4 Min. Lesezeit

Datenschutzkonzept: Inhalte, Pflicht und DSGVO-Anforderungen

Datenschutzkonzept: Inhalte, Pflicht und DSGVO-Anforderungen

Eine Datenpanne. Die Datenschutzbehörde meldet sich. Die erste Frage: „Können Sie nachweisen, welche technischen und organisatorischen Maßnahmen Sie zum Schutz personenbezogener Daten getroffen haben?" Viele Geschäftsführer zeigen in diesem Moment auf ihre IT-Dokumentation und hoffen, das reicht. Meistens reicht es nicht.

Ein Datenschutzkonzept ist kein Synonym für IT-Sicherheit. Es ist ein eigenständiges Dokument, das die DSGVO in vielen Unternehmen faktisch voraussetzt, ohne es so zu nennen.

Was genau hineingehört, wen es betrifft und wie es sich vom IT-Sicherheitskonzept abgrenzt, lesen Sie hier.

 

Das Wichtigste in Kürze
  • 1 Ein Datenschutzkonzept ist kein IT-Sicherheitskonzept. Beide schützen Informationen, aber mit unterschiedlichen Zielen und Rechtsgrundlagen.
  • 2 Die DSGVO nennt das Dokument nicht beim Namen, setzt es aber über Art. 24 und Art. 32 faktisch voraus.
  • 3 Pflicht gilt für jedes Unternehmen das personenbezogene Daten verarbeitet, unabhängig von Größe oder Branche.
  • 4 Die Beweislast liegt beim Unternehmen, nicht bei der Behörde. Wer kein Konzept vorweisen kann, hat im Prüfungsfall ein Problem.
  • 5 TOMs sind in beiden Konzepten enthalten, aber aus unterschiedlicher Perspektive: Datenschutzrecht vs. IT-Risikomanagement.

 

Was ist ein Datenschutzkonzept?

Ein Datenschutzkonzept ist ein strukturiertes Dokument, das beschreibt, wie ein Unternehmen personenbezogene Daten erhebt, verarbeitet, speichert und schützt. Es bildet die Grundlage dafür, dass Datenschutz im Betrieb nicht als Absichtserklärung existiert, sondern als nachweisbarer Prozess.

Die rechtliche Basis liefern Artikel 24 und Artikel 32 der DSGVO. Artikel 24 verpflichtet Verantwortliche dazu, geeignete technische und organisatorische Maßnahmen umzusetzen und deren Wirksamkeit nachweisen zu können. Ein Datenschutzkonzept ist genau dieser schriftliche Nachweis.

Definition

Datenschutzkonzept

Ein Datenschutzkonzept dokumentiert systematisch, welche personenbezogenen Daten ein Unternehmen verarbeitet, auf welcher Rechtsgrundlage, mit welchen Schutzmaßnahmen und wie Betroffenenrechte gewahrt werden. Es ist der schriftliche Nachweis der DSGVO-Compliance nach Art. 24 und Art. 32.

Der Begriff taucht in der DSGVO selbst nicht wörtlich auf. Das bedeutet aber nicht, dass er optional ist. Wer im Fall einer Prüfung oder eines Vorfalls keine dokumentierte Grundlage vorweisen kann, trägt die volle Beweislast, und die liegt nach DSGVO beim Unternehmen, nicht bei der Behörde.

 

Was gehört in ein Datenschutzkonzept?

Ein vollständiges Datenschutzkonzept deckt mehr ab als die reine IT. Es umfasst rechtliche, organisatorische und technische Ebenen gleichzeitig. Die folgenden Bestandteile gehören in jedes Datenschutzkonzept, das einer Prüfung standhalten soll.

Art. 30 DSGVO
Verzeichnis der Verarbeitungstätigkeiten
Dokumentiert welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange gespeichert werden. Für Unternehmen ab 250 Mitarbeitern formale Pflicht, für kleinere Unternehmen faktisch unverzichtbar.
Art. 32 DSGVO
Technische und organisatorische Maßnahmen (TOMs)
Beschreibt konkret wie Daten technisch gesichert sind: Verschlüsselung, Zugriffskontrollen, Pseudonymisierung, Backups. Und wie organisatorisch geregelt ist, wer welche Zugriffsrechte hat und wie Mitarbeiter geschult werden.
Art. 6 DSGVO
Rechtsgrundlagen und Betroffenenrechte
Für jede Datenverarbeitung braucht ein Unternehmen eine Rechtsgrundlage. Das Konzept dokumentiert diese und beschreibt gleichzeitig, wie Auskunfts-, Lösch- und Widerspruchsrecht fristgerecht bearbeitet werden.
Art. 33 DSGVO
Datenpannen-Meldeprozess
Bei einer Datenpanne bleiben 72 Stunden zur Meldung an die Aufsichtsbehörde. Das Konzept legt fest, wer intern zuständig ist, was gemeldet werden muss und wie der Prozess abläuft, bevor der Ernstfall eintritt.
Art. 35 DSGVO
Datenschutz-Folgenabschätzung
Bei Verarbeitungen mit hohem Risiko für Betroffene ist eine DSFA Pflicht. Das Datenschutzkonzept dokumentiert, für welche Verarbeitungen sie durchgeführt wurde und mit welchem Ergebnis.
Praxis
Schulungskonzept für Mitarbeiter
Datenschutzverstöße entstehen häufig nicht durch fehlende Technik, sondern durch mangelndes Bewusstsein der Belegschaft. Das Konzept regelt, wer wann zu welchen Themen geschult wird und wie das dokumentiert wird.

 

Wer muss ein Datenschutzkonzept erstellen?

Jedes Unternehmen, das personenbezogene Daten verarbeitet. Das trifft in der Praxis auf alle zu, die Mitarbeiter beschäftigen, Kunden haben oder Lieferanten bezahlen. Eine Ausnahme gibt es nicht.

Einige Erleichterungen gelten für Unternehmen unter 250 Mitarbeitern beim formalen Verarbeitungsverzeichnis, aber die Pflicht zu geeigneten Schutzmaßnahmen und deren Nachweis gilt unabhängig von der Unternehmensgröße. Wer im Fall einer Prüfung kein Konzept vorweisen kann, riskiert Bußgelder nach Art. 83 DSGVO, die sich nach Umsatz richten und keine Untergrenze für kleine Unternehmen kennen.

Hinweis zur Beweislast: Die DSGVO arbeitet mit dem Prinzip der Rechenschaftspflicht. Das bedeutet: Nicht die Behörde muss nachweisen, dass ein Unternehmen gegen Datenschutzregeln verstoßen hat. Das Unternehmen muss nachweisen, dass es sie einhält. Ein fehlendes Datenschutzkonzept ist damit kein Kavaliersdelikt, sondern ein direktes Compliance-Risiko.

Für Unternehmen, die einen Datenschutzbeauftragten bestellen müssen oder dies freiwillig tun, ist ein formales Datenschutzkonzept besonders relevant. Der Datenschutzbeauftragte braucht eine dokumentierte Grundlage, auf der er arbeiten und berichten kann. Wer sich fragt, ob ein Datenschutzbeauftragter Pflicht ist und wie sich diese Rolle vom IT-Sicherheitsbeauftragten unterscheidet, findet die Antwort in unserem Artikel zu Datenschutzbeauftragter und IT-Sicherheitsbeauftragter im Vergleich.

 

Datenschutzkonzept und IT-Sicherheitskonzept: Die Unterschiede

Beide Dokumente schützen Informationen, verfolgen aber unterschiedliche Ziele und stützen sich auf unterschiedliche Rechtsgrundlagen. In der Praxis werden sie häufig verwechselt oder fälschlicherweise als dasselbe behandelt.

Rechtsgrundlage: DSGVO
Datenschutzkonzept
  • Fokus auf personenbezogene Daten
  • Rechtsgrundlagen, Betroffenenrechte, Meldepflichten
  • Zielgruppe: Kunden, Mitarbeiter, Betroffene
  • Frage: Welche Daten verarbeiten wir, auf welcher Grundlage?
Beispiel: Die Regel, dass Kundendaten nach Vertragsende binnen 3 Jahren zu löschen sind.
Standard: BSI / ISO 27001
IT-Sicherheitskonzept
  • Fokus auf gesamte IT-Infrastruktur
  • Systeme, Netzwerke, alle Daten, nicht nur personenbezogene
  • Zielgruppe: IT-Betrieb, Geschäftsführung, Auditoren
  • Frage: Wie schützen wir unsere IT vor Angriffen und Ausfällen?
Beispiel: Die Firewall-Konfiguration, die verhindert, dass diese Kundendaten von außen abgegriffen werden.

 

Wie Datenschutzkonzept und IT-Sicherheitskonzept zusammenwirken

Die beiden Konzepte überschneiden sich dort, wo es um technische Schutzmaßnahmen geht. Verschlüsselung, Zugriffskontrollen, sichere Löschverfahren, Backup-Konzepte: Diese Maßnahmen tauchen in beiden Dokumenten auf, weil sie sowohl datenschutzrechtlich geboten als auch IT-sicherheitstechnisch notwendig sind.

Trotzdem sind es getrennte Dokumente mit getrennter Logik. Das Datenschutzkonzept argumentiert vom Recht zur Technik: Eine Verarbeitung ist nur zulässig, wenn die richtigen Maßnahmen getroffen sind. Das IT-Sicherheitskonzept argumentiert von der Technik zum Risiko: Welche Systeme haben welche Schwachstellen, und wie werden diese adressiert. Welche konkreten DSGVO-Anforderungen an die IT-Sicherheit sich daraus für Unternehmen ergeben, haben wir gesondert zusammengefasst.

Hinweis NIS2: Seit 2026 kommt für viele Unternehmen im Mittelstand ein weiterer Faktor hinzu. Die EU-Richtlinie NIS2 verpflichtet Betreiber wichtiger und besonders wichtiger Einrichtungen zu einem Risikomanagement, das IT-Sicherheit und Datenschutz gemeinsam betrachtet. Für diese Unternehmen ist die Abstimmung zwischen Datenschutzkonzept und IT-Sicherheitskonzept keine Option, sondern Pflicht.

 

Fazit: Beide Konzepte brauchen sich gegenseitig

Ein Datenschutzkonzept ersetzt kein IT-Sicherheitskonzept, und umgekehrt. Wer nur eines von beiden hat, hat eine Lücke: rechtlich durch Bußgelder und Haftungsrisiken beim Datenschutzkonzept, operativ durch Ausfälle und Angriffe beim IT-Sicherheitskonzept.

Der sinnvolle Einstieg ist eine strukturierte Bestandsaufnahme, die beide Ebenen gleichzeitig in den Blick nimmt: Was verarbeiten wir, wie ist unsere IT aufgestellt, und wo klaffen Schutzmaßnahmen und tatsächlicher Bedarf auseinander?

Nächster Schritt
IT-Sicherheitskonzept für Ihr Unternehmen
Starten Sie mit unserer kostenlosen Vorlage: strukturiert, BSI-orientiert und direkt einsetzbar für KMU im DACH-Raum.

 

FAQ

Häufig gestellte Fragen zum Datenschutzkonzept

Die DSGVO nennt den Begriff „Datenschutzkonzept" nicht explizit, verlangt aber in Artikel 24 und Artikel 32 den dokumentierten Nachweis geeigneter technischer und organisatorischer Maßnahmen. Ein Datenschutzkonzept ist der praktischste Weg, diesen Nachweis zu führen. Wer im Fall einer Prüfung kein dokumentiertes Konzept vorweisen kann, trägt die Beweislast selbst.