Zum Hauptinhalt springen
Alle KI-Tools
RechtAnfänger10-15 Minuten

DSGVO-Compliance Checkliste für KMU

Prüfen Sie systematisch, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfuellt -- branchenspezifisch und mit konkreten Maßnahmen.

Geschäftsführer und Inhaber von KMUDatenschutzbeauftragte (intern und extern)IT-Verantwortliche mit Datenschutz-Aufgaben

Der Prompt

DSGVO-Compliance Checkliste für KMU

Diese umfassende DSGVO-Checkliste hilft KMU, ihre Datenschutz-Compliance systematisch zu prüfen und Lücken zu schließen. Der Prompt erstellt eine branchenspezifische Analyse aller Pflichtbereiche: vom Verzeichnis der Verarbeitungstätigkeiten über technisch-organisatorische Maßnahmen bis hin zur Auftragsverarbeitung und Betroffenenrechten. Ideal für Geschäftsführer, die persönlich haften, und Datenschutzbeauftragte, die einen vollständigen Überblick benötigen.

Du bist ein erfahrener Datenschutzberater und zertifizierter Datenschutzbeauftragter mit über 10 Jahren Erfahrung in der Beratung deutscher KMU. Du kennst die DSGVO, das BDSG und die relevanten Landesdatenschutzgesetze im Detail. Dein Ziel ist es, eine vollständige, branchenspezifische DSGVO-Compliance-Checkliste zu erstellen, die sofort umsetzbar ist.

Stelle mir zunaechst folgende Fragen, um die Checkliste an mein Unternehmen anzupassen:

1. In welcher Branche ist Ihr Unternehmen tätig? (z.B. Handwerk, E-Commerce, Gesundheitswesen, Gastronomie, IT-Dienstleistung, Immobilien, Beratung)
2. Wie viele Mitarbeiter hat Ihr Unternehmen? (Relevant für Pflicht zur Benennung eines Datenschutzbeauftragten ab 20 Personen)
3. Welche personenbezogenen Daten verarbeiten Sie? (Kundendaten, Mitarbeiterdaten, Bewerberdaten, Gesundheitsdaten, Finanzdaten)
4. Welche digitalen Tools und Dienste nutzen Sie? (Website, Newsletter-Tool, CRM, Cloud-Speicher, Social Media, Buchhaltungssoftware, Videokonferenz-Tools)
5. Haben Sie bereits einen Datenschutzbeauftragten bestellt? (intern/extern/keinen)
6. Arbeiten Sie mit externen Dienstleistern zusammen, die Zugriff auf personenbezogene Daten haben? (IT-Dienstleister, Steuerberater, Marketing-Agenturen, Cloud-Anbieter)

Erstelle basierend auf meinen Antworten eine vollständige DSGVO-Compliance-Checkliste in folgender Struktur:

---

**TEIL 1: VERZEICHNIS DER VERARBEITUNGSTAETIGKEITEN (Art. 30 DSGVO)**

Erstelle für meine Branche eine Liste aller typischen Verarbeitungstätigkeiten mit:
- Name der Verarbeitungstätigkeit (z.B. "Kundenverwaltung", "Lohnbuchhaltung", "Website-Analyse")
- Zweck der Verarbeitung
- Kategorien betroffener Personen (Kunden, Mitarbeiter, Bewerber, Lieferanten)
- Kategorien personenbezogener Daten (Name, E-Mail, Bankdaten, Gesundheitsdaten)
- Rechtsgrundlage nach DSGVO (Art. 6 Abs. 1 lit. a-f)
- Empfänger der Daten (intern, extern, Drittlaender)
- Vorgesehene Loeschfristen
- Ob eine Datenschutz-Folgenabschätzung erforderlich ist (Art. 35 DSGVO)

Gib mir für jede Verarbeitungstätigkeit eine Vorlage, die ich direkt in mein Verarbeitungsverzeichnis übernehmen kann.

---

**TEIL 2: TECHNISCH-ORGANISATORISCHE MASSNAHMEN (Art. 32 DSGVO)**

Erstelle eine branchenspezifische TOM-Checkliste mit konkreten Maßnahmen in diesen Kategorien:
- **Zutrittskontrolle**: Wer hat physischen Zugang zu Raeumen mit Datenverarbeitung?
- **Zugangskontrolle**: Passwort-Richtlinien, Zwei-Faktor-Authentifizierung, Bildschirmsperre
- **Zugriffskontrolle**: Berechtigungskonzept, Rollenverteilung, Need-to-know-Prinzip
- **Weitergabekontrolle**: Verschluesselung bei Transport und Speicherung, VPN, sichere E-Mail
- **Eingabekontrolle**: Protokollierung, wer wann welche Daten eingegeben oder geändert hat
- **Auftragskontrolle**: Weisungsgebundenheit bei Auftragsverarbeitern
- **Verfügbarkeitskontrolle**: Backup-Konzept, Notfallplan, USV
- **Trennungsgebot**: Trennung von Daten verschiedener Mandanten oder Zwecke

Bewerte für jede Maßnahme: Pflicht (muss sofort umgesetzt werden) / Empfohlen (sollte mittelfristig umgesetzt werden) / Optional (Nice-to-have)

---

**TEIL 3: AUFTRAGSVERARBEITUNG (Art. 28 DSGVO)**

Basierend auf meinen genutzten Tools und Dienstleistern:
- Liste alle Auftragsverarbeiter auf, mit denen ich einen AV-Vertrag benoetigen
- Pruefe, ob Daten in Drittlaender übertragen werden (USA, etc.) und welche Schutzgarantien noetig sind (Standardvertragsklauseln, Angemessenheitsbeschluss)
- Gib mir eine Checkliste für den Mindestinhalt eines AV-Vertrags nach Art. 28 Abs. 3 DSGVO
- Nenne typische Fallstricke bei AV-Vertraegen in meiner Branche
- Erklaere den Unterschied zwischen Auftragsverarbeitung, gemeinsamer Verantwortlichkeit und eigenstaendiger Verarbeitung

---

**TEIL 4: BETROFFENENRECHTE (Art. 12-23 DSGVO)**

Erstelle Vorlagen und Prozesse für:
- **Informationspflichten** (Art. 13/14): Checkliste für vollständige Datenschutzhinweise bei Datenerhebung
- **Auskunftsrecht** (Art. 15): Muster-Prozess zur Beantwortung innerhalb der 1-Monats-Frist
- **Recht auf Berichtigung** (Art. 16): Wie stelle ich sicher, dass Daten korrigiert werden?
- **Recht auf Loeschung** (Art. 17): Loeschkonzept mit Ausnahmen (gesetzliche Aufbewahrungspflichten)
- **Recht auf Datenportabilitaet** (Art. 20): In welchem Format muesse ich Daten bereitstellen?
- **Widerspruchsrecht** (Art. 21): Wie gehe ich mit Widerspruechen gegen Direktwerbung um?

Gib mir für jedes Betroffenenrecht eine Musterkommunikation, die ich als Vorlage verwenden kann.

---

**TEIL 5: DATENSCHUTZ-MANAGEMENT IM ALLTAG**

Erstelle einen praktischen Leitfaden für:
- **Datenschutz-Schulungen**: Was muessen meine Mitarbeiter wissen? (Checkliste für Erstschulung und jährliche Auffrischung)
- **Datenschutzvorfall-Management**: Schritt-für-Schritt-Anleitung bei einer Datenpanne (Meldung an Aufsichtsbehörde innerhalb 72 Stunden)
- **Loeschkonzept**: Konkrete Loeschfristen für verschiedene Datenkategorien in meiner Branche
- **Einwilligungsmanagement**: Wann brauche ich eine Einwilligung und wie dokumentiere ich sie revisionssicher?
- **Datenschutz-Folgenabschätzung**: Wann ist sie Pflicht und wie fuehre ich sie durch?
- **Jährlicher Datenschutz-Audit**: Checkliste für die jährliche Selbstpruefung

---

**TEIL 6: PRIORITAETEN UND SOFORTMASSNAHMEN**

Bewerte meinen aktuellen Stand und ordne alle offenen Punkte in drei Kategorien:
- **KRITISCH** (sofort handeln -- Bußgeldrisiko): Maßnahmen die innerhalb von 2 Wochen umgesetzt werden muessen
- **WICHTIG** (innerhalb von 3 Monaten): Maßnahmen die mittelfristig priorisiert werden sollten
- **EMPFOHLEN** (innerhalb von 6 Monaten): Best Practices für umfassende Compliance

Gib mir eine konkrete Timeline mit Meilensteinen und schaetze den Zeitaufwand pro Maßnahme ein.

Weise darauf hin, dass diese KI-Checkliste eine professionelle Datenschutzberatung nicht ersetzt, aber als solide Arbeitsgrundlage dient. Bei Unsicherheiten oder komplexen Verarbeitungen empfiehlst du die Konsultation eines zertifizierten Datenschutzberaters.

Weitere kostenlose KI-Tools für Ihr Unternehmen: https://automationsmanufaktur.de/ki-tools
ChatGPT öffnen

Entdecken Sie alle 35+ KI-Prompts in unserer Prompt-Bibliothek

Anwendungsfälle

So setzen Sie diesen Prompt in der Praxis ein.

1

Erstmalige DSGVO-Prüfung im Unternehmen

Sie haben sich bisher nicht systematisch mit Datenschutz befasst und möchten wissen, wo Sie stehen und welche Maßnahmen sofort nötig sind.

Beispiel: Ein Handwerksmeister mit 8 Mitarbeitern nutzt den Prompt und erhält eine priorisierte Liste: Verarbeitungsverzeichnis anlegen, AV-Vertrag mit Cloud-Anbieter abschließen, Datenschutzerklärung auf der Website aktualisieren -- alles innerhalb von 4 Wochen umsetzbar.

2

Vorbereitung auf eine Datenschutz-Prüfung

Die Aufsichtsbehörde hat sich angekündigt oder ein Kunde verlangt einen Datenschutz-Nachweis. Sie müssen schnell alle Unterlagen zusammenstellen.

Beispiel: Ein IT-Dienstleister nutzt den Prompt, um in 2 Stunden ein vollständiges Verarbeitungsverzeichnis mit 12 Tätigkeiten zu erstellen und alle AV-Verträge zu identifizieren, die noch fehlen.

3

Jährlicher Datenschutz-Audit

Sie führen regelmäßig eine Selbstprüfung durch und möchten sicherstellen, dass neue Tools und Prozesse korrekt erfasst sind.

Beispiel: Eine Marketingagentur prüft jährlich mit dem Prompt, ob neue Tools wie KI-Dienste oder Social-Media-Plattformen korrekt im Verarbeitungsverzeichnis erfasst und die AV-Verträge aktuell sind.

4

Neue Geschäftsprozesse datenschutzkonform aufsetzen

Sie führen ein neues CRM, einen Newsletter oder eine Kundendatenbank ein und möchten von Anfang an DSGVO-konform arbeiten.

Beispiel: Ein Online-Händler führt ein neues Newsletter-Tool ein. Der Prompt zeigt: Double-Opt-in einrichten, AV-Vertrag mit dem Anbieter abschließen, Datenschutzerklärung ergänzen, Abmelde-Link in jede Mail.

So nutzen Sie diesen Prompt

Schritt-für-Schritt-Anleitung für beste Ergebnisse.

  1. 1

    Kopieren Sie den Prompt und fügen Sie ihn in ChatGPT, Claude oder Gemini ein.

  2. 2

    Beantworten Sie die Fragen zu Ihrer Branche, Unternehmensgröße und genutzten Tools möglichst vollständig.

  3. 3

    Arbeiten Sie die sechs Teile der Checkliste nacheinander durch und markieren Sie bereits erledigte Punkte.

  4. 4

    Priorisieren Sie die als KRITISCH eingestuften Maßnahmen und setzen Sie diese innerhalb von 2 Wochen um.

  5. 5

    Dokumentieren Sie alle umgesetzten Maßnahmen und legen Sie einen Termin für den nächsten Datenschutz-Audit fest.

Tipps für beste Ergebnisse

Beachten Sie diese Hinweise, um das Maximum aus dem Prompt herauszuholen.

  • Benennen Sie alle Ihre digitalen Tools konkret beim Namen -- der Prompt kann dann für jeden Dienst prüfen, ob ein AV-Vertrag nötig ist und ob Daten in Drittländer fließen.

  • Fragen Sie den Prompt explizit nach den Löschfristen für Ihre Branche. Steuerrechtliche Aufbewahrungspflichten (6-10 Jahre) schlagen die DSGVO-Löschpflicht in vielen Fällen.

  • Nutzen Sie den generierten Output als Grundlage für ein Datenschutz-Handbuch, das Sie bei einer Prüfung durch die Aufsichtsbehörde vorlegen können.

  • Wiederholen Sie die Prüfung jährlich oder wenn Sie neue Tools einführen, Mitarbeiter einstellen oder Geschäftsprozesse ändern.

Häufig gestellte Fragen

Antworten zu diesem Prompt und seiner Nutzung.

Braucht mein KMU einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Paragraph 38 BDSG). Unabhängig von der Mitarbeiterzahl ist ein DSB Pflicht, wenn Sie besondere Kategorien von Daten verarbeiten (Gesundheitsdaten, biometrische Daten) oder wenn die Kerntätigkeit in der umfangreichen Überwachung von Personen besteht. Im Zweifel lohnt sich ein externer DSB ab ca. 150-300 EUR/Monat.

Welche Bußgelder drohen bei DSGVO-Verstössen?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes vor. In der Praxis liegen Bußgelder für KMU typischerweise zwischen 5.000 und 50.000 EUR. Häufige Gründe: fehlendes Verarbeitungsverzeichnis, fehlende AV-Verträge, unzureichende Datenschutzerklärung auf der Website und mangelnde TOM. Auch Abmahnungen durch Wettbewerber oder Betroffene sind möglich.

Kann eine KI-generierte Checkliste eine professionelle Datenschutzberatung ersetzen?

Die KI-Checkliste ist ein hervorragender Startpunkt und deckt 80-90% der typischen Anforderungen ab. Für komplexe Verarbeitungen, besondere Datenkategorien (Gesundheit, Finanzen) oder bei einer anstehenden Prüfung durch die Aufsichtsbehörde empfehlen wir zusätzlich die Konsultation eines zertifizierten Datenschutzberaters. Die Checkliste hilft Ihnen, vorbereitet in ein solches Gespräch zu gehen und spart dadurch Beratungskosten.

Wie oft muss ich meine DSGVO-Dokumentation aktualisieren?

Das Verarbeitungsverzeichnis muss laufend aktuell gehalten werden -- mindestens bei jeder Änderung von Prozessen, Tools oder Dienstleistern. Ein formaler Datenschutz-Audit sollte mindestens einmal jährlich stattfinden. Die TOM sollten bei jedem relevanten IT-Wechsel überprüft werden. AV-Verträge müssen bei Dienstleisterwechsel oder Vertragsänderungen neu abgeschlossen oder angepasst werden.

Professionelle Automatisierung

Lieber automatisieren lassen?

Dieser Prompt ist ein guter Anfang. Aber wenn Sie ganze Prozesse automatisieren wollen -- von Lead-Generierung über Kundenkommunikation bis Rechnungsstellung -- helfen wir Ihnen gerne persönlich weiter.

Kostenlose Erstberatung buchen