Jetzt anfragen
DSGVO

Datenschutzkonzept: Aufbau, Inhalt und Nutzen

Was ein Datenschutzkonzept enthält, aus welchen Bausteinen es besteht und warum es der zentrale Nachweis der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist.

Thomas Kowoll Von Thomas Kowoll · 5. Mai 2026
Aktenordner mit Datenschutzdokumentation auf einem Schreibtisch

Viele Unternehmen, die ich berate, haben einzelne Datenschutzdokumente: ein Verarbeitungsverzeichnis hier, ein paar Auftragsverarbeitungsverträge dort, vielleicht eine Liste technischer Maßnahmen. Was fehlt, ist die Klammer, die alles zusammenhält und nachvollziehbar macht. Genau das ist ein Datenschutzkonzept.

Ein Datenschutzkonzept ist die strukturierte Dokumentation Ihres gesamten Datenschutzes. Es beschreibt, welche Daten Sie verarbeiten, auf welcher Grundlage, mit welchen Schutzmaßnahmen und nach welchen Prozessen. Es ist kein Pflichtdokument mit gesetzlich vorgeschriebenem Aufbau, aber es ist der praktische Weg, um die Rechenschaftspflicht der DSGVO zu erfüllen. In diesem Beitrag erkläre ich, woraus ein Datenschutzkonzept besteht, wie es entsteht und warum es sich lohnt.

Was ein Datenschutzkonzept ist und was nicht

Ein Datenschutzkonzept ist die geordnete Gesamtschau Ihrer Datenverarbeitung. Es bündelt die einzelnen Bausteine, die die DSGVO verlangt, zu einem stimmigen Ganzen und macht sie überprüfbar. Es ist nicht zu verwechseln mit der Datenschutzerklärung. Die Datenschutzerklärung richtet sich nach außen an betroffene Personen. Das Datenschutzkonzept richtet sich nach innen an Ihr Unternehmen und im Prüffall an die Aufsichtsbehörde.

Es ist auch kein einmaliges Projekt. Ein Datenschutzkonzept lebt mit dem Unternehmen. Neue Software, neue Mitarbeitende, neue Dienstleister, neue Geschäftsmodelle: All das verändert die Datenverarbeitung und muss im Konzept nachgezogen werden. Eine kurze Definition finden Sie im Glossareintrag Datenschutzkonzept, den ich bewusst knapp gehalten habe, weil das eigentliche Konzept immer individuell ist.

Die Bausteine eines Datenschutzkonzepts

Ein vollständiges Datenschutzkonzept setzt sich aus mehreren Modulen zusammen. Die folgende Tabelle zeigt die wichtigsten Bausteine und wozu sie dienen.

BausteinZweck
Verarbeitungsverzeichnis (VVT)Übersicht aller Verarbeitungstätigkeiten nach Art. 30 DSGVO
Technische und organisatorische Maßnahmen (TOM)Nachweis der Sicherheit der Verarbeitung nach Art. 32
Auftragsverarbeitungsverträge (AVV)Rechtliche Absicherung bei externen Dienstleistern nach Art. 28
LöschkonzeptFestlegung von Aufbewahrungs- und Löschfristen
SchulungskonzeptSensibilisierung und Nachweis der Mitarbeiterschulung
Datenpannen-ProzessGeregelter Ablauf für Meldung und Dokumentation von Vorfällen
Betroffenenrechte-ProzessVerfahren für Auskunft, Löschung und Widerspruch

Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis ist das Herzstück. Es listet jede Verarbeitungstätigkeit mit Zweck, Rechtsgrundlage, betroffenen Personengruppen, Datenkategorien, Empfängern und Löschfristen. Ohne ein vollständiges VVT lässt sich kein belastbares Konzept aufbauen, weil alle anderen Bausteine darauf zurückgreifen. Die Erstellung übernehme ich im Rahmen der Verarbeitungsverzeichnis-Leistung.

Technische und organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen beschreiben, wie Sie Daten konkret schützen: Zugriffsrechte, Verschlüsselung, Backups, Zutrittskontrolle, Verträge mit Dienstleistern. Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau. Die TOM sind der Nachweis, dass Sie sich darüber Gedanken gemacht und Maßnahmen umgesetzt haben.

Auftragsverarbeitung und Löschkonzept

Sobald ein externer Dienstleister Daten in Ihrem Auftrag verarbeitet, etwa ein Cloud-Anbieter oder ein Lohnbüro, brauchen Sie einen Vertrag zur Auftragsverarbeitung. Die Grundlagen dazu habe ich im Ratgeber zur Auftragsverarbeitung ausführlich erklärt. Das Löschkonzept wiederum legt fest, wann welche Daten gelöscht werden. Ohne Löschkonzept verstoßen Sie früher oder später gegen das Prinzip der Speicherbegrenzung, weil Daten unbegrenzt liegen bleiben.

Prozesse für Datenpannen und Betroffenenrechte

Zwei Prozesse müssen im Ernstfall sofort greifen. Bei einer Datenpanne haben Sie nur 72 Stunden Zeit, um sie der Aufsichtsbehörde zu melden. Wie das abläuft, beschreibe ich im Ratgeber Datenpanne melden. Beim Betroffenenrechte-Prozess geht es darum, Auskunfts-, Lösch- und Widerspruchsanfragen fristgerecht zu bearbeiten. Beide Prozesse müssen vorher definiert sein, nicht erst dann improvisiert werden, wenn der Fall eintritt.

Wie ein Datenschutzkonzept entsteht

Ein Datenschutzkonzept wird nicht am grünen Tisch geschrieben, sondern aus einer Bestandsaufnahme heraus entwickelt. Der erste Schritt ist immer ein Audit. Dabei erfasse ich, welche Daten im Unternehmen tatsächlich fließen: von der ersten Kundenanfrage über die Buchhaltung bis zur Personalverwaltung.

Der typische Ablauf sieht so aus:

  1. Bestandsaufnahme aller Verarbeitungstätigkeiten und Datenflüsse.
  2. Erstellung oder Aktualisierung des Verarbeitungsverzeichnisses.
  3. Bewertung der vorhandenen technischen und organisatorischen Maßnahmen.
  4. Prüfung der Dienstleisterverträge auf vorhandene AVV.
  5. Entwicklung von Lösch-, Schulungs- und Prozesskonzepten.
  6. Zusammenführung zu einem Gesamtkonzept und Festlegung der Pflegezyklen.

Diese Bestandsaufnahme leiste ich im Rahmen eines Datenschutz-Audits. Aus dem Audit ergibt sich, wo Lücken bestehen und welche Bausteine fehlen. Erst danach entsteht das Konzept. Wer ohne Audit ein Konzept aus Vorlagen zusammenbaut, dokumentiert einen Wunschzustand, nicht die Realität, und das fällt bei einer Prüfung sofort auf.

Warum das Konzept der Nachweis der Rechenschaftspflicht ist

Hier liegt der eigentliche Kern. Art. 5 Abs. 2 DSGVO verlangt die Rechenschaftspflicht, auf Englisch Accountability. Das bedeutet: Sie müssen die Einhaltung der DSGVO nicht nur tatsächlich sicherstellen, sondern auch nachweisen können. Die Beweislast liegt beim Verantwortlichen, nicht bei der Behörde.

Ein gut geführtes Datenschutzkonzept ist genau dieser Nachweis. Wenn eine Aufsichtsbehörde anfragt oder eine betroffene Person sich beschwert, können Sie belegen, dass Sie sich strukturiert mit dem Datenschutz auseinandergesetzt haben. Das macht im Ernstfall einen erheblichen Unterschied. Ein Unternehmen, das ein vollständiges Konzept vorlegt, steht in einer Prüfung deutlich besser da als eines, das einzelne Dokumente zusammensucht. Das senkt das Risiko eines Bußgelds spürbar, weil die Behörde bei der Bemessung berücksichtigt, ob ein Unternehmen seine Pflichten ernst nimmt.

Hinzu kommt der praktische Nutzen im Alltag. Ein Konzept schafft Klarheit darüber, wer im Unternehmen wofür zuständig ist. Es verhindert, dass Wissen an einzelnen Personen hängt und mit deren Weggang verloren geht. Und es bildet die Grundlage für weitergehende Prüfungen, etwa eine Datenschutz-Folgenabschätzung bei besonders risikoreichen Verarbeitungen.

Schulungskonzept und Bewusstsein im Team

Ein Baustein, der gern unterschätzt wird, ist das Schulungskonzept. Die beste Dokumentation nützt nichts, wenn die Mitarbeitenden im Alltag nicht wissen, wie sie mit personenbezogenen Daten umgehen sollen. Die meisten Datenpannen, die ich in der Praxis sehe, entstehen nicht durch Hackerangriffe, sondern durch Unachtsamkeit: die E-Mail an den falschen Verteiler, der unverschlüsselte USB-Stick, das Passwort am Monitor.

Ein Schulungskonzept legt fest, wer wann zu welchen Themen geschult wird und wie das dokumentiert wird. Die Dokumentation ist wichtig, weil sie wiederum Teil der Rechenschaftspflicht ist. Eine Datenschutz-Schulung muss kein großer Aufwand sein, sie muss aber regelmäßig stattfinden und das Wesentliche vermitteln. Im Konzept halte ich fest, in welchem Rhythmus geschult wird und welche Rollen besondere Schulungen brauchen, etwa Mitarbeitende in Personal oder Vertrieb.

Wichtig ist, dass das Schulungskonzept zum Unternehmen passt. Ein Handwerksbetrieb mit fünf Beschäftigten braucht etwas anderes als ein Dienstleister mit hundert Mitarbeitenden und intensiver Datenverarbeitung. Genau diese Anpassung an die konkrete Lage ist der Unterschied zwischen einem Konzept aus der Schublade und einem, das im Alltag tatsächlich trägt.

Datenschutzkonzept und laufendes Management

Ein Konzept ist nur so gut wie seine Pflege. Deshalb gehört zur Erstellung immer die Frage, wer es aktuell hält. In kleineren Unternehmen ohne eigene Datenschutzabteilung übernehme ich das als externer Datenschutzbeauftragter im Rahmen des laufenden DSGVO-Managements. So bleibt das Konzept ein lebendiges Instrument und wird nicht zum Aktenordner, der nach der Erstellung im Schrank verstaubt.

Ich prüfe regelmäßig, ob neue Verarbeitungen hinzugekommen sind, ob sich Dienstleister geändert haben und ob die Maßnahmen noch angemessen sind. Dieser Rhythmus aus Erstellung und kontinuierlicher Anpassung ist der Unterschied zwischen einem Konzept auf dem Papier und gelebtem Datenschutz.

Wenn Sie wissen möchten, wie weit Ihr Unternehmen beim Datenschutzkonzept ist und welche Bausteine fehlen, sprechen Sie mich an. Über das Kontaktformular erreichen Sie mich direkt, und wir klären in einem ersten Gespräch, wo Sie stehen und welcher Aufwand realistisch auf Sie zukommt.

FAQ

Häufige Fragen zu diesem Thema

Ist ein Datenschutzkonzept gesetzlich Pflicht?
Ein Datenschutzkonzept ist nicht ausdrücklich als eigenes Dokument vorgeschrieben, aber faktisch unverzichtbar. Die DSGVO verlangt in Art. 5 Abs. 2 die Rechenschaftspflicht, und ohne strukturierte Gesamtdokumentation lässt sich diese kaum nachweisen. Pflichtbausteine wie das Verarbeitungsverzeichnis sind dagegen direkt vorgeschrieben. Das Konzept bündelt diese Pflichten zu einem prüffähigen Ganzen.
Was muss alles in ein Datenschutzkonzept hinein?
In ein vollständiges Datenschutzkonzept gehören Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen, Auftragsverarbeitungsverträge, ein Löschkonzept, ein Schulungskonzept sowie Prozesse für Datenpannen und Betroffenenrechte. Diese Bausteine greifen ineinander und stützen sich auf das Verarbeitungsverzeichnis als Grundlage. Welche Module konkret nötig sind, hängt von Größe und Datenintensität des Unternehmens ab.
Worin unterscheidet sich das Datenschutzkonzept vom Verarbeitungsverzeichnis?
Das Verarbeitungsverzeichnis ist ein einzelner Baustein, das Datenschutzkonzept ist die übergeordnete Klammer. Das Verarbeitungsverzeichnis listet alle Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage und Löschfristen auf. Das Konzept fügt diese Übersicht mit Schutzmaßnahmen, Verträgen und Prozessen zu einer Gesamtschau zusammen. Ohne vollständiges Verzeichnis lässt sich kein belastbares Konzept aufbauen.
Wie lange dauert die Erstellung eines Datenschutzkonzepts?
Die Dauer richtet sich nach Unternehmensgröße und Reifegrad der vorhandenen Dokumentation, üblich sind einige Wochen. Den größten Anteil nimmt die Bestandsaufnahme im Rahmen eines Datenschutz-Audits ein, bei dem alle Datenflüsse erfasst werden. Sind bereits Verzeichnis und Verträge vorhanden, geht es schneller. Ein Konzept aus Vorlagen ohne Audit spart Zeit, bildet aber nicht die Realität ab.
Brauchen auch kleine Unternehmen ein Datenschutzkonzept?
Ja, auch kleine Unternehmen profitieren von einem Datenschutzkonzept, nur im passenden Umfang. Die Rechenschaftspflicht der DSGVO gilt unabhängig von der Mitarbeiterzahl. Ein Handwerksbetrieb mit fünf Beschäftigten braucht ein schlankeres Konzept als ein Dienstleister mit hundert Mitarbeitenden. Entscheidend ist, dass die Dokumentation zur tatsächlichen Datenverarbeitung passt und im Prüffall den strukturierten Umgang belegt.

Weitere Artikel

DSGVO

Datenschutz-Folgenabschätzung (DSFA): Wann sie Pflicht ist und wie sie abläuft

Wann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO Pflicht ist, wie der Ablauf in vier Schritten aussieht und welche Rolle KI-Systeme dabei spielen.

 DSGVO

Datenschutzerklärung erstellen: Pflichtangaben und häufige Fehler

Was in eine rechtssichere Datenschutzerklärung gehört: Pflichtangaben nach Art. 13/14 DSGVO, Cookies, Analytics, typische Fehler und warum Generatoren nicht reichen.

 DSGVO

Auftragsverarbeitung nach Art. 28 DSGVO: AV-Verträge richtig schließen

Wann brauchen Sie einen AV-Vertrag, was muss er enthalten und wo ist die Grenze zur gemeinsamen Verantwortlichkeit? Auftragsverarbeitung nach Art. 28 DSGVO erklärt.

Datenschutz, der zu Ihrem Betrieb passt?

Verständlich erklärt ist die halbe Miete – umgesetzt wird der Rest. Ich unterstütze Sie als externer Datenschutzbeauftragter.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen