Datenschutz in der Medizintechnik ist kein nice-to-have, sondern existenziell. Wenn sensible Gesundheitsdaten nach Art. 9 DSGVO verarbeitet werden, gelten die strengsten Anforderungen der Verordnung. Ein einziger Datenschutzvorfall kann Bußgelder in Millionenhöhe nach sich ziehen und das Vertrauen von Patienten, Ärzten und Kliniken nachhaltig zerstören.

In diesem Praxisbeispiel zeigen wir, wie eine Datenschutzbeauftragte PathHub AI nutzt, um ein umfassendes DSGVO-Audit für ein Medizintechnik-Unternehmen mit 200 Mitarbeitern zu planen. Von der Eingabe bis zum fertigen Projektplan mit 6 Phasen, Budget, Risiken und KPIs -- in weniger als 30 Minuten.

Das Ausgangsproblem: Datenschutz-Lücken in der Medizintechnik

MediTech Solutions (Name geändert) ist ein mittelständisches Medizintechnik-Unternehmen mit 200 Mitarbeitern und Hauptsitz in Stuttgart. Das Unternehmen entwickelt und vertreibt medizinische Diagnosegeräte, die in Kliniken und Arztpraxen eingesetzt werden. Im Rahmen von Service, Support und klinischen Studien verarbeitet MediTech sensible Gesundheitsdaten von Patienten.

Der Weckruf kam durch einen Beinahe-Vorfall: Ein Mitarbeiter hatte versehentlich einen USB-Stick mit Patientendaten in einem Café liegengelassen. Der Stick wurde gefunden und zurückgegeben -- aber der Vorfall legte schonungslos offen, wie groß die Datenschutz-Lücken im Unternehmen waren:

  • 15 IT-Systeme verarbeiten personenbezogene Daten, aber es gibt kein zentrales Verarbeitungsverzeichnis
  • 3 externe Auftragsverarbeiter ohne aktuelle Verträge nach Art. 28 DSGVO
  • Datenschutz-Folgenabschätzungen nur für 1 von 6 Hochrisiko-Verarbeitungen durchgeführt
  • Letzte Mitarbeiterschulung zum Datenschutz vor über 2 Jahren
  • 4 Standorte (Stuttgart, Berlin, München, Hamburg) mit unterschiedlichen Prozessen
  • Kein definierter Meldepflicht-Workflow für Datenschutzvorfälle innerhalb der 72-Stunden-Frist

Datenschutzbeauftragte Maria weiß: Ein umfassendes DSGVO-Audit ist überfällig. Aber die manuelle Planung eines solchen Audits über 4 Standorte und 15 Systeme hinweg würde Wochen dauern. Das Risiko wächst mit jedem Tag. Maria entscheidet sich, PathHub AI einzusetzen, um den Audit-Plan in kürzester Zeit zu erstellen.

Der Input: Was die Datenschutzbeauftragte in PathHub AI eingibt

Marias Stärke liegt in der präzisen Problembeschreibung. Sie kennt die Schwachstellen ihres Unternehmens genau und formuliert einen detaillierten Input mit allen relevanten Rahmenbedingungen. Je mehr Kontext die KI bekommt, desto passgenauer wird der Audit-Plan.

Eingabe in PathHub AI
Umfassendes DSGVO-Audit für Medizintechnik-Unternehmen. 200 Mitarbeiter, 4 Standorte (Stuttgart, Berlin, München, Hamburg). Verarbeitung sensibler Gesundheitsdaten (Art. 9 DSGVO). 15 IT-Systeme mit personenbezogenen Daten, 3 Auftragsverarbeiter. Aktuell: Kein zentrales Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzungen unvollständig, letzte Mitarbeiterschulung vor 2 Jahren. Budget: 45.000 EUR. Timeline: 12 Wochen. Ziel: Vollständiges DSGVO-Compliance-Programm, Audit aller Systeme, aktualisiertes Verarbeitungsverzeichnis, Schulungsprogramm für alle Mitarbeiter.

So holst du das Beste aus PathHub AI heraus:

Praxis-Tipp

Bei DSGVO-Audits ist der Kontext entscheidend: Nenne die Art der verarbeiteten Daten (besonders Art. 9 Kategorien wie Gesundheitsdaten), die Anzahl der Systeme und Standorte, bestehende Lücken und den regulatorischen Rahmen. Maria hat durch die explizite Nennung von Art. 9 DSGVO der KI ermöglicht, die erhöhten Anforderungen für sensible Daten automatisch zu berücksichtigen.

Der KI-generierte Audit-Plan im Detail

Innerhalb von 30 Sekunden generiert PathHub AI einen vollständigen Projektplan mit sechs Phasen, detailliertem Budget, Risikoanalyse und Stakeholder-Mapping. Hier ist der komplette Output:

6 Phasen über 14 Wochen

BEISPIEL · KI-GENERIERTER PROJEKTPLAN
1

Bestandsaufnahme & Scoping

2 Wochen
  • Ist-Analyse aller 15 IT-Systeme mit personenbezogenen Daten
  • Datenfluss-Mapping zwischen Standorten, Systemen und externen Partnern
  • Interview-Plan für alle Abteilungsleiter an 4 Standorten erstellen
  • Auftragsverarbeiter-Übersicht mit aktuellem Vertragsstatus
  • Gap-Analyse: Ist-Zustand vs. DSGVO-Anforderungen dokumentieren
2

Verarbeitungsverzeichnis erstellen

3 Wochen
  • Zentrales Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DSGVO
  • Rechtsgrundlagen für jede Verarbeitungstätigkeit dokumentieren
  • Löschkonzept pro Datenkategorie mit konkreten Fristen definieren
  • Datenschutz-Folgenabschätzungen für alle 6 Hochrisiko-Verarbeitungen
  • Verarbeitungsverzeichnis mit IT-Leiter und Fachabteilungen abstimmen
3

Technische Maßnahmen

3 Wochen
  • IT-Security-Audit aller 15 Systeme mit Schwachstellenscan
  • Verschlüsselungsstandards prüfen (Daten in Ruhe und in Transit)
  • Zugriffsrechte-Review: Wer hat Zugriff auf welche Daten?
  • Backup-Konzept auf DSGVO-Konformität validieren
  • Incident-Response-Plan für 72-Stunden-Meldepflicht aktualisieren
4

Organisatorische Maßnahmen

2 Wochen
  • Datenschutzrichtlinien für alle 4 Standorte aktualisieren
  • Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO prüfen und erneuern
  • Betroffenenrechte-Prozesse implementieren (Auskunft, Löschung, Portabilität)
  • Meldepflicht-Workflow für die 72-Stunden-Frist definieren und testen
  • Datenschutz-Dokumentation zentralisieren und versionieren
5

Schulungsprogramm

2 Wochen
  • E-Learning-Module für allgemeine DSGVO-Grundlagen erstellen
  • Präsenzschulungen für Abteilungen mit Gesundheitsdaten-Zugriff
  • Phishing-Simulation zur Sensibilisierung durchführen
  • Schulungsnachweise dokumentieren und Compliance-Tracking aufsetzen
  • Standort-spezifische Schulungstermine koordinieren
6

Abschluss & Monitoring

2 Wochen
  • Audit-Bericht mit Executive Summary für Geschäftsführung erstellen
  • Maßnahmenplan mit Prioritäten und Verantwortlichkeiten definieren
  • KPI-Dashboard für laufendes Datenschutz-Monitoring aufsetzen
  • Quartalsweise Review-Zyklen und Audit-Termine definieren
  • Übergabe in den laufenden Betrieb mit klaren Prozessen

Vereinfachtes Beispiel — der tatsächliche KI-Output ist deutlich detaillierter, mit konkreten Terminen, Verantwortlichen und projektspezifischen Daten.

Sechs Phasen, 14 Wochen, 30 konkrete Aufgaben. Was Maria bei manueller Planung Wochen gekostet hätte, liegt in 30 Sekunden vor. Besonders bemerkenswert: Die KI hat automatisch erkannt, dass bei Gesundheitsdaten Datenschutz-Folgenabschätzungen zwingend erforderlich sind und den Incident-Response-Plan mit der 72-Stunden-Meldepflicht verknüpft. Das sind Details, die bei manueller Planung häufig erst nachträglich ergänzt werden.

Die 14-Wochen-Timeline

Der Audit-Plan folgt einer logischen Reihenfolge: Erst verstehen, dann dokumentieren, dann absichern und schulen. Die Timeline berücksichtigt, dass Phase 3 und 4 teilweise parallel laufen können, um die 12-Wochen-Vorgabe mit einem 2-Wochen-Puffer einzuhalten.

Woche 1-2
Bestandsaufnahme & Scoping
Ist-Analyse aller 15 Systeme, Datenfluss-Mapping über alle 4 Standorte, Interviews mit Abteilungsleitern, Gap-Analyse zur DSGVO. Ergebnis: Vollständiges Bild der aktuellen Datenschutz-Situation.
Woche 3-5
Verarbeitungsverzeichnis
Zentrales Verzeichnis aller Verarbeitungstätigkeiten, Rechtsgrundlagen, Löschkonzepte und Datenschutz-Folgenabschätzungen. Ergebnis: DSGVO-konformes Verarbeitungsverzeichnis nach Art. 30.
Woche 6-10
Technische & organisatorische Maßnahmen
Parallele Umsetzung: IT-Security-Audit, Verschlüsselungsprüfung, Zugriffsrechte-Review sowie Richtlinien-Update, AVV-Erneuerung und Meldepflicht-Workflow. Ergebnis: Vollständiges Maßnahmenpaket.
Woche 11-14
Schulung & Abschluss
E-Learning-Rollout und Präsenzschulungen für alle 200 Mitarbeiter, Phishing-Simulation, Audit-Bericht, KPI-Dashboard und Definition der quartalsweisen Review-Zyklen. Ergebnis: Nachhaltige Compliance-Kultur.
Praxis-Tipp

Die Parallelisierung von Phase 3 und 4 (technische und organisatorische Maßnahmen) ist ein kritischer Erfolgsfaktor. Während der IT-Leiter das Security-Audit durchführt, kann Maria gleichzeitig die Datenschutzrichtlinien und AVVs überarbeiten. Diese Parallelisierung spart 2 bis 3 Wochen -- und die KI hat sie automatisch erkannt.

Budget: 45.000 EUR strategisch verteilt

PathHub AI erstellt automatisch eine detaillierte Budgetplanung, die alle Kostenpositionen eines DSGVO-Audits berücksichtigt. Maria hatte 45.000 EUR als Rahmen vorgegeben. Die KI verteilt dieses Budget auf sieben Positionen:

BEISPIEL · KI-GENERIERTE BUDGETVERTEILUNG
Kostenposition Betrag Anteil Details
Externer Datenschutzberater 15.000 € 33% DSGVO-Expertise, Gap-Analyse, DSFA-Begleitung
IT-Security-Audit 8.000 € 18% Schwachstellenscan, Penetrationstest, Verschlüsselungsprüfung
E-Learning & Schulungen 6.500 € 14% Plattform-Lizenz, Module, Präsenzschulungen
Software & Tools 5.000 € 11% Datenschutz-Management-Tool, Monitoring-Dashboard
Auftragsverarbeiter-Management 3.500 € 8% AVV-Erstellung, Vertragsverhandlungen, Audit-Unterstützung
Interne Personalkosten 4.000 € 9% Freistellung Fachbereichsleiter für Interviews und Reviews
Risikopuffer 3.000 € 7% Reserve für unvorhergesehene Anforderungen
Gesamt 45.000 € 100% 14 Wochen Projektlaufzeit

Vereinfachtes Beispiel — der tatsächliche KI-Output ist deutlich detaillierter, mit konkreten Terminen, Verantwortlichen und projektspezifischen Daten.

Die größte Position ist der externe Datenschutzberater mit 33 Prozent. Das ist bei einem Erstaudit mit Gesundheitsdaten realistisch -- die juristische Expertise für Art. 9 DSGVO und Datenschutz-Folgenabschätzungen sollte nicht intern improvisiert werden. Bei Folgeaudits sinkt dieser Anteil deutlich, weil die Grundlagen stehen.

ROI-Berechnung: Warum sich das Audit mehrfach auszahlt

Was kostet DSGVO-Non-Compliance? Die Rechnung ist eindeutig: Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes. MediTech Solutions hat einen Jahresumsatz von 35 Millionen EUR -- das maximale Bußgeld liegt damit bei 1,4 Millionen EUR.

Selbst ein mittleres Bußgeld von 100.000 EUR -- wie es bei mangelhaften Verarbeitungsverzeichnissen oder fehlenden Datenschutz-Folgenabschätzungen durchaus verhängt wird -- übersteigt das Audit-Budget von 45.000 EUR um das 2,2-fache. Und der Reputationsschaden bei einer Datenpanne in der Medizintechnik? Unkalkulierbar. Wenn Kliniken das Vertrauen verlieren, brechen Kundenbeziehungen weg, die über Jahre aufgebaut wurden.

Die Rechnung im Überblick: 45.000 EUR Investment vs. potenzielles Bußgeld von bis zu 1,4 Millionen EUR. Selbst bei einem mittleren Bußgeld von 100.000 EUR beträgt der ROI über 120 Prozent. Dazu kommt: Die DSGVO-Compliance wird zunehmend zur Voraussetzung für Ausschreibungen im Gesundheitssektor. Ohne aktuelles Audit verliert MediTech potenzielle Kunden.

Risiken und Gegenmaßnahmen

Jeder DSGVO-Audit-Plan steht und fällt mit einer ehrlichen Risikoanalyse. PathHub AI identifiziert automatisch die kritischsten Risiken und schlägt konkrete Gegenmaßnahmen vor:

BEISPIEL · KI-GENERIERTE RISIKOANALYSE
1. Unbekannte Datenverarbeitungen entdeckt KRITISCH

Bei der Bestandsaufnahme werden Datenverarbeitungen entdeckt, die bisher niemand auf dem Schirm hatte -- etwa Shadow-IT oder lokale Excel-Listen mit Patientendaten.

Gegenmaßnahme: Systematisches Data-Mapping über alle Abteilungen, Shadow-IT-Scan mit technischen Tools, anonyme Befragung der Mitarbeiter zu genutzten Systemen und Datenablage.

2. Widerstand bei Abteilungsleitern HOCH

Abteilungsleiter empfinden das Audit als Kontrolle und verweigern die Kooperation oder geben unvollständige Informationen.

Gegenmaßnahme: Geschäftsführung als Sponsor gewinnen, klare Kommunikation über rechtliche Pflichten und persönliche Haftung, Audit als Unterstützung statt Kontrolle framen.

3. Technische Altlasten in Legacy-Systemen HOCH

Ältere Systeme unterstützen keine modernen Verschlüsselungs- oder Löschstandards. Eine vollständige DSGVO-Konformität ist technisch nicht machbar.

Gegenmaßnahme: Pragmatischer Ansatz: Risikobewertung und Priorisierung. Für Legacy-Systeme kompensatorische Maßnahmen definieren (z.B. zusätzliche Zugriffskontrollen). Mittelfristige Ablösung einplanen.

4. Auftragsverarbeiter nicht kooperativ MITTEL

Externe Dienstleister reagieren nicht auf Anfragen zur AVV-Erneuerung oder weigern sich, DSGVO-konforme Verträge zu unterzeichnen.

Gegenmaßnahme: Klare Fristen setzen (4 Wochen), alternative Anbieter parallel evaluieren, bestehende Vertragsklauseln nutzen, im Worst Case: Zusammenarbeit beenden und Daten migrieren.

5. Schulungsbereitschaft gering MITTEL

Mitarbeiter empfinden DSGVO-Schulungen als Zeitverschwendung und nehmen nicht aktiv teil.

Gegenmaßnahme: Pflichtcharakter klar kommunizieren, praxisnahe Beispiele aus der Medizintechnik verwenden, kurze Module (max. 20 Min.), Gamification-Elemente, Schulungsnachweis als Voraussetzung für Systemzugang.

Vereinfachtes Beispiel — der tatsächliche KI-Output ist deutlich detaillierter, mit konkreten Terminen, Verantwortlichen und projektspezifischen Daten.

Stakeholder-Mapping

Die KI identifiziert acht zentrale Stakeholder für das DSGVO-Audit und ordnet sie nach ihrer Rolle im Projekt zu:

BEISPIEL · KI-GENERIERTES STAKEHOLDER-MAPPING
Datenschutzbeauftragte (Maria)
Projektleiterin und fachliche Verantwortung
Geschäftsführung
Sponsor, Budgetfreigabe, Eskalation
IT-Leiter
Technische Umsetzung, Security-Audit
Personalleiterin
Schulungsprogramm, Mitarbeiterkommunikation
Externer Berater
DSGVO-Expertise, DSFA-Begleitung
Qualitätsmanagement
ISO-Integration, Audit-Prozesse
Betriebsrat
Mitbestimmung, Arbeitnehmerrechte
Auftragsverarbeiter
Vertragspartner, AVV-Erneuerung

Vereinfachtes Beispiel — der tatsächliche KI-Output ist deutlich detaillierter, mit konkreten Terminen, Verantwortlichen und projektspezifischen Daten.

Besonders aufschlussreich: Die KI identifiziert den Betriebsrat als Stakeholder -- ein Aspekt, der bei DSGVO-Audits häufig übersehen wird. Maßnahmen wie Zugriffsrechte-Reviews oder Monitoring-Tools berühren die Mitbestimmungsrechte. Wird der Betriebsrat nicht frühzeitig eingebunden, kann das gesamte Projekt blockiert werden. Ebenso hat die KI das Qualitätsmanagement einbezogen, da MediTech als Medizintechnik-Unternehmen ISO-zertifiziert ist und das DSGVO-Audit in das bestehende Qualitätsmanagementsystem integriert werden sollte.

KPIs: DSGVO-Compliance messbar machen

Ein DSGVO-Audit ohne messbare Ergebnisse ist wie eine Diagnose ohne Befund. PathHub AI schlägt vier zentrale KPIs vor, die Maria den Fortschritt des Audits transparent machen. Mehr über KI-gestütztes Projektmanagement erfährst du in unserem Grundlagenartikel.

Aktuell: 0/15
Ziel: 15/15
Systeme auditiert
Aktuell: 0%
Ziel: 100% vollständig
Verarbeitungsverzeichnis
Aktuell: 0%
Ziel: 100% in 14 Wochen
Mitarbeiter geschult
Aktuell: 1/6
Ziel: 6/6 abgeschlossen
DSFA Hochrisiko-Verarbeitungen

Die vier KPIs decken die zentralen Dimensionen des Audits ab: Systemabdeckung (15/15), Dokumentation (Verarbeitungsverzeichnis), Mitarbeiterkompetenz (Schulung) und Risikomanagement (DSFA). Maria trackt diese KPIs wöchentlich im Audit-Dashboard und berichtet monatlich an die Geschäftsführung.

Warum diese vier KPIs? Sie machen den Audit-Fortschritt für die Geschäftsführung greifbar. Statt abstrakter Compliance-Aussagen kann Maria berichten: "Wir haben 12 von 15 Systemen auditiert, das Verarbeitungsverzeichnis ist zu 80 Prozent fertig, 150 von 200 Mitarbeitern sind geschult und 4 von 6 DSFA sind abgeschlossen." Das schafft Vertrauen und Transparenz.

Vergleich: Manuelle Planung vs. PathHub AI

Was hätte Maria ohne KI-Unterstützung gemacht? Ein realistischer Vergleich zeigt die Unterschiede:

Kriterium Manuelle Audit-Planung PathHub AI
Zeitaufwand für Grundplan 2-4 Wochen 30 Minuten
Budgetplanung Grobe Schätzung, externe Position oft vergessen 7 Positionen mit Prozentanteilen und Details
Risikoanalyse Fokus auf bekannte Risiken 5 Risiken mit Prioritäten und Gegenmaßnahmen
Stakeholder-Mapping DSB, IT und Geschäftsführung 8 Stakeholder inkl. Betriebsrat und QM
DSFA-Erkennung Manuell pro System prüfen Hochrisiko-Verarbeitungen automatisch identifiziert
Standort-Koordination Separater Plan pro Standort Integrierter Plan für alle 4 Standorte
72-Stunden-Meldepflicht Oft vergessen oder nachträglich ergänzt Von Anfang an im Incident-Response-Plan
KPI-Definition "Audit ist bestanden oder nicht" 4 messbare KPIs mit Ist- und Zielwerten
Gesamtkosten der Planung Ca. 5.000-8.000 EUR (Personalkosten) Unter 100 EUR (Tool-Nutzung)

Der entscheidende Vorteil: Die KI denkt ganzheitlich. Sie vergisst keinen Stakeholder, keine DSFA und keinen Meldepflicht-Workflow. Natürlich ersetzt PathHub AI nicht die juristische Expertise eines Datenschutzberaters. Aber es liefert das Fundament, auf dem Maria und der externe Berater aufbauen können -- statt von Null zu starten.

Praxis-Tipp

Nutze die KI als Planungsgrundlage, nicht als Rechtsberatung. Der KI-generierte Plan liefert die Struktur und deckt blinde Flecken auf. Die juristische Bewertung und Freigabe muss durch qualifizierte Datenschutzexperten erfolgen. Der beste Workflow: KI erstellt den Plan, externer Berater prüft die rechtliche Korrektheit, Maria koordiniert die Umsetzung.

Marias Fazit nach 6 Wochen

Sechs Wochen nach Projektstart hat Maria die Phasen 1 und 2 abgeschlossen. Die Bestandsaufnahme hat zwei bisher unbekannte Datenverarbeitungen aufgedeckt -- eine lokale Access-Datenbank im Außendienst und eine Cloud-Anwendung, die ein Standort eigenständig eingeführt hatte. Ohne das systematische Data-Mapping aus dem KI-Plan wären diese Verarbeitungen weiterhin unsichtbar geblieben.

"Der KI-generierte Plan war wie eine Checkliste für alles, woran ich denken musste. Besonders wertvoll war die automatische Erkennung der Hochrisiko-Verarbeitungen und die Parallelisierung der technischen und organisatorischen Maßnahmen. Ohne diesen Plan wäre ich jetzt vermutlich noch in der Bestandsaufnahme."

So startest du dein eigenes DSGVO-Audit

Wenn du ein ähnliches DSGVO-Audit planst, hier sind die drei wichtigsten Schritte:

  1. Ist-Zustand ehrlich dokumentieren: Wie viele Systeme verarbeiten personenbezogene Daten? Welche Auftragsverarbeiter gibt es? Wo sind die größten Lücken? Ohne ehrliche Bestandsaufnahme hilft der beste Plan nicht.
  2. Detaillierten Input formulieren: Nenne der KI die Art der Daten (besonders Art. 9 Kategorien), Anzahl der Systeme, Standorte und bestehende Dokumentation. Je mehr Kontext, desto besser der Plan.
  3. Plan als Fundament nutzen: Der KI-Plan ist der Startpunkt. Passe ihn mit deinem Datenschutzberater an und priorisiere die Maßnahmen nach Risiko. Beginne immer mit den Hochrisiko-Verarbeitungen.

Häufig gestellte Fragen

Wie oft muss ein DSGVO-Audit durchgeführt werden?

Die DSGVO schreibt keine feste Frequenz für Audits vor, empfiehlt aber regelmäßige Überprüfungen. Best Practice ist ein umfassendes Audit alle 12 bis 18 Monate, ergänzt durch quartalsweise Stichproben. Nach wesentlichen Änderungen an IT-Systemen, Geschäftsprozessen oder der Rechtslage sollte ein anlassbezogenes Audit durchgeführt werden. Unternehmen mit Gesundheitsdaten (Art. 9 DSGVO) sollten eher kürzere Intervalle wählen.

Was kostet ein DSGVO-Audit für mittelständische Unternehmen?

Die Kosten für ein DSGVO-Audit im Mittelstand liegen typischerweise zwischen 20.000 und 80.000 EUR, abhängig von Unternehmensgröße, Branche und Komplexität der Datenverarbeitung. Unternehmen mit sensiblen Daten wie Gesundheitsdaten oder Finanzinformationen müssen mit höheren Kosten rechnen. Ein realistisches Budget für ein Unternehmen mit 200 Mitarbeitern liegt bei 40.000 bis 60.000 EUR. PathHub AI hilft, dieses Budget strukturiert und vollständig zu planen.

Welche Strafen drohen bei DSGVO-Verstößen?

Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes -- je nachdem, welcher Betrag höher ist. Weniger schwerwiegende Verstöße können mit bis zu 10 Millionen EUR oder 2 Prozent des Jahresumsatzes geahndet werden. Deutsche Aufsichtsbehörden verhängen zunehmend höhere Bußgelder: 2025 lagen die größten Einzelstrafen im siebenstelligen Bereich. Zusätzlich drohen Schadensersatzforderungen von Betroffenen.

Kann KI bei der DSGVO-Compliance helfen?

Ja, KI kann die DSGVO-Compliance erheblich unterstützen. PathHub AI hilft bei der Projektplanung eines Audits, indem es automatisch Phasen, Aufgaben, Risiken und Stakeholder identifiziert. KI-Tools können außerdem bei der automatischen Klassifizierung personenbezogener Daten, der Erkennung von Datenschutzrisiken und der Erstellung von Verarbeitungsverzeichnissen helfen. Wichtig: Die KI ersetzt keine juristische Beratung, sondern beschleunigt die Planung und deckt blinde Flecken auf.

Was gehört in ein Verarbeitungsverzeichnis nach Art. 30 DSGVO?

Ein Verarbeitungsverzeichnis nach Art. 30 DSGVO muss enthalten: Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, Zwecke der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Empfänger der Daten, Übermittlungen an Drittländer, vorgesehene Löschfristen sowie eine Beschreibung der technischen und organisatorischen Schutzmaßnahmen. Es muss schriftlich oder elektronisch geführt werden und der Aufsichtsbehörde auf Anfrage vorgelegt werden können.