Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

Interview mit Andreas Rübsam: Warum Sicherheitskultur Struktur braucht, keine Schuldzuweisung

Max Mustermann

Veröffentlicht am: 17.07.2025

Interview mit Andreas Rübsam

Datenschutz-Fachmann im Interview: Andreas Rübsam, Geschäftsführender Gesellschafter Condatis GmbH & Co. KG, unterstützt Unternehmen praxisnah in den Bereichen Datenschutz, Informationssicherheit und Lieferketten-Compliance. Sein Ansatz: verständlich, pragmatisch und lösungsorientiert. Mit langjähriger Erfahrung und technischem Hintergrund sorgt er dafür, dass Sicherheit und Compliance nicht zur Bürokratiehürde werden, sondern das operative Geschäft sinnvoll unterstützen.

TLTR? Die Kurzfassung des Interviews finden Sie hier.

1. Herr Rübsam, Sie beraten seit vielen Jahren Unternehmen zum Thema Datenschutz. Was hat sich aus Ihrer Sicht in den letzten fünf Jahren am stärksten verändert – sowohl organisatorisch als auch regulatorisch? 

„Regulatorisch ist in den letzten fünf Jahren definitiv viel Bewegung reingekommen: neue Gesetze wie der Data Act oder DSA, laufend neue Urteile und Auslegungen, gerade auf europäischer Ebene. Das Tempo hat angezogen und das spüren Unternehmen deutlich. 

Organisatorisch hingegen hat sich, zumindest im Kern, gar nicht so viel verändert. Die Unternehmen, die Datenschutz von Anfang an ernst genommen haben, gut aufgestellt sind, ihren Datenschutzbeauftragten rechtzeitig einbeziehen und das Thema strategisch verankert haben, machen im Grunde heute das Gleiche wie vor fünf Jahren. 

Was sich verändert hat, sind die Rahmenbedingungen: Es gibt neue Prozesse, neue Technologien – Stichwort KI – und natürlich deutlich mehr Dynamik. Das führt dazu, dass bestehende Datenschutzprinzipien auf neue Kontexte angewendet werden müssen. 

Deshalb sind strukturierte Tools wie Datenschutzmanagementsysteme heute wichtiger denn je. Sie helfen dabei, die Übersicht zu behalten und neue Themen sauber in bestehende Strukturen zu integrieren. Aber das Grundhandwerk bleibt gleich: sauber dokumentieren, Risiken bewerten, Verantwortlichkeiten klären, Prozesse leben. 

Ich erlebe oft, dass Datenschutz heute nicht an den Anforderungen scheitert, sondern daran, dass viele Unternehmen versuchen, ohne System und ohne Prioritätensetzung durch dieses komplexe Umfeld zu navigieren.“ 

2. Viele Unternehmen haben heute erste Maßnahmen zum Datenschutz getroffen – etwa ein Verzeichnis der Verarbeitungstätigkeiten oder Grundsatzdokumente. Wo sehen Sie die größten Lücken in der praktischen Umsetzung? 

„Aus meiner Sicht liegt die größte Lücke genau zwischen Papier und Praxis. Viele Unternehmen haben mittlerweile ein Verzeichnis der Verarbeitungstätigkeiten, was gut ist. Aber inhaltlich ist das oft ein wilder Mix aus Prozessen, Tools, Serverstandorten und Herstellern. Da wird dann der Name eines IT-Systems als Verfahren geführt, aber niemand kann sagen, welcher konkrete Unternehmensprozess dahintersteht. 

Ich vertrete einen klaren Ansatz: Ein Verfahren ist ein Prozess im Unternehmen. Dieser Prozess, zum Beispiel Bewerbungen, Rechnungsstellung oder Kundenbetreuung, wird möglicherweise durch IT-Systeme unterstützt. Diese Systeme können wiederum von externen Dienstleistern betrieben oder gehostet werden, die dann Auftragsverarbeiter sind. Wenn ich das klar strukturiere, wird das Verzeichnis von Verarbeitungstätigkeiten (VVT) zu einem zentralen Dreh- und Angelpunkt: Ich kenne den Prozess, die Tools, den Datenfluss und kann daraus sehr pragmatisch eine Risikoabwägung und Betroffeneninformation ableiten. 

Leider verzetteln sich hier viele, sei es aus Unwissen, Bequemlichkeit oder weil manche Vorlagen oder Tools das VVT eher als IT-Inventarliste interpretieren. Das macht das Ganze unübersichtlich und führt im Zweifel dazu, dass Prozesse gar nicht oder nur lückenhaft erfasst werden. 

Besonders kritisch wird es dann beim Thema Information nach Art. 13 DSGVO, also der Pflicht, betroffene Personen rechtzeitig und transparent über die Verarbeitung ihrer Daten zu informieren. Das passiert anfangs oft noch: Im Bewerbungsprozess oder bei Vertragsbeginn wird informiert. Aber sobald sich Prozesse verändern oder neue Tools eingeführt werden, reißt die Kette häufig ab. 

Ich frage Unternehmen oder andere Datenschutzbeauftragte regelmäßig: Was passiert datenschutzseitig, wenn ihr ein neues Tool einführt? Die häufigste Antwort: Es gibt ein Training für die Mitarbeitenden, eine kurze Mail der IT, aber keine Datenschutz-Folgeprozesse. Der DSB erfährt oft zu spät oder gar nichts, das Verfahren wird erst im Nachhinein eingetragen, und die Pflicht zur Information nach Art. 13 wird vergessen oder nur halbherzig nachgeholt. 

Kommt dann eine Auskunftsanfrage nach Art. 15 DSGVO, also ein Anspruch der betroffenen Person zu erfahren, welche Daten zu ihr gespeichert und verarbeitet werden, wird es brenzlig. Denn wenn das VVT lückenhaft ist und die ursprüngliche Information nie richtig erfolgt ist, steht das Unternehmen schlecht da, auch weil die gesetzliche Frist zur Antwort in der Regel bei nur vier Wochen liegt. 

Deshalb mein klares Plädoyer: Das VVT ist nicht nur ein Pflichtdokument für die Schublade, sondern der zentrale Ausgangspunkt für jeden gelebten Datenschutzprozess. Ohne sauberes Verzeichnis kein klarer Überblick und ohne Überblick kein wirksamer Datenschutz.“ 

3. Der Begriff „Rechenschaftspflicht“ taucht in der DSGVO immer wieder auf. Was bedeutet das Ihrer Erfahrung nach konkret für Unternehmen – und worauf kommt es wirklich an? 

„Rechenschaftspflicht klingt erstmal juristisch und abstrakt, ist aber im Grunde ganz einfach: Wenn ich als Unternehmen personenbezogene Daten verarbeite, muss ich nicht nur die Regeln einhalten, sondern auch zeigen können, dass ich sie einhalte. Und zwar jederzeit. 

In der Praxis bedeutet das: Ich brauche nachvollziehbare, dokumentierte Prozesse: vom Verzeichnis der Verarbeitungstätigkeiten über die Risikoabwägungen bis zu den technischen und organisatorischen Maßnahmen. Es reicht nicht, zu sagen „Datenschutz ist uns wichtig“ – ich muss belegen können, wie ich ihn konkret umsetze. 

Was dabei oft übersehen wird: Rechenschaftspflicht ist kein einmaliger Haken auf einer To-do-Liste, sondern ein laufender Prozess. Es geht um Steuerung. Ich muss regelmäßig prüfen: Hat sich etwas verändert? Gibt es neue Tools, neue Risiken, neue gesetzliche Anforderungen? Und: Ist das, was wir vor zwei Jahren dokumentiert haben, überhaupt noch aktuell? 

Viele Unternehmen unterschätzen das. Sie haben vielleicht ein schönes Datenschutzkonzept im Intranet liegen, aber es lebt nicht. Und wenn dann eine Anfrage kommt, sei es von einer betroffenen Person, einer Aufsichtsbehörde oder aus dem eigenen Vorstand, ist der Aufwand groß und der Stress noch größer. 

Deshalb sage ich immer: Rechenschaftspflicht bedeutet, Verantwortung zu übernehmen: fachlich, organisatorisch und dokumentarisch. Und es bedeutet, Datenschutz nicht nur zu verwalten, sondern aktiv zu gestalten. Wer das frühzeitig systematisch angeht, zum Beispiel über ein Datenschutzmanagementsystem, spart sich später viele Kopfschmerzen.” 

4. Datenschutz-Folgenabschätzungen gelten oft als aufwändig oder schwer greifbar. Warum tun sich viele Organisationen damit schwer – und was könnte helfen, diesen Prozess praxisnäher zu gestalten? 

„Ein wesentlicher Grund, warum sich viele Unternehmen mit der Datenschutz-Folgenabschätzung (DSFA) so schwertun, liegt in einer stillen Verschiebung, die die DSGVO eingeführt hat: Es gibt hier eine Art Beweislastumkehr. Nicht der Hersteller eines Tools muss nachweisen, dass sein System datenschutzkonform einsetzbar ist, sondern das Unternehmen, also die verantwortliche Stelle, muss diesen Nachweis selbst führen. 

Früher war das einfacher. Da hatte man eine eigene IT-Abteilung, die das System von Grund auf kannte, vom Serverraum über das Netzwerk bis zur Anwendung. Man hatte Zugriff auf alle Schichten, wenn man so will, von Layer 1 bis Layer 7 im OSI-Modell. Heute ist das anders: Durch die zunehmende Cloudifizierung bekommen Unternehmen oft nur noch ein hübsches Webinterface mit bunten Buttons von ihrem Softwareanbieter und sollen nun beurteilen, ob Risiken für die Rechte und Freiheiten betroffener Personen bestehen. 

Das ist faktisch kaum möglich, weil sich viele Hersteller bedeckt halten: „Das ist Betriebsgeheimnis.“ Oder sie verweisen auf ihre ISO-Zertifikate, die großen Cloudanbieter im Hintergrund oder den AV-Vertrag. Aber das greift zu kurz, denn eine DSFA braucht mehr als allgemeine Sicherheitsversprechen. Sie braucht Transparenz über die Datenflüsse, über Verarbeitungslogiken, Speicherorte und Zugriffsmodelle. 

Deshalb ermutige ich meine Kunden, die selbst als Auftragsverarbeiter oder Toolanbieter auftreten, genau hier aktiv zu werden: Bereits beim Angebot liefern wir nicht nur gute TOM, sondern ein grobes Gerüst für eine mögliche DSFA mit. Das zeigt Verantwortungs-bewusstsein, erleichtert den Kunden die Risikoeinschätzung und kann im Vergabeprozess zum echten Vorteil werden. Doch leider machen das noch viel zu wenige Anbieter. 

Was wirklich helfen würde? Eine klare gesetzliche Pflicht für Hersteller, bei der DSFA mitzuwirken bzw. diese in Grundzügen bereitzustellen, so wie es in anderen Branchen längst Standard ist. Nehmen wir die Autoindustrie: Kein Fahrzeug wird ohne Typzulassung und vollständige technische Dokumentation in Verkehr gebracht. Und kein Käufer muss sich diese Unterlagen erst mühsam zusammensuchen oder gar selbst schreiben, bevor er losfahren darf. 

Und natürlich gilt auch hier: Ein gut gepflegtes Verzeichnis der Verarbeitungstätigkeiten ist die Voraussetzung. Nur wenn ich den Prozess kenne, also weiß, welche Daten ich warum, wo und wie verarbeite, kann ich den Schutzbedarf und damit das Risiko überhaupt realistisch einschätzen. Die DSFA ist dann kein isoliertes Monster-Dokument, sondern die logische Fortsetzung gelebter Datenschutzprozesse.”  

5. Wie wichtig ist aus Ihrer Sicht die enge Zusammenarbeit zwischen Datenschutz und Informationssicherheit – und woran scheitert diese in der Praxis häufig? 

„Ich halte die Zusammenarbeit zwischen Datenschutz und Informationssicherheit für absolut entscheidend, gerade, weil beide auf dasselbe Asset einzahlen: den Schutz personenbezogener Daten. Sie tun das nur aus unterschiedlichen Blickwinkeln: Der Datenschutz fragt „Darf ich das?“, die Informationssicherheit „Wie schütze ich es technisch?“ 

In der Praxis scheitert die Zusammenarbeit aber oft an ganz simplen Dingen: der Sprache. Viele Datenschutzbeauftragte haben einen juristischen Hintergrund, viele Informationssicherheitsbeauftragte kommen aus der Technik und beide Seiten verwenden Begriffe, die im jeweils anderen Bereich wenig sagen. Das führt schnell zu Missverständnissen oder auch schlichtem Desinteresse. 

Ich selbst komme aus der IT, habe als Informatiker viele Jahre Systeme gebaut, betrieben und verantwortet. Das hilft mir heute sehr, weil ich nicht nur die juristische Seite verstehe, sondern auch weiß, wie ein Patch-Management funktioniert, was ein Zero-Day ist oder warum Logging nicht gleich Monitoring ist. Diese Übersetzungsleistung ist heute wichtiger, denn je und sie entscheidet oft darüber, ob Datenschutz und Informationssicherheit nebeneinander oder miteinander arbeiten. 

Ein echter Hebel ist hier der Einsatz integrierter GRC-Tools. Wenn ich ein System habe, in dem ich z. B. eine Verarbeitungstätigkeit einmal dokumentiere – und daraus ergeben sich sowohl Datenschutz-Pflichten als auch Informationssicherheitsmaßnahmen – dann spreche ich plötzlich gemeinsam über Prozesse, Risiken, Schutzbedarf. Das spart Zeit, schafft Klarheit und vermeidet vor allem Doppelarbeit. 

Denn am Ende muss es für das Unternehmen machbar sein. Niemand möchte zweimal nacheinander zum selben Thema befragt werden: erst vom DSB, dann vom ISB, nur weil die beiden nicht dieselbe Sprache sprechen. Mein Lieblingssatz, den man dann an anderer Stelle oft hört: „Das hab’ ich doch Ihrer Kollegin letzte Woche schon alles erklärt …“. Und genau da liegt der Haken. Gute Zusammenarbeit ist kein „Nice to have“, sondern ein Effizienz- und Akzeptanzfaktor.“ 

6. In vielen Datenschutzaudits zeigt sich: Die Umsetzung bleibt oft bei allgemeinen Policies stehen. Was braucht es, damit Datenschutz auch operativ wirksam wird? 

„Ganz ehrlich: Eine Datenschutz-Policy ist schnell geschrieben. Klingt gut, sieht gut aus und macht sich im Audit auf den ersten Blick auch gut. Aber wirklich wirksam wird Datenschutz erst dann, wenn er aus der Theorie in den Alltag überführt wird. 

Das bedeutet: Verantwortlichkeiten müssen klar sein. Maßnahmen müssen nicht nur beschlossen, sondern auch umgesetzt, dokumentiert und vor allem nachgehalten werden. Es reicht eben nicht, im VVT zu notieren, dass eine Schulung „jährlich“ durchgeführt wird. Sie muss auch tatsächlich stattfinden, und das muss belegbar sein. 

Hier sehe ich in der Praxis die größten Lücken: Es gibt keine funktionierende Maßnahmensteuerung, keine Fristüberwachung, niemand weiß, ob die technisch-organisatorischen Maßnahmen aus dem letzten Jahr noch gelten oder umgesetzt wurden. Datenschutz bleibt so auf der Metaebene stecken und verliert dadurch an Glaubwürdigkeit im Unternehmen. 

Was hilft? Strukturen und Tools, die Datenschutz steuerbar machen. Hier hilft zum Beispiel das GRASP DSMS, das nicht nur Dokumente verwaltet, sondern Maßnahmen, Zuständigkeiten, Fristen und Prüfzyklen abbildet, also den Datenschutz auch operativ begleitet. 

So wird aus einer Richtlinie ein konkreter Arbeitsauftrag. Aus einer TOM eine überprüfbare technische Maßnahme. Und aus der Idee eines Datenschutzmanagements ein funktionierender Prozess. 

Denn nur dann wird Datenschutz im Unternehmen auch als das wahrgenommen, was er sein sollte: Ein fester Bestandteil der Unternehmenspraxis und nicht bloß ein Word-Dokument auf dem Netzlaufwerk, das niemand je zu Ende gelesen hat.“ 

7. Die Rolle des Datenschutzbeauftragten ist in vielen Organisationen stark ausgelastet – teils auch isoliert. Welche strukturellen oder kulturellen Faktoren würden Sie als erfolgskritisch bewerten? 

„Meine Meinung: Datenschutz funktioniert dann gut, wenn er nicht nur bei einer Person liegt, sondern strukturell im Unternehmen verankert ist. Und zwar frühzeitig und rollenbasiert. Denn der DSB ist kein Feuerwehrmann, der kurz vor dem Go-Live mit einem Haken auf dem Prüfprotokoll erscheint. Er ist ein Sparringspartner, ein Risikoberater und im besten Fall jemand, der das Projekt besser macht. 

Aber in der Realität sieht’s oft anders aus. Gerade als externer DSB läuft es regelmäßig so ab, und wer in der Praxis arbeitet, wird dieses Drehbuch vielleicht wiedererkennen: 

  1. Der Fachbereich meldet sich mit einer Mail. Betreff: „Dringend – Datenschutzfreigabe bis Donnerstag“. Im Anhang: drei PDFs und ein Flyer des Toolanbieters. 
  2. Ich frage: „Habt ihr einen Ansprechpartner beim Hersteller?“ Antwort: „Puh, das war damals bei der Demo, die Kollegin ist inzwischen in Elternzeit.“ 
  3. Ich schreibe den Hersteller an. Automatische Antwort: „Bitte wenden Sie sich an den Datenschutzbeauftragten des Kunden.“ 
  4. Ich bekomme schließlich irgendwas, was sich „TOM-Dokument“ nennt. 20 Seiten über Firewallkonzepte im Rechenzentrum von AWS Frankfurt, die übliche kleine Liste mit angekreuzten Wörtern, aber kein Wort darüber, was das Unternehmen selbst mit den Daten macht. Von wegen “technische und organisatorische Maßnahmen”. 
  5. Ich bitte um Nachbesserung: freundlich, sachlich, professionell. 
  6. Der Fachbereich fragt zurück: „Ist das jetzt durch? Wir müssen bis Freitag live gehen, sonst kippt das ganze Projekt.“ 
  7. Ich erinnere daran, dass ich vor einem halben Jahr schon mal angeboten hatte, mich beim Auswahlprozess zu beteiligen. Damals hieß es aber: „Das machen wir später.“ 
  8. Die Geschäftsführung gibt grünes Licht mit Vermerk: „Datenschutz hat Bedenken geäußert, Risiko wird übernommen.“ 
  9. Plötzlich trudeln „richtige“ Verträge ein, diesmal vom Hersteller selbst, allerdings fehlerhaft, lückenhaft. Begründung bei Nachfrage: „Wurde von einer Top-Kanzlei geprüft und bei 300 Kunden bisher nie beanstandet. Können Sie auch so durchwinken.“ – Nein, kann ich nicht! 
  10. Ich frage zurück: „Aber warum stehen die AVV-Regelungen dann auf Seite 127 der AGB? Und warum decken die nur den Hoster ab, aber nicht den Applikationsbetrieb und Ihr eigenes Unternehmen?“ 
  11. Schulterzucken. 
  12. Ich erinnere daran, dass jetzt auch noch Mitarbeitende und/oder Kund/innen nach Art. 13 DSGVO informiert werden müssten. Antwort: „Ach so? Das war nicht im Marketingpaket drin.“ 
  13. Und irgendwann kommt dann die schönste Mail von allen: „Bitte noch kurz freigeben – das Tool ist seit gestern live.“ 

Das ist nicht böswillig, das ist Alltag. Und es zeigt genau, warum Datenschutz oft isoliert bleibt: nicht aus Mangel an Kompetenz, sondern aus mangelnder Integration. 

Strukturell lässt sich das lösen: durch klare Prozesse, durch Einbindung von Anfang an, durch ein Datenschutzmanagementsystem, das mitläuft, nicht hinterherläuft. Kulturell braucht es dafür ein Umdenken: Datenschutz ist keine Kontrolle, sondern Qualitätssicherung. Es geht nicht ums Bremsen, sondern ums Mitdenken. 

Und: Es hilft enorm, wenn Datenschutz und Informationssicherheit gemeinsam arbeiten, auf Basis eines gemeinsamen GRC-Tools, das beide Sprachen spricht. Denn dann reden wir endlich alle über dasselbe und vermeiden doppelte Anfragen, widersprüchliche Aussagen und genervte Projektleiter, die sagen: „Das habe ich Ihrer Kollegin doch schon erklärt.“ 

Fazit: Datenschutz wird nicht besser durch mehr Policies. Er wird besser, wenn er rechtzeitig, strukturiert und mit dem nötigen Respekt fürs operative Tagesgeschäft eingebunden wird. Und wenn wir ehrlich sind: auch ein bisschen durch Humor.“ 

8. Wenn Sie einen Ausblick wagen: Welche Datenschutzthemen oder -herausforderungen sollten Unternehmen in den nächsten zwei bis drei Jahren aktiv im Blick haben? 

„Wenn ich mir die Entwicklung der letzten Jahre anschaue, dann wird eins deutlich: Datenschutz wird dynamischer und Unternehmen müssen schneller, flexibler und strukturierter reagieren können. Die größten Herausforderungen sehe ich deshalb in drei Bereichen: 

  1. Schnittstellenmanagement, oder: Wer macht eigentlich was?   

Daten fließen heute nicht mehr innerhalb eines Systems, sondern quer durch ganze Tool-Landschaften, über Ländergrenzen, Cloud-Services und API-Ketten hinweg. Wer da nicht weiß, wo welche Daten wann verarbeitet werden (und von wem) verliert die Kontrolle. Es reicht nicht mehr, ein einzelnes Tool zu prüfen. Man muss die Gesamtkette verstehen und dokumentieren. 

  1. Automatisierung: sinnvoll, aber nicht automatisch datenschutzkonform.   

Viele Unternehmen hoffen, Datenschutz irgendwann „wegautomatisieren“ zu können. Aber: Nur weil ein Prozess automatisch abläuft, heißt das nicht, dass er sauber dokumentiert oder datenschutzkonform ist. Tools können unterstützen, aber sie brauchen klare Vorgaben, saubere Schnittstellen und ein strukturiertes Managementsystem im Hintergrund. 

  1. KI, oder: Wie erkläre ich Entscheidungen, die ich selbst nicht mehr ganz verstehe?   

Mit dem Siegeszug von KI stehen wir vor ganz neuen Herausforderungen. Nicht nur technisch, sondern vor allem kommunikativ: Wie informiere ich Betroffene nach Art. 13 und 14, wenn das System ständig dazulernt? Wie mache ich eine Datenschutz-Folgenabschätzung für ein Modell, das sich selbst verändert? Und wer übernimmt eigentlich die Verantwortung, wenn ein KI-System Fehler macht? Der Anbieter, das Unternehmen, der DSB? 

Hier braucht es in Zukunft dynamischere Governance-Strukturen, also Datenschutz- und Compliance-Prozesse, die mit der Veränderung Schritt halten können. Keine 80-seitigen PDFs, sondern integrierte Systeme, die Datenschutz mit IT, Sicherheit und Fachbereichen vernetzen. 

Das ist übrigens keine Vision, das ist notwendig. Denn die Zeit der Einzelprüfungen ist vorbei. Wir brauchen Übersicht, Vernetzung, Verantwortlichkeit und idealerweise ein System, das nicht nur das Risiko bewertet, sondern auch mitdenkt. 

Unternehmen, die das frühzeitig angehen, sind nicht nur datenschutzrechtlich besser aufgestellt, sie sind auch schlicht schneller, effizienter und glaubwürdiger gegenüber Kunden, Mitarbeitenden und Partnern.“ 

9. Was würden Sie Unternehmen raten, die Datenschutz bislang eher als „Pflichtthema“ sehen und den Einstieg in ein systematisches Datenschutzmanagement planen? 

„Mein erster Tipp: Fangen Sie an, aber bitte strukturiert und mit gesundem Menschenverstand. Man muss Datenschutz nicht gleich auf 120 Seiten durchexerzieren oder sich in Paragrafen verlieren. Es reicht, wenn man versteht: Datenschutz ist kein Selbstzweck, sondern dient dem Schutz der Menschen, deren Daten man verarbeitet. Und wer das systematisch angeht, hat deutlich weniger Stress, wenn mal eine Anfrage kommt oder eine Prüfung ansteht. 

Ganz wichtig dabei, und das sage ich auch meinen Kolleginnen und Kollegen in der Beratung: Wir müssen lernen, die Sprache der Unternehmen zu sprechen. Weniger juristisches Fachchinesisch, mehr Klartext. Keine 50-seitigen Gutachten, wenn der Kunde eigentlich nur eine Entscheidungsgrundlage braucht. Datenschutzberatung darf kein Klavier sein, auf dem man einmal mit voller Wucht alle Tasten gleichzeitig anschlägt. Es geht um Zuhören, Verstehen, Einordnen und manchmal eben auch um pragmatische Hilfe im Alltag. 

Hier sind sowohl die Juristen als auch die Techniker gefordert, sich aufeinander zuzubewegen, denn Datenschutz ist beides: rechtlich und technisch. Und je nach Kunde muss ich übersetzen können: von Datenschutz in Business, und zurück. 

Dabei helfen mittlerweile auch Tools wie GRASP, die nicht nur Ordnung in den Datenschutzzoo bringen, sondern auch Kommunikation und Verantwortlichkeiten strukturieren. Und auch KI kann hier ein sinnvoller Übersetzer sein: für erste Einordnungen, für die Strukturierung komplexer Sachverhalte oder einfach als Sparringspartner, um sich nicht zu verlieren. 

Fazit: Wer Datenschutz als lästige Pflicht betrachtet, wird ihn nie sauber leben. Wer ihn aber systematisch und verständlich aufsetzt, kann daraus echten Mehrwert generieren, sei es in Audits, in der Außenwirkung oder einfach im täglichen Doing. Und man muss nicht alles auf einmal machen, aber man muss anfangen. Und zwar nicht mit der 80. Vorlage aus dem Netz, sondern mit einem Plan, der zum eigenen Unternehmen passt.“ 

10. Datenschutz wird häufig als „notwendiges Übel“ betrachtet mit Fokus auf Pflichterfüllung statt Mehrwert. Was kostet guter Datenschutz tatsächlich? Und was kostet es, ihn nicht ernst zu nehmen? 

„Guter Datenschutz kostet, ja. Aber vor allem kostet er Struktur, Zeit und Verbindlichkeit. Und das lässt sich planen. Was nicht planbar ist, sind die Kosten des Nichtstuns. Die sind oft deutlich höher. Nur eben weniger greifbar, bis es zu spät ist. 

Alle reden über Bußgelder. Die gibt’s auch, keine Frage, aber in der Praxis sind die meisten Fälle, mit denen ich zu tun habe, anders gelagert:   

– Da sind ehemalige Mitarbeitende, die mit einem Art. 15-Auskunftsersuchen nicht nur wissen wollen, was noch gespeichert ist, sondern gleich mit der Anwaltskanzlei im CC nachfragen, warum sie nie nach Art. 13 informiert wurden.   

– Oder Kund/innen, die eine Info zu ihren Daten wollen und nach zwei Wochen merken, dass da offenbar niemand so richtig weiß, wo die überhaupt liegen.   

– Oder das kleine Tool, das aus „technischen Gründen“ seit Jahren alle Daten auf einem US-Server parkt und bei einem externen Audit plötzlich zur Tickermeldung im Branchenblatt wird.  

Die eigentlichen Kosten entstehen hier:   

  • in langen juristischen Auseinandersetzungen,   
  • in internen Eskalationen,   
  • in Verlust von Vertrauen – intern wie extern

Und nicht zu vergessen: der interne Aufwand, wenn Datenschutz eben nicht sauber dokumentiert ist. Wenn bei einer Anfrage die Daten manuell zusammengesucht werden müssen. Wenn IT, HR, Vertrieb und Legal plötzlich alle gleichzeitig involviert sind, um herauszufinden, ob und wie ein ehemaliger Praktikant mal Zugriff auf ein System hatte. 

Das sind keine Einzelfälle, das ist Alltag. Und der ist teuer, bindet Ressourcen, zerrt an den Nerven und am Ende auch an der Reputation. 

Demgegenüber ist strukturierter Datenschutz überschaubar im Aufwand, aber riesig im Nutzen. Wer von Anfang an mit einem Tool wie GRASP arbeitet, hat Überblick, Verantwortung, Dokumentation und Risikoeinschätzung an einem Ort und kann proaktiv arbeiten, nicht reaktiv. 

Ich sage es oft so:   

Guter Datenschutz ist wie eine Brandschutzübung: Keiner liebt sie, aber wenn’s mal brennt, ist man froh, dass man weiß, wo der Ausgang ist. 

Oder, etwas zugespitzter:   

Keiner mag den Brandschutzbeauftragten. Der nervt, hat Vorschriften, macht Begehungen, fordert Dokumente und wird gern ignoriert.   

Aber alle lieben den Feuerwehrmann, der nachts unter Einsatz seines Lebens den Brand löscht.   

Nur: So weit hätte es eigentlich nicht kommen müssen.

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen