Question 1

Wann benötige ich eine Datenschutz-Folgenabschätzung (DSFA)?

Accepted Answer

Eine DSFA ist gesetzlich vorgeschrieben, wenn eine geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt (Art. 35 DSGVO).

Das ist regelmäßig der Fall bei:
- systematischer und umfangreicher Überwachung (z. B. Videoüberwachung, Tracking auf Websites),
- Verarbeitung besonders sensibler Daten (z. B. Gesundheits- oder Finanzdaten),
- neuen Technologien (z. B. KI-gestützte Profilbildung oder automatisierte Entscheidungen).

Beispiel:
Ein Fitness-Start-up möchte eine App anbieten, die Trainingsdaten, Gesundheitswerte und Standortdaten KI-basiert analysiert, um personalisierte Empfehlungen zu geben. Die Daten werden langfristig gespeichert und teilweise mit Dritten (z. B. Ärzten oder Versicherern) geteilt.

In diesem Fall ist eine DSFA erforderlich, da ein hohes Risiko nach der DSGVO besteht. Es werden Gesundheitsdaten verarbeitet, Nutzerprofile erstellt und KI verwendet.

Question 2

Wie muss eine DSFA aufgebaut sein?

Accepted Answer

Eine Datenschutz-Folgenabschätzung muss klar und nachvollziehbar dokumentieren, was genau verarbeitet werden soll, welche Risiken dabei für die betroffenen Personen entstehen können und wie diese Risiken wirksam reduziert werden sollen.

Gemäß Art. 35 DSGVO sollte eine DSFA folgende Inhalte enthalten:
- Beschreibung der Verarbeitung und ihrer Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Analyse der Risiken für die Rechte und Freiheiten der Betroffenen
- Geplante Abhilfemaßnahmen, Sicherheitsvorkehrungen und Schutzmechanismen

Konkret geht es darum, die geplante Verarbeitungstätigkeit verständlich zu beschreiben, die voraussichtlichen Auswirkungen auf die Rechte und Freiheiten der Betroffenen systematisch zu analysieren und anschließend geeignete technische und organisatorische Maßnahmen zur Risikominimierung darzustellen – etwa durch Verschlüsselung, Zugriffsbegrenzung oder Pseudonymisierung.

Mit Dieter wirst du durch diesen Prozess geführt – strukturiert, rechtssicher und vollständig dokumentiert.

Question 3

Wer braucht technische und organisatorische Maßnahmen?

Accepted Answer

Jeder, der Daten in die Hand nimmt, braucht technische und organisatorische Maßnahmen (TOM). Start-ups, Einzelunternehmer, Kleinbetriebe, der Handwerker von nebenan – wenn es um personenbezogene Daten geht, sind TOM unverzichtbar. In der digitalen Welt heißt es: Sicherheit zuerst, egal wie groß das Unternehmen ist.

Question 4

Was muss in den TOM stehen?

Accepted Answer

Technische und organisatorische Maßnahmen (TOM) müssen Unternehmen und Verantwortliche umfassend darüber informieren, wie die Sicherheit von personenbezogenen Daten gewährleistet wird.

Dazu sollten die TOM folgende Informationen enthalten:
- Die verantwortliche Stelle für die Umsetzung und Überwachung der TOM
- Art und Zweck der technischen Maßnahmen (z. B. Verschlüsselung, Firewall)
- Art und Zweck der organisatorischen Maßnahmen (z. B. Schulungen, Zugriffsrechte)
- Verfahren zur regelmäßigen Überprüfung und Aktualisierung
- Notfallpläne im Falle von Datenpannen
- Maßnahmen zur physischen Sicherheit der Datenspeicherorte
- Pseudonymisierungs- und Anonymisierungsstrategien
- Prozesse zur Meldung und Behebung von Sicherheitsvorfällen
- Dokumentations- und Protokollierungsverfahren
- Regelungen zur Auftragsdatenverarbeitung

Die TOM müssen präzise, transparent und in einer klaren und einfachen Sprache sein, damit sowohl interne Mitarbeiter als auch externe Partner und Aufsichtsbehörden nachvollziehen können, wie die Datensicherheit sichergestellt wird.

Question 5

Wie erstelle ich TOM für mein Unternehmen?

Accepted Answer

Die Erstellung von technischen und organisatorischen Maßnahmen (TOM) für ein Unternehmen ist kein Spaziergang, sondern erfordert sorgfältige Planung und ständige Überwachung.

1. Ist-Analyse: Wo stehen Sie aktuell in puncto Datensicherheit?
2. Risikoanalyse: Welche potenziellen Daten-Gefahren lauern?
3. Technische & organisatorische Maßnahmen definieren: Vom Verschlüsseln bis zum Mitarbeitertraining.
4. Dokumentation: Alles schriftlich fixieren – kein leichtes Unterfangen.
5. Umsetzung: Die Theorie in die Praxis bringen, oftmals eine echte Herausforderung.
6. Ständige Überwachung: Nichts bleibt konstant. Regelmäßig prüfen, anpassen und optimieren.
7. Feedback nutzen: Aus jedem Vorfall lernen.

Die Erstellung der TOM kann sich als echtes Mammutprojekt entpuppen, bei dem Detailgenauigkeit und Ausdauer gefragt sind. Ein professioneller Rat kann hierbei Gold wert sein.

Question 6

Wie erstelle ich TOM mit DIETER?

Accepted Answer

Wenn DIETER technische und organisatorische Maßnahmen erstellt, werden alle erforderlichen Informationen durch einfache Fragen gesammelt.

Das bedeutet konkret: Du klickst dich Schritt-für-Schritt durch Fragen, die in den meisten Fällen mit Ja oder Nein beantwortet werden können. Zum Beispiel: Bietest du einen Newsletter an?

Durch geschickte Fragen und einem breiten Angebot an vorgegebenen Diensten stellt DIETER sicher, dass alle Pflichtangaben in den TOM einfließen.

Ein Fach- oder Vorwissen ist nicht notwendig, um die Fragen beantworten zu können.

Im Ergebnis entsteht ein vollständiges Dokument, welches alle notwendigen Angaben enthält und direkt auf der Website eingebunden werden kann.

Der TOM kann immer wieder angepasst werden und dadurch flexibel auf tatsächliche oder technische Veränderungen reagieren. DIETER selbst hat die rechtlichen Veränderungen stets im Blick und stellt dir immer die aktuell rechtssichere Version zur Verfügung.

Question 7

Wer darf TOM erstellen?

Accepted Answer

Wir empfehlen grundsätzlich, TOM von einem Experten erstellen zu lassen. Formale Anforderungen an den Verfasser existieren jedoch nicht.

Die Erstellung bedarf einer hohe Genauigkeit und erfordert, dass an zahlreiche unterschiedliche Faktoren gedacht wird. Außerdem müssen aktuelle technologische Entwicklungen nachvollzogen werden, um das dynamische und wettbewerbsintensive Umfeld der Dienstanbieter korrekt zu erfassen und in den TOM adäquat abzubilden.

Question 8

Was passiert, wenn ich keine TOM habe?

Accepted Answer

Das Fehlen von TOM oder das Vorhandensein unzureichender TOM kann ernsthafte Konsequenzen haben. Es handelt sich dabei um einen Verstoß gegen geltende Datenschutzbestimmungen (in Deutschland ist neben der DSGVO insbesondere auch das BDSG zu nennen), welcher mit einem Bußgeld von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes geahndet werden kann – je nachdem, welcher Betrag höher ist.

Question 9

Datenschutz ist eine gesetzliche Pflicht

Accepted Answer

Alle Unternehmen müssen die Anforderungen der DSGVO erfüllen. Das gilt unabhängig von der Mitarbeiteranzahl und damit sogar für Einzelunternehmer und Solo-Selbständige. Mit Dieter musst du dir keine Sorgen mehr machen. Wir kümmern uns um alles, was du zur Erfüllung deiner gesetzlichen Pflicht benötigst.

Question 10

Abmahnungen nehmen zu

Accepted Answer

Abmahnungen aufgrund von DSGVO-Verstößen haben in den letzten Jahren stetig zugenommen. Exemplarisch dafür stehen die zahlreichen Abmahnungen wegen des DSGVO-widrigen Einsatzes von Google Fonts im Sommer 2022. Unabhängig davon, dass ein Teil dieser Abmahnungen nicht rechtmäßig waren, basierten diese auf einer Entscheidung des LG München aus dem Januar 2022. Zudem hat der Europäische Gerichtshof (EuGH) Ende des Jahres 2022 entschieden, dass Verbraucherverbände grundsätzlich abmahnberechtigt aufgrund eines DSGVO-Verstoßes sind. Diese (und andere) Gerichtsentscheidungen lassen auf weitere Abmahnwellen schließen. Diese können alle Unternehmen treffen, die sich nicht um ihre gesetzlichen Pflichten kümmern.

Question 11

Eine rechtssichere Website ist essenziell

Accepted Answer

Eine DSGVO-konforme Website ist der erste Schritt, um sich wirksam vor Abmahnungen zu schützen. Im Jahr 2022 gab es bereits unzählige Abmahnungen wegen dem unrechtmäßigen Einsatz von Google-Fonts. Dieter kümmert sich dabei nicht nur um deine datenschutzrechtlichen Belange, sondern erstellt dir auch dein Impressum.

Question 12

Immer mehr Bußgelder für kleine Unternehmen

Accepted Answer

Die Datenschutzaufsichtsbehörden haben begonnen anlasslose Überprüfungen zu starten. Für Unternehmen mit weniger als 20 Mitarbeitern liegt das statistische Risiko, von einer solchen betroffen zu sein, bei über 10:1.

Question 13

Cyberkriminalität in Deutschland wächst drastisch

Accepted Answer

In Deutschland waren im Jahr 2022 ca. 85% aller deutschen Unternehmen Opfer eines Cyberangriffs. Dabei entstanden jedem betroffenen Unternehmen durchschnittliche Kosten von ca. 20.000 EUR pro Vorfall. Dazu kündigen ca. 20 % der Kunden ihre Verträge mit betroffenen Unternehmen bzw. löschen ihre Accounts. Schon durch die Umsetzung verpflichtender technischer und organisatorischer Maßnahmen (TOM), wird das Risiko davon betroffen zu sein signifikant reduziert.

Question 14

Die Weitergabe von Daten benötigt vertragliche Regelungen

Accepted Answer

Nahezu alle deutschen Unternehmen nutzen Dienste von Firmen (Google, Microsoft, Meta, Amazon, usw.), mit denen ein internationaler datenschutzrechtlicher Vertrag (SCC/JC) geschlossen werden muss. Darüber hinaus bekommen digitale Dienstleister von ihren Auftraggebern notwendigerweise für den angebotenen Service personenbezogene Daten übermittelt. In diesen Fällen ist zwingend zu prüfen, ob und mit wem sogenannte Auftragsverarbeitungsverträge (AVVs) zu schließen sind. Dieter übernimmt diese Prüfung und stellt auch immer den richtigen Vertrag bereit.

Question 15

Personenbezogene Daten sind eine Währung

Accepted Answer

79% der Internetnutzer haben Angst vor Datenmissbrauch. Und das völlig zu Recht. Denn seit 2022 sind personenbezogenen Daten rechtlich einer Währung gleichgestellt. Das Bewusstsein hierfür wird immer größer. Diese Daten sollten genauso sicher sein, wie ein Bankkonto. Und das gewährleistet die Umsetzung der DSGVO.

Question 16

Fehlender Datenschutz kostet Kunden und Geschäftspartner

Accepted Answer

Über 2/3 der Teilnehmer einer Studie zu Verbraucherdaten und Datenschutz (im Auftrag von McKinsey & Company) gaben an, dass sie bei einem Unternehmen, welches ihre Daten nicht schützt oder ohne Rechtsgrundlage weitergibt, nicht mehr Kunde sein möchten bzw. mit einem solchem Unternehmen nicht mehr zusammenarbeiten würden. Es wird zudem belegt, dass ein verantwortungsvoller Umgang mit personenbezogenen Daten und die Erfüllung aller gesetzlichen Pflichten ein klarer Wettbewerbsvorteil ist.

Question 17

Das Recht auf Datenschutz ist ein Grundrecht

Accepted Answer

Es bezieht sich darauf, dass jeder Mensch das Recht hat, selbst zu bestimmen, welche personenbezogenen (und damit sehr privaten) Daten über ihn erhoben, gespeichert und genutzt werden. Außerdem bietet es die Möglichkeit Missbrauch, Betrug und Diskriminierung zu verhindern. Datenschutz ist somit ein wesentlicher Bestandteil des Grundrechts auf informationelle Selbstbestimmung nach dem deutschen Grundgesetz. Dieses Recht schützt die Privatsphäre, die Identität und die Freiheit jeder Person und ist somit unerlässlich für eine demokratische Gesellschaft. Es zu achten sollte für jedes Unternehmen selbstverständlich sein.

Question 18

Was sind TOM?

Accepted Answer

Die Abkürzung TOM steht für technische sowie organisatorische Maßnahmen, die in einem Unternehmen auf den Weg gebracht werden, um die Daten von Kunden zu schützen. Diese Maßnahmen werden von der 32. Datenschutz-Grundverordnung vorgeschrieben und sollen in erster Linie sicherstellen, dass die personenbezogenen Daten von Kunden nur gut geschützt verarbeitet werden. Suchst du bei der Erstellung deiner TOM kompetente Unterstützung, kannst du dich auf Dieter Datenschutz verlassen. Unsere Software generiert innerhalb weniger Minuten alle relevanten Daten und sorgt damit dafür, dass du die Anforderungen der DSGVO erfüllst.

Question 19

Einfache Handhabung und innovative Funktionen

Accepted Answer

Dieter Datenschutz wagt für dich den Spagat zwischen einem einfachen und intuitiven Handling, sodass du den Funktionsumfang der Software direkt in vollem Umfang nutzen kannst sowie innovativen Funktionen. Du kannst dich darauf verlassen, dass die TOM, die du mit Dieter Datenschutz erstellst, alle Pflichtangaben des Gesetzgebers enthalten. Die Maßnahmen erstellst du mit wenigen Eingaben online und kannst diese dann auch direkt downloaden.

Question 20

Was macht Dieter Datenschutz aus?

Accepted Answer

Mit Dieter Datenschutz entscheidest du dich für eine flexible Softwarelösung, die speziell für Unternehmen, Freiberufler und auch Solo-Selbstständige entwickelt wurde. Von Anfang an stand dabei im Fokus, ein Programm auf den Weg zu bringen, das es kleinen und mittleren Unternehmen ermöglicht, die hohen Anforderungen des Datenschutzes zu erfüllen, ohne dabei von den Kosten überladen zu werden. Dieter Datenschutz kann mittlerweile bereits auf mehr als 5000 zufriedene User verweisen. Weiterhin wurden mit unserem Programm schon über 15.000 Rechtsdokumente erstellt. Insgesamt stehen dir bei Dieter Datenschutz mehr als 500 verschiedene Services zur Verfügung, auf die du flexibel zurückgreifen kannst. Nutze die Chance und teste Dieter Datenschutz jetzt ganz unverbindlich.

DSFA erstellen

Deine DSFA in klaren Schritten

Das Wichtigste zur Datenschutzfolgeabschätzung

Typische Auslöser einer DSFA auf einen Blick

DSFA mit Dieter erstellen

Ein Blick in unsere Datenschutz Software

Datenschutzerklärung mit ein paar Klicks erstellt

Häufige Fragen zur Datenschutzfolgeabschätzung

Das sagen unsere
Kunden

"Datenschutz kann so einfach sein!"

"Eine riesen Erleichterung beim Start in die Selbstständigkeit!"

"Die perfekte Lösung für den Datenschutz!"

"Überragender Service mit direkter 1:1 Betreuung"

"Dieter ist einfach spitze, von der Art mit den Fragebögen bis hinzu dem Support."

"Wunderbares Tool für alle Belange des Datenschutzes"

Die Menschen hinter Dieter

Schützen Sie sich jetzt und aktiv

Datenschutzfolgeabschätzung erstellen: hohe Risiken früh und nachvollziehbar adressieren

DSFA erstellen mit klarer Methodik statt Einzelmeinungen

Warum DSFA, TOM und Betriebsprozesse zusammengeführt werden sollten

Kostenloser Check-up

Individuelle Anforderungen?

KI nutzen. Rechtssicher.