Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Artikel

Proaktives und risikoorientiertes Beraten: So klappt das mit links 

Als Datenschutzbeauftragter können Sie in Sachen Budget und Zeit wahrscheinlich nicht aus dem Vollen schöpfen. Doch weil Sie dennoch Ihre Arbeit gut machen wollen, müssen Sie manchmal die Quadratur des Kreises hinbekommen. Das kann Ihnen dadurch gelingen, dass Sie proaktiv die Dinge angehen, bevor etwas anbrennt. Zudem können Sie auf Risikoorientierung setzen, auch beim Beraten.

Andreas Würtz

30.07.2025 · 3 Min Lesezeit

Art. 39 Abs. 2 DSGVO ist Ihre Orientierung 

Alles mit gleicher Wichtigkeit betrachten und allem die gleiche Bedeutung beimessen, das passt nicht zur Datenschutz- Grundverordnung (DSGVO). Und auch nicht zu Ihnen als Datenschutzbeauftragtem.

Der Grund: Art. 39 Abs. 2 DSGVO sieht vor, dass Sie auch bei der Wahrnehmung Ihrer Aufgaben der Risikoorientierung einen großen Stellenwert geben.

Dieser Aspekt zieht sich also nicht nur wie ein roter Faden durch die DSGVO. Die Risikoorientierung ist auch prägender Faktor Ihrer Datenschutzarbeit. Das heißt konkret: 

  • Risiken erkennen: Analysieren Sie, was Ihr Unternehmen im Zusammenhang mit personenbezogenen Daten macht. Hier kann Ihnen das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) gute Dienste erweisen.

    Doch verlassen Sie sich nicht nur auf das Verzeichnis. Gehen Sie mit offenen Augen und Ohren durchs Unternehmen. Denn gerade dort, wo Sie es nicht vermuten, lauern manchmal die größten Gefahren und in der Folge auch die größten Risiken. 
  • Risiken einordnen und bewerten: Machen Sie für Verarbeitungstätigkeiten die relevanten Gefahren aus. Bewerten Sie diese unter den Aspekten „Möglicher Schaden“ und „Eintrittswahrscheinlichkeit“. Unterschiedliche Perspektiven können zu unterschiedlichen Ergebnissen führen.

    Blicken Sie auf die Dinge beispielsweise als Betroffener bzw. als Unternehmen. Ein Beispiel: Ein verlorener Kundendatensatz mag für den einzelnen Betroffenen ein geringes Problem sein – 5.000 verlorene Datensätze für Ihr Unternehmen hingegen schon. 
  • Risikoorientierte Empfehlungen geben: Orientieren Sie sich bei Ihren Empfehlungen an folgender Faustformel: Bei hohen Risiken muss besonderer Wert auf umfassende technische wie organisatorische Maßnahmen gelegt werden.

    Bei normalem oder geringem Risiko kann der Pragmatismus im Vordergrund stehen. Dabei ist natürlich klar: Auch pragmatische Ansätze müssen datenschutzkonform sein. 
  • Risikoorientiert Schwerpunkte setzen: Bei der Wahrnehmung Ihrer Aufgaben, sprich beim Beraten und Kontrollieren, sollten Sie sich auf die Verarbeitungen mit den größten Risiken konzentrieren. 
  • Risiken ausmachen – so geht’s 
    Wie man Risiken bewertet, müssen Sie aus dem Effeff beherrschen. Zum Glück ist es einfacher, als es zunächst erscheint: 
  • Gefahren identifizieren: Überlegen Sie, was an Negativem für den Datenschutz, für Betroffene oder Ihr Unternehmen passieren kann. 
  • Schaden einschätzen: Das sind die Folgen, die für Betroffene oder Ihr Unternehmen eintreten können, etwa Kontrollverlust, Datenmissbrauch, Imageschäden, Bußgelder. 
  • Eintrittswahrscheinlichkeit abschätzen: Hier geht es um die Frage, wie wahrscheinlich ein Schaden eintreten kann. Manchmal können hier Erfahrungswerte helfen. Oft müssen Sie aber „Pi mal Daumen“ schätzen. 
  • Risiko-Matrix erstellen: Multiplizieren Sie den Schaden mit der Eintrittswahrscheinlichkeit (jeweils 1 = niedrig, 2 = mittel, 3 = hoch, 4 = sehr hoch), erhalten Sie eine objektive Einschätzung, die Ihnen beim Priorisieren hilft. 

Setzen Sie auf dieses Vorgehen 

Für risikoorientiertes Beraten gehen Sie wie folgt vor: 

Schritt 1: Überblick verschaffen 
Erfassen Sie alle relevanten Verarbeitungen und die wesentlichen Aspekte. Offene Fragen sollte es keine geben. 

Schritt 2: Risiken ausmachen und bewerten 
Analysieren Sie, welche Gefahren für Betroffene und Unternehmen bestehen. Leiten Sie daraus die Risiken ab. 

Schritt 3: Maßnahmen prüfen und einschätzen 
Risiken sollten möglichst auf ein niedriges Niveau gebracht werden. Hier kommen jedoch nicht nur technische Maßnahmen in Betracht. Manchmal sind die organisatorischen Maßnahmen die entscheidenden. Denken Sie etwa an die Awareness von Beschäftigten zum Schutz vor Phishing. 

Schritt 4: Empfehlungen aussprechen 
Schauen Sie, was zum jeweiligen Problem bzw. Risiko passt und möglichst effektiv wirkt. Setzen Sie auf das Zusammenspiel aus technischen und organisatorischen Maßnahmen. Haben Sie ein Auge auf Praktikabilität und Alltagstauglichkeit. 

Schritt 5: Umsetzung begleiten 
Stehen Sie bei der Umsetzung mit Rat und Tat zur Seite. Arbeiten Sie aber nicht mit dem erhobenen Zeigefinger. Beraten Sie auf kollegialer und vertrauensvoller Basis. 

Schritt 6: Verantwortliche informieren 
Die Umsetzenden sind nicht immer die Entscheider. Sprechen Sie also auch mit denen, die die Verantwortung tragen. Adressieren Sie auch dort Ihre Empfehlungen. 

Schritt 7: Beratung dokumentieren 
Halten Sie Ihre Bewertungen und Empfehlungen fest. Damit können Sie immer belegen, was Sie beraten haben. 

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Würtz
87
0
108
Andreas Würtz ist Rechtsanwalt und widmet sich in erster Linie Fragen aus dem Datenschutz- und Arbeitsrecht. Er ist zertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor und Krisenkommunikationsmanager. Seit 2005 […]

Ausgaben

Ausgaben

Datenschutz aktuell professional

Sonderausgabe: Tipps & Tricks rund um Ihre Beratung

·

30.07.2025

Inhaltsverzeichnis

Inhaltsverzeichnis

Art. 39 Abs. 2 DSGVO ist Ihre Orientierung  Setzen Sie auf dieses Vorgehen 

Mehr interessante Beiträge