Datenschutz ist für Unternehmen längst kein Randthema mehr. Wer personenbezogene Daten verarbeitet, bewegt sich nicht nur in einem durchregulierten Rechtsrahmen, sondern in einem Haftungs- und Sanktionsumfeld, das organisatorische Schwächen schonungslos offenlegt. Die neuere Rechtsprechung des Europäischen Gerichtshofs hat diese Entwicklung nicht erst eingeleitet, wohl aber deutlich zugespitzt. Sie macht unmissverständlich klar, dass Verantwortliche die DSGVO nicht nur formal beachten, sondern die Einhaltung ihrer Vorgaben strukturell sicherstellen und im Streitfall auch belegen können müssen.

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erschöpft sich nicht in einer sauber geführten Ablage und auch nicht in einer Sammlung von Musterdokumenten. Wer Datenschutz heute gerichtsfest organisieren will, muss Prozesse, Zuständigkeiten, Kontrollmechanismen und technische Schutzvorkehrungen so aufsetzen, dass Rechtsverstöße nach Möglichkeit verhindert werden. Datenschutz-Compliance ist damit keine Frage punktueller Reaktion mehr, sondern eine Führungs- und Organisationsaufgabe.

Für Unternehmen ist das von erheblicher Tragweite. Die Gerichte lesen die Begriffe „Verantwortlichkeit“ und „Rechenschaftspflicht“ mittlerweile mit bemerkenswerter Strenge. Das betrifft nicht nur die klassische Dokumentation datenschutzrechtlicher Pflichten, sondern reicht in die Gestaltung von IT-Systemen, in den Umgang mit Dienstleistern, in konzerninterne Datenflüsse und in die praktische Durchsetzung von Betroffenenrechten hinein. Wer hier keine tragfähige Struktur geschaffen hat, gerät rasch in eine ungünstige Position.

Die zentrale Frage lautet daher nicht mehr, ob Unternehmen Datenschutz organisieren müssen. Die Frage lautet, wie dies mit vertretbarem Aufwand, aber zugleich belastbar und prüffähig geschehen kann. Genau hier setzt ein Datenschutzmanagementsystem (DSMS) an. Es übersetzt abstrakte Normen in eine verlässliche Organisationsstruktur und schafft damit das, was die Rechtsprechung immer deutlicher verlangt: nachweisbare, wirksame und fortlaufend überprüfte Datenschutz-Compliance.

Die Rechenschaftspflicht ist längst zu einer Organisationspflicht geworden

Art. 5 Abs. 2 DSGVO enthält auf den ersten Blick einen schlichten Satz. Der Verantwortliche ist für die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO verantwortlich und muss deren Einhaltung nachweisen können. Liest man diese Vorschrift isoliert, lässt sie sich noch als Dokumentationsgebot missverstehen. Im Zusammenspiel mit Art. 24 DSGVO ergibt sich jedoch ein deutlich anspruchsvolleres Bild. Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der Verordnung erfolgt. Schon der Gesetzestext belässt es also nicht bei einer bloßen Pflicht zur rechtmäßigen Verarbeitung. Er verlangt ein System, das Rechtmäßigkeit absichert und sichtbar macht.

Der EuGH hat diese Linie in den vergangenen Jahren weiter geschärft. In der Entscheidung C-175/20 („SS“ SIA/Valsts ieņēmumu dienests) hat er hervorgehoben, dass die in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze nicht nur materiell einzuhalten sind, sondern dass der Verantwortliche deren Beachtung auch darlegen können muss. Das ist keineswegs eine dogmatische Randbemerkung. Es hat die praktische Lage von Unternehmen ganz erheblich verändert. Wer personenbezogene Daten verarbeitet, darf sich nicht darauf verlassen, dass die Gegenseite die Rechtswidrigkeit im Einzelnen schon nicht beweisen werde. Vielmehr wächst der Druck, eigene Entscheidungs- und Kontrollstrukturen so zu dokumentieren, dass sich Rechtmäßigkeit substanziiert verteidigen lässt.

Noch weiter geht die Entscheidung C-129/21 (Proximus) vom 27. Oktober 2022. Dort spricht der EuGH ausdrücklich von allgemeinen Rechenschafts- und Compliance-Pflichten. Vor allem aber formuliert er, dass Verantwortliche geeignete Maßnahmen zu ergreifen haben, um Verstößen gegen die DSGVO vorzubeugen. Diese Passage verdient besondere Aufmerksamkeit. Sie verlagert den Schwerpunkt weg von der bloßen Reaktion auf bereits eingetretene Datenschutzverstöße hin zur präventiven Organisation rechtmäßiger Datenverarbeitung. Mit anderen Worten beginnt Datenschutz-Compliance nicht erst mit der Anfrage der Aufsichtsbehörde, einer Datenpanne oder einem Löschbegehren. Sie beginnt in der Organisationsentscheidung des Unternehmens selbst.

Für die Praxis ist das eine Zäsur. Datenschutz wird damit noch deutlicher als Teil ordnungsgemäßer Unternehmensorganisation verstanden. Das ist im Gesellschaftsrecht oder der Corporate Compliance kein fremder Gedanke. Neu ist jedoch, mit welcher Deutlichkeit der EuGH diese präventive Compliance-Pflicht unmittelbar aus der DSGVO selbst herleitet. Unternehmen können sich daher immer weniger darauf zurückziehen, die Verordnung enthalte an vielen Stellen nur allgemeine Programmsätze. Gerade diese allgemeinen Normen werden inzwischen mit konkretem organisatorischem Gehalt aufgeladen.

Verantwortung endet nicht an der Grenze des eigenen Unternehmensbereichs

Besonders anspruchsvoll wird diese Entwicklung dort, wo Datenverarbeitungen nicht isoliert, sondern in Ketten, Plattformstrukturen oder arbeitsteiligen Prozessen stattfinden. Das o.g. Urteil des EuGH C-129/21 ist dafür ein prägnantes Beispiel. Der Gerichtshof hatte über die Frage zu entscheiden, welche Folgen der Widerruf einer Einwilligung in einer Verarbeitungskette mehrerer Beteiligter auslöst. Seine Antwort ist für Unternehmen von erheblicher Bedeutung. Wer in einer solchen Kette als Verantwortlicher agiert, darf die praktische Wirksamkeit des Widerrufs nicht dadurch leerlaufen lassen, dass andere Beteiligte uninformiert bleiben. Vielmehr können aus Art. 5 Abs. 2 DSGVO und Art. 24 DSGVO eigene Pflichten folgen, andere Beteiligte über die Ausübung von Betroffenenrechten zu informieren.

Der dogmatische Gehalt dieser Entscheidung reicht weit über den Einzelfall hinaus. Der EuGH gewinnt diese Pflichten gerade nicht nur aus den Vorschriften über die gemeinsame Verantwortlichkeit. Er behandelt sie vielmehr als Ausdruck eigenständiger Verantwortung des jeweiligen Verantwortlichen. Darin liegt eine klare Absage an jede Form organisierter Verantwortungsdiffusion. Unternehmen können sich künftig noch schwerer darauf berufen, für bestimmte Folgen einer Verarbeitung nicht zuständig zu sein, weil Datenflüsse arbeitsteilig organisiert oder vertraglich auf mehrere Beteiligte verteilt worden sind.

Für die unternehmerische Praxis ist dies von erheblicher Sprengkraft. Viele Datenverarbeitungen sind heute technisch und organisatorisch verflochten. Kundendaten fließen durch CRM-Systeme, Newsletter-Tools, Analyseplattformen, externe Dienstleister, Supportsysteme und konzerninterne Strukturen. Im Personalbereich bestehen Schnittstellen zu Bewerbermanagementsystemen, Payroll-Dienstleistern, KI-Systemen und Cloud-Plattformen. Im Marketing stützen sich ganze Prozessketten auf Einwilligungen, die an einer Stelle eingeholt und an anderer Stelle genutzt werden. Gerade in solchen Konstellationen reicht es nicht, isolierte Einzeldokumente vorzuhalten. Erforderlich ist ein funktionsfähiges Steuerungsmodell.

Die europäische Datenschutzaufsicht bestätigt diese Tendenz. Auch die neueren Stellungnahmen und Leitlinien des Europäischen Datenschutzausschusses verdeutlichen, dass Verantwortliche Auswahl, Einbindung und Kontrolle externer Verarbeiter risikobasiert organisieren und dokumentieren müssen. Vertragsmuster allein schaffen noch keine belastbare Compliance. Entscheidend ist, ob das Unternehmen die tatsächlichen Datenflüsse, die eingesetzten Dienstleister, die Unterauftragsverhältnisse und die zugehörigen Kontrollmechanismen auch im Alltag beherrscht.

Was Unternehmen heute tatsächlich leisten müssen

Die eigentliche Herausforderung liegt darin, die rechtlichen Anforderungen in eine handhabbare Unternehmenspraxis zu übersetzen. Die DSGVO verlangt keine abstrakte Perfektion. Sie verlangt aber eine nachvollziehbare, risikoorientierte und wirksame Datenschutzorganisation.

Am Anfang steht stets Transparenz über die eigenen Verarbeitungsvorgänge. Ein Unternehmen, das nicht zuverlässig sagen kann, welche personenbezogenen Daten es zu welchen Zwecken verarbeitet, auf welcher Rechtsgrundlage dies geschieht, an wen Daten weitergegeben werden und wann sie zu löschen sind, hat keine tragfähige Grundlage für Datenschutz-Compliance. Das Verzeichnis der Verarbeitungstätigkeiten ist deshalb weit mehr als eine lästige Pflichtübung. Es ist die operative Bestandsaufnahme der datenschutzrechtlichen Realität im Unternehmen. Fehlt diese Grundlage oder ist sie veraltet, geraten alle nachgelagerten Prozesse ins Wanken.

Ebenso zentral ist die risikoorientierte Ausgestaltung der Maßnahmen. Art. 24 DSGVO knüpft ausdrücklich an Art, Umfang, Umstände und Zwecke der Verarbeitung sowie an die Risiken für die Rechte und Freiheiten betroffener Personen an. Ein Unternehmen muss daher nicht alles gleich behandeln. Es muss aber belastbar begründen können, weshalb bestimmte Maßnahmen für bestimmte Verarbeitungen angemessen sind und andere nicht. Gerade hier zeigt sich, ob Datenschutz im Unternehmen gesteuert wird oder nur zufällig stattfindet. Wer Risiken nicht ermittelt, kann Maßnahmen nicht passgenau festlegen. Und wer Maßnahmen nicht begründet, wird sie im Ernstfall schwer verteidigen können.

Hinzu tritt der Aspekt des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Auch insoweit ist die Rechtslage klarer geworden. Datenschutz darf nicht erst am Ende eines Projekts „mitgeprüft“ werden. Er gehört an den Anfang. Wer neue Software einführt, ein digitales Produkt entwickelt, ein Bewerberportal aufsetzt, KI-Funktionen integriert oder interne Reportingstrukturen umbaut, muss Datenschutzanforderungen frühzeitig in das Projekt einarbeiten. Geschieht dies nicht, werden Rechtsverstöße häufig systemisch angelegt. Gerade dann ist ihre spätere Korrektur besonders teuer und in manchen Fällen nur mit erheblichem Reputationsschaden möglich.

Ein weiterer neuralgischer Punkt sind Betroffenenrechte. Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch und Widerruf lassen sich rechtlich nur dann wirksam bewältigen, wenn das Unternehmen intern klare Abläufe definiert hat. Wer bearbeitet die Anfrage? Welche Systeme sind betroffen? Welche Dienstleister müssen eingebunden werden? Wie werden Fristen kontrolliert? Wie wird sichergestellt, dass eine einmal erklärte Löschung nicht durch nachgelagerte Prozesse wieder unterlaufen wird? Genau an solchen Schnittstellen entscheidet sich, ob Rechenschaftspflicht im Unternehmen gelebt wird oder nur auf dem Papier existiert.

Schließlich verlangt wirksame Datenschutz-Compliance eine belastbare Governance. Zuständigkeiten müssen klar zugewiesen sein. Datenschutzbeauftragte brauchen Zugang zu Informationen, fachliche Einbindung und eine Ressourcenausstattung, die ihrem Aufgabenprofil entspricht. Fachbereiche müssen wissen, welche Vorgaben sie in Projekten, Beschaffungsvorgängen und Prozessänderungen beachten müssen. Rechtsabteilung, IT, Informationssicherheit, Einkauf, Personal und operative Einheiten dürfen nicht nebeneinanderher arbeiten. Datenschutz scheitert in der Praxis selten an fehlenden Normen. Er scheitert meist an fehlender Organisation.

Warum ein Datenschutzmanagementsystem die überzeugendste Antwort ist

Wer diese Anforderungen ernst nimmt, gelangt fast zwangsläufig zu der Einsicht, dass sich Datenschutz nicht durch einzelne Dokumente oder isolierte Maßnahmen beherrschen lässt. Er braucht ein System. Genau das leistet ein Datenschutzmanagementsystem (DSMS). Es schafft einen verbindlichen Rahmen für Zuständigkeiten, Prozesse, Prüfungen, Nachweise und Verbesserungen. Damit wird Datenschutz aus der Sphäre punktueller Reaktion in die Sphäre planbarer Unternehmensorganisation überführt.

Der Wert eines solchen Systems liegt nicht in zusätzlicher Bürokratie, sondern in Steuerungsfähigkeit. Ein gut aufgebautes DSMS macht sichtbar, wo welche Verarbeitung stattfindet, welche Risiken bestehen, welche technischen und organisatorischen Maßnahmen vorgesehen sind, wer Entscheidungen trifft, wie Änderungen freigegeben werden und an welchen Stellen Kontrollen greifen. Diese Transparenz ist rechtlich bedeutsam und praktisch unverzichtbar. Sie ermöglicht dem Unternehmen, auf Anfragen von Behörden, Betroffenen oder Gerichten nicht improvisiert, sondern strukturiert zu reagieren.

Gerade für mittelständische Unternehmen stellt sich allerdings zu Recht die Frage nach der Praktikabilität. Nicht jedes Unternehmen benötigt ein hochkomplexes Normengerüst. Ein DSMS muss wirksam sein, nicht überdimensioniert. Vor diesem Hintergrund ist z.B. der Ansatz nach VdS 10010 besonders interessant. Der Standard zielt auf eine praxistaugliche Umsetzung der DSGVO in kleinen und mittleren Unternehmen und bietet einen strukturierten, auditierbaren Rahmen, ohne den organisatorischen Aufwand unnötig zu überziehen. Das kann insbesondere dort überzeugen, wo Datenschutz bisher eher punktuell organisiert wurde und nun in ein belastbares System überführt werden soll.

Der entscheidende Vorteil eines DSMS besteht darin, dass es Kontinuität schafft. Datenschutz ist kein Zustand, der einmal hergestellt und dann dauerhaft konserviert werden könnte. Prozesse ändern sich, Software wird ausgetauscht, Dienstleister werden eingebunden, Geschäftsfelder erweitern sich, Risiken verschieben sich. Deshalb genügt es nicht, einmal eine Bestandsaufnahme vorzunehmen und diese anschließend abzuheften. Erforderlich ist ein Organisationsmodell, das Überprüfung, Anpassung und Verbesserung mitdenkt. Der bekannte PDCA-Gedanke trifft den Kern durchaus präzise: planen, umsetzen, überprüfen, verbessern. Nicht als methodische Zierde, sondern als notwendige Form rechtssicherer Unternehmensorganisation.

Gerade für die Unternehmensleitung ist dies von zentraler Bedeutung. Je stärker Datenschutz als Compliance-Thema verstanden wird, desto weniger tragfähig ist die Vorstellung, man könne Verantwortung schlicht delegieren und sich damit entlasten. Delegation setzt voraus, dass überhaupt eine funktionierende Struktur vorhanden ist. Wo es an klaren Prozessen, Zuständigkeiten, Kontrollen und Berichtslinien fehlt, wird die Frage nach der Verantwortlichkeit schnell unangenehm. Ein DSMS ist deshalb nicht nur ein Instrument des Datenschutzbeauftragten. Es ist ein Organisationsinstrument verantwortlicher Unternehmensführung.

Was jetzt zu tun ist

Unternehmen sollten die oben aufgezeigte Rechtsprechung nicht als Anlass für hektischen Aktionismus verstehen, wohl aber als deutliche Aufforderung zur Selbstprüfung. Die entscheidende Frage lautet, ob die eigene Datenschutzorganisation den heutigen Anforderungen inhaltlich und strukturell standhält. Lässt sich für die wesentlichen Verarbeitungstätigkeiten ohne weiteres darlegen, weshalb die Verarbeitung rechtmäßig ist, welche Risiken bestehen, welche Schutzmaßnahmen implementiert wurden, wie Betroffenenrechte abgewickelt werden und welche Stellen innerhalb und außerhalb des Unternehmens beteiligt sind? Gibt es verlässliche Prozesse für neue Tools, neue Dienstleister, neue Datenflüsse und neue Geschäftsmodelle? Oder hängt die Funktionsfähigkeit des Datenschutzes letztlich am Erfahrungswissen einzelner Personen?

Wo diese Fragen keine klaren Antworten zulassen, besteht Handlungsbedarf. Erfahrungsgemäß liegt das Problem dann nicht in einzelnen Formfehlern, sondern in einer unzureichenden organisatorischen Verdichtung. Genau hier entfaltet ein Datenschutzmanagementsystem seinen Nutzen. Es ordnet, priorisiert und verstetigt. Es hilft, rechtliche Anforderungen in belastbare Prozesse zu überführen und Nachweise dort aufzubauen, wo sie im Ernstfall benötigt werden.

Die Entwicklung der Rechtsprechung ist eindeutig: Datenschutz-Compliance wird nicht mehr nur am Vorhandensein einzelner Dokumente gemessen, sondern an der Qualität der dahinterstehenden Organisation. Wer personenbezogene Daten verarbeitet, muss heute mehr leisten als bloße Regelkenntnis. Er muss Datenschutz im Unternehmen so verankern, dass Rechtsverstöße möglichst verhindert, Risiken beherrscht und Entscheidungen im Streitfall nachvollziehbar verteidigt werden können. Unternehmen, die dies frühzeitig und systematisch angehen, reduzieren nicht nur Bußgeld- und Haftungsrisiken. Sie schaffen zugleich Verlässlichkeit in einem Bereich, der für Kunden, Beschäftigte und Geschäftspartner längst zu einem Vertrauensfaktor geworden ist.

Christian Krösch
Letzte Artikel von Christian Krösch (Alle anzeigen)