Startseite | Mein Konto | Login
easyRechtssicher
Gründen rechtlich richtig 19.05.2026 von Ronald Admin Kandelhard

DSGVO für Gründer: Verarbeitungsverzeichnis, Datensicherheit und Auftragsverarbeitung

DSGVO für Gründer: Verarbeitungsverzeichnis, Datensicherheit und Auftragsverarbeitung

DSGVO-Bußgelder treffen seit 2022 systematisch auch kleine Unternehmen — fünf- bis sechsstellig vor allem für fehlende AV-Verträge und mangelhafte Auskunftserteilung. Seit dem EuGH-Urteil C-300/21 (Mai 2023) sind zusätzlich immaterielle Schadensersatzansprüche Betroffener nicht mehr pauschal abweisbar — der einzelne Kunde, dem Du eine E-Mail mit offenem CC schickst, kann Dich verklagen. Und wer Tools von US-Anbietern einsetzt, braucht seit Schrems II SCC oder EU-US-DPF-Zertifizierung. Was Solo-Selbständige bei DSGVO wirklich brauchen — drei Kernblöcke:

DSGVO-Pflichten für Solo-Selbständige sind drei Kernblöcke: (1) ein Verarbeitungsverzeichnis nach Art. 30 DSGVO — die formale 250-Mitarbeiter-Schwelle greift in der Praxis nicht, weil keine Website nur „gelegentlich" Daten verarbeitet; (2) Datensicherheit nach Art. 32 DSGVO mit Stand der Technik (Datensparsamkeit, Rechtmäßigkeit nach Art. 6 Abs. 1, Verschlüsselung, Wiederherstellung, Dokumentation) — bei Hochrisiko-Verarbeitungen zusätzlich eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO; (3) Auftragsverarbeitungs-Verträge nach Art. 28 DSGVO für jedes Tool, das Daten in Deinem Auftrag verarbeitet. Bei US-SaaS-Tools zusätzlich SCC oder DPF-Zertifizierung gegen Schrems II. Die Bußgeld-Spannweite nach Art. 83 DSGVO reicht bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes; seit dem EuGH-Urteil C-300/21 (Mai 2023) sind zudem immaterielle Schadensersatzansprüche von Betroffenen nicht mehr pauschal abweisbar. Wie das praktisch geht — Rechtsanwalt Dr. Ronald Kandelhard im Folgenden.

I. Verarbeitungsverzeichnis und Datensicherheit

Die Datenschutzgrundverordnung bringt nicht nur in Bezug auf die Website neue Pflichten wie etwa eine neu gefasste und erweiterte Datenschutzerklärung, sondern auch Pflichten für die Dokumentation und die Absicherung der Datenverarbeitung in Deinem Unternehmen. Das betrifft insbesondere das Verarbeitungsverzeichnis und die auf der Basis dieses Verzeichnisses herzustellende Datensicherheit.

1. Das Verarbeitungsverzeichnis

Neu durch die DSGVO ist die Pflicht aus Art. 30 DSGVO, ein Verarbeitungsverzeichnis zu erstellen. Abs. 1 lautet (teilw. gekürzt):

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen ... sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind ...;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland ...;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen."

Derzeit ist der Anwendungsbereich der Norm aber noch unklar. Art. 30 Abs. 5 DSGVO lautet:

„Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."

Da es keine Website gibt, die nur gelegentlich Daten sammelt, bleibt offen, wo überhaupt Ausnahmen existieren. Erst recht macht mit einer derart weit gefassten Unterausnahme die eigentliche Grenze von sogar mehr als 250 Mitarbeitern keinen Sinn, da viel vorher immer die Unterausnahme erfüllt sein dürfte. Von daher würde die Unterausnahme zur Regel.

Hier wird man die künftige Rechtsentwicklung im Auge behalten müssen, es wird sicher noch Klarstellungen geben. Einstweilen muss jeder Betreiber einer Website davon ausgehen, dass er ein Verarbeitungsverzeichnis braucht.

Das Verzeichnis ist jedoch nicht öffentlich und muss auch nicht den Nutzern der Website ausgehändigt werden, sondern nur auf Anfrage an die Behörde. Dann aber muss man das Verzeichnis sehr kurzfristig vorlegen, um eine Auflage oder ein Bußgeld zu vermeiden.

Wenigstens sollte man sich also darauf vorbereiten, ein solches Verzeichnis kurzfristig zu erstellen. Dafür kann man sich hier ein PDF-Muster und eine Anleitung für die Erstellung eines solchen Verzeichnisses runterladen. Ansonsten findet sich hier das Muster der Aufsichtsbehörden, welches ich recht übersichtlich finde.

Update 2026 (Bußgeld-Realität DSGVO): Die Bußgeld-Spannweite nach Art. 83 DSGVO reicht bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — was höher ist. Aufsichtsbehörden in Deutschland verhängen seit 2022 deutlich häufiger Bußgelder im fünf- und sechsstelligen Bereich auch gegen kleine Unternehmen, vor allem für fehlende AV-Verträge, mangelhafte Auskunftserteilung und Nichtumsetzung des Auskunftsrechts nach Art. 15 DSGVO. Zusätzlich hat der Europäische Gerichtshof seit dem Urteil C-300/21 (Mai 2023) klargestellt, dass DSGVO-Schadensersatzansprüche von Betroffenen nicht pauschal mit einer Bagatellgrenze abgewiesen werden dürfen — auch immaterielle Schäden („Ärger über Datenpanne") sind ersatzfähig. Im Ergebnis steigt das praktische DSGVO-Risiko, gerade weil die Schwelle für betroffene Personen niedrig ist.

2. Datensicherheit

Das Verfahrensverzeichnis hat aber nicht nur den Selbstzweck, erstellt zu werden, damit es der Behörde übergeben werden kann. Vielmehr ist es nur der Anfang der Überprüfung des gesamten Datenverkehrs im Unternehmen auf Datensicherheit, inzwischen als „gap analysis" bekannt.

Es gilt damit, die Lücken zu suchen — und zu beseitigen — die sich aus dem Verarbeitungsverzeichnis ergeben. Jedes einzelne Datenverarbeitungsverfahren (der Kundendaten, der Websitedaten, der Mitarbeiterdaten etc.) muss darauf hin untersucht werden, ob es in datenschutzrechtlicher und -technischer Hinsicht optimiert werden kann oder muss.

Derartige gaps können sich vor allem aus den datenschutzrechtlichen Grundsätzen und den Grundsätzen zur Datensicherheit gem. Art. 32 DSGVO ergeben:

  • Datensparsamkeit: Ist die Speicherung der je betroffenen Daten und ihre Verarbeitung wirklich notwendig?
  • Datenrichtigkeit: Sind die Daten auf dem neuesten Stand? Gibt es eine Fehlerkorrektur und werden unrichtige Daten gelöscht?
  • Rechtmäßigkeit: Ist die Verarbeitung der Daten aus einem Grund gem. Art. 6 Abs. 1 DSGVO gerechtfertigt (vor allem Vertragsdaten, Einwilligung und berechtigtes Interesse)?
  • Speicherdauer: Werden Daten gelöscht, wenn sie nicht mehr notwendig sind? Gibt es eine Automatik, die für eine rechtzeitige Löschung sorgt?
  • Rechte: Sind möglichst wenig Mitarbeiter mit den Daten in Kontakt, sind diese in Fragen der DSGVO unterwiesen?
  • Sicherheit: Sind die Datenverarbeitungsanlagen hinreichend gegen unbefugten Zugang geschützt?
  • Verschlüsselung: Sind personenbezogene Daten soweit als möglich verschlüsselt? Sind Datenübertragungswege verschlüsselt (E-Mail?).
  • Datenstabilität: Sind die Datenverarbeitungssysteme hinreichend stabil und zukunftssicher?
  • Wiederherstellung: Sind die Systeme hinreichend gegen Datenverlust geschützt? Gibt es eine funktionierende Datensicherung?
  • Überprüfung: Gibt es eine regelmäßige Prüfung auf Datensicherheit?
  • Dokumentation: Gibt es eine Dokumentation dieser Maßnahmen (soweit nicht im Verarbeitungsverzeichnis beschrieben)?

Insgesamt kann das Verarbeitungsverzeichnis bereits einigen Aufwand erfordern. Noch mehr gilt das für die Herstellung der Datensicherheit. Mit einem Verarbeitungsverzeichnis lässt sich die Analyse aber vereinfachen und sicher werden in nächster Zeit viele Tools auf den Markt kommen, die die Herstellung der erforderlichen Datensicherheit vereinfachen.

Update 2026 (Stand der Technik konkretisiert): Art. 32 Abs. 1 DSGVO verweist auf den „Stand der Technik" — der ist nicht statisch, sondern jedes Jahr neu zu bewerten. Praktische Orientierung für 2026: BSI IT-Grundschutz-Kompendium (Edition 2024), ISO/IEC 27001:2022, NIS-2-Richtlinie (Verordnung EU 2022/2555 — Umsetzung in Deutschland Stand Mai 2026 noch im Gesetzgebungsverfahren). Für Verschlüsselung gilt heute Standard: AES-256 für Vollverschlüsselung (BitLocker, FileVault, LUKS), TLS 1.3 für Transportwege, S/MIME oder OpenPGP für vertrauliche E-Mails. Bei Hochrisiko-Verarbeitungen ist zusätzlich eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen — die TOMs-Checkliste ersetzt sie nicht. Eine konkrete Checkliste der wichtigsten technischen und organisatorischen Maßnahmen findest Du in unserer TOMs-Beispielliste (Spoke 6B).

II. Auftragsverarbeitung

Eine der vielbeachteten Neuerungen der DSGVO ist der Auftragsverarbeitungsvertrag, der vor der DSGVO noch Auftragsdatenverarbeitungsvertrag hieß. Am besten kann man den Auftragsverarbeitungsvertrag verstehen, wenn man weiß, warum er vom Gesetz vorgesehen ist. Dann wird auch deutlich, warum das drinsteht, was drinsteht.

Darum vorab: Wie allgemein ist eine Datenverarbeitung grundsätzlich verboten. Das heißt, wer Daten erhält, darf diese an sich nicht an Dritte weitergeben, es sei denn, der Betroffene hat konkret seine Einwilligung zur Weitergabe der Daten an diesen Anbieter erteilt. Damit wird es nachträglich aber fast unmöglich, einen Beauftragten zu wechseln. Wer etwa statt Matomo künftig Google Analytics oder ein neues SaaS-Tool aufgrund einer Einwilligung einsetzen will, müsste von allen Betroffenen dazu eine neue Einwilligung einholen (und auch erhalten).

Weil das wenigstens unpraktisch ist und der ökonomischen Realität nicht entspricht, gibt es das Institut der Auftragsverarbeitung. Schließt man einen Auftragsverarbeitungsvertrag, ist die Weitergabe an diesen Dritten erlaubt, weil man einen solchen Vertrag geschlossen hat. Und warum ist das so? Weil in dem Auftragsverarbeitungsvertrag drinsteht, dass der Auftragsverarbeiter zum „verlängerten Arm" des Auftraggebers wird und nur für diesen und nach dessen Weisung die Daten verarbeitet.

Deshalb braucht man einen Auftragsverarbeitungsvertrag, wenn man Dritte mit der Verarbeitung Eurer Daten beauftragt oder wenn dritte Auftraggeber einen mit der Verarbeitung ihrer Daten beauftragen.

1. Definition

Auftragsdatenverarbeitung liegt immer dann vor,

  • wenn eigene Daten an andere Unternehmen, natürliche oder juristische Personen, Behörden oder sonstige Stellen weitergegeben werden,
  • um sie dort zu speichern oder sonst zu verarbeiten oder, wenn Dritten der Zugriff auf die eigene Datenverarbeitung gegeben wird und
  • das weitergebende Unternehmen allein über die Zwecke und die Reichweite der Verarbeitung entscheidet.

Eine Auftragsverarbeitung nach Art. 28 DSGVO ist also nur gegeben, wenn ein Dienstleister beauftragt wird, Daten nach Weisung des Auftraggebers zu verarbeiten und die Verantwortung für die Daten deshalb bei dem Auftraggeber verbleibt.

2. Weitergabe an Dritte, die nicht Auftragsverarbeitung ist

a) Keine Bindung an Weisungen

Fehlt das Element der Weisung, bleibt die Verantwortung für die Daten nicht bei dem Auftraggeber. So werden IT-Hardwarewartungsunternehmen oder Logistiker nicht mit einer Datenverarbeitung beauftragt. Sie verarbeiten die Daten vielmehr nur im eigenen Interesse.

b) Mischfall Wartung

Mischfälle sind möglich bei der Wartung von Software oder Webseiten. Hier war nach dem vorherigen deutschen Recht in § 11 Abs. 5 BDSG vorgesehen: „wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann", liegt auch eine Auftragsverarbeitung vor. § 11 Abs. 5 BDSG gilt jedoch nicht mehr. Von daher ist eine Wartung, die sich nur auf technische Aspekte bezieht, keine Auftragsverarbeitung mehr.

Anders ist das natürlich, wenn auch eine Pflege von Daten Teil des Auftrages ist, Daten etwa migriert oder neu strukturiert werden sollen. Weil die Abgrenzung schwierig und auch die Rechtslage noch nicht eindeutig geklärt ist, empfiehlt es sich, vorsichtshalber einen Auftragsverarbeitungsvertrag mit dem Wartungsunternehmen zu schließen. Vielfach wird ohnehin derzeit von Auftraggebern immer ein Auftragsverarbeitungsvertrag gefordert, auch wenn keine Auftragsverarbeitung vorliegt.

c) Fachleistungen

Keine Auftragsdatenverarbeitung ist auch die Inanspruchnahme fremder Fachleistungen wie Inkasso, Rechtsanwalt, Steuerberater (anders, reine Buchhaltung). Dies gilt vor allem für klassische Freiberufler, primär auch solche, die zur Berufsverschwiegenheit verpflichtet sind. Diese sind zudem auch nicht im engeren Sinne weisungsgebunden.

Update 2026 (US-Datentransfers und SCC): Wer Tools von US-Anbietern einsetzt (Google Analytics, MailChimp, Stripe, Salesforce, alle großen SaaS-Plattformen), muss zusätzlich zum AV-Vertrag die Drittland-Übermittlung absichern. Seit dem Schrems-II-Urteil des EuGH (Juli 2020) reicht das alte Privacy-Shield-Abkommen nicht mehr. Heute gilt: Entweder Du nutzt einen Anbieter, der unter dem EU-US Data Privacy Framework (DPF, seit 10.07.2023) zertifiziert ist, oder Du baust Standard Contractual Clauses (SCC, EU-Kommissions-Beschluss 2021/914) in den AV-Vertrag ein und führst eine Transfer-Folgenabschätzung durch. Für Solo-Selbständige praktisch heißt das: Prüf bei jedem US-SaaS-Tool, ob es DPF-zertifiziert ist (häufig: ja) — sonst SCC abschließen und in das Verarbeitungsverzeichnis eintragen. Für Finanzdienstleister gilt seit dem 17.01.2025 zusätzlich die DORA-Verordnung (EU 2022/2554) mit eigenen IT-Sicherheits-Anforderungen — für klassische Solo-Gründer aber meist nicht einschlägig.

💡 Top-Tipps DSGVO für Gründer

  • Verarbeitungsverzeichnis nach Art. 30 DSGVO auch als Solo-Selbständiger anlegen — die 250-Mitarbeiter-Schwelle greift praktisch nicht.
  • Datensicherheit nach Art. 32 DSGVO: Stand der Technik = AES-256, TLS 1.3, S/MIME oder OpenPGP für vertrauliche Mails.
  • AV-Vertrag nach Art. 28 DSGVO für jedes Tool, das in Deinem Auftrag Daten verarbeitet (SaaS, Cloud, E-Mail-Marketing, externe Buchhaltung).
  • US-SaaS: DPF-Zertifizierung prüfen — sonst SCC (EU-Beschluss 2021/914) + Transfer-Folgenabschätzung.
  • Bei Hochrisiko-Verarbeitungen zusätzlich Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
  • Konkrete TOMs-Liste in Spoke 6B.

Was Du jetzt tun solltest

  • Verarbeitungsverzeichnis auf Basis eines Aufsichtsbehörden-Musters anlegen (PDF-Muster im Body verlinkt).
  • Liste aller eingesetzten Tools machen: für jedes AV-Vertrag prüfen, US-Anbieter zusätzlich DPF/SCC.
  • TOMs (Stand der Technik 2026) gegenüber dem eigenen Setup abgleichen — Verschlüsselung, Backup, Zugriffsrechte.
  • Bei Hochrisiko-Verarbeitungen: DSFA nach Art. 35 separat dokumentieren.
  • Auskunftsprozess (Art. 15) operativ vorbereiten — Antwortvorlagen und Fristen-Tracking.
  • AV-Verträge mit SCC-Klauseln aus dem easyRechtssicher Starterpaket.

Häufige Fragen zur DSGVO für Gründer

Brauche ich als Solo-Selbständiger ein Verarbeitungsverzeichnis nach Art. 30 DSGVO?

Praktisch ja. Art. 30 Abs. 5 DSGVO nimmt zwar Unternehmen mit weniger als 250 Mitarbeitern aus, aber nur „es sei denn die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten, erfolgt nicht nur gelegentlich oder erfasst besondere Datenkategorien". Da es keine Website gibt, die nur gelegentlich Daten sammelt, bleibt offen, wo überhaupt Ausnahmen existieren. Einstweilen muss jeder Betreiber einer Website davon ausgehen, dass er ein Verarbeitungsverzeichnis braucht. Das Verzeichnis ist nicht öffentlich, muss aber auf Anfrage der Aufsichtsbehörde kurzfristig vorgelegt werden.

Was muss in einem Verarbeitungsverzeichnis stehen?

Nach Art. 30 Abs. 1 DSGVO: Name und Kontaktdaten des Verantwortlichen (und eines etwaigen Datenschutzbeauftragten), Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern, gegebenenfalls Übermittlungen an ein Drittland, wenn möglich die vorgesehenen Löschfristen, wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Was sind die wichtigsten Datensicherheits-Anforderungen nach Art. 32 DSGVO?

Art. 32 DSGVO verlangt eine Reihe von Datensicherheits-Grundsätzen, die sich an jedes einzelne Verarbeitungsverfahren stellen: Datensparsamkeit (nur was nötig ist), Datenrichtigkeit (auf neuestem Stand, Fehlerkorrektur), Rechtmäßigkeit nach Art. 6 Abs. 1 DSGVO (Vertrag, Einwilligung, berechtigtes Interesse), Speicherdauer mit Löschautomatik, Zugriffsrechte auf möglichst wenige unterwiesene Mitarbeiter, Sicherheit der Datenverarbeitungsanlagen, Verschlüsselung der Daten und Übertragungswege, Datenstabilität und Wiederherstellung (Backup), regelmäßige Überprüfung und Dokumentation dieser Maßnahmen.

Was ist eine Datenschutz-Folgenabschätzung und wann brauche ich sie?

Bei Hochrisiko-Verarbeitungen ist zusätzlich zu Art. 32 eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen — die TOMs-Checkliste ersetzt sie nicht. Sie ist gesondertes Pflichtdokument bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten der Betroffenen (z. B. systematische umfangreiche Auswertung, sensible Datenkategorien, neue Technologien).

Wann brauche ich einen Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO?

Du brauchst einen AV-Vertrag nach Art. 28 DSGVO, wenn Du einen Dienstleister damit beauftragst, Daten nach Deiner Weisung zu verarbeiten und die Verantwortung für die Daten bei Dir verbleibt. Drei Voraussetzungen für eine Auftragsverarbeitung: (1) eigene Daten werden an einen Dritten weitergegeben, (2) zur Speicherung oder sonstigen Verarbeitung, (3) das weitergebende Unternehmen entscheidet allein über Zwecke und Reichweite. Typische Fälle: SaaS-Tools, Cloud-Anbieter, externe Buchhaltung, E-Mail-Marketing-Anbieter.

Bei welchen Dienstleistern brauche ich keinen AV-Vertrag?

Ein AV-Vertrag ist nicht erforderlich, wenn das Element der Weisung fehlt und der Dritte im eigenen Interesse handelt: IT-Hardwarewartung ohne Datenpflege, Logistiker, klassische Fachleistungen wie Inkasso, Rechtsanwalt, Steuerberater (mit Berufsverschwiegenheit). Bei der reinen technischen Wartung von Software/Webseiten ist heute kein AV mehr nötig, da § 11 Abs. 5 BDSG-alt nicht mehr gilt. Bei Mischfällen (Wartung mit Datenpflege/Datenmigration) empfiehlt sich vorsichtshalber ein AV-Vertrag — die Rechtslage ist nicht eindeutig geklärt.

Wie hoch sind die Bußgelder bei DSGVO-Verstößen?

Die Bußgeld-Spannweite nach Art. 83 DSGVO reicht bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — was höher ist. Aufsichtsbehörden in Deutschland verhängen seit 2022 deutlich häufiger Bußgelder im fünf- und sechsstelligen Bereich auch gegen kleine Unternehmen, vor allem für fehlende AV-Verträge, mangelhafte Auskunftserteilung und Nichtumsetzung des Auskunftsrechts nach Art. 15 DSGVO. Seit dem EuGH-Urteil C-300/21 (Mai 2023) sind zudem immaterielle Schadensersatzansprüche von Betroffenen („Ärger über Datenpanne") nicht mehr pauschal mit einer Bagatellgrenze abweisbar.

Wie darf ich Tools von US-Anbietern (Google, Stripe, MailChimp) DSGVO-konform einsetzen?

Wer Tools von US-Anbietern einsetzt, muss zusätzlich zum AV-Vertrag die Drittland-Übermittlung absichern. Seit dem Schrems-II-Urteil des EuGH (Juli 2020) reicht das alte Privacy-Shield-Abkommen nicht mehr. Heute zwei Wege: entweder ein Anbieter, der unter dem EU-US Data Privacy Framework (DPF, seit 10.07.2023) zertifiziert ist, oder Standard Contractual Clauses (SCC nach EU-Kommissions-Beschluss 2021/914) im AV-Vertrag plus eine Transfer-Folgenabschätzung. Für Solo-Selbständige heißt das: Bei jedem US-SaaS-Tool prüfen, ob es DPF-zertifiziert ist — sonst SCC abschließen und ins Verarbeitungsverzeichnis eintragen.

Was bedeutet „Stand der Technik" in Art. 32 DSGVO konkret?

Art. 32 Abs. 1 DSGVO verweist auf den „Stand der Technik" — der ist nicht statisch, sondern jedes Jahr neu zu bewerten. Praktische Orientierung für 2026: BSI IT-Grundschutz-Kompendium (Edition 2024), ISO/IEC 27001:2022, NIS-2-Richtlinie (Verordnung EU 2022/2555). Für Verschlüsselung gilt heute Standard: AES-256 für Vollverschlüsselung (BitLocker, FileVault, LUKS), TLS 1.3 für Transportwege, S/MIME oder OpenPGP für vertrauliche E-Mails.

Verwandte Themen im Gründer-Cluster:

Du brauchst einen passenden Auftragsverarbeitungs-Vertrag für Deine SaaS-Tools, Steuerberater oder Buchhaltung? Im easyRechtssicher Starterpaket sind die Standard-AV-Verträge mit SCC-Klauseln enthalten.

Weitere Themen entdecken

AGB & Verträge (33) Abmahnschutz (5) Allgemein (15) DSGVO (23) Datenschutzerklärung (8) Gründen rechtlich richtig (16) Guides (4) Impressum (11) Social Media (4)

Ähnliche Beiträge

Alle Beiträge