Auch zwei Jahre nach Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) haben viele Unternehmen Schwierigkeiten mit der angemessenen Implementierung von Schutzmechanismen innerhalb ihrer Systeme und Prozesse.
Etablierte Geschäfts- und IT-Prozesse müssen so arrangiert werden, dass ein nachvollziehbarer, kohärenter Datenverarbeitungsprozess entsteht, der einer externen Prüfung standhält.
Wie eine repräsentative Umfrage des IT-Branchenverbandes Bitkom im vergangenen Jahr aufzeigte, hatte bislang nur ein Viertel der Unternehmen die Bestimmungen der DSGVO vollständig umgesetzt, bei zwei Dritteln wiederum war dies zum größten Teil der Fall. Rechtliche Unsicherheit und ein nur schwer abschätzbarer Aufwand für die Umsetzung sah die Mehrheit der Unternehmen als größte Herausforderungen an.
Dies erscheint durchaus verständlich, wenn man bedenkt, dass Unternehmen auf dem Weg zur DSGVO-Compliance verschiedene Ebenen miteinander in Einklang bringen müssen: Etablierte Geschäfts- und IT-Prozesse müssen so arrangiert werden, dass ein nachvollziehbarer, kohärenter Datenverarbeitungsprozess entsteht, der einer externen Prüfung standhält. Dabei bieten moderne Datenbankmanagementsysteme Funktionen, um Zugriffe auf Daten zu kontrollieren, Daten und Kommunikationswege zu verschlüsseln und die Verfügbarkeit zu garantieren. Und mit einer effizient organisierten Datenverwaltung lässt sich dieser Prozess vereinfachen.
Privatpersonen haben im Rahmen der DSGVO das Recht auf Auskunft über die Daten, die Unternehmen über sie erheben. Zu diesen personenbezogenen Daten zählen persönliche Daten wie Name, Titel, Adresse und E-Mail-Adresse. Außerdem gehören dazu Daten, die eine Person eindeutig identifizierbar machen, beispielsweise eine IP-Adresse, die zu einer spezifischen Person zurückverfolgt werden kann. Ebenso fallen so genannte sensible Daten, wie zum Beispiel Angaben zur politischen Gesinnung, Vorstrafen oder Erkrankungen, in die Kategorie der personenbezogenen Daten. Ferner haben die anfragenden Personen das Recht, die Daten in maschinenlesbarer Form ausgehändigt zu bekommen. Auf ihren Wunsch hin müssen Unternehmen fehlerhafte Daten entsprechend korrigieren oder vollständig löschen.
Personenbezogene Daten und ihre Verarbeitung
Damit Unternehmen für eine DSGVO-Anfrage gerüstet sind, müssen sie Kontrolle über die von ihnen verarbeiteten personenbezogenen Daten erlangen. Um die notwendigen Prozesse dafür zu schaffen, müssen sie zunächst zusammentragen, • welche Daten sie erheben, • weshalb sie diese Daten erheben, • in welchen Systemen sie Daten sammeln, • wie sie diese Daten verwenden.
Somit steht für Verantwortliche das Verstehen ihres Datenökosystem an erster Stelle. Hilfreich kann dabei der Einsatz einer Datenplattform sein. Mit ihr lässt sich ermitteln, wo personenbezogene Daten verarbeitet und gespeichert werden, wer für sie zuständig ist und innerhalb welcher Systeme sie genutzt werden. Um Fragen zum Umgang mit personenbezogenen Daten beantworten zu können, sollte eine effiziente Dokumentation aufgebaut werden, die sich aus den folgenden drei Bestandteilen zusammensetzt:
1. Welche Daten werden verarbeitet? Aufbau eines Daten-Wörterbuchs Die verschiedenen Dateneinheiten einer Organisation können mit Metadaten, wie beispielsweise dem Sensibilitätsniveau, der Klassifizierung, den zugehörigen Nutzungsbedingungen und weiteren Informationen versehen werden. Damit lässt sich einfacher und schneller nachvollziehen, warum bestimmte Daten erhoben wurden, wie sie behandelt werden sollten und in wessen Zuständigkeit diese fallen.
2. Wo und wie werden Daten genutzt? Dokumentation aller Systeme Aus einer systemweiten Dokumentation geht hervor, welche Datenbanken und Systeme Daten nutzen. In Kombination mit einem effektiven Datenwörterbuch lässt sich so schnell erfassen, wo bestimmte Daten gespeichert werden, wer für sie zuständig ist und welchen Systemen auf Grund der Datensensibilität eine höhere Priorität zukommt.
3. Welche Verarbeitungswege durchlaufen Daten? Dokumentation der Datenherkunft Zusätzlich müssen Datenexperten verstehen, wie Daten durch ihre Datenplattform fließen. Darüber gibt eine Datenherkunftsanalyse (Data Lineage Analysis) Aufschluss. Sie zeigt, ob sich sensible Daten in Systemen befinden, in die sie nicht gehören oder welche systemweiten Auswirkungen die Veränderung an einem Datensatz auf andere, abhängige Systeme, nach sich ziehen kann.
Checkliste zur Vorbereitung auf DSGVO-Anfragen
Mit dem Aufbau dieser Dokumentation verschaffen sich Unternehmen einen vollständigen Überblick über ihr Datenökosystem. Die Verantwortlichen können nachvollziehen, in welchen Systemen welche Daten gespeichert werden, in welchem Format sie vorhanden sind und durch welche Suchprozesse einzelne Datensätze ermittelt werden können.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um eine DSGVO-Anfrage reibungslos abwickeln zu können, sollten Unternehmen außerdem die folgenden Punkte beachten:
Den gesamten Daten-Lebenszyklus im Blick behalten Auch der Umgang mit Daten muss dokumentiert werden. Wenn beispielsweise personenbezogene Daten in einem Kundenaccount geändert werden, muss nachvollziehbar bleiben, welche Änderung wann vorgenommen worden ist. So können die Datenverantwortlichen überprüfen, ob ein geänderter Datensatz auch in den entsprechenden Backups verzeichnet ist oder nach einer Systemwiederherstellung wieder auf aktuellem Stand eingespielt wird.
Ein formales Prozedere ausarbeiten Unternehmen müssen definieren, wie eine Anfrage und schließlich die Beantwortung zu protokollieren sind. Nur, wenn der Prozess einheitlich ist, hält er einer Überprüfung durch Behörden stand. Sie sollten nachverfolgen können, wann eine Anfrage eingegangen ist und wie mit dieser verfahren wurde. Unternehmen können bei der Bearbeitung ein wenig Zeit sparen, wenn sie ihre Prozesse von vornherein so gestalten, dass eine entsprechende Auskunftsdatei in einem portablen Format - wie CSV, XML oder JSON – ohne Mehraufwand generiert werden kann.
Pläne für den Ernstfall schmieden Neben der Bearbeitung einer formellen DSGVO-Anfrage muss auch das Szenario einer Datenschutzverletzung durchgespielt werden. Geraten zum Beispiel bei einem Hackerangriff personenbezogene Daten in die falschen Hände, müssen Unternehmen die Betroffenen und darüber hinaus auch die zuständige Aufsichtsbehörde umgehend über den Vorfall in Kenntnis setzen. Um dies fristgerecht abwickeln zu können, müssen für diesen Fall zuständige Personen ernannt, sowie die erforderlichen Abläufe und ein Kommunikationsplan entwickelt werden. Darüber hinaus ist es sinnvoll, einen Notfallfonds einzurichten, um einen forensischen Prüfer bestellen zu können, für den Fall, dass es Schwierigkeiten bei der Überprüfung des Datenbestandes gibt. Um intern etwas Trittsicherheit für den Ernstfall aufzubauen, sollten Unternehmen derartige Prozesse vorab testen.
Dynamik berücksichtigen Mit einer effizienten Datendokumentation, von der alle weiteren Prozesse abgeleitet werden, können Unternehmen die Kontrolle über ihre Daten gewinnen und die Bestimmungen der DSGVO zuverlässig erfüllen. Dennoch muss die etablierte Vorgehensweise flexibel sein.
Dougles McDowell, SentryOne.
(Bild: SentryOne)
Es ist nämlich davon auszugehen, dass die DSGVO nach Abschluss laufender Gerichtsverfahren künftig um weitere Anforderungen ergänzt werden wird. Um dieser Dynamik Rechnung tragen zu können, sollten in regelmäßigen Abständen die gültige Rechtsprechung überprüft und die Datenverarbeitungsprozesse entsprechend aktualisiert werden.
* Der Autor Douglas McDowell ist Chief Strategy Officer bei SentryOne, Lösungsanbieter im Bereich Datenbank Performance, Überwachungs- und DataOps-Lösungen auf SQL Servern, Azure SQL Databases und der Microsoft Daten-Plattform.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/4b/184b80efa4e9d1d4d905806db297dd02/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/b7/ab/b7abb386791d088652b1f35a3a798f4a/0128763755v1.jpeg "Die mIT Cloud kombiniert eine an klassischen Rechenzentrumsstrukturen orientierte Bedienlogik mit der Skalierbarkeit moderner Cloud-Infrastrukturen und richtet sich an MSPs, IT-Systemhäuser und Softwarehersteller. (Bild: mitteldeutsche IT GmbH)")
:quality(80)/p7i.vogel.de/wcms/8b/35/8b351ea0325a2dd165c56d29062bccf2/0128355283v1.jpeg "Autor Thomas Joos schreibt über den hybriden SAP-Betrieb: on premises und in der Cloud. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/b9/deb9b7f5a96c953565fadeea9cf56104/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/28/2d2879636a16ebf0af36abf0f874ad9e/0128472093v1.jpeg "Das BSI hat gängige Passwortmanager getestet mit dem Ergebnis: Auch wenn nicht alle perfekt sind, überwiegt ihr Nutzen bei weitem die Defizite. (Bild: © janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/87/4187221cff2be0b0bb5f87337c5f2f76/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/7b/4c7b3c364f1606ce3a140912b6ac6ffe/0128555714v1.jpeg "2026 werden Unternehmen KI-Technologien von Pilotprojekten zu konkreten Anwendungsfällen umsetzen. Die souveräne Cloud wird von einem vagen Konzept in eine konkrete Umsetzung übergehen. Auch werden Unternehmen werden die Notwendigkeit erkennen, alternative Hyperscaler zu nutzen, um Vendor-Lock-in zu vermeiden. (Bild: © Cre-AI-Tor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/4b/e04bba72be4e36c58fc25224109181b5/0128919272v1.jpeg "Ein symbolischer Akt zur offiziellen Inbetriebnahme der AWS European Sovereign Cloud: (v.l.) Hester Somson (Botschafterin der Niederlande in Deutschland), Dr. Karsten Wildberger (Bundesminister für Digitales und Staatsmodernisierung), Stéphane Israël (Managing Director AWS European Sovereign Cloud and Digital Sovereignty), Matt Garman (CEO AWS), Madalena Fischer (Botschafterin von Portugal in Deutschland), Daniel Keller (Minister für Wirtschaft, Arbeit, Energie und Klimaschutz von Brandenburg), Claudia Plattner (Präsidentin des BSI) und Stefan Höchbauer (Managing Director AWS Deutschland und Central Europe). (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/12/7a/127a202f8791993f3f4a23a57290e808/0128531184v1.jpeg "Der Fachkräftemangel und steigende technische Anforderungen zwingen IT-Entscheider dazu, ihre Infrastrukturstrategien zu überdenken und Alternativen zu traditionellen Eigenbetrieben zu prüfen, wie zum Beispiel Managed Colocation. (Bild: © weerasak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/49/e9498aba37024db6b189a1d1feb7b4b3/0128720331v1.jpeg "Suse und Evroc schließen eine strategische Partnerschaft für souveräne europäische Cloud-Lösungen. (Bild: Suse / Evroc)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/f1/3cf11e80cb5ef8a61266cf8fe4235118/0128725329v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/f0/b8f0e9ee9aa10dd74db18c87c2de0842/0128527142v1.jpeg "Die WP3-Plattform der Dwpbank zeigt, wie sich Cloud-native Architekturen, Kubernetes und strenge regulatorische Anforderungen im Finanzumfeld vereinen lassen. (Bild: Michael Pasternack / Dwpbank)")
:quality(80)/p7i.vogel.de/wcms/47/c3/47c38f4359d38b21aa65391358de5fca/0128106074v1.jpeg "Daten sind wertvoll und auch in SaaS-Zeiten muss gesichert werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/e8/e0e80a1b19854c10504d5d4e16166864/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/00/63/0063946414e9ded29aa9ae0bbbbc2d97/0123745610v1.jpeg "Wer die KI DeepSeek nutzt, sollte sich früher oder später fragen: Was macht DeepSeek mit meinen Daten? (Bild: Viz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/d6/46d6b118b54a1c651e6d35c511a32b43/0122434934v2.jpeg "In diesem Beitrag machen wir einen Datenschutz-Rückblick mit Fokus auf Datenpannen in Deutschland. (Bild: knowhowfootage - stock.adobe.com)")