3. Februar 2025
Datenschutzmanagement
Datenschutzrecht

Treat first what kills first: erfolgreiches Datenschutzmanagement durch klare Schwerpunktsetzung

Die meisten Datenschutzbeauftragten und Datenschutzabteilungen haben vergleichsweise knappe Ressourcen. Die Kunst eines guten Datenschutzmanagements besteht darin, diese knappen Ressourcen optimal zu nutzen. 

Ein gutes Datenschutzmanagement erfordert eine risikobasierte Schwerpunktsetzung, welche die Wahrscheinlichkeit und die Schwere der einzelnen Gefahren berücksichtigt. Da sowohl aufsichtsbehördliche Verfahren als auch datenschutzrechtliche Rechtsstreitigkeiten zumeist von betroffenen Personen angestoßen werden, ist die Frage, mit welcher Wahrscheinlichkeit datenschutzrechtliche Verstöße den betroffenen Personen in der Praxis überhaupt auffallen, für ein risikobasiertes Datenschutzmanagement von entscheidender Bedeutung.

Knappe Ressourcen als Herausforderung

Der Satz „Treat first what kills first“ stammt aus der Notfallmedizin und beschreibt das Prinzip, die Versorgung kritisch verletzter Patienten an der Wahrscheinlichkeit auszurichten, mit der einzelne Verletzungen zum Tod führen können. Diesem Prinzip folgend stellt der Notarzt an der Unfallstelle z.B. sicher, dass die Atemwege des Patienten frei sind, bevor er dessen Blutdruck misst. Der Blutdruck ist wichtig – aber nicht so wichtig wie eine funktionierende Atmung, weil Patienten mit blockierten Atemwegen binnen kurzer Zeit sterben. 

Mögen die Herausforderungen eines erfolgreichen Datenschutzmanagements nicht in jeder Hinsicht mit denjenigen der Notfallmedizin vergleichbar sein, stehen Datenschutzbeauftragte doch häufig ebenfalls vor der Herausforderung, mit begrenzten Ressourcen viele „Wunden“ gleichzeitig versorgen zu müssen. Die Praxis zeigt: Datenschutzmanagement ist immer auch Mangelverwaltung. Es ist nicht möglich, sich um alle Themen gleichzeitig zu kümmern – oder um im Bild zu bleiben: alle Wunden gleichzeitig zu versorgen. Die Kunst eines guten Datenschutzmanagements besteht daher darin, knappe Ressourcen optimal zu nutzen. Bildlich gesprochen geht es darum, sich zunächst um die Atmung zu kümmern, bevor man den Blutdruck misst.

Risikomatrix: Orientierung am Eskalationspotenzial

Ausgangspunkt eines erfolgreichen Datenschutzmanagements sollten daher die Bewertung und Klassifizierung der drohenden Risiken sein. Datenschutzbeauftragte sollten sich dabei vor Augen führen, dass insbesondere im Hinblick auf die Gefahr eines aufsichtsbehördlichen Einschreitens und das Risiko datenschutzrechtlicher Klagen nicht alle Datenschutzverstöße das gleiche Eskalationspotenzial bergen.

Gefahr: aufsichtsbehördliches Einschreiten

Dass die Datenschutzbehörden bei Verstößen nach Art. 83 DSGVO erhebliche Geldbußen verhängen können, ist mittlerweile auch datenschutzrechtlichen Laien bekannt. Dass behördliche Verbote nach Art. 58 Abs. 2 lit. f DSGVO für Unternehmen, deren Geschäftsmodell auf der Verarbeitung personenbezogener Daten beruht, noch gefährlicher werden können, gerät demgegenüber manchmal etwas in Vergessenheit.

Unabhängig von der Art des aufsichtsbehördlichen Einschreitens ist dessen Auslöser aber häufig derselbe. So werden die Datenschutzbehörden vor allem auf Beschwerden betroffener Personen hin tätig. Dies ist dem Umstand geschuldet, dass die Behörden nach eigener Wahrnehmung unterfinanziert sind und ein hohes Beschwerdeaufkommen haben. Anlasslose Kontrollen sind – außerhalb von konzertierten Aktionen – daher selten.

Will man diese Erkenntnis als Unternehmen für sich nutzen, sollte man den Schwerpunkt des eigenen Datenschutzmanagements vor allem darauf legen, solche datenschutzrechtlichen Pflichten einzuhalten, deren Erfüllung von außen leicht überprüft werden kann und die ein hohes Beschwerdepotenzial bergen. Die Empfehlung kann nicht lauten, potemkinsche Dörfer zu errichten. Aber wenn die Ressourcen (vorerst) nicht für die Errichtung des gesamten Gebäudes reichen, sollte jedenfalls nicht ausgerechnet an der Fassade gespart werden.

Gefahr: datenschutzrechtliche Klagen

Dasselbe gilt auch im Hinblick auf die Gefahr datenschutzrechtlicher Klagen. Auch hier geht das größte Risiko von einzelnen Betroffenen aus, die meinen, in ihren Rechten verletzt worden zu sein. Selbst Verbandsklagen haben ihren Ausgangspunkt in Beschwerden von Einzelpersonen. Besonders gefährlich sind daher auch hier Verstöße, die für die Betroffenen vergleichsweise offensichtlich sind.

Empfehlung: offensichtliche Verstöße vermeiden

Ausgehend von dieser Erkenntnis gibt es einige im Folgenden thematisierte datenschutzrechtliche Anforderungen, die besondere Aufmerksamkeit verdienen.

Betroffenenrechte

Vor allem bei Unternehmen mit einem B2C-Geschäftsmodell ist an erster Stelle die Gewährleistung der Betroffenenrechte zu nennen. Diese scheitert in der Praxis vielfach bereits daran, dass der Kundendienst oder auch die Poststelle Anfragen mit datenschutzrechtlichen Bezügen nicht zuverlässig erkennen und diese unternehmensintern erst mit erheblicher Verspätung an die richtigen Stellen weitergeleitet werden. Dies ist gerade in größeren Unternehmen überraschend häufig ein Problem. 

In solchen Fällen bleibt dann meist wenig anderes übrig, als die Überschreitung der gesetzlichen Frist gem. Art. 12 Abs. 3 Satz 1 DSGVO unter Verweis auf die vermeintlich hohe Komplexität oder ein vermeintlich hohes Aufkommen an Anfragen zu rechtfertigen. Dies erhöht das Eskalationspotenzial in unnötiger Weise. Wird über den Umfang der zu erteilenden Auskunft gestritten, kann es beizeiten sinnvoll sein, eine Eskalation in Kauf zu nehmen. Unnötig ist es demgegenüber, nur deshalb auf dem „Radar“ der Aufsichtsbehörde zu landen, weil die Frist zur Gewährleistung der Betroffenenrechte nicht gewahrt wird. 

Die Betroffenenrechte haben auch deshalb eine hohe Bedeutung, weil Betroffene datenschutzrechtliche Themen immer häufiger zweckentfremden. So bekommen etwa Auseinandersetzungen über die Beseitigung von Sachmängeln oder arbeitsrechtliche Streitigkeiten plötzlich datenschutzrechtliche Bezüge, weil die Anspruchsteller in der – leider oftmals berechtigten – Annahme, den Verantwortlichen auf diese Weise in die Defensive drängen zu können, mit einem Mal die Verarbeitung ihrer personenbezogenen Daten hinterfragen und ihre Betroffenenrechte ausüben.   

Datenschutzerklärung und Cookie-Banner

Im Zusammenhang mit dem Betrieb von Webseiten sollte zudem ein besonderes Augenmerk auf eine ordnungsgemäße Datenschutzerklärung und die Implementierung einer vernünftigen Consent Management Plattform einschließlich Cookie-Banner gelegt werden. Hierbei handelt es sich gewissermaßen um die „datenschutzrechtliche Visitenkarte“ des Unternehmens. Erhält ein Sachbearbeiter bei einer Datenschutzbehörde eine Beschwerde gegen ein ihm unbekanntes Unternehmen, sucht er zunächst dessen Webseite auf, um sich einen ersten Eindruck zu verschaffen. Hinterlässt die Webseite dann einen schlechten Eindruck, prägt dies den weiteren Verfahrensverlauf. Denn wenn die datenschutzrechtlichen Grundlagen nicht stimmen, kann der Sachbearbeiter erahnen, wie es mit der Datenschutz-Compliance „hinter den Kulissen“ aussieht. 

E-Mail-Marketing

Überraschend häufig beschweren sich Betroffene auch über unerwünschtes E-Mail-Marketing. In den allermeisten Fällen kontaktieren sie zunächst den Verantwortlichen und versuchen nicht selten, diesem unter Androhung einer Beschwerde bei der Datenschutzbehörde Zugeständnisse abzuringen (z.B. Geld, Warengutscheine). Auch hier ist zunächst entscheidend, dass diese Beschwerden unternehmensintern an die richtige Stelle weitergeleitet werden. Im Anschluss sind Verantwortliche meist gut beraten, eine gütliche Lösung anzustreben, statt eine Beschwerde bei der zuständigen Datenschutzbehörde zu riskieren.  

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Umgekehrt kommt es z.B. nur selten vor, dass Datenschutzbehörden das VVT oder umfangreiche Unterlagen zum Löschkonzept des Verantwortlichen anfordern. Als Verantwortlicher sollte man daraus zwar nicht den Schluss ziehen, bei der Erfüllung dieser zentralen datenschutzrechtlichen Pflichten „auf Lücke setzen“ zu können. Es ist aber auch nicht zielführend, öffentlichkeitswirksame Pflichten zu vernachlässigen, bis das VVT perfekt ist. 

Fazit: Erscheinungsbild optimieren

Als Fazit bleibt festzuhalten, dass die Frage, mit welcher Wahrscheinlichkeit datenschutzrechtliche Verstöße der zuständigen Behörde und/oder den betroffenen Personen in der Praxis überhaupt auffallen, im Rahmen eines risikobasierten Datenschutzmanagements von entscheidender Bedeutung ist. Insofern gilt der Rat, zunächst das „Schaufenster“ aufzuräumen, bevor man sich dem „Lager“ widmet.     

Stimmen die Grundlagen – d.h. ist ein überzeugender Prozess zur Gewährleistung der Betroffenenrechte implementiert, werden aussagekräftiger Informationen nach Art. 13 f. DSGVO bereitgestellt, ist die Webseite datenschutzkonform gestaltet, wird auf Anfragen der Datenschutzbehörden umgehend reagiert – ist zu beobachten, dass die Behörden den Verantwortlichen bei kleineren Verstößen in anderen Bereichen einen gewissen Vertrauensvorschuss gewähren („das kann selbst in den besten Unternehmen vorkommen“). Natürlich rechtfertigt eine hübsche Datenschutzerklärung keine eklatanten Verstöße gegen datenschutzrechtliche Grundsätze. Aber spricht das äußere Erscheinungsbild dafür, dass sich das Unternehmen ernsthaft um ein datenschutzkonformes Verhalten bemüht, legen die Behörden bei konkreten Beschwerden erfahrungsgemäß wenig Eifer an den Tag, das Datenschutzmanagement des Verantwortlichen insgesamt zu überprüfen. Vielmehr bleibt die Überprüfung in diesen Fällen zumeist auf den konkreten Beschwerdegegenstand beschränkt, was das Ziel eines erfolgreichen Datenschutzmanagements sein sollte. 

Dieser Beitrag erschien auch in der Ausgabe 01/25 des Datenschutzberaters.

Tags: Datenschutzmanagement Datenschutzrecht Datenschutzrisiken Risikoanalyse