Datenschutz ist kein optionales Nice-to-have -- es ist eine gesetzliche Pflicht mit Bußgeldern bis zu 20 Mio. EUR. Gerade bei Projekten, die personenbezogene Daten verarbeiten (und das sind fast alle), müssen Projektmanager den Datenschutz von Anfang an mitdenken. Diese Checkliste gibt Ihnen 15 konkrete Punkte, die Sie in jedem Projekt prüfen müssen.

Die Checkliste basiert auf der EU-Datenschutzgrundverordnung (DSGVO/GDPR) und berücksichtigt aktuelle Anforderungen aus 2026. Drucken Sie sie aus, hängen Sie sie über Ihren Schreibtisch -- und arbeiten Sie sie bei jedem neuen Projekt systematisch ab.

Die 15-Punkte-DSGVO-Checkliste

1. Verarbeitungsverzeichnis prüfen und aktualisieren

Was: Jede Verarbeitung personenbezogener Daten muss im Verarbeitungsverzeichnis (Art. 30 DSGVO) dokumentiert sein.

Warum: Das Verarbeitungsverzeichnis ist Pflicht und wird bei Kontrollen durch die Aufsichtsbehörde als Erstes angefordert.

Wie: Prüfen Sie, ob Ihr Projekt neue Verarbeitungstätigkeiten einführt. Wenn ja, ergänzen Sie das Verzeichnis: Zweck, Kategorien betroffener Personen, Datenkategorien, Empfänger, Löschfristen, technisch-organisatorische Maßnahmen.

2. Rechtsgrundlage festlegen

Was: Für jede Datenverarbeitung brauchen Sie eine Rechtsgrundlage (Art. 6 DSGVO): Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse oder berechtigtes Interesse.

Warum: Ohne Rechtsgrundlage ist die Verarbeitung rechtswidrig -- egal wie gut gemeint.

Wie: Dokumentieren Sie für jede Datenverarbeitung im Projekt die gewählte Rechtsgrundlage und die Begründung.

3. Datenschutz-Folgenabschätzung (DSFA) prüfen

Was: Bei hohem Risiko für Betroffene ist eine DSFA (Art. 35 DSGVO) Pflicht. Das gilt z.B. bei: systematischer Überwachung, automatisierten Entscheidungen, Verarbeitung besonderer Datenkategorien in großem Umfang.

Warum: Die DSFA hilft, Risiken frühzeitig zu erkennen und Maßnahmen zu ergreifen.

Wie: Prüfen Sie anhand der Blacklist Ihrer Aufsichtsbehörde und der Leitlinien der Art. 29-Gruppe, ob eine DSFA erforderlich ist.

4. Auftragsverarbeitungsverträge (AVV) abschließen

Was: Wenn externe Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten, brauchen Sie einen AVV (Art. 28 DSGVO).

Warum: Ohne AVV haften Sie als Verantwortlicher für Datenschutzverstöße des Dienstleisters.

Wie: Listen Sie alle Dienstleister auf, die Zugang zu personenbezogenen Daten haben. Prüfen Sie, ob aktuelle AVVs vorliegen.

5. Betroffenenrechte sicherstellen

Was: Betroffene haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15-21 DSGVO).

Warum: Sie müssen diese Rechte innerhalb eines Monats erfüllen können.

Wie: Stellen Sie sicher, dass Ihr Projektteam weiß, wie Betroffenenrechte bearbeitet werden und wer zuständig ist.

6. Löschkonzept erstellen

Was: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie der Zweck es erfordert (Art. 5 Abs. 1 lit. e DSGVO).

Warum: „Wir löschen die Daten irgendwann“ ist keine zulässige Strategie.

Wie: Definieren Sie für jede Datenkategorie konkrete Löschfristen und dokumentieren Sie diese.

7. Datenschutzbeauftragten (DSB) einbeziehen

Was: Bei Verarbeitungen mit hohem Risiko oder bei einer DSFA muss der DSB einbezogen werden.

Warum: Der DSB erkennt Risiken, die das Projektteam möglicherweise übersieht.

Wie: Informieren Sie den DSB frühzeitig über das Projekt und binden Sie ihn in relevante Entscheidungen ein.

8. Technische und organisatorische Maßnahmen (TOM) definieren

Was: Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten (Art. 32 DSGVO).

Warum: TOM sind Ihre Versicherung gegen Datenpannen und ein zentraler Prüfpunkt bei Audits.

Wie: Verschlüsselung, Zugriffskontrollen, Pseudonymisierung, regelmäßige Tests der Sicherheit.

9. Privacy by Design und Privacy by Default

Was: Datenschutz muss bereits bei der Entwicklung und Konfiguration berücksichtigt werden (Art. 25 DSGVO).

Warum: Nachträglicher Datenschutz ist teurer und oft unvollständig.

Wie: Datenschutzfreundliche Voreinstellungen nutzen: minimale Datenerfassung als Standard, keine überflüssigen Felder.

10. Schulung des Projektteams

Was: Alle Projektbeteiligten müssen die für sie relevanten Datenschutzanforderungen kennen.

Warum: Unwissenheit schützt nicht vor Bußgeldern.

Wie: Kurze, projektspezifische Datenschutz-Briefings zu Projektbeginn. Dokumentieren Sie die Teilnahme.

11. Datenschutzerklärung prüfen und aktualisieren

Was: Informationspflichten nach Art. 13/14 DSGVO müssen erfüllt werden.

Warum: Betroffene müssen transparent über die Datenverarbeitung informiert werden.

Wie: Prüfen Sie, ob die bestehende Datenschutzerklärung die neuen Verarbeitungen durch das Projekt abdeckt.

12. Drittlandtransfer prüfen

Was: Werden Daten in Länder außerhalb des EWR übertragen?

Warum: Drittlandtransfers erfordern zusätzliche Schutzmaßnahmen (Angemessenheitsbeschluss, Standardvertragsklauseln, etc.).

Wie: Prüfen Sie alle eingesetzten Tools und Dienstleister auf Serverstandorte und Datenflüsse.

13. Meldeprozess für Datenpannen einrichten

Was: Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO).

Warum: Verspätete Meldungen können eigenständig sanktioniert werden.

Wie: Stellen Sie sicher, dass das Projektteam den internen Meldeprozess kennt und wer der Ansprechpartner ist.

14. Dokumentation sicherstellen

Was: Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Sie müssen nachweisen können, dass Sie die DSGVO einhalten.

Warum: Im Zweifel liegt die Beweislast bei Ihnen, nicht bei der Aufsichtsbehörde.

Wie: Dokumentieren Sie alle datenschutzrelevanten Entscheidungen, Maßnahmen und Überlegungen. Tools wie PathHub AI helfen, die Dokumentation als Teil des Projektplans zu führen.

15. Regelmäßige Überprüfung planen

Was: Datenschutz ist kein einmaliger Vorgang. Die Maßnahmen müssen regelmäßig überprüft und aktualisiert werden.

Warum: Projekte ändern sich -- und damit die Datenschutzanforderungen.

Wie: Planen Sie mindestens vierteljährliche Datenschutz-Reviews für laufende Projekte ein.

Zusammenfassung: Die 15 DSGVO-Punkte als Schnellcheck

1. Verarbeitungsverzeichnis • 2. Rechtsgrundlage • 3. DSFA • 4. AVV • 5. Betroffenenrechte • 6. Löschkonzept • 7. DSB einbeziehen • 8. TOM • 9. Privacy by Design • 10. Schulung • 11. Datenschutzerklärung • 12. Drittlandtransfer • 13. Meldeprozess • 14. Dokumentation • 15. Regelmäßige Überprüfung

Häufig gestellte Fragen

Eine DSFA ist erforderlich, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Typische Fälle: systematische Überwachung, automatisierte Entscheidungen mit rechtlicher Wirkung, umfangreiche Verarbeitung besonderer Datenkategorien oder Scoring/Profiling.
Letztlich ist der Verantwortliche im Sinne der DSGVO verantwortlich -- also das Unternehmen, vertreten durch die Geschäftsführung. Der Projektmanager trägt die operative Verantwortung, Datenschutzmaßnahmen im Projekt umzusetzen. Der DSB berät und überwacht.
Die DSGVO sieht Bußgelder bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes vor. In der Praxis liegen Bußgelder zwischen einigen Tausend und mehreren Millionen EUR, je nach Schwere des Verstoßes.
Nutzen Sie ein Projektmanagement-Tool mit integrierter Compliance-Funktion. PathHub AI erkennt automatisch datenschutzrelevante Anforderungen und integriert sie in den Projektplan. Alternativ: dediziertes Datenschutz-Kapitel im Projekthandbuch.
Ja. Die DSGVO unterscheidet nicht zwischen internen und externen Projekten. Sobald personenbezogene Daten verarbeitet werden -- auch Mitarbeiterdaten -- gelten die gleichen Anforderungen.