Risikomanagement und Datenschutz – das ist wahre Liebe! Und tatsächlich können beide gar nicht mehr ohneeinander. Mach die Beziehung deshalb auch in deinen Unternehmen offiziell: In diesem Beitrag erklären wir dir, was es mit dem Risikobegriff rund um die DSGVO auf sich hat und warum Risikomanagement ohne Datenschutz nicht funktioniert.

Datenschutz-Management ist Risikomanagement

Beim Thema Risiko und Datenschutz denken Unternehmer:innen in erster Linie an Geschäftsrisiken – genauer gesagt, an ziemlich fette Bußgelder. Kein Wunder, denn Datenschutzverstöße werden von den Behörden teils mit drakonischen Strafen geahndet. So ist im Art. 83 DSGVO über die „allgemeinen Bedingungen für die Verhängung von Geldbußen“ von Zahlungen „bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ die Rede. Und tatsächlich, wer den Datenschutz stiefmütterlich behandelt, riskiert eine happige Strafzahlung. Das macht das Thema definitiv zum Geschäftsrisiko und Datenschutz zum Risikomanagement.

Ob und in welcher Form ein datenschutzrechtlicher Bußgeldtatbestand vorliegt, klärt Art. 83 Abs. 2 DSGVO. Dieser nennt buchstabenweise zahlreiche Punkte, die Behörden bei der der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag berücksichtigen. Dazu zählen beispielsweise die Art, Schwere und Dauer des Verstoßes und ob es sich um eine vorsätzliche oder fahrlässige Verarbeitungstätigkeit handelt. Ganz nebenbei gibt der Absatz jedoch auch einen Lichtblick: So berücksichtigen Behörden bei der Bußgeldkalkulation unter anderem den …

(d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen.

Bedeutet: Technische und organisatorische Maßnahmen (TOM) zu implementieren, mildert Risiken und unter Umständen das potenzielle Strafmaß. Juristen sprechen hier von „mitigieren“. Alright, das klingt ja schon nach Risikomanagement. Dann einfach ein paar TOM einführen, das Ganze dokumentieren und fertig? So einfach ist es leider nicht. Tatsächlich schießt der Einsatz von TOM in vielen Unternehmen am Ziel vorbei.

Während das Risikomanagement bei Art. 83 Abs. 2 Buchstabe d üblicherweise aufhört und man das Thema zufrieden an den:die Datenschutzverantwortliche:n weitergibt, geht es mit dem Datenschutzmanagement erst bei der Dokumentation so richtig los – dies allerdings in vielen Fällen mit Maßnahmen, die sich überhaupt nicht ausreichend auf die eigentlichen Geschäftsrisiken auswirken. Welche konkreten Fälle – und somit reale Bußgeldrisiken – lassen sich denn mit welchen TOM beeinflussen? Und wer sagt, dass die getroffenen Maßnahmen dafür ausreichend sind? In der Praxis bleiben diese Fragen (leider) oft unbeantwortet.

Risikomanagement und Datenschutz: Eine Frage der einheitlichen Spezifikation

Datenschutzmanagement will die Risiken für die Verletzung der Rechte und Freiheiten natürlicher Personen in Bezug auf deren personenbezogene Daten mit geeigneten Maßnahmen minimieren. Und genau das wirkt sich ganz konkret auf potenzielle Geschäftsrisiken und Bußgelder aus. Je geringer die Risiken sind, gegen geltendes Datenschutzrecht zu verstoßen, desto geringer sind schlussendlich die Risiken für das Unternehmensgeschäft. Der Hebel dafür sind entsprechend effiziente TOM und ein umfassender Überblick.

Doch selbst beim Überblick hapert es in der Praxis. Der Grund: Das Datenschutzmanagement läuft zumeist irgendwie parallel zur eigentlichen Geschäftstätigkeit eines Unternehmens. Es gibt zwar oft eine vorbildliche Datenschutz-Folgenabschätzung (DS-FA) und daraus abgeleitete TOM, diese wird jedoch für Risikomanager:innen im geschäftlichen Bereich eher als Doppelarbeit angesehen. Geschäftsrisiken und Datenschutzrisiken haben keinen gemeinsamen Datenbestand und TOM somit keinerlei Bezug zum Geschäft – Single Source of Truth vorhanden? Leider nein!

Da muss man doch was machen:

Wie du Risikomanagement und Datenschutzmanagement erfolgreich vereinst

Die Lösung klingt so einfach wie genial: dein Unternehmen muss Betroffenenrisiken zentral managen. Nur so lassen sich gleichzeitig die Anforderungen der DSGVO und ein ganzheitlich gedachtes geschäftliches Risikomanagement betreiben. Möglich ist dies mittels zweier Ansätze:

Das Vorgehen auf der grünen Wiese bei kleinen und mittleren Unternehmen

Risikomanagement Ansatz

Kleine und mittlere Unternehmen beginnen direkt mit der Identifikation der Risiken und erstellen auf dieser Grundlage zunächst allgemeine TOM. Im Verzeichnis für Verarbeitungstätigkeiten (VVT) und in der DS-FA lässt sich dann das bereits erarbeitete Maßnahmenpaket aufgreifen. Der Vorteil: Die Doppelarbeit zwischen Risikomanagement und Datenschutzmanagement entfällt und die echten Risiken für die datenschutzbezogenen Betroffenenrechte sowie für das unternehmerische Geschäft werden von Anfang an gemeinsam angegangen. Besonders praktisch: Die oft vernachlässigte Frage nach der Angemessenheit der TOM ist direkt beantwortet und somit die Rechenschaftspflicht erfüllt!

Nachteil: Auf der grünen Wiese konzipieren unerfahrene Teams schnell unspezifische Bedrohungsszenarien, aber dafür gibt es Ansatz 2.

Der praktische Ansatz für große und kleine Unternehmen

Risikomanagement Ansatz zwei

Wie im vorangegangenen Ansatz beschrieben, sollten Bedrohungsszenarien spezifisch sein, um aussagekräftige Datenschutzrisiken für Betroffene zu identifizieren. Dies gelingt am einfachsten direkt bei der Dokumentation einer Verarbeitungstätigkeit (VT). In der Praxis erleichtert die Frage nach den Datenschutzrisiken einer VT gleich zwei Dinge: Erstens verstehen Fachbereiche den Sinn hinter der VT-Dokumentation und zweitens fällt es allen Verantwortlichen einfacher, konkrete Herausforderungen/Risiken (und später auch Lösungen/TOM) zu identifizieren. Dabei werden gleichzeitig das Risikomanagement und die allgemeinen TOM wieder gefüllt. Doppelarbeit wird so vermieden und der Datenschutz hilft agil und praxisorientiert im Unternehmen mit. Die Frage, wofür die Dokumentation erstellt wird, entfällt.

Bitte nicht falsch verstehen: Wir schlagen nicht vor, bei jeder VT eine Datenschutz-Folgenabschätzung (DS-FA) nach Art. 35 DSGVO durchzuführen! Diese bleibt natürlich jenen VT vorbehalten, die zum Beispiel durch automatische Schwellwertanalysen hohe Risiken für die Rechte und Freiheiten von Betroffenen aufweisen.

Wer allerdings innerhalb des „täglich Brot“ schon seine Hausaufgaben macht, muss nicht nachsitzen. Vorteil: Es entsteht kontinuierlich eine konsistente Dokumentation von VT und TOM:

  • VVT: Check
  • TOM: Check
  • Risikomanagement: Check.
  • Nachweis der Rechenschaftspflicht: auch Check.
  • Fachbereiche, die das alles für sinnvoll halten: Doppel-Check!

Jetzt Datenschutz und Risikomanagement verkuppeln

Wenn Datenschutz und Risikomanagement bald heimlich bei euch im Office knutschen, hast du alles richtig gemacht. Beherzige deshalb unsere Tipps für ein ganzheitlich gedachtes Risikomanagement. In jedem Fall hilft dir unser Datenschutz-Tool caralegal dabei, das Datenschutzniveau bei euch auf einem Top-Level zu halten. Außerdem bringt du alle Abteilungen datenschutzrechtlich – und bald auch in puncto Risiko – an einen Tisch.