Geschäftsmann navigiert durch farbiges Labyrinth aus Dokumenten und Schlössern auf gelbem Pfad, Datensicherheitskonzept.

So wirst du den Datenschutzbeauftragten schnell los

Die 10-Punkte-Checkliste 

Von: Galina Leutenegger

Als IT-Projektleiter mit mehreren Jahren Erfahrung kannte er alle üblichen Katastrophen. Budget? Immer knapp. Leute? Immer krank. Dienstleister? Meistens unzuverlässig. Für all das hatte er Pläne. Plan B, Plan C, notfalls auch Plan Z. Aber diese Datenschutz-Geschichte? Die wurde langsam persönlich.

Eigentlich ist er voll auf Datenschutz-Linie. Niemand will heute noch mit personenbezogenen Daten um sich werfen wie mit Konfetti. Doch was als kleinere Rückfrage begann, entwickelte sich zur Hydra: Kaum war ein Kopf abgeschlagen, wuchsen zwei neue nach. Jedes Mal kam der Datenschutzbeauftragte mit einem leicht mitleidigen Blick und einer neuen Liste von Fragen um die Ecke, die auch die Entwickler nicht auf Anhieb beantworten konnten. Also folgten Rückfragen an den Software Hersteller und plötzlich stand zur Diskussion, das automatische Tracking – das Reporting-Herzstück der Software! – abzuschalten. Man kauft eine Software, zahlt einen stolzen Preis und dann lässt man sich für noch mehr Geld zentrale Funktionen wieder rausprogrammieren?

Diesmal musste er sich geschlagen geben. Aber eins stand fest: Beim nächsten Mal würde er vorbereitet sein. Wie bei einem Behördengang, von dem man weiß, dass er zäh wird. Wer aber alle Kästchen sauber ausgefüllt hat, ist schneller wieder draußen. Also alle Infos auf dem Silbertablett. Und dann soll der Datenschutzbeauftragte wieder verschwinden. Keine Hydra, keine Überraschung, kein Chaos in letzter Minute. Viel Arbeit? Ja. Aber genau so mag der IT-Projektleiter seine Projekte. Fast schon langweilig. Herrlich.

Die Datenschutz-Checkliste zur Einführung neuer Software ist als Gedankenstütze für den IT-Projektmanager entstanden – ein kompakter Fragenkatalog aus dem letzten Projekt, damit beim nächsten Roll-out nichts übersehen wird. Die aufgeführten Punkte können Schritt für Schritt beantwortet und die Ergebnisse dem Datenschutzbeauftragen vorlegt werden. Praktisch: Ein Teil der Liste kann direkt an den Softwareanbieter weitergegeben werden – Datenschutz ist schließlich kein Sonderwunsch.

1. Beschreibung und Zweck der Verarbeitung

  • Stelle die Beschreibung der Software in wenigen, klaren Sätzen dar. So, dass auch fachfremde Personen eine grundlegende Vorstellung davon erhalten, welche Tätigkeiten / Geschäftsprozesse durch die Software abgebildet werden. Maßgeblich ist, welcher Zweck erfüllt werden soll. Die pauschale Aussage, dass das System zur „Abarbeitung von Tickets“ dient, greift zu kurz. Sie bildet nicht die tatsächliche Vielfalt der darin abgebildeten Verarbeitungen ab.
Software Zweck(e) 
Newsletter-Versand-Tool Versand von Newslettern 
Digitale Personalakte Personaladministration, Vertragswesen, digitale Aktenführung und Archivierung, Abwesenheitsmanagement, Belegspeicherung für die Lohnabrechnung, etc. 
ITSM-Lösung Incident Management, Benutzerverwaltung, Asset Management, System-Monitoring, etc. 
  • Berücksichtige zudem, ob durch die Softwareeinführung bestehende Geschäftsprozesse verändert oder erweitert werden (z. B. automatisiertes Speichern von Bewerbungsunterlagen nach erfolgreicher Einstellung in der digitalen Personalakte). Auch die Erstellung von Reportings oder Business-Intelligence-Auswertungen mit personenbezogenen Daten ist als eigenständige Verarbeitung zu bewerten.

2. Personenbezogene Daten, Systemlandschaft und Datenflüsse

  • Erfasse systematisch, welche Kategorien personenbezogener Daten verarbeitet werden (z. B. Stammdaten, Kontaktdaten, Nutzungsdaten) und welche Personengruppen betroffen sind (z. B. Mitarbeitende, Kunden, Lieferanten).
  • Stelle anschließend den Datenfluss dar: Woher stammen die Daten? In welchem System werden sie verarbeitet? Gibt es System-Schnittstellen oder Synchronisationen?  Gibt es Altdaten, welche migriert werden? Werden die Daten aus anderen Quellen angereichert?
  • Bei komplexen Abläufen empfiehlt sich eine grafische Darstellung.

3. Rollen- und Berechtigungskonzept innerhalb der Software

  • Definiere, welche Nutzergruppen auf welche Daten zugreifen dürfen und zu welchem Zweck. Differenziere nach Zugriffsarten (z. B. Lesen, Schreiben, Löschen). Dokumentiere das Berechtigungskonzept rollenbasiert.
  • Beispiele: E-Commerce-Mitarbeitende dürfen Kundendaten einsehen, um Bestellungen auszuliefern. Kundenservice-Mitarbeitende dürfen diese zusätzlich bearbeiten, etwa zur nachträglichen Korrektur einer Adresse.

4. Externe Weiterleitung / Zugriffe

  • Externe Weiterleitungen und Zugriffe liegen vor, wenn Dienstleister personenbezogene Daten empfangen oder einsehen können. Bei SaaS-Lösungen ist z. B. ein Wartungs- oder Administrationszugriff des Anbieters üblich, wodurch potenziell ein Zugriff auf personenbezogene Daten besteht.
  • Prüfe, ob externe Dienstleister Zugriff auf personenbezogene Daten innerhalb der neuen Software erhalten und zu welchem Zweck. In solchen Fällen ist meist ein Datenschutzvertrag erforderlich. Datenschutzverträge folgen oft einem Standardmuster, Verhandlungen einzelner Positionen sind üblich und können je nach Anbieter zeitintensiv sein.

5. Datenübermittlung an Drittländer

  • Drittländer sind Staaten außerhalb des Europäischen Wirtschaftsraums (EWR), etwa die USA oder Indien. Prüfe sorgfältig, ob die Übermittlung wirklich erforderlich ist; bevorzuge europäische Anbieter, wenn möglich.
  • Ist ein Drittland unvermeidbar, binde frühzeitig den Datenschutzbeauftragten ein. Mögliche Instrumente zur Sicherstellung eines angemessenes Schutzniveaus sind z. B.  Ende-zu-Ende-Verschlüsselung mit EU-basierter Schlüsselverwaltung und Standardvertragsklauseln samt Transfer Impact Assessment.

6. Anwendungsspezifische Schutzmaßnahmen (TOMs)

  • Anwendungsspezifische technische und organisatorische Maßnahmen (TOMs) dienen dem wirksamen Schutz personenbezogener Daten in der neuen Software. Diese können zunächst vom Softwareanbieter vorgeschlagen und anschließend gemeinsam mit dem Datenschutzbeauftragten festgelegt werden.
  • Typische Beispiele sind: Datenschutz-Schulungen, Need-to-know-Prinzip, Zugangs- und Zugriffskontrollen, Protokollierung, Verschlüsselung, Lösch- oder Archivierungsfunktionen sowie Anonymisierung bei Auswertungen. Dokumentiere die umgesetzten Maßnahmen systembezogen.

7. Achtung Testdaten

  • Die Verwendung von Echtdaten zu Testzwecken ist grundsätzlich unzulässig, es sei denn, es liegt eine Rechtsgrundlage vor. Verwende stattdessen anonymisierte oder synthetische Testdaten.
  • Stelle sicher, dass ausschließlich in einer separaten Testumgebung getestet wird und sich somit keine Testdaten im Produktivsystem befinden.

8. Lebenszyklus und Löschung der Daten

  • Alle Personenbezogene Daten müssen irgendwann gelöscht oder anonymisiert werden. Dies stellt eine zentrale technische Anforderung an die eingesetzte Software dar. Der Zeitpunkt der Löschung ist für jede Datenkategorie im Rahmen eines Löschkonzepts festzulegen. Dieses wird in der Regel durch das Datenschutzteam erstellt und orientiert sich an gesetzlichen Aufbewahrungsfristen. Ergänzend erfolgt häufig ein Abgleich mit dem Fachbereich, um interne Geschäftsprozesse oder berechtigte Interessen zu berücksichtigen.
  • Prüfe, ob die Löschung automatisiert im System erfolgen kann oder ob sie manuell durchgeführt werden muss. Gegebenenfalls ist der Softwareanbieter in die Umsetzung einzubeziehen. Ist eine Archivierung als Zwischenschritt vorgesehen? Stelle zudem sicher, dass Löschvorgänge systemübergreifend ablaufen.

9. Umsetzung von Betroffenenrechten

  • Die Software muss in der Lage sein, Betroffenenrechte gemäß Art. 15–22 DSGVO technisch zu unterstützen. Dazu zählen insbesondere Auskunft, Berichtigung, Löschung und Einschränkung. Diese Anforderungen gelten zusätzlich zur regulären Datenlöschung.
  • Prüfe daher, ob und wie diese Prozesse im System umgesetzt werden können: Können personenbezogene Daten auf Anfrage vollständig gelöscht oder zumindest gesperrt werden, wenn eine Löschung aufgrund gesetzlicher Pflichten nicht zulässig ist? Ist die Umsetzung systemübergreifend sichergestellt?
  • Für Auskunftsersuchen sollte eine vollständige, automatisierte Auswertung aller betroffenen Daten möglich sein. Idealerweise erfolgt die Auswertung in Form eines standardisierten Reports und erspart somit aufwendige manuelle Datenbankrecherchen.

10. Zeit für Folgeschritte einplanen

  • Auf Basis der oben erwähnten Angaben ergeben sich oft datenschutzrechtliche Folgemaßnahmen, die teilweise vom Datenschutzteam, teilweise aber auch von dir als verantwortliche Projektleitung umzusetzen sind. Dazu gehören beispielsweise der Abschluss von Datenschutzverträgen, die Durchführung von Risiko- oder Interessenabwägungen oder die Anpassung der Datenschutzhinweise.
  • Teilweise können auch konzeptionelle Maßnahmen notwendig sein. Etwa, ob das geplante Vorgehen eine Einwilligung der betroffenen Personen erfordert oder ob bestimmte Funktionen wie z. B. eine Löschroutine technisch implementiert werden müssen.
  • Gerade Letzteres kann zusätzliche Abstimmungen mit dem Fachbereich oder dem Softwareanbieter erforderlich machen. Plane daher ausreichend Zeit für diese Schritte ein.
Portrait Galina Leutenegger

Über die Autorin: Galina Leutenegger

Galina Leutenegger ist Expertin darin, komplexe Sachverhalte einfach und verständlich zu erklären. Sie ist studierte Wirtschaftsingenieurin und übernimmt als Interim-Managerin die Steuerung von Datenschutz- sowie Business-Transformation-Projekten.

Diese Beiträge könnten dich auch interessieren: