DA+

Aufsatz : Datenschutz bei begrenzten Ressourcen rechtssicher und pragmatisch umsetzen : aus der RDV 6/2023, Seite 356-362

Ulrike EgleArchiv RDV
Lesezeit 21 Min.

Wie können „ganz normale“ Datenschutzbeauftragte den immer komplexer werdenden Anforderungen im Datenschutz gerecht werden? Vor allem dann, wenn die Ressourcen zur Umsetzung des Datenschutzes durch Faktoren wie Fachkräftemangel oder enge Budgetvorgaben begrenzt sind? Diese Fragen sind in einer Welt, in der digitale Technologien und Künstliche Intelligenz unsere Arbeitsweise zunehmend prägen, besonders dringlich.

Eine aktuelle Umfrage[1] des Branchenverbands Bitkom e.V. liefert aufschlussreiche Zahlen zur Situation der Datenschutzverantwortlichen in Unternehmen. Demnach haben 86 Prozent davon Schwierigkeiten, mit den aktuellen Entwicklungen in der Datenschutzrechtsprechung Schritt zu halten. 74 Prozent der unternehmensinternen Datenschutzverantwortlichen fällt es aufgrund der komplexen Datenschutzbestimmungen schwer, die Beschäftigten entsprechend aufzuklären. Vor allem als „Bedenkenträger“ wahrgenommen fühlen sich 58 Prozent.

Der vorliegende Beitrag enthält praktische Ansätze und Lösungen für Datenschutzbeauftragte, die nicht auf die Ressourcen großer Teams oder externer Beratung zurückgreifen können. Einführend werden kritische Ressourcen für den Datenschutz im Unternehmen beleuchtet – von finanziellen und personellen Ressourcen bis hin zur Akzeptanz des Datenschutzes. Konsequenzen von Ressourcenknappheit kommen im Anschluss zur Sprache, gefolgt von der Vorstellung praktischer Lösungsansätze. Diese Ansätze zielen auf Effizienzsteigerungen durch Vorlagen und Muster, die Motivation von Kolleginnen und Kollegen aus Fachabteilungen, Kostensenkungsoptionen und die Verwendung von KPIs (Key Performance Indicators) zur Erfolgsmessung. Das finale Kapitel skizziert die rechtlichen Grundlagen und erläutert, wie der Gesetzgeber begrenzte Ressourcen in seiner Regelsetzung berücksichtigt.

Die praktische Bedeutung dieses Themas sollte nicht unterschätzt werden. Ein proaktiver Datenschutz ist nicht nur eine rechtliche Notwendigkeit, sondern schützt auch das Unternehmensimage und minimiert finanzielle Risiken. Die Herausforderungen und Fallstricke, die sich bei der Umsetzung effektiver Datenschutzmaßnahmen ergeben können, sind zahlreich und oft schwer vorhersehbar. Versäumnisse in diesem Bereich können sowohl rechtliche Konsequenzen nach sich ziehen als auch das Vertrauen von Kunden und Geschäftspartnern erschüttern.

Dieser Beitrag basiert auf persönlichen Erfahrungen und Beobachtungen und zielt zugleich darauf ab, allgemein verwendbare Strategien zur Umsetzung des Datenschutzes bei begrenzten Ressourcen vorzustellen, die sowohl praxisorientiert und ressourcenschonend als auch rechtlich abgewogen sind.

I. Herausforderungen durch begrenzte Ressourcen

Effektiver Datenschutz hängt von verschiedenen zentralen Ressourcen ab, deren Knappheit erhebliche Herausforderungen mit sich bringen kann.

Im Bereich der menschlichen Ressourcen sind qualifizierte Mitarbeiterinnen und Mitarbeiter unverzichtbar für einen effektiven Datenschutz. Sie sorgen dafür, dass Datenschutzanforderungen korrekt interpretiert sowie konsequent umgesetzt und regelmäßig überprüft werden. Fehlt jedoch die erforderliche datenschutzrechtliche Expertise im Unternehmen, ergibt sich ein höheres Risiko, dass gesetzliche Vorgaben nicht erkannt oder falsch interpretiert werden.

Unternehmen können auf verschiedenen Wegen mit der Herausforderung umgehen, eine ausreichende Expertise im Datenschutz sicherzustellen. Zum einen sollten in den Fachabteilungen ausreichend Kenntnisse vorhanden sein, um Datenschutzanforderungen zu erkennen und den Datenschutzbeauftragten proaktiv einzubinden. Insofern ist eine Schulung der Fachbereiche in Bezug auf Datenschutz im Kontext ihrer Aufgaben unerlässlich. Zusätzlich ist es sinnvoll, auf interdisziplinäre Teams zu setzen. Dies ermöglicht zusätzliche Perspektiven und trägt somit zur Steigerung der unternehmensweiten Datenschutz-Compliance bei.

Zum anderen bietet es sich an, ein zentrales Datenschutzteam im Unternehmen zu etablieren. Das zentrale Datenschutzteam kann durch externe Beratung ergänzt werden, die entweder durch die Auslagerung spezifischer Datenschutzaufgaben Entlastung schafft oder spezialisiertes Fachwissen in komplexen Fragestellungen einbringt. Beim internen Datenschutzteam muss nicht ausschließlich an die Einstellung zusätzlichen Fachpersonals gedacht werden. Insbesondere wenn dessen Rekrutierung schwierig ist, sollte in Betracht gezogen werden, bestehendes Personal entsprechend weiterzubilden. Dessen vorhandenes Verständnis für interne Geschäftsprozesse und -strukturen bildet eine wertvolle Ausgangsbasis, die durch zusätzliche Qualifikationen im Datenschutz ergänzt werden kann.

Die zeitlichen Ressourcen spielen ebenfalls eine bedeutsame Rolle. Selbst das fachlich versierteste Team ist ineffektiv, wenn es nicht über die notwendige Zeit verfügt, um Datenschutzmaßnahmen zu prüfen, angemessen umzusetzen und zu überwachen. Ein Zeitmangel kann Projektverzögerungen zur Folge haben oder nachträgliche Anpassungsmaßnahmen erforderlich machen. Diese sind in der Regel arbeitsintensiv und können erhebliche Kosten verursachen. Zudem können durch eine verzögerte oder unterbliebene Umsetzung rechtlicher Anforderungen Compliance-Lücken entstehen, die das Risiko von rechtlichen Sanktionen und Reputationsverlust erhöhen.

Um Herausforderungen im Umgang mit der Ressource Zeit zu bewältigen, können Unternehmen verschiedene Strategien verfolgen. Effektives Zeitmanagement kann dazu beitragen, Prioritäten klar zu setzen und Aufgaben effizienter zu gestalten. Die Automatisierung von Routineaufgaben entlastet die Mitarbeiter und ermöglicht ihnen, sich auf komplexere Datenschutzfragen zu konzentrieren. Darüber hinaus kann der gezielte Einsatz von Software dabei helfen, Prozesse weiter zu optimieren und frühzeitig potenzielle Datenschutzprobleme zu identifizieren.

Finanzielle Ressourcen sind ein entscheidender Faktor für die erfolgreiche Umsetzung effektiver Datenschutzmaßnahmen, seien es Investitionen in Datenschutztechnologien, Schulungen oder Personal. Zu eng begrenzte Budgets können weitreichende Folgen haben, von unzureichenden Investitionen in essenzielle Technologien bis zur mangelhaften Weiterbildung der Belegschaft. Diese Mängel können das Risiko für Bußgelder, Schadensersatzforderungen oder sogar behördliche Anordnungen zur Löschung unrechtmäßig verarbeiteter Daten erhöhen. Um dies zu vermeiden, ist es ratsam, die vorhandenen finanziellen Ressourcen sorgfältig auf der Grundlage von Risikoanalysen anzusetzen und zu priorisieren. Diese Analysen bewerten die Wahrscheinlichkeit und potenziellen Auswirkungen von Datenschutzverstößen und ermöglichen so eine zielgerichtete Zuweisung des Budgets. Dadurch können kritische Bereiche bevorzugt angegangen werden, während weniger dringende Maßnahmen in der Priorität entsprechend zurückgestuft werden können. Open-Source-Tools können eine kosteneffiziente Alternative darstellen, wobei jedoch deren Konformität mit Art.  25 und 32 DS-GVO sichergestellt und potenzielle Limitierungen hinsichtlich Support und Sicherheitsupdates beachtet werden sollten.

In Bezug auf technologische Ressourcen ist es unerlässlich, dass Unternehmen über dem aktuellen Stand der Technik entsprechende Technologien wie Verschlüsselung, Firewalls und Multi-Faktor-Authentifizierung verfügen, um Daten sicher zu speichern und potenzielle Datenschutzverletzungen frühzeitig zu erkennen. Mängel in der technologischen Ausstattung können zur unvollständigen Einhaltung gesetzlicher Vorgaben führen. Zudem bergen sie das Risiko für Sicherheitslücken, die weitreichende rechtliche, finanzielle und reputationsbezogene Folgen haben können. Um diese Risiken zu minimieren, sind gezieltes Investieren in fortschrittliche Datenschutztechnologien sowie kontinuierliche Schulungsmaßnahmen des Personals, das Technologie beschafft (z.B. IT, Einkauf, Fachbereiche), unerlässlich.

Nicht zuletzt sollte die Bedeutung der Akzeptanz des Datenschutzes im Unternehmen als eine grundlegende Ressource nicht unterschätzt werden. Ein Unternehmen, das den Datenschutz nicht nur als gesetzliche Verpflichtung, sondern als integralen Bestandteil seiner Unternehmensstrategie betrachtet, legt den Grundstein für eine umfassende Umsetzung von Datenschutzrichtlinien. Das Fehlen einer solchen Akzeptanz kann dagegen das Risiko erhöhen, dass Datenschutzanforderungen übersehen oder nicht ernst genommen werden. Um dies zu verhindern, sollten mehrere Lösungsansätze in Betracht gezogen werden: zum einen die Sensibilisierung der Mitarbeiter durch regelmäßige Schulungen und Workshops und zum anderen die Etablierung des Datenschutzes als festen Bestandteil der Unternehmenskultur, etwa durch die Einbindung in Onboarding-Prozesse für neue Mitarbeiter. Ein kontinuierliches Sensibilisieren für die Relevanz des Datenschutzes, bspw. durch regelmäßige Updates im unternehmensinternen Intranet oder über andere im Einsatz befindliche Kommunikationskanäle, trägt zusätzlich dazu bei, das Bewusstsein für dieses wichtige Thema zu schärfen.

II. Praktische Ansätze und Lösungen

  1. Sieben wertvolle Einsichten für „ganz normale“ Datenschutzbeauftragte
  • Erstens: Fertig ist besser als perfekt. Als Datenschutzbeauftragter ist es wichtig zu erkennen, dass die Suche nach einer perfekten Lösung angesichts der Vielzahl und Vielfältigkeit von Datenschutzanforderungen hinderlich sein kann. Der Fokus sollte stattdessen darauf liegen, angemessene Lösungen zeitnah umzusetzen und diese kontinuierlich zu verbessern. Dies fördert die Datenschutz-Compliance mehr als die Umsetzung weniger, aber perfekter Lösungen.
  • Zweitens: Nicht alles selber machen. Die Hauptverantwortung des Datenschutzbeauftragten liegt gemäß dem gesetzlichen Leitbild von Art. 39 DS-GVO in einer beratenden und überwachenden Funktion. Die eigentliche Umsetzung der Datenschutzmaßnahmen obliegt „dem Unternehmen“, sollte also primär durch die Fachabteilungen des Unternehmens erfolgen.
  • Drittens: Manches doch besser selber machen. Zeigen Fachabteilungen Schwierigkeiten dabei, Datenschutzanforderungen umzusetzen, kann es sinnvoll sein, dass der Datenschutzbeauftragte gezielt eingreift, um Qualität und Compliance sicherzustellen.
  • Viertens: Datenschutz-Compliance braucht Zeit. Datenschutz ist kein einmaliges Projekt, sondern ein andauernder Prozess. Ein Datenschutzmanagementsystem zu etablieren und Datenschutzanforderungen umzusetzen, ist nicht über Nacht zu bewältigen.
  • Fünftens: Andere kochen auch nur mit Wasser. Jedes Unternehmen steht vor Herausforderungen im Datenschutz. Die spezifischen Schwierigkeiten können je nach Art des Unternehmens und seiner Datenverarbeitungen variieren. Es ist jedoch realistisch anzunehmen, dass nur wenige Unternehmen ihre Datenschutzmaßnahmen als „perfekt“ bezeichnen würden.
  • Sechstens: Es ist okay, Fragen zu stellen. Ein Austausch mit anderen Datenschutzbeauftragten kann bereichernd sein. Dabei ist es völlig akzeptabel, Fragen zu stellen und Unterstützung zu suchen. Der gemeinsame Wissensaustausch kann dazu beitragen, dass Datenschutzbeauftragte bessere Lösungen für ihre Aufgaben finden, oder zumindest erkennen, dass es für bestimmte Probleme möglicherweise keine perfekte Lösung gibt.
  • Siebtens: Fehler zu machen ist auch okay. Fehler passieren. Sie sind eine Gelegenheit zu lernen und sich zu verbessern.
  1. Arbeitserleichterung durch Vorlagen und Muster

Die Einführung von Vorlagen und Mustern stellt eine unerlässliche Arbeitserleichterung dar, die sich gleich aus mehreren Gründen empfiehlt. Zum einen führt sie zu einer erheblichen Zeiteinsparung, insbesondere bei wiederkehrenden Aufgaben. Dies kommt der Effizienz der Anwender zugute und verbessert die Qualität ihrer Arbeit, die durch standardisierte Prozesse konstanter wird. Zum anderen erleichtern Vorlagen die Einarbeitung neuer Mitarbeiter und schaffen durch ihre Wiederholbarkeit eine gewisse Systematik im Arbeitsprozess.

In rechtlicher Hinsicht können Vorlagen als Checklisten dienen, um sicherzustellen, dass alle gesetzlichen Bestimmungen erfüllt sind. Dies ist insbesondere bei Verträgen mit Auftragsverarbeitern gemäß Art.  28 DS-GVO oder Datenschutzinformationen im Sinne von Art. 13, 14 DS-GVO von Bedeutung. Die Verwendung solcher Arbeitshilfen ermöglicht zudem, den Zeitaufwand für bestimmte Aufgaben zu quantifizieren. Das bietet die Grundlage für die Einführung von KPIs, die die Effizienz des Datenschutzmanagements weiter erhöhen können.

Es lohnt sich, diesen Ansatz nicht nur auf den Bereich des Datenschutzes zu beschränken. Durch die Anwendung von Vorlagen und Mustern in anderen Fachabteilungen lassen sich unternehmensweit Synergien erzeugen und ein einheitlicher Qualitätsstandard etablieren. Technische Plattformen wie Dokumentenmanagementsysteme können die effiziente Verwaltung und Aktualisierung dieser Arbeitshilfen zusätzlich unterstützen. Sie erleichtern die zentrale Speicherung, zudem ermöglichen sie eine schnelle Anpassung an aktuelle rechtliche oder unternehmensinterne Veränderungen.

Trotz der zahlreichen Vorteile von Vorlagen und Mustern sollten sie nicht als starre Regeln betrachtet werden. Die Gefahr besteht, dass Mitarbeiter die Vorlagen unkritisch übernehmen, wodurch die Flexibilität und Anpassungsfähigkeit an spezifische Situationen verloren gehen könnten. Daher ist es wichtig, diese Vorlagen zentral zu speichern, regelmäßig zu überprüfen und kontinuierlich zu verbessern.

  1. Rollen und Verantwortlichkeiten definieren

Die Klärung von Rollen und Verantwortlichkeiten im Zusammenhang mit der Umsetzung von Datenschutzvorgaben ist von essenzieller Bedeutung. Ein klares Verständnis der Rollenverteilung fördert die Effizienz des Teams und optimiert die Arbeitsabläufe. Zudem minimiert es die Risiken, die sich aus unklaren Verantwortlichkeiten ergeben könnten. Durch die eindeutige Zuweisung von Aufgaben wird vermieden, dass Arbeit doppelt gemacht wird, und es wird gleichzeitig sichergestellt, dass alle relevanten Datenschutzaufgaben abgedeckt sind.

Strukturierte Werkzeuge wie die RACI-Matrix können wertvolle Hilfestellung bieten, indem sie für jede Aufgabe eine klare Verantwortungsstruktur vorgeben. In einer RACI-Matrix wird für jede Aufgabe oder jeden Prozessschritt festgelegt, wer dafür „verantwortlich“ (Responsible) und „rechenschaftspflichtig“ (Accountable) ist, sowie wer konsultiert (Consulted) oder informiert (Informed) werden sollte. Diese Methode erweist sich insbesondere in Teams mit begrenzten Ressourcen als nützlich. Die Nutzung solcher Werkzeuge sollte jedoch im Kontext der jeweiligen Unternehmenskultur und -anforderungen gesehen und gegebenenfalls angepasst werden.

Es ist sinnvoll bestimmte Verantwortlichkeiten formell zu dokumentieren, bspw. in Stellenbeschreibungen oder internen Richtlinien. Dies stellt eine zusätzliche rechtliche Absicherung dar und schafft eine verbindliche Grundlage für die Ausführung der jeweiligen Aufgaben und die Evaluierung ihrer Umsetzung.

  1. „tl;dr“ – Fachabteilungen effektiv abholen

Die effektive Kommunikation mit Fachabteilungen spielt eine entscheidende Rolle, um Datenschutzvorgaben umzusetzen und ein Datenschutzbewusstsein zu schaffen. Dabei kann das Prinzip „too long; didn’t read“ (zu lang; nicht gelesen) hilfreich sein. Das Kürzel „tl;dr“ wird im Internet genutzt, um eine kurze Zusammenfassung eines längeren Textes anzubieten. Es ermöglicht, dass komplexe Inhalte in eine leicht verdauliche Form gebracht werden, insbesondere wenn die Zielgruppe möglicherweise nicht die Zeit oder die Neigung hat, sich durch umfangreiche Materialien zu arbeiten.

Neben einer Kurzzusammenfassung der Hauptpunkte können prägnante Überschriften, Listen und Aufzählungspunkte genutzt werden, um wichtige Informationen hervorzuheben und den Inhalt verständlicher zu gestalten. Zusätzlich können Grafiken und Diagramme eine visuelle Orientierungshilfe bieten, die selbst komplexe Sachverhalte schnell erfassbar machen. Farbliche Codierungen in Rot, Gelb und Grün können verwendet werden, um den Status oder die Bewertung in Form eines Ampelsystems darzustellen.

Jede Kommunikation sollte idealerweise mit einer klaren Handlungsanweisung abschließen. Damit werden die Schlüsselbotschaften betont und es wird sichergestellt, dass die Informationen sowohl verstanden als auch in die Praxis umgesetzt werden.

Für eine zielgruppenspezifische Verbreitung von Informationen können das unternehmensinterne Intranet, Dashboards oder andere im Einsatz befindliche Kommunikationstools genutzt werden. Selbstverständlich spricht nichts gegen einen klassischen Aushang am Schwarzen Brett oder andere analoge Kommunikationsmittel.

  1. Kann Datenschutz Spaß machen?Motivation als Schlüssel

Datenschutz und Spaß klingen zunächst wie ein Widerspruch. Doch die Motivation der Mitarbeiter – ob intrinsisch durch ein Gefühl von Selbstwirksamkeit oder extrinsisch durch Belohnungen – ist ein Schlüsselfaktor für eine erfolgreiche Datenschutz-Compliance. Ein abwechslungsreicher und unterhaltsamer Ansatz kann dazu beitragen, diese Motivation zu fördern. Es geht darum, eine nachhaltige und quantifizierbare Verhaltensänderung zu bewirken, bspw. indem Fachabteilungen den Datenschutzbeauftragten proaktiv einbinden und Datenschutzanforderungen in ihren Aufgaben und Verantwortlichkeitsbereichen eigenständig erkennen und umsetzen.

So kann es vorteilhaft sein, den Fachabteilungen aufzuzeigen, inwiefern Datenschutz auch ihnen konkrete Vorteile bringt. Bspw. können sie durch die frühzeitige Integration von Datenschutzanforderungen in ihre Prozesse ihre Datenverarbeitungen nachhaltig und resilient gestalten. Datenschutzprinzipien wie Datensparsamkeit, Datenvermeidung und die verpflichtende Löschung überflüssiger Daten helfen dabei, den Fokus auf das Wesentliche zu legen. Zudem stärken datenschutzkonforme Lösungen und Angebote das Vertrauen von Kunden und Geschäftspartnern – und von diesem Vertrauen profitieren wieder die Fachbereiche.

Auch in diesem Kontext ist Kommunikation und das richtige „Abholen“ der Fachbereiche eine sinnvolle Maßnahme. Das Design von Schulungsmaterialien sollte so gestaltet sein, dass es die Aufmerksamkeit der Mitarbeiter weckt. Kreative Medien wie Storytelling, Memes oder kurze Erklärvideos können als ergänzende Lehrmittel dienen. Gamification-Elemente, zum Beispiel in Form von Quizzen oder Punktesystemen in Datenschutztrainings, können den Lernprozess zusätzlich fördern. Auch hier sollten Faktoren wie die Unternehmenskultur und die soziographische Struktur bei der Auswahl geeigneter Methoden berücksichtigt werden.

Nicht zu unterschätzen ist der Wert offener FeedbackKanäle. Hier können Mitarbeiter ihre Erfahrungen teilen, auf Probleme hinweisen und Vorschläge für Verbesserungen einbringen. Um die Umsetzung der Datenschutzmaßnahmen zu fördern, könnten Anreizsysteme wie kleine Belohnungen oder interne Auszeichnungen für besondere Datenschutzleistungen etabliert werden.

  1. Manchmal hilft nur sanfter Druck

Obwohl Aufklärung und Motivation wesentliche erste Schritte auf dem Weg zu einem effektiven Datenschutz sind, kann in bestimmten Situationen der Einsatz sanften Drucks unvermeidlich sein. Insbesondere bei spürbaren inneren Widerständen oder einer generellen Trägheit im Unternehmen kann es erforderlich sein, subtil – oder auch mal deutlicher – an die rechtlichen und tatsächlichen Konsequenzen von Datenschutzverstößen zu erinnern. „Was-wäre-wenn?“-Szenarien sind in diesem Kontext ein nützliches Instrument, um die unter Umständen gravierenden Folgen von Datenschutzverletzungen greifbar zu machen. Diese können zu Bußgeldern, Schadensersatzanforderungen oder behördlichen Löschanordnungen führen.

Neben dieser Sensibilisierung spielt die transparente Kommunikation eine zentrale Rolle. Ein unterstützender und ehrlicher Dialog zwischen dem Datenschutzbeauftragten und den Mitarbeitern erleichtert das Verständnis für die Bedeutung des Datenschutzes und kann zur Lösung von Problemen beitragen.

Regelmäßige Überprüfungen und Audits sind nicht nur eine rechtliche Anforderung, sondern stellen bewährte Instrumente dar, um ein konstant hohes Datenschutzbewusstsein zu gewährleisten. Sie bieten die Möglichkeit, Defizite zu identifizieren und notwendige Anpassungen vorzunehmen, während sie zugleich die Wichtigkeit unterstreichen, die dem Datenschutz im Unternehmen beigemessen wird.

  1. Der Cyborg-Datenschutzbeauftragte

In Zeiten, in denen Künstliche Intelligenz (KI) stetig an Bedeutung gewinnt, liegt die Idee nahe, diese Technologie auch im Bereich des Datenschutzes zu nutzen. Der „Cyborg-Datenschutzbeauftragte“ verkörpert einen solchen Ansatz. Dieser Ansatz kombiniert menschliche Expertise mit der Leistungsfähigkeit von KI, was insbesondere bei Routineaufgaben eine signifikante Effizienzsteigerung darstellen kann. KI-Modelle können etwa bei der Informationsrecherche assistieren, juristische Texte kompakt zusammenfassen oder Vorlagen für wiederkehrende Aufgaben automatisieren.

Allerdings dürfen die Limitationen dieses Ansatzes nicht übersehen werden. So sind KI-Modelle in der Regel nicht in der Lage, tiefgehende rechtliche Analysen durchzuführen oder ethische Abwägungen zu treffen. KI-generierte Inhalte und Vorschläge sollten daher immer durch die Expertise eines Datenschutzbeauftragten ergänzt werden, der diese auf ihre Richtigkeit und Relevanz überprüft. Sofern personenbezogene oder vertrauliche Daten verarbeitet werden, muss gewährleistet sein, dass die eingesetzte Technologie Datenschutz- und Datensicherheitsstandards einhält.

Der Cyborg-Ansatz löst also nicht alle Herausforderungen, die sich aus begrenzten Ressourcen für den Datenschutz ergeben. Er kann aber, richtig eingesetzt, als ergänzendes Tool den Datenschutz im Unternehmen effektiver und effizienter gestalten.

  1. KPIs im Datenschutz

Key Performance Indicators (KPIs) sind im Datenschutz ein effektives Instrument, um die Wirksamkeit des Datenschutzmanagements und der umgesetzten Maßnahmen objektiv zu bewerten. Erfasst und analysiert ein Unternehmen diese Kennzahlen systematisch, kann es den Erfolg von Datenschutzmaßnahmen messen und Verbesserungspotenziale sichtbar machen. KPIs helfen dabei, Schwachstellen und potenzielle Risiken frühzeitig zu erkennen. Dies erleichtert es, präventive Maßnahmen einzuführen und etwaige Mängel zeitnah zu beheben.

Bspw. zählen die Anzahl gemeldeter Datenschutzverletzungen, die Reaktionszeit auf Datenschutzanfragen und die Mitarbeiterzufriedenheit bei Datenschutzschulungen zu wichtigen KPIs. Diese Kennzahlen unterstützen bei der Optimierung interner Prozesse. Zudem erleichtern sie die Kommunikation mit internen und externen Partnern wie der Geschäftsleitung, den Mitarbeitern und den Aufsichtsbehörden. Durch die systematische Nutzung von KPIs entsteht eine solide Basis für Entscheidungen, die sich auf Fakten stützen. Das fördert eine effektivere Zuordnung von Ressourcen und eine gezieltere Umsetzung von Maßnahmen.

Datenschutzbeauftragte können KPIs für ihren Tätigkeitsbericht nutzen, um die Geschäftsleitung im Rahmen ihrer gesetzlichen Berichtspflichten effektiv zu informieren. Durch valide Daten in Form von KPIs können Datenschutzbeauftragte ihre Argumente und Empfehlungen untermauern, was ihre Überzeugungskraft und Position im Unternehmen stärkt.

KPIs tragen ferner dazu bei, die Datenschutzstrategie besser in die übergeordneten Unternehmensziele einzubetten. Ein sicherer und transparenter Umgang mit personenbezogenen Daten kann zum Beispiel die Kundenzufriedenheit steigern. Ein robustes Datenschutzmanagement minimiert gleichzeitig rechtliche Risiken. Insgesamt wird es dadurch einfacher, den Datenschutz als integralen Teil der Unternehmenskultur und -strategie zu sehen statt als isolierte Verpflichtung.

  1. Vernetzung und Austausch

Im Datenschutz stellen die Vernetzung und der regelmäßige Austausch mit Fachkollegen eine bedeutsame Ressource dar. Dadurch können Datenschutzbeauftragte ihr Fachwissen kontinuierlich aktualisieren, aktuelle Herausforderungen und Entwicklungen diskutieren und innovative Lösungsansätze finden. Vor allem in einem sich rasch wandelnden Bereich wie dem Datenschutz ist der Wert eines umfassenden Netzwerks nicht zu unterschätzen. Der Austausch gibt auch Einblick in bewährte Verfahren und kann vor wiederkehrenden Fehlern oder typischen Stolpersteinen schützen.

Es gibt vielfältige Wege, sich effektiv zu vernetzen. Besonders geeignet sind die Teilnahme an regionalen Erfahrungsaustauschkreisen für Datenschutzbeauftragte, der Besuch fachspezifischer Events und Fortbildungsveranstaltungen sowie die aktive Nutzung berufsspezifischer OnlinePlattformen oder branchenspezifischer Foren.

Für Datenschutzbeauftragte mit internationalen Zuständigkeiten sind auch globale Netzwerke und Veranstaltungen von Interesse. Diese bieten Einblicke in verschiedene regulatorische Umgebungen und fördern das Verständnis für internationale Datenschutzfragen.

Die aktive Vernetzung unterstützt Datenschutzbeauftragte im täglichen Geschäft und stärkt zudem ihre Rolle im Unternehmen, da ein umfassendes, aktuelles Wissen und der Zugang zu externen Ressourcen die Qualität der Arbeit signifikant erhöhen können.

  1. Auch mal Fünfe gerade sein lassen

Nicht jede datenschutzrechtliche Anforderung kann und muss mit der gleichen Wichtigkeit und Dringlichkeit umgesetzt werden. Gerade angesichts begrenzter Ressourcen ist es entscheidend, sowohl organisatorische als auch emotionale Kompetenz bei der Prioritätensetzung zu zeigen. Dadurch können die zur Verfügung stehenden Ressourcen klug allokiert werden.

Methoden wie das Eisenhower-Prinzip, also das Bilden von Kategorien: Erledigen (do), Terminieren (decide), Delegieren (delegate) und Entfernen (delete), können hilfreich sein, um zwischen dringenden und wichtigen Aufgaben zu unterscheiden. Dadurch lässt sich bewusster entscheiden, wie Ressourcen und Aufmerksamkeit am sinnvollsten investiert werden. Ein übermäßiger Fokus auf weniger kritische Bereiche kann Ressourcen verschwenden und zu einem Gefühl von Überforderung führen.

Dabei darf natürlich nicht vergessen werden, den rechtlichen Rahmen und die spezifischen Datenschutzrisiken für Betroffene im Blick zu behalten. Jedes Abwägen von Kompromissen muss in diesem Kontext erfolgen. Einige datenschutzrechtliche Anforderungen lassen weniger Spielraum für Flexibilität als andere.

Ein konkretes Beispiel für Spielraum in der Prioritätensetzung ist die Dokumentationspflicht. Während die DS-GVO in Art.  30 vorschreibt, dass Verarbeitungszwecke, Datenkategorien und Speicherfristen dokumentiert werden müssen, ist das Format dafür nicht festgelegt. Bei weniger kritischen Verarbeitungstätigkeiten könnte also eine weniger ausführliche Dokumentation ausreichend sein, solange die grundlegenden Anforderungen erfüllt sind. Das erlaubt eine gezielte Ressourcenallokation ohne Beeinträchtigung des Datenschutzniveaus.

  1. Datenschutz soll aber bitte nichts kosten!

Datenschutz wird oft als Kostentreiber wahrgenommen, selbst wenn es sich bei verständiger Würdigung um eine lohnenswerte Investition in die Unternehmenssicherheit und Reputation handelt. Generell muss Datenschutz nicht zwangsläufig zu hohen Kosten führen. Es existieren zahlreiche kostengünstige oder gar kostenlose Möglichkeiten, um den Datenschutz effektiv zu gestalten. Verschiedene OnlinePlattformen stellen etwa kostenlose Leitfäden, Checklisten und Webinare zur Verfügung, die eine solide Grundlage für die Datenschutzpraxis bieten.

Do-it-yourself-Lösungen auf Basis vorhandener OfficeSoftware können häufig mit kommerziellen Alternativen konkurrieren, bspw. im Datenschutzmanagement. Vorteil „selbstgemachter“ Lösungen ist es, dass sie auf die speziellen Bedürfnisse des Unternehmens zugeschnitten werden können – und keine zusätzlichen Lizenzen erfordern. Gleichermaßen ist jedoch zu berücksichtigen, dass derartige Lösungen hinsichtlich ihrer Skalierbarkeit begrenzt sein können, dass Fragen der rechtskonformen Dokumentation geklärt sein müssen und dass bei technischen Schwierigkeiten nicht auf externen Support zurückgegriffen werden kann. Daher sollte vor dem Einsatz eigener Lösungen sorgfältig geprüft werden, ob eine Eigenentwicklung oder eine kommerzielle Alternative den spezifischen Anforderungen des Unternehmens am besten gerecht wird.

Eine weitere Möglichkeit der Kosteneinsparung ist es, den Datenschutzbeauftragten durch interne „Datenschutz-Botschafter“ zu unterstützen. Diese können als Multiplikatoren für Datenschutzthemen in ihren jeweiligen Abteilungen agieren, interne Schulungen durchführen und dadurch externe Trainingskosten minimieren. Sie dienen auch als erste Anlaufstelle für datenschutzrelevante Fragen, wodurch der zentrale Datenschutzbeauftragte entlastet und Beratungskosten gespart werden können.

IV. Rechtlicher Rahmen

Bei begrenzten Ressourcen kann es für Unternehmen herausfordernd sein, Datenschutzanforderungen umfänglich zu erfüllen. Dennoch existieren klare rechtliche Vorgaben, die sie befolgen müssen. Ein tiefes Verständnis dieser Rahmenbedingungen – und auch ihrer Spielräume für den Umgang mit Ressourcen – kann dazu beitragen, den Datenschutz pragmatisch und rechtssicher umzusetzen.

Zentraler Pfeiler der DS-GVO ist die Pflicht zum Datenschutzmanagement, die sich insbesondere aus der Nachweis- und Rechenschaftspflicht in Art. 5 Abs. 2 DS-GVO sowie aus den in Art. 24 DS-GVO niedergelegten Pflichten des Verantwortlichen ergibt. Unternehmen müssen sicherstellen, dass sie personenbezogene Daten sicher und entsprechend der gesetzlichen Anforderungen verarbeiten. Diese gesetzlichen Anforderungen sind neben der DS-GVO in den nationalen Umsetzungsgesetzen der EU-Mitgliedstaaten, wie in Deutschland im BDSG, geregelt sowie in zahlreichen bereichsspezifischen Normierungen.

Gleichermaßen beinhaltet die DS-GVO aber auch Ansätze für Unternehmen mit begrenzten Ressourcen. Dies gilt insbesondere für den zentral in der DS-GVO verankerten „risikobasierten Ansatz“. Dieser besagt, dass Maßnahmen zum Datenschutz in Abhängigkeit von dem mit der Verarbeitung verbundenen Risiko ergriffen werden sollten. Für Unternehmen mit begrenzten Ressourcen bietet dieser Ansatz eine Möglichkeit, Ressourcen gezielt dort einzusetzen, wo sie den größten Nutzen in Bezug auf Rechtssicherheit und Datenschutz entfalten. So lässt sich der Balanceakt zwischen Rechtssicherheit und Pragmatismus besser bewältigen.

Selbst bei begrenzten Ressourcen ist es für Unternehmen unerlässlich, ihre praktischen Vorgehensweisen an die rechtlichen Anforderungen anzupassen. Das bedeutet zum einen, dass sie sich an die einschlägigen Vorschriften halten, und zum anderen, dass sie ihre Maßnahmen zur Umsetzung von Datenschutzvorgaben regelmäßig überprüfen und anpassen, um mit sich ändernden Rahmenbedingungen Schritt zu halten. Eine enge Zusammenarbeit zwischen dem Datenschutzbeauftragten und der Unternehmensleitung ist dabei entscheidend, um sicherzustellen, dass Datenschutzmaßnahmen sowohl rechtskonform als auch effektiv sind. Ungeachtet dessen liegt die letztendliche Verantwortung für den Datenschutz bei der Unternehmensleitung.

Ein proaktiver und informierter Ansatz zum Datenschutz kann trotz begrenzter Ressourcen sowohl rechtssicher als auch pragmatisch sein. Mit einer durchdachten Strategie und dem notwendigen Know-how kann jedes Unternehmen die Vorteile eines guten Datenschutzes nutzen und gleichzeitig rechtliche Risiken minimieren.

V. Fazit

Zukünftige technologische Entwicklungen und eine sich ständig wandelnde Rechtslage werden den Datenschutz und das Ressourcenmanagement weiterhin beeinflussen und Unternehmen stets vor neue Herausforderungen stellen. Trotz oftmals begrenzter Ressourcen bieten sich zahlreiche praktikable Lösungen, um Datenschutzanforderungen in geeigneter Weise zu erfüllen. Um dies zu erreichen, braucht es Anpassungsfähigkeit, kontinuierlichen Fortschritt und ein gezieltes Abwägen von Prioritäten. Auch sollte der Datenschutz als integrales Element in die Unternehmenskultur aufgenommen werden. Eine transparente Kommunikation mit allen Beteiligten und die proaktive Anpassung an sich ändernde Rahmenbedingungen ermöglichen es, Datenschutzanforderungen rechtssicher, pragmatisch und damit effizient und ressourcenschonend umzusetzen.

Ulrike Egle ist Konzerndatenschutzbeauftragte der Ravensburger Unternehmensgruppe, Mitglied im Vorstand der GDD e.V. und Lehrbeauftragte an der DHBW Ravensburg.

[1] BITKOM, Pressemitteilung vom 5. Oktober 2023, abrufbar unter https://www.bitkom.org/Presse/Presseinformation/5-Jahre-DS-GVO-nurNote-ausreichend, zuletzt abgerufen am 24.10.2023.