Datenschutz und Datensouveränität

    Datenschutz & Datensouveränität

    Grundlagen, Anforderungen und Zusammenhänge – verständlich erklärt.

    Was ist das eigentlich?

    Datenschutz und Datensouveränität werden häufig vermischt, meinen aber unterschiedliche Dinge. Datenschutz beschreibt die rechtlichen Vorgaben, nach denen personenbezogene Daten verarbeitet werden dürfen. Datensouveränität beschreibt die Fähigkeit einer Organisation, ihre Datenflüsse, Entscheidungen und Risiken selbst zu verstehen und zu steuern.

    Beide Themen ergänzen sich: Datenschutz setzt den Rahmen – Datensouveränität sorgt dafür, dass dieser Rahmen im Alltag überhaupt eingehalten werden kann. Eine Organisation, die weiß, welche Daten wo entstehen, wer darauf zugreift und nach welchen Regeln sie verarbeitet werden, erfüllt Datenschutzvorgaben nicht nur leichter, sondern zuverlässiger. Kurz gesagt: Datensouveränität ist der operative Unterbau für wirksamen Datenschutz.

    BereichDatenschutzDatensouveränität
    ZielSchutz personenbezogener DatenKontrolle über eigene Datenflüsse und -entscheidungen
    PerspektiveRechtliche MindestanforderungenStrategische und organisatorische Fähigkeit
    FokusBetroffenenrechte, Sicherheit, TransparenzVerständnis, Steuerung, Ownership
    Was wird geregelt?Was erlaubt istWas sinnvoll und kontrollierbar ist
    VorgehensweiseVorgaben einhaltenDatenflüsse kennen, gestalten, begrenzen
    Typische Frage„Ist das rechtlich zulässig?"„Warum erheben wir diese Daten – und wie behalten wir Kontrolle?"
    Wirkung auf OrganisationVerhindert RechtsverstößeReduziert Abhängigkeiten, schafft Übersicht
    BeziehungReaktiver RahmenProaktive Gestaltung
    NutzenRechtssicherheitNachvollziehbarkeit, Risikoreduktion, bessere Entscheidungen
    KernideeSchutzSelbstbestimmung

    Was Organisationen praktisch brauchen

    Ein wirksamer Datenschutz entsteht nicht durch einzelne Dokumente, sondern durch ein Zusammenspiel aus Prozessen, Verantwortlichkeiten und technischen Maßnahmen. Entscheidend ist, dass eine Organisation nachvollziehen kann, welche Daten wo entstehen, wer sie nutzt und wie Risiken gesteuert werden. Dafür braucht es einige grundlegende Bausteine.

    Ein zentrales Element ist ein Verzeichnis der Verarbeitungstätigkeiten (VVT). Es bildet ab, welche Daten in welchen Prozessen verarbeitet werden und zeigt, wo Risiken oder Unklarheiten entstehen. Ebenso wichtig sind Technische und Organisatorische Maßnahmen (TOMs), die nicht nur auf dem Papier existieren, sondern im Alltag genutzt werden – von Zugriffskonzepten bis hin zu Backup- und Löschprozessen.

    Damit Datenschutz funktioniert, braucht es klare Prozesse für Vorfälle und Betroffenenrechte. Organisationen müssen wissen, wie sie auf Auskunftsanfragen reagieren, wie sie Vorfälle bewerten und wann Meldepflichten greifen.

    Bei der Zusammenarbeit mit Dienstleistern spielen Auftragsverarbeitungsverträge (AVV) eine zentrale Rolle. Entscheidend ist nicht die Unterschrift, sondern die Prüfung: Welche Daten fließen tatsächlich? Welche Unterauftragsverarbeiter sind beteiligt? Welche Sicherheitsmaßnahmen werden zugesichert?

    Zu einer realistischen Datenschutzpraxis gehören außerdem:

    • Rechte- und Rollenkonzepte, die klar festlegen, wer worauf zugreifen darf
    • Risikobewertungen, die nicht formal ausfallen, sondern tatsächliche Bedrohungen berücksichtigen
    • Löschregeln und Aufbewahrungsfristen, die technisch und organisatorisch umsetzbar sind
    • Dokumentation, die nicht archiviert, sondern im Alltag genutzt wird

    In der Summe entsteht daraus ein Datenschutzsystem, das nicht aus Pflichterfüllung besteht, sondern aus gelebten Abläufen, die Transparenz schaffen und Risiken reduzieren.

    Relevante Rechtsrahmen

    Datenschutz und Datensouveränität bewegen sich in einem Geflecht aus gesetzlichen Vorgaben, Normen und branchenspezifischen Standards. Die folgenden Rahmenwerke bestimmen, wie Daten verarbeitet, geschützt und verantwortet werden müssen. Sie bilden den Orientierungsrahmen, in dem Organisationen ihre Prozesse, Systeme und Sicherungsmaßnahmen gestalten.

    DSGVO

    Europäischer Datenschutzrahmen mit Fokus auf Transparenz, Zweckbindung, Betroffenenrechte und Nachweisbarkeit.

    revDSG (Schweiz)

    Modernisiertes Schweizer Datenschutzgesetz. Stärkere Eigenverantwortung, aber vergleichbar mit den Grundprinzipien der DSGVO.

    ISO 27701

    Erweiterung der ISO 27001 für Datenschutz-Management. Strukturiertes Framework für Rollen, Prozesse, Dokumentation und Audits.

    NIS2 (EU)

    Neue europäische Richtlinie für Netz- und Informationssicherheit, verbindlich für viele kritische und bedeutende Einrichtungen. Stellt hohe Anforderungen an Risikomanagement, Incident-Handling und Sicherheitsprozesse.

    KRITIS / Kritische Infrastruktur (EU & DE)

    Regelungen für Betreiber kritischer Dienste (Energie, Verkehr, Gesundheit, Wasser, IT/Telekommunikation). Hohe Anforderungen an Sicherheit, Monitoring, Meldepflichten und Resilienz.

    CIS2 / Schweizer Cyberstandard

    Schweizer Bestimmungen zu Cyberresilienz und überprüfbarer Informationssicherheit in kritischen Sektoren. Erweitert organisatorische und technische Pflichten über das revDSG hinaus.

    BSI-Datenschutzbausteine

    Technische und organisatorische Anforderungen für die Umsetzung von Datenschutz und Sicherheit nach deutschem IT-Grundschutz.

    ISO 27018 (Cloud-Privacy)

    Internationaler Standard für den Schutz personenbezogener Daten in Cloud-Umgebungen. Ergänzt ISO 27001 um spezifische Anforderungen für Cloud-Service-Provider.

    Weitere Standards

    Z. B. NIST Privacy Framework, branchenspezifische Vorgaben (Gesundheit, Finanzwesen), Codes of Conduct, interne Policies.

    Typische Fehler & Risiken

    Rollen & Verantwortlichkeiten

    Datenschutz funktioniert nur dann zuverlässig, wenn klar ist, wer welche Entscheidungen trifft und wie technische, organisatorische und rechtliche Aufgaben ineinandergreifen. Viele Missverständnisse entstehen, weil Rollen unscharf definiert oder im Alltag nicht gelebt werden. Eine wirksame Datenschutzpraxis braucht deshalb eindeutige Zuständigkeiten: vom Prozessverantwortlichen über die IT bis hin zur Geschäftsführung. Die folgende Übersicht zeigt, welche Rolle welchen Beitrag leistet – und wo die Grenzen liegen.

    RolleKernaufgabeWas dazugehörtWichtige Abgrenzung
    Verantwortliche StelleEntscheidet über Zwecke und Mittel der DatenverarbeitungProzessgestaltung, Auswahl von Tools, Definition von DatenkategorienIst nicht automatisch „die IT", sondern derjenige, der fachlich entscheidet
    Datenschutzbeauftragte*r (DSB)Berät, prüft, überwachtDatenschutzkonzepte, Risikobewertungen, Schulungen, AuditsSetzt nicht selbst operativ um und trägt keine inhaltliche Verantwortung
    Fachbereiche / ProzesseignerBetreiben die Datenverarbeitung im AlltagPflege von Abläufen, korrekte Nutzung von Tools, Input für VVT & RisikenEntscheiden nicht über technische Maßnahmen, aber über den fachlichen Zweck
    IT / SystemverantwortlicheTechnische Umsetzung & SicherungsmaßnahmenRechte- und Rollenkonzepte, Systemkonfiguration, Logging, BackupsEntscheiden nicht über den Zweck der Verarbeitung, sondern über die Technik
    GeschäftsführungTrägt die GesamtverantwortungFreigabe von Ressourcen, Governance, RisikoabwägungDelegierbar in Aufgaben – aber nicht in der rechtlichen Verantwortung
    Dienstleister / AuftragsverarbeiterVerarbeitung im Auftrag nach vertraglicher VorgabeUmsetzung nach AV-Vertrag, Transparenz über UnterauftragsverarbeiterEntscheiden nicht über Zweck oder Mittel der Verarbeitung

    Best Practices & Empfehlungen

    Was sich in der Praxis bewährt

    Wirksamer Datenschutz entsteht dort, wo Organisation, Technik und Verantwortung ineinandergreifen. Viele Strategien, die in der Theorie gut klingen, scheitern in der täglichen Realität – nicht, weil sie falsch sind, sondern weil sie zu wenig Bezug zu Abläufen, Rollen oder Systemen haben. Gute Datenschutzpraxis baut dagegen auf klaren Strukturen, verständlichen Prozessen und wiederholbaren Handgriffen auf.

    Die folgenden Prinzipien haben sich in unterschiedlichen Organisationstypen – vom Mittelstand über Behörden bis zu kritischen Infrastrukturen – als stabil erwiesen:

    • Bei Rollen und Abläufen beginnen – nicht bei Dokumenten oder Paragraphen
    • Datenschutz und Informationssicherheit gemeinsam denken statt getrennte Silos erzeugen
    • Dokumentation pragmatisch halten: nutzbar im Alltag, nicht nur auditfähig
    • Datenflüsse regelmäßig prüfen, besonders nach Toolwechseln und Prozessänderungen
    • Kleine, wiederholbare Routinen etablieren, die Teams selbständig ausführen können
    • Datensouveränität als Zielbild definieren – nicht als Kontrolle, sondern als Orientierung

    Diese Muster sind unabhängig von Branche oder Größe wirksam, weil sie auf Organisation und Verhalten zielen, nicht nur auf Compliance.

    Praxisbeispiele aus echten Projekten

    Wie diese Prinzipien in unterschiedlichen Organisationen eingesetzt werden können, zeigen die Beispiele auf der Addonware-Seite Erfolgsgeschichten. Dort wird sichtbar, wie Unternehmen durch klare Verantwortlichkeiten, bessere Datenflüsse und zugängliche Dokumentation sofort spürbare Entlastung erfahren haben.

    Weiterführende Module

    Informationssicherheit & IT-Grundschutz

    Warum Sicherheit organisatorisch verankert werden muss.

    Mehr erfahren

    Business Continuity & Notfallmanagement

    Wie Organisationen bei Ausfällen handlungsfähig bleiben.

    Mehr erfahren

    Compliance & Lieferkette

    Was Sorgfaltspflichten heute bedeuten und wie sie umsetzbar werden.

    Mehr erfahren