Skip to content
Contracko Logo
Blog DSGVO-Konformität: was Unternehmen verfolgen müssen

DSGVO-Konformität: was Unternehmen verfolgen müssen
Image of Budi Voogt
Budi Voogt 24. Mai 2026

Wenn Menschen an die DSGVO denken, denken sie an Cookie-Banner und eine Datenschutzerklärung, die jemand einmal aktualisiert und danach nie wieder angefasst hat. Das ist der sichtbare Teil. Meiner Erfahrung nach steckt ein deutlich größerer Teil Ihrer Verpflichtungen still und leise in Ihren Verträgen, und das sind genau die Dokumente, die am ehesten veraltet sind, sobald jemand sie einsehen möchte.

Ich habe das mehr als einmal miterlebt. Das Sicherheitsteam eines Kunden schickt einen Fragebogen, eine Aufsichtsbehörde eröffnet eine routinemäßige Prüfung oder ein neuer Datenschutzbeauftragter beginnt, sinnvolle Fragen zu stellen, und plötzlich durchsucht das Unternehmen Postfächer und gemeinsame Laufwerke nach einer unterzeichneten Vereinbarung, die niemand so recht finden kann. Die Bedingungen waren wahrscheinlich in Ordnung. Sie zu finden und nachzuweisen, dass sie noch aktuell waren, war der Punkt, an dem alles auseinanderfiel.

Dieser Leitfaden zeigt, wo die DSGVO tatsächlich in Ihren Verträgen auftaucht, welche Nachweise Sie griffbereit halten müssen und wie Sie verhindern, dass diese Verpflichtungen veralten.

Dies ist eine praktische Orientierungshilfe, keine Rechtsberatung. Lassen Sie jede Vereinbarung von einer qualifizierten Fachperson prüfen, bevor Sie sich darauf verlassen.

Am Ende dieses Leitfadens werden Sie:

  • Wissen, welche Vertragsarten Ihre DSGVO-Verpflichtungen tragen
  • Verstehen, welche konkreten Nachweise eine Aufsichtsbehörde, ein Kunde oder ein Prüfer von Ihnen verlangen kann
  • Erkennen, warum diese Verpflichtungen zeitgebunden und nicht einmalig sind
  • Über einen praktischen Weg verfügen, um den gesamten Bestand prüfungsbereit zu halten

Wo die DSGVO in Ihren Verträgen auftaucht

Die DSGVO beschränkt sich nicht auf eine einzige Dokumentenart. Sie zieht sich durch mehrere, und jede davon trägt Verpflichtungen, die Sie für die gesamte Dauer der Geschäftsbeziehung einhalten müssen.

Auftragsverarbeitungsverträge (AVV)

Jeder Anbieter, der in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigt einen solchen, gemäß Artikel 28 DSGVO. Der AVV legt Sicherheitsverpflichtungen, Regeln für Unterauftragsverarbeiter, Fristen für die Meldung von Datenschutzverletzungen und fest, was mit den Daten am Ende der Geschäftsbeziehung geschieht. Falls Sie nicht sicher sind, wie ein guter aufgebaut ist: Unsere Anleitung zum Thema wie man einen AVV erstellt behandelt den Aufbau Klausel für Klausel.

Standardvertragsklauseln (SCC)

Wenn personenbezogene Daten den EWR verlassen, benötigen Sie in der Regel einen gültigen Übermittlungsmechanismus. SCC sind am gebräuchlichsten, und sie bringen ihre eigenen Hausaufgaben mit, einschließlich einer Folgenabschätzung der Übermittlung. Das ist der Teil, der meiner Beobachtung nach am häufigsten übersprungen wird, meist weil der "Standard"-AVV eines Anbieters stillschweigend von einer ausschließlich in der EU stattfindenden Verarbeitung ausgeht, die nicht dazu passt, wohin die Daten tatsächlich fließen.

Sicherheits- und Vertraulichkeitszusätze

Diese legen die technischen und organisatorischen Maßnahmen fest, die zum Einsatz kommen: Verschlüsselung, Zugriffskontrollen, Ausfallsicherheit, Tests und die Vertraulichkeitsverpflichtungen, die jeden mit Zugriff binden. Vage Formulierungen an dieser Stelle ("angemessene Maßnahmen" und kaum mehr) sind eine häufige Schwachstelle.

Eingaben für das Verzeichnis (VVT)

Ihr Verzeichnis von Verarbeitungstätigkeiten stützt sich unmittelbar darauf, was Ihre Verträge zu Zwecken, Datenkategorien, Aufbewahrungsfristen und Empfängern aussagen. Wenn die Verträge verstreut sind, beruht das VVT auf Vermutungen.

Kundenseitige Zusagen

Vergessen Sie nicht die AVV, die Sie Ihren eigenen Kunden anbieten, bei denen Sie auf der Seite des Auftragsverarbeiters sitzen. Auch diese Zusagen sind Verpflichtungen, und sie werden bei Beschaffungsprozessen genau gelesen.

Compliance-Beauftragte bereitet prüfungsbereite Unterlagen für eine DSGVO-Prüfung vor

Die Nachweise, die Sie vorlegen können müssen

Hier kommt der Teil, der die Leute überrascht. Die DSGVO verhält sich in der täglichen Praxis weniger wie ein Regelwerk und mehr wie ein Nachweissystem. Die Bedingungen sind wichtig, aber sie schnell vorlegen zu können, ist ebenso wichtig.

Wenn eine Aufsichtsbehörde, ein Kunde oder ein Prüfer fragt, sollten Sie Folgendes ohne hektische Suche vorlegen können:

Wonach gefragt wirdWas Sie nachweisen müssen
Der AVV des AnbietersDie aktuelle unterzeichnete Fassung, nicht der Entwurf vom letzten Jahr
Grenzüberschreitende ÜbermittlungenDer vorhandene Übermittlungsmechanismus und dass er noch gültig ist
UnterauftragsverarbeiterWer unter jeder Vereinbarung autorisiert ist und dass Sie über Änderungen informiert wurden
SicherheitszusagenDie konkreten Maßnahmen, denen jeder Auftragsverarbeiter zugestimmt hat
PrüfungshistorieDass regelmäßige Prüfungen tatsächlich stattgefunden haben, mit Datumsangaben

Sie werden das Fehlermuster wiedererkennen. Selten ist es so, dass die falschen Bedingungen unterzeichnet wurden. Es ist vielmehr so, dass das richtige Dokument nicht schnell genug gefunden werden kann oder dass es vor Monaten ausgelaufen ist und niemand es bemerkt hat. Die Lücke zwischen "wir haben irgendwo einen AVV" und "hier ist der aktuelle, mit seinem Sicherheitsanhang und dem Datum der letzten Prüfung" ist genau der Punkt, an dem Compliance-Arbeit schiefgeht.

Diese Bedingungen von Hand aus einem unterzeichneten PDF herauszuziehen, ist langsam und fehleranfällig, und genau hier verdienen sich KI-Vertragsanalyse und Vertragsdatenextraktion ihren Platz: Die Rolle bei der Datenverarbeitung, der Übermittlungsmechanismus, die Meldefrist bei Datenschutzverletzungen und die Löschbedingungen werden aus dem Dokument herausgelesen und durchsuchbar gemacht, statt eingeschlossen in einer Datei zu liegen, die jemand öffnen und überfliegen muss.

Vertragliche Verpflichtungen sind mit Fristen verbunden

DSGVO-bezogene Vertragsbedingungen sind voller Termine, und Termine sind genau das, was verrutscht, wenn ein Dokument als etwas behandelt wird, das man ablegt und vergisst.

Denken Sie darüber nach, was in diesen Vereinbarungen tatsächlich tickt:

  • Jährliche Sicherheitsprüfungen
  • Widerspruchsfristen gegen Unterauftragsverarbeiter, die sich öffnen und schließen
  • SCC-Neuvalidierung nach einer rechtlichen oder regulatorischen Änderung
  • Aufbewahrungs- und Löschfristen, die an das Ende der Verarbeitung gekoppelt sind

Als reine Ablageübung behandelt, geraten all diese ins Driften. Als verfolgte Verpflichtungen mit angehängten Erinnerungen behandelt, halten sie. Ich finde es hilfreich, sich jeden AVV als eine kleine Reihe wiederkehrender Zusagen vorzustellen statt als ein einzelnes Ereignis, das mit der Unterschrift endete.

Deshalb sind automatisierte Erinnerungen an Ablauf und Verlängerung für die Datenschutzarbeit so wichtig. Ein Prüfungstermin, an den niemand erinnert wird, ist eine Prüfung, die nicht stattfindet. Wenn Sie ein Gefühl dafür bekommen möchten, wie sich ein solcher Anstoß in der Praxis anfühlt, können Sie einen mit unserer kostenlosen Erinnerung für Auftragsverarbeitungsverträge einrichten.

Ihr Repository wird zu Ihrer Nachweisebene

Sobald Sie akzeptieren, dass die DSGVO ein Nachweissystem mit Fristen ist, folgt die praktische Schlussfolgerung ganz natürlich. Sie benötigen einen einzigen durchsuchbaren Ort, der jeden AVV, jede SCC und jeden Sicherheitszusatz enthält, mit extrahierten und überwachten Verpflichtungen und Terminen.

Ein gut geführtes Vertragsrepository leistet genau diese stille, unspektakuläre Arbeit. Es verwandelt einen Stapel von Vereinbarungen in eine prüfungsbereite Dokumentation, hinter der Sie stehen können, und es bedeutet, dass die Antwort auf "Können Sie mir den aktuellen AVV für diesen Anbieter zeigen" dreißig Sekunden statt einen halben Tag Hektik entfernt ist. Kombiniert mit Reporting sehen Sie zudem auf einen Blick, welchen Vereinbarungen ein Übermittlungsmechanismus fehlt oder welche zur Prüfung überfällig sind, also genau die Art von Überblick, die ein Compliance-Beauftragter sonst von Hand zusammenstellen muss.

Für Teams, die personenbezogene Daten in nennenswertem Umfang verarbeiten, ist dies der Kern von DSGVO-Compliance-Software: kein weiteres Regelwerk, sondern eine Möglichkeit, die vertragliche Hälfte Ihrer Verpflichtungen aktuell, durchsuchbar und nachweisbar zu halten. Sie fügt sich auf natürliche Weise in das umfassendere Lieferantenvertragsmanagement ein, da die Anbieter, die Ihre Daten verarbeiten, meist dieselben sind, die Sie ohnehin schon hinsichtlich Verlängerungen und Ausgaben verfolgen.

Es lohnt sich zu betonen, dass nichts davon funktioniert, wenn die Plattform, die Ihre sensiblen Vereinbarungen aufbewahrt, selbst ein Risiko darstellt. Das ist mit ein Grund, warum Contracko in der EU gehostet, verschlüsselt, auf rollenbasiertem Zugriff aufgebaut ist und KI niemals auf Ihren Verträgen trainiert. Das Werkzeug, das Ihre Datenpflichten in Ordnung halten soll, sollte nicht stillschweigend neue schaffen. Mehr darüber, wie das gehandhabt wird, können Sie auf unserer Sicherheits-Seite nachlesen.

Beginnen Sie mit einer einzigen Vereinbarung

Wenn sich das alles nach viel anfühlt, ist der einfachste Einstieg, sich einen einzelnen Vertrag genau anzusehen. Wählen Sie denjenigen, der Ihnen am meisten Sorgen bereitet, in der Regel der Anbieter, der die meisten personenbezogenen Daten berührt, und sehen Sie nach, welche DSGVO-relevanten Bedingungen er tatsächlich enthält.

Unser kostenloser Analyzer für Datenweitergabevereinbarungen kennzeichnet die Klauseln zu Datenverarbeitungsrollen, grenzüberschreitenden Übermittlungen, Auskunfts- und Löschpflichten gegenüber betroffenen Personen sowie zur Meldung von Datenschutzverletzungen. Er zeigt Ihnen, wo diese Bestimmungen dünn wirken oder fehlen, sodass Sie die Lücke schließen können, bevor sie zu einem Prüfungsbefund wird, statt erst danach.

Ich habe festgestellt, dass das sorgfältige Lesen einer einzigen Vereinbarung mehr zur Klärung Ihrer Risikolage beiträgt als jede Menge Theorie. Beginnen Sie dort, sehen Sie, was Sie dabei lernen, und weiten Sie es ausgehend von dem Dokument aus, das Ihnen Bauchschmerzen bereitet.

Wenn Sie eine zweite Meinung dazu möchten, wo Ihre Verträge heute stehen, melden Sie sich gerne. Ich lese jede Nachricht selbst und spreche gerne darüber, wie ein guter Stand für Ihre Situation aussieht, bevor Sie sich zu irgendetwas verpflichten.

Legen Sie mit Contracko los

Nehmen Sie sich den Stress aus dem Vertrags- und Abonnementmanagement. Mit Contracko bleiben Sie organisiert, pünktlich und in Kontrolle. Beginnen Sie noch heute mit der Vereinfachung.

7 Tage kostenlos testen
endefres