KIProf. Dr. SchanbacherKI für den Mittelstand
Datenschutz (DSB)

Modul 3 von 4

Den DSB erfolgreich verankern

Ein DSB auf dem Papier nützt wenig. Dieses Modul zeigt, wie aus der Pflichtrolle eine wirksame Funktion wird, die das Unternehmen schützt und voranbringt.

Erfolgsfaktoren

  • Qualifizierte Person bestellen und ausreichend Zeit/Ressourcen fest einplanen.
  • Fortbildungsplan mit verpflichtender Teilnahme; Fachliteratur und Netzwerk nutzen.
  • Rückhalt im Management – Datenschutz sichtbar zur Chefsache machen.
  • Den DSB nicht isolieren, sondern in Prozesse und Projekte früh einbinden.
  • Kontinuität sicherstellen (Vertretung, Wissenssicherung) und weitere Datenschutzakteure einbinden.

Datenschutz-Folgenabschätzung (DSFA) – der DSB als Pflichtberater

Eine besonders wichtige Kernaufgabe ist die Beteiligung an der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Bei Verarbeitungen mit voraussichtlich hohem Risiko für Betroffene – etwa KI-gestützte Entscheidungssysteme, großflächige Videoüberwachung oder umfangreiche Verarbeitung besonderer Datenkategorien – ist eine DSFA verpflichtend. Der Verantwortliche muss den DSB dabei zwingend konsultieren (Art. 35 Abs. 2). Die DSFA beschreibt die geplante Verarbeitung, bewertet Notwendigkeit und Verhältnismäßigkeit, identifiziert Risiken und dokumentiert die Maßnahmen zur Risikobewältigung.

Beispiel: DSFA vor KI-Einsatz in der Personalauswahl

Ein Unternehmen plant, KI zur Vorauswahl von Bewerbungen einzusetzen. Das ist potenziell hochriskant (automatisierte Entscheidungen über Personen). Vor dem Start muss eine DSFA durchgeführt werden – der DSB wird konsultiert, bewertet Risiken wie Diskriminierung und fehlende Transparenz, und empfiehlt Schutzmaßnahmen. Wird kein hohes Risiko verbleiben, kann das System eingesetzt werden; andernfalls ist die Aufsichtsbehörde vorab zu konsultieren (Art. 36 DSGVO).

Das Verarbeitungsverzeichnis (VVT) – zentrales Werkzeug

Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist das Herzstück der Datenschutz-Dokumentation und meist das erste Dokument, das eine Aufsichtsbehörde anfordert. Es ist Pflicht für nahezu alle Unternehmen – die Ausnahme für Betriebe unter 250 Beschäftigten greift in der Praxis selten, weil sie u. a. bei regelmäßiger Verarbeitung oder besonderen Datenkategorien entfällt. Der Verantwortliche führt das VVT; der DSB unterstützt, prüft und hält es aktuell.

  • Zweck jeder Verarbeitung (z. B. Lohnabrechnung, Newsletter, Bewerbermanagement).
  • Kategorien betroffener Personen und der Daten.
  • Empfänger der Daten – auch Auftragsverarbeiter und Drittländer.
  • Vorgesehene Löschfristen.
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Beispiel: Das VVT als Frühwarnsystem

Beim Pflegen des VVT fällt auf, dass ein Marketing-Tool Kundendaten in ein Drittland überträgt – ohne dokumentierte Rechtsgrundlage. Weil das VVT sauber geführt wird, entdeckt der DSB die Lücke bei der jährlichen Prüfung und nicht erst die Aufsichtsbehörde. Das VVT ist damit nicht lästige Bürokratie, sondern ein praktisches Frühwarnsystem.

Organisatorische Einbettung

Datenschutz wirkt am besten, wenn er Teil der normalen Abläufe ist: verankert im Onboarding, mit jährlicher Auffrischung, in klarer und verständlicher Sprache, mit bereitgestellten Unterlagen und Feedback-Schleifen. Datenschutz lässt sich zudem sinnvoll mit verwandten Themen verknüpfen – Informationssicherheit und KI-Compliance (EU AI Act).

Beispiel: Datenschutz „by design“ im Projekt

Statt den DSB erst kurz vor dem Launch eines neuen CRM zu fragen, wird er von Beginn an eingebunden. So lassen sich Datenminimierung, Löschkonzept und Rechtsgrundlagen von Anfang an einbauen – das ist günstiger und schneller, als ein fertiges System nachträglich „datenschutzfest“ zu machen.

Das Wichtigste in Kürze

  • Wirksamkeit braucht Ressourcen, Fortbildung, Rückhalt im Management und Kontinuität.
  • Den DSB früh in Projekte einbinden („Datenschutz by design“).
  • Bei riskanten Verarbeitungen (z. B. KI-Einsatz) ist eine DSFA Pflicht – der DSB muss zwingend konsultiert werden (Art. 35 Abs. 2).
  • Das Verarbeitungsverzeichnis (Art. 30) ist zentrales Werkzeug und Frühwarnsystem.
  • Verankerung im Onboarding plus jährliche Auffrischung.
  • Mit Informationssicherheit und EU AI Act verknüpfen.

?Wissens-Check

Beantworten Sie die Fragen, um Ihr Verständnis zu prüfen. Sie erhalten sofort eine Rückmeldung.

Frage 1.Welche Maßnahme stärkt die Wirksamkeit des DSB?

Frage 2.Was bedeutet „Datenschutz by design“ in der Projektarbeit?

← Vorheriges Modul