Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Artikel

Datenschutz bei Vorhaben berücksichtigen: Empfehlen Sie dieses Vorgehen

Werden im Unternehmen viele Daten bearbeitet, kommt der IT-Abteilung eine besondere Bedeutung zu. Meist gestaltet, organisiert und betreibt diese Abteilung alles, was für das Bearbeiten der Daten erforderlich ist. Kein Wunder, dass man bei neuen Vorhaben zunächst mit der IT-Abteilung spricht. Sorgen Sie als Datenschutzberater dafür, dass auch bei deren Beratung Datenschutz ein Thema ist.

Andreas Würtz

30.07.2025 · 4 Min Lesezeit

Befähigen Sie die Kollegen

Merken die Kollegen der IT-Abteilung, dass das neue Vorhaben auch etwas mit Personendaten zu tun hat, sollten diese direkt wissen:

Hier gilt es, einiges zu beachten, beispielsweise um den Anforderungen des Bundesgesetzes über den Datenschutz (DSG) gerecht zu werden. Also müssen Sie dafür sorgen, dass diese zumindest grob Bescheid wissen. 

Dabei ist klar: Dass Sie den Kollegen erklären, worauf es ankommt und wie man vorgehen kann, ist nicht nur gut für den Datenschutz. Sie erleichtern sich damit auch die Arbeit als Datenschutzberater.

So können die Kollegen nicht nur bei deren Beratung einige wichtige Punkte mit Datenschutzrelevanz ansprechen.

Sie können auch viele wichtige Informationen sammeln, die für Sie als Datenschutzberater für Ihre Beratung von Bedeutung sind. Ausserdem stellen Sie sicher, dass man frühzeitig ein Auge auf den Datenschutz hat. 

Erstellen Sie ein kurzes Merkblatt 
Sie können Kollegen noch so gut erklären, wie sie am besten vorgehen sollen. Doch es liegt nahe, dass man im Fall der Fälle den einen oder anderen Punkt vergessen hat. Um der Erinnerung auf die Sprünge zu helfen, können Sie aus den hier beschriebenen Schritten ein Merkblatt erstellen. Und darauf können die Kollegen schnell zurückgreifen. 

Packen Sie beispielsweise auf die Vorderseite einer DIN-A4-Seite die Schritt-für-Schritt-Anleitung und auf die Rückseite einen groben Überblick zum technisch-organisatorischen Datenschutz, etwa das auf Seite 5 gezeigte Merkblatt. 


Empfehlen Sie den IT-Kollegen die folgenden Schritte für deren datenschutzfreundliche Beratung: 


Schritt 1: Umfassenden Überblick verschaffen 

Kommt man auf ein neues Vorhaben zu sprechen, sollten Sie direkt in Erfahrung bringen, inwieweit Daten eine Rolle spielen, die sich auf Menschen beziehen lassen.

Ist das der Fall, besteht auch Datenschutzrelevanz. Denn das DSG dient dem Schutz von Personendaten bei deren Bearbeitung, etwa durch das Unternehmen. Ist das DSG anzuwenden, müssen viele Aspekte berücksichtigt werden. 

Wichtig ist auch, dass Sie konkret in Erfahrung bringen, was man warum und wie vorhat. Die Motivation für eine bestimmte Bearbeitung von Daten deutet meist auch auf den verfolgten Zweck hin.

Der kann entscheidend sein, wenn es um die Beurteilung einer Rechtsgrundlage geht. Das ist die Erlaubnis, Personendaten zu bearbeiten. Findet sich keine solche Erlaubnis, muss die Bearbeitung der Personendaten unterbleiben. 

Idealerweise wird das Vorhaben konkret beschrieben, etwa in einer Präsentation. Doch auch Übersichten und Datenflussdiagramme können viele Informationen für die spätere Bewertung durch den Datenschutzberater liefern. 


Schritt 2: Gefahren ausmachen und Risiken bewerten 

Auch diese Aspekte sind entscheidend, um die richtigen Schlüsse zu ziehen und beispielsweise für angemessenen Schutz der betreffenden Daten zu sorgen. Dabei ist das prinzipielle Vorgehen schnell erklärt. 

Zunächst werden die denkbaren Gefahren zusammengestellt. Das sind Aspekte, die bei ungehindertem Fortgang der Dinge zu einem Schaden führen.

Eine typische Gefahr ist beispielsweise ein erfolgreicher Hackerangriff aufgrund einer veralteten Software für den Onlineshop. Diesbezüglich wird überlegt, welcher Schaden entstehen kann, wenn dieser Fall tatsächlich eintritt. 

Ausserdem wird eingeschätzt, wie wahrscheinlich es ist, dass sich eine Gefahr realisiert und der betreffende Schaden eintritt.

Die Bewertung kann beispielsweise mit 1 (niedrig), 2 (mittel) und 3 (hoch) erfolgen. Werden die Bewertungen multipliziert, erhält man die bewerteten Risiken.

So wird schnell klar, wo man die grössten Anstrengungen unternehmen muss, um die Risiken auf ein niedrigeres oder akzeptables Niveau zu bringen. 


Schritt 3: Legen Sie passende Schutzmassnahmen fest 

Jede Bearbeitung von Personendaten muss sicher sein. Das ergibt sich aus Art. 8 DSG. Auf Basis der Risikobewertung müssen Schutzmassnahmen ergriffen werden, um die Risiken auf null oder zumindest auf ein vertretbares Level zu bringen.

Die Schutzmassnahmen können technischer oder organisatorischer Natur sein, Beispiel gefällig? Die Einstellungen in einer Software können technisch für Zugriffsbeschränkungen sorgen.

Organisatorisch sind hingegen die Regelungen zu den betreffenden Berechtigungen, sprich wer Zugriff erhalten soll. 


Schritt 4: Datenschutzberater einbinden 

Weil beim Bearbeiten von Personendaten bzw. bei der Gestaltung von Verfahren und Prozessen vieles zu bedenken ist, sollte unbedingt der Datenschutzberater einbezogen werden.

Er kann auf Basis seiner Expertise und seiner Erfahrung Hinweise geben, wie das Vorhaben datenschutzfreundlich realisiert werden kann.

Auch kann eine frühzeitige Einbindung vor Fehlentscheidungen oder Fehlentwicklungen schützen. 


Schritt 5: Rahmenbedingungen regeln 

Auch das Drumherum spielt häufig eine wichtigere Rolle, als es auf den ersten Blick erscheint. Werden etwa Dienstleister oder Softwareanbieter in die Bearbeitung von Daten eingebunden, ist eine Vereinbarung zum Datenschutz meist unumgänglich.

Doch es sind noch weitere Aspekte zu bedenken. Möglicherweise ist es sinnvoll, den Betriebsrat mit einzubinden. Auch müssen ggf. Regelwerke, Arbeitsanweisungen oder Trainings für die Anwender erstellt werden. 


Schritt 6: Vorhaben umsetzen 

Wurden etwa Schutzmassnahmen festgelegt, dürfen diese nicht nur auf dem Papier stehen. Sie müssen tatsächlich umgesetzt sein, damit der mit ihnen verfolgte Zweck eintritt.

Hier kann es auch sinnvoll sein, den Datenschutzberater einzubinden. Dieser kann einen unabhängigen Soll-Ist-Abgleich machen und auf Defizite hinweisen, bevor diese zum Problem werden. 


Schritt 7: Beobachten Sie die Sache fortlaufend 

Ist etwa ein Projekt abgeschlossen und wird eine Bearbeitung, ein System oder eine Software eingesetzt, heisst das nicht, dass man die Hände in den Schoss legen kann.

Im Gegenteil: Nicht nur die Technik entwickelt sich immer weiter. Auch neue  Gefahren können auftreten. Selbst ohne das Zutun des Unternehmens können sich Gefahren und Risiken verändern.

Insofern ist es unerlässlich, immer wieder ein Auge auf gemachte Bewertungen und umgesetzte Massnahmen zu haben. Diese müssen immer passen, umgesetzt sein und funktionieren. 

Fördern Sie den Schutz 
Dass etwa Schutzmassnahmen immer auf der Höhe der Zeit sind, können auch Sie als Datenschutzberater aktiv unterstützen. Bekommen Sie etwa aus den Medien mit, dass es beim Produkt eines Wettbewerbers oder bei einer eingesetzten Technologie zu Problemen kommt, sprechen Sie das offen an. Laden Sie die Kollegen zu einem kurzen Austausch ein und klären Sie die Relevanz.

Arbeitshilfen

  • Merkblatt zu technischen und organisatorischen Schutzmassnahmen

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Würtz
154
0
160
Andreas Würtz ist Rechtsanwalt und widmet sich in erster Linie Fragen aus dem Datenschutz- und Arbeitsrecht. Er ist zertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor und Krisenkommunikationsmanager. Seit 2005 […]

Inhaltsverzeichnis

Inhaltsverzeichnis

Befähigen Sie die Kollegen

Downloads

Downloads

Merkblatt zu technischen und organisatorischen Schutzmassnahmen

Mehr interessante Beiträge