Drittlandtransfer); Meta 251 Mio. EUR (DPC IE, 17.12.2024 — Datenpanne 2018 mit 29 Mio. Nutzern); Shein 150 Mio. EUR (CNIL FR, 2025 — Cookie-Verstöße).

Nein, aber als TOM-Baustein hervorragend. ISO 27001 deckt Art. 32 (TOM) zu ca. 80 % ab. DSGVO-Anforderungen darüber hinaus: VVT (Art. 30), Betroffenenrechte (Art. 12-22), DSFA (Art. 35), Drittlandtransfer-Doku — sind in ISO 27001 nicht enthalten. Mapping-Workbook hilft.

Ja, abgeleitet aus Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) + Art. 17 (Recht auf Löschung). Standard: DIN 66398-konformes Löschkonzept mit Aufbewahrungsfristen pro Datenkategorie. Berücksichtigt werden müssen: HGB (10 Jahre), AO (10 Jahre), SGB (5 Jahre), arbeitsrechtl. Aufbewahrungspflichten.

DSGVO ist EU-weit unmittelbar geltendes Recht. BDSG (Bundesdatenschutzgesetz) ergänzt die DSGVO durch nationale Öffnungsklauseln: Beschäftigtendatenschutz (§ 26 BDSG), Behörden-Datenverarbeitung, DSB-Pflicht (§ 38 BDSG), Sanktionsregeln (§ 41-43 BDSG). In Konfliktfällen geht DSGVO vor.

§ 53 BDSG verlangt eine Verpflichtung auf Vertraulichkeit bei Aufnahme der Tätigkeit — kein Schulungs-Pflicht-Format. Praxis-Standard: schriftliche Verpflichtungserklärung + DSGVO-Basisschulung. Aufsichten erkennen Online-Kurs mit Quiz an, sofern dokumentiert.

Pflicht für Unternehmen außerhalb des EWR, die personenbezogene Daten von EU-Personen verarbeiten und unter Art. 3 Abs. 2 DSGVO fallen. Praktisch: US-, UK- (Brexit), Schweizer- und sonstige Drittland-Unternehmen mit EU-Kunden. Kosten: ab ca. 80 EUR/Monat über spezialisierte Anbieter.

Wenn die DSFA ein hohes Restrisiko ergibt, das nicht beherrschbar ist. Konsultationsdauer: 8 Wochen, ggf. verlängert. Praxis-Beispiele: Großflächige biometrische Identifikation, KI-Profiling von Kindern. Vorherige Konsultation senkt das Bußgeldrisiko erheblich.

Ja. Nach dem Kauf erhalten Sie einen Download-Link mit allen personalisierten professionelle Vorlagen. Die Dateien gehören Ihnen vollständig — Sie können sie speichern, in Ihre Compliance-Infrastruktur integrieren, intern weiterbearbeiten, archivieren. Es gibt keine Cloud-Abhängigkeit, keine Lizenz-Aktivierung pro Gerät, keine Internet-Verbindung für die Nutzung erforderlich.

Sie erhalten alle Updates des Kits, solange das Kit in seiner aktuellen Major-Version geführt wird. Updates kommen bei Behörden-Auslegungsänderungen, neuer Rechtsprechung und bekannten Folge-Phasen einer Verordnung. Bei substantiell neuer Verordnung 50% Bestandskunden-Rabatt.

Bei rechtlich nachweisbar falschem Inhalt erstatten wir den Kaufpreis. Frist 60 Tage ab Lieferdatum. Beweis durch anwaltliches Schreiben oder Behörden-Stellungnahme. Details siehe AGB § 8.