Risikomanagement und Datenschutz - eine rechtlich-organisatorische Liebesgeschichte

20. September 2023, von Björn Möller

Datenschutz und Risikomanagement – das ist wahre Liebe! Tatsächlich können beide gar nicht mehr ohne einander. Machen Sie die Beziehung deshalb auch in Ihrem Unternehmen offiziell: Dieser Beitrag greift den risikobasierten Ansatz der DSGVO auf und stellt Ihnen praktische Ansätze für die glückliche Vereinigung von Risikomanagement und Datenschutz im Unternehmen vor.

Datenschutz-Management ist Risikomanagement

Wenn in Führungsetagen von Unternehmen über Risikomanagement und Datenschutz gesprochen wird, geht es in erster Linie um Geschäftsrisiken, insbesondere um hohe Bußgelder. Das ist alles andere als verwunderlich, insbesondere in Anbetracht der teilweise drakonischen Strafen, die in den letzten Jahren von Datenschutzbehörden verhängt wurden. Das macht Datenschutz definitiv zu einem Geschäftsrisiko und somit auch zu einer wichtigen Aufgabe innerhalb des Risikomanagements.

Ob und in welcher Form ein datenschutzrechtlicher Bußgeldtatbestand vorliegt, regelt Art. 83 Abs. 2 DSGVO. Dieser nennt zahlreiche Punkte, die Behörden bei der Entscheidung über die Verhängung einer Geldbuße und deren Höhe berücksichtigen müssen. Dazu zählen beispielsweise Art, Schweregrad und Dauer des Verstoßes sowie die Absicht oder Fahrlässigkeit bei einer Verarbeitungstätigkeit.

Es gibt hier jedoch auch einen positiven Aspekt: Bei der Berechnung von Bußgeldern berücksichtigen die Behörden unter anderem den Grad der Verantwortung des Verantwortlichen oder Auftragsverarbeiters in Bezug auf die technischen und organisatorischen Maßnahmen gemäß den Artikeln 25 und 32.

Der Einsatz von technischen und organisatorischen Maßnahmen (TOM) verfehlt oft das Ziel

Das bedeutet, dass die Implementierung von technischen und organisatorischen Maßnahmen (TOM) einerseits dabei hilft, Risiken zu minimieren und unter Umständen auch das potenzielle Strafmaß mildern kann. Wie würde also die weitere “Beziehungsarbeit” zwischen Risikomanagement und Datenschutz ausschauen: Können Sie einfach ein paar TOM einführen, diese dokumentieren und sich anschließend entspannt zurücklehnen? So einfach ist es leider nicht. Tatsächlich schießt der Einsatz von TOM in vielen Unternehmen am Ziel vorbei.

Während das Risikomanagement in der Regel bei Art. 83 Abs. 2 Buchstabe d endet und das Thema zufrieden an den Datenschutzverantwortlichen weitergegeben wird, beginnt das Datenschutzmanagement erst bei der Dokumentation so richtig. Dabei werden jedoch häufig Maßnahmen ergriffen, die sich nicht ausreichend auf die eigentlichen Geschäftsrisiken auswirken. Welche konkreten Fälle und reale Bußgeldrisiken lassen sich also mit welchen TOM beeinflussen? Und wer sagt, dass die getroffenen Maßnahmen ausreichend sind? In der Praxis bleiben diese Fragen oft unbeantwortet.

Risikomanagement und Datenschutz: Eine Frage der einheitlichen Spezifikation

Das Datenschutzmanagement zielt darauf ab, Risiken für die Verletzung der Rechte und Freiheiten natürlicher Personen in Bezug auf ihre personenbezogenen Daten durch geeignete Maßnahmen zu minimieren. Dies hat somit konkrete Auswirkungen auf potenzielle Geschäftsrisiken und Bußgelder. Je geringer die Risiken sind, gegen geltendes Datenschutzrecht zu verstoßen, desto geringer sind auch die Risiken für das Unternehmensgeschäft. Effiziente TOM und ein umfassender Überblick sind dabei entscheidend.

Jedoch fehlt es in der Praxis oft an genau diesem Überblick. Der Grund dafür ist, dass das Datenschutzmanagement meist parallel zur eigentlichen Geschäftstätigkeit eines Unternehmens stattfindet. Es gibt zwar oft vorbildliche Datenschutz-Folgenabschätzungen (DS-FA) und daraus abgeleitete TOM, diese werden jedoch im geschäftlichen Bereich eher als Doppelarbeit betrachtet. Geschäftsrisiken und Datenschutzrisiken haben keinen gemeinsamen Datenbestand, sodass TOM keinen Geschäftsbezug haben. Dies führt uns zu der wichtigen Frage: Gibt es überhaupt eine einheitliche Informationsquelle? In der Regel ist dies leider nicht der Fall.

Risikomanagement und Datenschutzmanagement vereinen – eine Blaupause

Die Lösung ist so einfach wie genial: Ihr Unternehmen muss Betroffenenrisiken zentral und vor allem verknüpft verwalten. Nur so können Sie sowohl die Anforderungen der DSGVO als auch ein ganzheitliches Risikomanagement im Geschäftsbetrieb gewährleisten.

Quelle: caralegal

Der Ausgangspunkt ist – wie so oft im Datenschutzmanagement – das Verzeichnis von Verarbeitungstätigkeiten (VVT). Bereits hier sollte die Frage nach dem Datenschutzrisiko gestellt und der Risikomanagement-Zyklus gestartet werden, denn dadurch ergibt sich im Zuge der Risikobehandlung bereits eine Sammlung von Maßnahmen, die als allgemeine TOM etabliert werden können. Um möglichst aussagekräftige Datenschutzrisiken für Betroffene zu identifizieren, bietet sich die Orientierung an den sieben Gewährleistungszielen des SDM (Standard-Datenschutzmodell) an.

In der Praxis erleichtert die Frage nach den Datenschutzrisiken einer Verarbeitungstätigkeit (VT) gleich zwei Dinge: Erstens verstehen Fachbereiche den Sinn hinter der VT-Dokumentation und zweitens fällt es allen Verantwortlichen einfacher, konkrete Herausforderungen und Risiken (und später auch Lösungen und TOM) zu identifizieren. Dabei werden gleichzeitig das Risikomanagement und die allgemeinen TOM gefüllt. Besonders praktisch ist, dass die oft vernachlässigte Frage nach der Angemessenheit der TOM direkt beantwortet wird und somit die Rechenschaftspflicht erfüllt wird.

Bitte nicht falsch verstehen: Wir schlagen nicht vor, bei jeder VT eine Datenschutz-Folgenabschätzung (DS-FA) nach Art. 35 DSGVO durchzuführen! Diese bleibt natürlich jenen VT vorbehalten, die zum Beispiel durch automatische Schwellwertanalysen hohe Risiken für die Rechte und Freiheiten von Betroffenen aufweisen.

Wer allerdings den Risikomanagementprozess bereits im VVT verankert hat, erfüllt die Rechenschaftspflichten und genießt eine konsistente Dokumentation von VT und TOM.

Jetzt Datenschutz und Risikomanagement verkuppeln

Wenn Datenschutz und Risikomanagement zusammenfinden, dann bilden sie eine starke Basis für eine langfristige und erfolgreiche Beziehung. In jedem Fall hilft eine professionelle Datenschutzmanagement-Software wie caralegal dabei, den Risiko-Workflow strukturiert in der eigenen Organisation abzubilden. Außerdem kommen damit alle Abteilungen datenschutzrechtlich – und bald auch in puncto Risiko – an einen Tisch.

Erfahren Sie mehr über caralegal

Der Autor

Björn Möller

Geschäftsführer | caralegal GmbH

Björn Möller ist gelernter Wirtschaftsinformatiker und hat umfangreiche Erfahrung in der Entwicklung digitaler Produkte. Er ist Geschäftsführer der caralegal GmbH, einem Privacy-Tech Unternehmen, das Unternehmen neue Wege im Datenschutzmanagement ermöglicht.

« Künstliche Intelligenz und Datenschutz – Möglichkeiten und Grenzen aus Sicht der Praxis

Künstliche Intelligenz und Datenschutz - Möglichkeiten und Grenzen aus Sicht der Praxis

12.09.23, von Dr. Georg F. Schröder

In der heutigen digitalen Welt ist der Einsatz von Künstlicher Intelligenz (KI) in Unternehmen nicht mehr wegzudenken. ChatGPT, eines der bekanntesten Modelle von OpenAI, bietet zahlreiche Möglichkeiten, den Geschäftsalltag zu optimieren. Doch wie lässt sich diese Technologie datenschutzkonform und sicher in Ihr Unternehmen integrieren? Dieser Beitrag gibt einen Überblick über die rechtlichen Herausforderungen und zeigt Lösungsansätze auf. Weiterlesen