Leitfäden & Reports
Checkliste: Datenschutz bei Einführung einer neuen Software

Checkliste: Datenschutz bei Einführung einer neuen Software

Von Ticketsystemen für Kundenanfragen über HR-Systeme bis hin zu komplexen ERP-Systemen: In nahezu allen Unternehmen finden sich unterschiedlichste IT-Systeme. Verarbeiten diese Systeme personenbezogene Daten (z. B. IP-Adresse, Kundennummer, Personalnummer), greift die Datenschutz-Grundverordnung (DSGVO). Dann sollten die datenschutzrechtlichen Pflichten sauber eingehalten werden – nicht nur, um Risiken zu reduzieren, sondern auch, um spätere Projektverzögerungen durch „Nacharbeiten“ zu vermeiden.

Datenschutzrechtliche Pflichten bei neuer Software
Typische Gefahren & Stolperfallen
Praxisnahe 7‑Schritte-Checkliste
Zum Download

Kurzüberblick zur Checkliste: Datenschutz bei Einführung eines IT Systems

Worum geht’s? Eine DSGVO-Checkliste für neue Software, mit der Sie vor dem Go‑Live klären, ob Rechtsgrundlage, Informationspflichten, Dienstleister/AVV, Drittlandtransfer, VVT/DSFA und Datensicherheit (TOMs) sauber abgedeckt sind.

Für wen? Für Projektverantwortliche, IT/Operations, Datenschutz-Koordinator:innen und Teams, die „einfach sicher sein wollen, dass alles passt“ (ohne Fachjargon, mit klaren Schritten).

Checkliste für Datenschutz bei Software: Vermeiden Sie Bußgelder

Welche Anforderungen an den Datenschutz bei CRM, CMS und Co. gelten, haben wir für Sie in einer kompakten DSGVO-Checkliste für neue Software zusammengefasst. Lesen Sie, wie Sie in Ihrem Datenschutzkonzept neue Software sauber berücksichtigen – pragmatisch, strukturiert und nachvollziehbar.

Download der Checkliste zu Datenschutz & Software
So führen Sie neue Software DSGVO-konform ein.

Inhalte der Checkliste zur Einführung neuer Software & Datenschutz

Bei der Einführung eines neuen IT-Systems kommen in der Regel mehrere Hürden auf Unternehmen zu. In unserer Checkliste zum Datenschutz bei Software haben wir für Sie zusammengefasst, was Sie beachten müssen, um auch mit neuen Tools die DSGVO-Vorgaben sicher einzuhalten.

Diese 7 Schritte helfen Ihnen dabei, Software schnell, ohne Aufwand und vor allem sicher einzuführen. In der Checkliste beantworten wir folgende Fragen, die in der Praxis immer wieder auftauchen:

  • Werden die Datenschutzprinzipien eingehalten?
  • Was gilt für Informationspflichten und Betroffenenrechte, wenn ich neue Software einführe?
  • Werden externe Dienstleister bei der Datenverarbeitung eingebunden?
  • Werden Daten in ein Drittland übermittelt?
  • Was gilt für das Verzeichnis der Verarbeitungstätigkeiten und Datenschutzfolgenabschätzung?
  • Muss bei der Systemeinführung der Datenschutzbeauftragte einbezogen werden?
  • Wie gewährleiste ich Datensicherheit?

Datenschutzrechtliche Pflichten bei Einführung neuer Software (DSGVO)

Datenschutzrechtliche Vorgaben sind immer dann zu beachten, wenn personenbezogene Daten verarbeitet werden. Bei der Softwareeinführung sollten Sie deshalb insbesondere diese Punkte strukturiert prüfen:

Einbeziehung des Datenschutzbeauftragten (DSB)

Die ordnungsgemäße und frühzeitige Einbindung des/der DSB ist vorgesehen – auch bei der Einführung eines Systems, in dem personenbezogene Daten verarbeitet werden.

Rechtsgrundlage

Für jede Verarbeitung personenbezogener Daten muss eine rechtliche Grundlage bestehen. Prüfen Sie vorab, ob die Daten für die vorgesehenen Zwecke verarbeitet werden dürfen und worauf Sie die Verarbeitung stützen.

Informationspflichten & Betroffenenrechte

Betroffene Personen sind über die Verarbeitung zu informieren; Pflichtinhalte und Zeitpunkt ergeben sich aus Art. 13/14 DSGVO.
Außerdem sollten Systeme so gestaltet sein, dass Betroffenenrechte möglichst unkompliziert erfüllt werden können (z. B. Auskunft/Löschung).

Externe Dienstleister (AVV)

Werden externe Dienstleister eingebunden, sind häufig datenschutzrechtliche Verträge abzuschließen (z. B. Vertrag zur Auftragsverarbeitung) – teils bereits bei potenzieller Zugriffsmöglichkeit, etwa durch Wartung/Support.

Drittlandtransfer

Bei Übermittlungen in Drittländer außerhalb EU/EWR gelten zusätzliche Anforderungen (Art. 44 ff. DSGVO). Häufig werden Standardvertragsklauseln genutzt; nach „Schrems II“ sind zusätzlich häufig weitere Maßnahmen erforderlich.

Dokumentation (VVT), DSFA, Löschkonzept & TOMs

  • Verarbeitungstätigkeiten sind zu dokumentieren (VVT).
  • Bei risikoträchtigen Verarbeitungen ist ggf. eine DSFA erforderlich; ein/e benannte/r DSB unterstützt dabei.
  • Löschfristen sollten frühzeitig abbildbar sein (Löschkonzept).
  • Datensicherheit erfordert angemessene technische und organisatorische Maßnahmen (TOMs), z. B. Passwortschutz, 2FA, Protokollierung, Mitarbeiterschulung sowie ein Need-to-know-Zugriffskonzept.
| Prüfbereich | Was prüfen? | Besonderheiten / Ergebnis | | :--- | :--- | :--- | | **Personenbezogene Daten** | Verarbeitet das neue System personenbezogene Daten (z. B. Name, Kundennummer, IP-Adresse)? | Wenn ja, gelten DSGVO-Anforderungen; Scope/Datenkategorien sauber festhalten. | | **DSB-Einbindung** | Wurde der/die DSB frühzeitig in die Systemeinführung eingebunden? | Einbindung ist vorgesehen; hilft bei Fragen rund um den Schutz personenbezogener Daten. | | **Rechtsgrundlage** | Gibt es je Verarbeitung/Zweck eine tragfähige Rechtsgrundlage? | Vorab prüfen und dokumentieren, ob/auf welcher Grundlage die Verarbeitung zulässig ist. | | **Informationspflichten** | Sind Betroffene korrekt nach Art. 13/14 DSGVO informiert? | Zeitpunkt/Inhalte hängen davon ab, ob Daten direkt oder indirekt erhoben werden. | | **Externe Dienstleister (AVV)** | Haben Anbieter/Wartung/Support potenziellen Zugriff auf personenbezogene Daten? | AVV häufig schon bei Zugriffsmöglichkeit erforderlich (z. B. SaaS/Support). | | **Drittlandtransfer** | Werden Daten außerhalb EU/EWR übermittelt oder kann von dort zugegriffen werden? | Zusätzliche Garantien/Maßnahmen nötig; SCC allein oft nicht ausreichend. |

Gefahren: typische Stolperfallen bei „neue Software einführen“

Gerade bei CRM/HR-/ERP-Projekten entstehen Datenschutzprobleme oft nicht wegen fehlender Absicht, sondern wegen fehlender Struktur. Häufige Stolperfallen:

  • Tool geht live, bevor Rollen-/Rechtekonzept und Logging sauber definiert sind
  • AVV/TOMs werden „nachgezogen“ (oder Supportzugriffe werden unterschätzt)
  • Drittlandtransfer wird zu spät erkannt
  • Betroffenenrechte sind im System nicht praktikabel abbildbar
  • Löschung/Speicherfristen sind technisch nicht sauber umsetzbar

7 Schritte für die DSGVO-konforme Einführung neuer Software

| Schritt | Was ist zu tun? | Ergebnis / Done-Kriterium | | :--- | :--- | :--- | | **1. Scope klären** | Zweck, Prozesse, Datenarten und Beteiligte definieren | Klarer Überblick über Datenflüsse und Verantwortlichkeiten. | | **2. DSB einbinden** | DSB frühzeitig einbeziehen und offene Fragen klären | DSB-Feedback ist dokumentiert. | | **3. Rechtsgrundlage prüfen** | Zulässigkeit je Zweck prüfen und festhalten | Rechtsgrundlage je Verarbeitung ist dokumentiert. | | **4. Infos & Rechte absichern** | Informationspflichten umsetzen; Betroffenenrechte praktikabel machen | Hinweise sind vollständig; Betroffenenanfragen sind umsetzbar. | | **5. AVV & TOMs klären** | AVV abschließen; TOMs prüfen (inkl. Support/Wartung) | Verträge + Sicherheitsmaßnahmen sind nachvollziehbar geregelt. | | **6. Drittlandtransfer prüfen** | Transfers außerhalb EU/EWR bewerten und absichern | Garantien/Maßnahmen sind dokumentiert. | | **7. Betrieb absichern** | Löschung, Privacy by Default/Design, Zugriffe (Need-to-know) umsetzen | Lösch-/Zugriffskonzept steht; Maßnahmen sind im Betrieb wirksam. |

Warum moderne Unternehmen die DSGVO-Checkliste für neue Software brauchen

Generell kommt vor allem in Zeiten der Digitalisierung kaum ein Unternehmen an der Einführung von IT-Systemen vorbei. Und auch das Thema Datenschutz kann mit einigen Arbeitsschritten gut abgedeckt werden. Mithilfe unseres Prüfungskatalogs für DSGVO-konforme Software und den darin aufgezeigten 7 Schritten bekommen Sie Datenschutz und Digitalisierung unter einen Hut.

Neue Tools sind nur ein Schritt in Richtung Digitalisierung für Unternehmen. Damit Sie im gesamten Unternehmen DSGVO-konforme Software und Prozesse implementieren können, bieten wir Ihnen verschiedene Whitepaper, Leitfäden und Checklisten rund um den Datenschutz kostenfrei an.

Häufige fragen

Sie haben noch Fragen? Wir haben die Antworten

Was muss ich bei Drittlandtransfer (Cloud/Support außerhalb EU/EWR) beachten?

Bei Datentransfers außerhalb EU/EWR gelten zusätzliche Anforderungen (Art. 44 ff. DSGVO). Standardvertragsklauseln können nötig sein; oft braucht es zusätzliche Maßnahmen. Mit Proliance behalten Sie Transfers, Nachweise und Maßnahmen in einem System im Blick.

Wann brauche ich einen AV-Vertrag (AVV) bei neuer Software?

Wenn ein Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet oder potenziell darauf zugreifen kann (z. B. Hosting, Wartung, Support), ist häufig ein AVV nötig. Mit Proliance dokumentieren Sie Anbieterprüfungen, Verträge und TOMs zentral und nachvollziehbar.

Muss bei der Einführung neuer Software der Datenschutzbeauftragte (DSB) einbezogen werden?

Ja, wenn ein DSB benannt ist, sollte er frühzeitig einbezogen werden – auch bei der Einführung von Systemen mit personenbezogenen Daten. Das reduziert Risiko und Nacharbeit. Mit Proliance bekommen Sie strukturierte Datenschutz-Workflows und Unterstützung bei der Umsetzung.

Häufige Fragen
Was muss ich bei Drittlandtransfer (Cloud/Support außerhalb EU/EWR) beachten?
Wann brauche ich einen AV-Vertrag (AVV) bei neuer Software?
Muss bei der Einführung neuer Software der Datenschutzbeauftragte (DSB) einbezogen werden?
Ihre Frage ist nicht dabei? Kontaktieren Sie uns. Wir sind gerne für Sie da
Jetzt beraten lassen
Kostenloser Download

Download der Checkliste zu Datenschutz & Software

Leitfäden & REports

Weitere Leitfäden & Reports, die Sie interessieren könnten

AI Policy Leitfaden
Grundlagen & Ziel der AI Policy
Regeln: Tools, Zwecke & Daten
Governance: Rollen, Prozesse & Reviews
Umsetzung: Vorfälle, Schulung & Rollout
Praxisrelevante Anmerkungen zu Kerninhalten von NIS-2 für KMU
Praxiskommentare zu allen relevanten Paragrafen – mit Fokus auf das, was für KMU wirklich zählt
Konkrete Umsetzungshinweise – was Sie im ISMS, BCM und Risikomanagement beachten müssen
FAQ-Sammlung – Antworten auf die häufigsten Fragen aus der Praxis
Einordnungshilfen – Bin ich betroffen? Welche Sektoren fallen unter NIS2?
Berechtigungskonzept nach DSGVO: Kostenlose Checkliste mit Vorlage
Fertige Vorlagen für Rollen, Rechte & Zugriffsmatrix zum Ausfüllen
Praxisbeispiel aus dem Maschinenbau – direkt auf Ihr Unternehmen übertragbar
Need-to-know-Prinzip Schritt für Schritt anwendbar
Vorlage für jährliche Überprüfung & Änderungsdokumentation
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand?
NIS2 ist richtig – und der richtige Zeitpunkt ist jetzt
Erst Klarheit schaffen – dann handeln
Mit der richtigen Unterstützung pragmatisch umsetzen
Magazin

Mehr zu aktuellen Compliance Themen

NIS2-Meldepflicht für Unternehmen: Fristen und praktische Umsetzung
05.05.2026
NIS2-Meldepflicht für Unternehmen: Fristen und praktische Umsetzung
Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Ab jetzt müssen Compliance-Verantwortliche erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden. Dieser Leitfaden zeigt Ihnen, welche weiteren Fristen gelten und wie Sie diese im Ernstfall sicher einhalten.
Förderungen für IT-Sicherheit: So nutzen KMU staatliche Zuschüsse
05.05.2026
Förderungen für IT-Sicherheit: So nutzen KMU staatliche Zuschüsse
Cybersecurity ist für KMU eine große Herausforderung – nicht nur technisch, sondern auch finanziell. Die gute Nachricht: Sie müssen die Kosten nicht allein tragen. Bund und Länder bieten zahlreiche Förderprogramme, um Ihre IT-Sicherheit zu stärken. Proliance zeigt Ihnen, welche Fördermittel es gibt und wie Sie diese erfolgreich beantragen.
Das Datenschutzaudit: Definition, Ablauf und Fragenkatalog
04.05.2026
Das Datenschutzaudit: Definition, Ablauf und Fragenkatalog
Ein Datenschutzaudit nach DSGVO bietet für mittelständische Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen. Erfahren Sie, was bei der Vorbereitung und im Prüfprozess auf Sie zukommt.
SOC 2 Typ 1 vs. SOC 2 Typ 2: Die wichtigsten Unterschiede
28.04.2026
SOC 2 Typ 1 vs. SOC 2 Typ 2: Die wichtigsten Unterschiede
Mit einem SOC-Bericht stellen Unternehmen sicher, dass ausgelagerte Dienstleistungen regulatorischen Anforderungen entsprechen. Unternehmen können zwischen zwei Berichtsarten wählen: SOC 2 Typ 1 und SOC 2 Typ 2. Erfahren Sie, welche Unterschiede es gibt und wie Sie die beste Entscheidung für Ihr Unternehmen treffen.
Beratung vereinbaren

Sie haben weitere Fragen oder wünschen einen unverbindlichen Beratungstermin? Wir sind gerne für Sie da.

60+ Expertinnen und Experten
Jetzt beraten lassen
Ein lächelnder Mann mit kurzen braunen Haaren sitzt in einem weißen Hemd auf einem Stuhl vor einem Fenster.