Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Artikel

Ständig den Datenschutz verbessern: Setzen Sie dafür auf diese 7 Schritte

Der Kölner Dom ist Ihnen bestimmt ein Begriff. Und bei dem ist es ähnlich wie beim Datenschutz. Ist man hinten mit den Baumaßnahmen fertig, kann man vorne wieder anfangen. Auch der Datenschutz im Unternehmen ist eine Dauerbaustelle. Immer gibt es etwas neu zu planen, zu bauen, zu reparieren oder zu verbessern. Und gerade wenn Sie die Dinge verbessern wollen, sollten Sie geschickt vorgehen.

Andreas Würtz

08.08.2025 · 6 Min Lesezeit

Verbessern ist immer eine gute Idee

Wenn Sie kurz darüber nachdenken, fallen Ihnen bestimmt einige Beispiele im Bereich Datenschutz ein, bei denen es in Ihrem Unternehmen nicht rundläuft. Doch warum es dabei belassen? Stellen Sie sich den Herausforderungen und machen Sie die Dinge besser.

Das hilft dem Datenschutz, Ihrem Unternehmen und Ihnen. Um fortlaufend besser zu werden oder Verbesserungen zu implementieren, befolgen Sie einfach die folgenden 7 Schritte: 

Schritt 1: Analysieren Sie die Istsituation

Wenn Sie die Datenschutzsituation im Unternehmen verbessern wollen, sollten Sie nicht einfach losmarschieren. Das birgt nämlich das Risiko, dass Sie in die falsche Richtung laufen, das Ziel aus den Augen verlieren oder irgendwann entnervt aufgeben.

Sie müssen die Dinge von Grund auf planvoll angehen. Und hierfür ist zunächst erforderlich, dass Sie die Situation analysieren. Ermitteln Sie den Istzustand für alle relevanten Aspekte.

Im Hinblick auf die Datenschutzsituation sollten Sie beispielsweise hier Licht ins Dunkel bringen: 

  • Verarbeitungen personenbezogener Daten 
  • Datenschutzprozesse 
  • Regelwerke und Vorschriften 
  • Stakeholder (z. B. Betroffene, Themenverantwortliche, Entscheider, Führungskräfte) und deren Interessen 
  • bestehende Ressourcen 
  • externe Einflussfaktoren 

Schritt 2: Ermitteln Sie den Sollzustand

Machen Sie sich zunächst Gedanken, was erreicht werden soll. So können Sie einen Idealzustand anstreben. Das ist aber unter Umständen nur erreichbar, wenn viel investiert wird, etwa auch Ihr Engagement, Ihre Zeit und Ihre Nerven.

Besser ist es meist, wenn Sie zunächst auf einen guten Sollzustand hinarbeiten. Dazu prüfen Sie, was die Datenschutz-Grundverordnung (DSGVO) vorsieht. Suchen Sie beispielsweise in einem PDF einfach nach „Verantwortliche“.

So finden Sie schnell alle Regelungen, die an den Verantwortlichen adressiert sind, und können leicht die Pflichten ausmachen. Leiten Sie daraus ab, was nötig ist, damit es keine Probleme gibt. Denken Sie hier beispielsweise an die folgenden Aspekte: 

  • Umsetzung und Nachweis der Umsetzung der Grundsätze der Verarbeitung (Art. 5 DSGVO) 
  • Umsetzungsmaßnahmen zur Einhaltung der DSGVO (Art. 24 Abs. 1 DSGVO) 
  • risikoangemessene Schutzmaßnahmen (Art. 32 DSGVO) 
  • vollständiges und aktuelles Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) 
  • Einbindung und Unterstützung des Datenschutzbeauftragten (Art. 38 DSGVO) 
  • geeignete Regelwerke und Prozesse 

Schritt 3: Identifizieren Sie die Lücken

Das läuft neudeutsch unter dem Schlagwort „Gap-Analyse“. Dabei handelt es sich einfach um den Abgleich zwischen Soll-und Istzustand. Haben Sie die Lücken identifiziert, müssen Sie die damit in Zusammenhang stehenden Risiken ausmachen und bewerten.

Das machen Sie einfach nach dem grundsätzlichen Prinzip „Schaden x Eintrittswahrscheinlichkeit = Risiko“.

Bewerten Sie diese Aspekte beispielsweise mit 1 für niedrig, 2 für mittel und 3 für hoch. Nach dem Multiplizieren haben Sie eine Rangfolge, was unter Risikoaspekten am ehesten angegangen werden sollte.

Übrigens: Damit Ihre späteren Aktivitäten noch zielgenauer werden und Sie Ihre Kapazitäten bestmöglich einsetzen, können Sie die Risiken auch noch priorisieren. Dazu bewerten Sie die Risiken nach Wichtigkeit und Dringlichkeit.

Nutzen Sie auch hier die bekannte Bewertungssystematik: 1 für niedrig, 2 für mittel und 3 für hoch. Nach dem Multiplizieren sehen Sie direkt, was besonders wichtig und dringlich ist. Diesen Risiken sollten Sie die größte Bedeutung beimessen und die größte Aufmerksamkeit widmen. 

Ernten Sie erst einmal die „low hanging fruits“ 
Bei aller Bewerterei sollten Sie eines nie aus den Augen verlieren: Manche Sachen sind mit wenig Aufwand ruckzuck erledigt.

Diese „niedrig hängenden Früchte“ sollten Sie als Erstes ernten. Denn damit können Sie nicht nur an manches schnell einen Haken machen. Sie haben positive Erlebnisse, die Sie auch bei den schwierigeren Dingen motivieren. 

Schritt 4: Klären Sie die Ursachen

Machen Sie ausfindig, warum es Lücken zwischen Soll und Ist gibt. Ein gut geeignetes und einfaches Mittel ist hier die 5-W-Methode, wobei das W für „Warum“ oder englisch „Why“ steht.

Fragen Sie bis zu fünfmal nach dem Warum, um den tatsächlichen Ursachen auf die Schliche zu kommen. 

Hier ein Beispiel: Bei der schriftlichen Verpflichtung zum Datenschutz rutschen immer einzelne Mitarbeiter durch.

Warum passiert das? Weil Führungskräfte das vergessen.

Warum passiert das? Weil dies nicht in der Eintrittscheckliste enthalten ist.

Warum passiert das? Weil die Personalabteilung sich sperrt.

Warum sperrt sie sich? Weil sie nicht von oben angewiesen wurde.

Warum ist das so? Weil der Geschäftsführer nichts davon weiß und vom Datenschutzbeauftragten nicht gebeten wurde. 

Betreiben Sie eine möglichst umfassende und gründliche Ursachensuche. Beschränken Sie sich dabei nicht nur auf Ihr Kernthema, den Datenschutz.

Lassen Sie insbesondere organisatorische, prozessuale und systembezogene Aspekte nicht außen vor. 

Schritt 5: Entwickeln Sie die erforderlichen Maßnahmen

Starten Sie hier mit einem Brainstorming. Meist gibt es nämlich verschiedene Ansätze, um ein Problem zu lösen. Eventuell ist es sinnvoll, wenn Sie hier auch Kollegen anderer Bereiche einbinden, wenn es Überschneidungen gibt.

Werden beispielsweise Berechtigungen ausgeschiedener Mitarbeiter zu spät entzogen, sollten Sie die IT-Abteilung und ggf. auch die Personalabteilung mit ins Boot nehmen. 

Versuchen Sie zudem, die Maßnahmen nachhaltig zu gestalten, damit das Problem gelöst und die Situation dauerhaft verbessert wird.

Dazu können Sie auf ein bewährtes Vorgehen setzen, den PDCA-Kreislauf. Die Abkürzung steht für verschiedene Schritte eines Zyklus: 

  • PLAN: Hier geht es darum, konkrete Maßnahmen und Aktivitäten festzulegen. Das kann auch Regeln und konkrete Anweisungen umfassen. Idealerweise wird auch ein Zeitplan definiert. 

  • DO: Damit ist das Machen gemeint, sprich die Umsetzung der vorgesehenen Maßnahmen und Aktivitäten. Hier sollte die Umsetzung so erfolgen, wie sie geplant wurde. Manchmal wird bereits hier schnell erkennbar, dass ein „guter Ansatz“ in der Realität nicht machbar ist. Anpassungen sind dann unerlässlich. 

  • CHECK: Die Umsetzung und Wirksamkeit der Maßnahmen und Aktivitäten müssen geprüft werden. Meist wird hier auch erst einmal die Umsetzung im Kleinen ausprobiert, bevor sie im ganzen Unternehmen geschieht.

    So vermeiden Sie, dass Hindernisse, Unzulänglichkeiten oder Probleme in der Praxis übersehen werden. Zudem sind Probleme im Kleinen leichter zu managen als bei einem großen Roll-out. 

  • ACT: Hier geht es um eine Art Qualitätscheck des ganzen Prozesses: Wurde alles so umgesetzt, dass der neue Istzustand sich mit dem Sollzustand deckt? Ist das nicht der Fall, wird der Kreislauf neu gestartet. Defizite sollten unbedingt behoben werden. 

Schritt 6: Gestalten und begleiten Sie die Umsetzung

Unter Umständen haben Sie bezüglich der Umsetzung der Maßnahmen oder Aktivitäten eher eine begleitende Rolle.

Schließlich liegt die Verantwortung für Umsetzungsmaßnahmen im Datenschutz in aller Regel beim Verantwortlichen und in der Folge bei den Führungskräften, Abteilungen und Mitarbeitern.

Doch nicht selten wird man auf Ihre Unterstützung setzen. Schließlich kennen Sie sich am besten mit allem rund um den Datenschutz aus. Stehen Sie also mit Rat und Tat zur Seite, schlagen Sie gleich zwei Fliegen mit einer Klappe.

Sie unterstützen die Kollegen, damit diesen die Umsetzung gelingt. Und zugleich sorgen Sie dafür, dass dem Datenschutz besser entsprochen wird. Das wiederum erleichtert Ihnen Ihre Arbeit als Datenschutzbeauftragter. 

Schritt 7: Wiederholen Sie das Ganze regelmäßig

Bedenken Sie stets: Die Zeit bleibt nicht stehen. Gerade Situationen, Rahmenbedingungen, Risiken und Herausforderungen unterliegen ständiger Veränderung.

Auch zeigt die Praxis immer wieder: Was heute funktioniert und perfekt zu sein scheint, kann sich morgen schon ganz anders darstellen.

Hier können veränderte Strukturen im Unternehmen oder einfach nur die Bequemlichkeit von Mitarbeitern dazu führen, dass auch gute und durchdachte Maßnahmen oder Prozesse nicht mehr funktionieren.

Daher: Wiederholen Sie immer wieder diese Schritte, um im Datenschutz fortlaufend besser zu werden. Am besten klappt das, wenn Sie andere Stellen hierbei einbinden. 

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Würtz
90
0
110
Andreas Würtz ist Rechtsanwalt und widmet sich in erster Linie Fragen aus dem Datenschutz- und Arbeitsrecht. Er ist zertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor und Krisenkommunikationsmanager. Seit 2005 […]

Ausgaben

Ausgaben

Datenschutz aktuell professional

AUG II 2025

·

08.08.2025

Inhaltsverzeichnis

Inhaltsverzeichnis

Verbessern ist immer eine gute Idee

Mehr interessante Beiträge