Risikomanagement im Datenschutz:
Der 5-Schritte-Praxisleitfaden (2025)

Datenschutzmanagement birgt in seinem Kern das Risikomanagement. Dies ergibt sich aus der Datenschutz-Grundverordnung selbst: sie verlangt, Risiken für die Rechte und Freiheiten betroffener Personen zu erkennen, zu bewerten und mit angemessenen Maßnahmen zu reduzieren. Datenschutz ist somit Teil eines fortlaufenden Risikoprozesses mit unmittelbarer Wirkung auf die Unternehmenspraxis.

Der Schlüssel zu einem stabilen Risikomanagement im Datenschutz besteht darin, die Brücke zwischen Verarbeitungstätigkeiten (VVT) und technischen und organisatorischen Maßnahmen (TOM) zu schlagen. In vielen Unternehmen werden diese Elemente jedoch noch isoliert voneinander betrachtet: 

Datenschutzdokumentation auf der einen Seite, Risikomanagement-Maßnahmen auf der anderen. Das führt dazu, dass Risiken und Maßnahmen ohne gegenseitigen Bezug nebeneinander bestehen - ein Zustand, der in heutzutage nicht mehr praktikabel ist.

Ein integrierter Ansatz aus Datenschutz und Risikomanagement dagegen sorgt für Konsistenz. Wenn Risiken, Gewährleistungsziele und TOM miteinander verknüpft sind, entsteht eine nachvollziehbare Logik: Jede Maßnahme zahlt auf ein konkretes Gewährleistungsziel ein, jede Risikoevaluierung ist sauber dokumentiert. So entsteht ein belastbares System, das nicht nur aufsichtsbehördlichen Prüfungen standhält, sondern auch operativ funktioniert.

Der folgende Leitfaden führt Sie Schritt für Schritt durch die Phasen eines integrierten Risikomanagements: von der Erfassung über die Bewertung von Risiken bis hin zur Ableitung wirksamer technischer und organisatorischer Maßnahmen.

Am Anfang des Risikomanagements im Datenschutz steht die Risikoidentifikation und die Frage: Wovor wollen wir uns bzw. die betroffenen Personen schützen?

Die Suche nach der Antwort beginnt im Verzeichnis von Verarbeitungstätigkeiten, denn hier ist beschrieben, welche Daten wie, durch wen und zu welchem Zweck verarbeitet werden. Auf dieser Basis lassen sich für jeder Verarbeitungstätigkeit die Gewährleistungsziele ableiten, die sich aus den Grundsätzen aus Art. 5 DSGVO ergeben: 

• Vertraulichkeit, 
• Integrität, 
• Verfügbarkeit, 
• Transparenz, 
• Intervenierbarkeit, 
• Nichtverkettung und 
• Datenminimierung. 

Sie bilden den inhaltlichen Rahmen, in dem Risiken identifiziert werden.

Ein Beispiel aus der Praxis verdeutlicht den Ansatz:
Ein Unternehmen nutzt eine Software für den Newsletter. Wird zusätzlich (ohne vorherige Abklärung der damit einhergehenden Risiken) ein Feld für Kreditkartennummern eingeführt, ist die Datenminimierung verletzt. Fällt das E-Mail-Tool aus, leidet die Verfügbarkeit. Gelangen unverschlüsselte Adresslisten in falsche Hände, ist die Vertraulichkeit kompromittiert. Und wenn die Datenschutzerklärung unklare Informationen enthält, birgt dies ein potenzielles Risiko für die Transparenz.

Risikoidentifikation heißt also, mögliche Bedrohungsszenarien systematisch zu erfassen und dabei stets den Blick auf die betroffenen Gewährleistungsziele zu halten.

Um eine solide Faktenlage zu erhalten, helfen strukturierte Methoden, wie Workshops mit Fachbereichen bzw. FachexpertInnen sowie die Heranziehung von vorgefertigten Datenschutzrisiko-Katalogen.

Wenn die Risiken identifiziert wurden, folgt als nächster Schritt die Risikoanalyse mit der Kernfrage: Wie entstehen Risiken im Detail?

Dabei können Risiken anhand von zwei Kategorien untersucht werden: Bedrohungen und Schwachstellen.

1. Bedrohungen sind Ereignisse oder Umstände, die Schäden verursachen können, z. B. ein technisches Versagen, menschliche Fehlhandlungen oder äußere Einflüsse wie höhere Gewalt.
2. Schwachstellen dagegen sind die systeminternen oder organisatorischen Faktoren, die eine Bedrohung erst ermöglichen. Ein fehlendes Berechtigungskonzept, unklare Verantwortlichkeiten oder veraltete Software sind klassische Schwachstellen. 

Die Analyse hat zum Ziel, die Risikokonstellation greifbarer zu machen: Welche Kombination aus Bedrohung und Schwachstelle kann zu welchem Schaden führen und auf welches Gewährleistungsziel wirkt sich das aus?

Ein Beispiel aus der Praxis: 
Der unbefugte Zugriff auf Daten in einem CRM-System verletzt das Gewährleistungsziel der Vertraulichkeit. Mögliche Bedrohungen könnten Phishing-Attacken oder die unbefugte Weitergabe von Passwörtern sein. Schwachstellen könnten hingegen eine schwache Passwort-Policy sowie das Fehlen einer 2-Faktor-Authentifizierung sein.

In der Risikoanalyse geht es also darum, die Ursachen, Mechanismen und Zusammenhänge potentieller Risiken zu verstehen.

1. Geringfügig Schaden kann nach derzeitigem Erwartungshorizont nicht eintreten.
2. Überschaubar Schaden kann zwar eintreten, aus bislang gemachten Erfahrungen bzw. aufgrund der gegebenen Umständen scheint der Eintritt aber unwahrscheinlich zu sein.
3. Substanziell Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände zwar möglich, aber nicht sehr wahrscheinlich zu sein.
4. Groß Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände möglich und sehr wahrscheinlich zu sein.

1. Geringfügig Betroffene erleiden eventuell Unannehmlichkeiten, die sie aber mit einigen Problemen überwinden können.
2. Überschaubar Betroffene erleiden eventuell signifikante Unannehmlichkeiten, die sie aber mit einigen Schwierigkeiten überwinden können.
3. Substanziell Betroffene erleiden eventuell signifikante Konsequenzen, die sie nur mit ernsthaften Schwierigkeiten überwinden können.
4. Groß Betroffene erleiden eventuell signifikante oder sogar unumkehrbare Konsequenzen, die sie nicht überwinden können.

Dabei können die einzelnen Felder der Risikomatrix in einen Risikoindex zusammengefasst werden:

• Rot: Hohes Risiko
• Gelb: Normales / Mittleres Risiko
• Grün: Geringes Risiko

Nachdem nun die Risikobewertung abgeschlossen wurde, definiert die anschließende Risikobehandlung, wie Risiken wirksam mitigiert werden können.

Die Herausforderung besteht nun darin, die TOM so zu wählen, dass sie das jeweilige Gewährleistungsziel direkt stärken.

Bei der Auswahl passender TOM sollten Verantwortliche zwei Handlungsebenen zusammendenken:

Die erste Ebene betrifft die technischen Maßnahmen - also alles, was die Sicherheitssysteme unmittelbar stärkt: Backups, Verschlüsselung, Zugriffskontrollen usw. Diese Maßnahmen haben einen direkten Einfluss auf die Eintrittswahrscheinlichkeit technischer Risiken.

Die zweite Ebene umfasst prozessuale und organisatorische Optimierungen. Dazu zählen etwa klare Rollen- und Verantwortlichkeitskonzepte, definierte Freigabeprozesse, Schulungen oder regelmäßige Überprüfungen von Datenflüssen. Risikobewusste Prozessanpassungen sorgen dafür, dass Datenschutz nicht nur technisch umgesetzt, sondern im Arbeitsalltag der Menschen integriert wird.

Wirkungsvolle TOM sind keine isolierten Maßnahmen mit reinem Selbstzweck. Erst wenn Risiken, technische und organisatorische Maßnahmen und Gewährleistungsziele miteinander aktiv in Beziehung stehen, entsteht ein schlüssiges System, das sowohl in der Compliance als auch im operativen Betrieb trägt.

Die folgenden Beispiele zeigen, wie Gewährleistungsziele in den direkten Kontext mit TOM gestellt werden:

• Wenn die Verfügbarkeit von Daten gefährdet ist, helfen redundante Systeme, regelmäßige Backups und klar definierte Wiederanlaufzeiten.
• Bei Risiken für die Integrität stehen Prüfsummen, Rechte- und Rollenkonzepte oder Vier-Augen-Prinzipien im Vordergrund. 
• Die Vertraulichkeit wiederum erfordert Verschlüsselung, Zugriffsbeschränkungen und Schulungen zur Sensibilisierung von Mitarbeitenden. 
• Transparenz lässt sich durch Audit-Protokolle oder nachvollziehbare Dokumentation sicherstellen, während 
• Intervenierbarkeit und Nichtverkettung durch saubere Datenstrukturen, Pseudonymisierung und Trennung von Verarbeitungskontexten gefördert werden.
• Datenminimierung kann gewährleistet werden, in dem nur die Daten erfasst werden, die für den Zweck erforderlich sind, etwa durch reduzierte Pflichtfelder in Formularen oder automatische Löschung nach Zweckfortfall.

Ergänzend können die SDM-Bausteine herangezogen werden, die im Rahmen des Standard-Datenschutzmodells (SDM) von der Datenschutzkonferenz (DSK) veröffentlicht wurden. Sie bieten eine praxisnahe Grundlage, um technische und organisatorische Maßnahmen gezielt einzusetzen.

Risikomanagement endet nicht mit der Festlegung und anschließenden Umsetzung von TOM. Im Gegenteil: Im Anschluss daran gilt es zu prüfen, ob die getroffenen Maßnahmen tatsächlich zu einer Risikoreduktion geführt haben. 

Schritt 5 stellt die finale Risikobewertung dar. Dieser zweite Bewertungsdurchlauf, in dem das sog. Restrisiko bzw. Nettorisiko evaluiert wird, soll den Nachweis dafür erbringen, dass die Risiken auf ein akzeptables Maß reduziert wurden. Das Restrisiko beschreibt das Risiko, nachdem alle angemessenen TOM umgesetzt wurden.

So werden nun für die mitigierten Risiken erneut die Eintrittswahrscheinlichkeit und Schadenshöhe bewertet.

Ein Fokus sollte hier auf der Nachvollziehbarkeit liegen: Aufsichtsbehörden sollten erkennen können, wie das Unternehmen zu seiner Risikoeinschätzung gelangt ist.

Darüber hinaus empfiehlt es sich, die operative Wirksamkeit der TOM regelmäßig zu überprüfen: sei es im Rahmen von internen Audits, Fachbereichsreviews oder Auditrechten in Auftragsverhältnissen. Dabei geht es nicht nur um technische Prüfungen, sondern auch um organisatorische Fragen: Werden Richtlinien eingehalten? Sind Zuständigkeiten klar geregelt? Wird das Bewusstsein der Mitarbeitenden aufrechterhalten?

Die finale Risikobewertung ist keine einmalige Handlung, sondern ein Kreislauf: Neue Projekte, Systeme oder rechtliche Änderungen sollten stets eine Aktualisierung des Risikomanagements mit sich bringen.

Risikomanagement muss integraler Bestandteil des Datenschutzmanagements sein. Nur wenn Risiken systematisch identifiziert, bewertet und behandelt werden, lässt sich auch der Datenschutz wirksam gestalten. Ein integriertes Vorgehen ist hier der Schlüssel zum Erfolg: Risiken, Gewährleistungsziele und technische und organisatorische Maßnahmen werden in einem konsistenten System miteinander verbunden.

Gleichzeitig zeigt sich in der Praxis, dass ein solches System nur dann langfristig trägt, wenn es kontinuierlich gepflegt und überprüft wird. Digitale Unterstützung kann diesen Prozess erheblich erleichtern. Denn Risikomanagement braucht Struktur: klare Bewertungsmuster, nachvollziehbare Risiko- und Maßnahmenvorlagen sowie eine zentrale Verwaltung. 

Was in Tabellen und Einzeldokumenten schnell unübersichtlich wird, lässt sich in spezialisierten Datenschutzmanagement-Lösungen wie caralegal zuverlässig abbilden. So entsteht aus einer komplexen regulatorischen Anforderung ein gelebter, dokumentierter Prozess.