Michael Kornmann, Autor bei QS Kornmann

GDNG & Gesundheitsforschung: Was sich für Unternehmen jetzt wirklich ändert

Für Unternehmen bedeutet das Gesundheitsdatennutzungsgesetz vor allem eines – genauer hinschauen und Prozesse sauber aufsetzen.

10 April 2026

Das Gesundheitsdatennutzungsgesetz (GDNG) soll die Nutzung von Gesundheitsdaten für Forschungszwecke erleichtern und Innovationen im Gesundheitswesen vorantreiben. Doch die aktuelle Orientierungshilfe des Bayerischer Landesbeauftragter für den Datenschutz zeigt: Ganz so einfach wird es in der Praxis nicht. Für Unternehmen bedeutet das vor allem eines – genauer hinschauen und Prozesse sauber aufsetzen.

Neue Möglichkeiten – aber keine pauschale Vereinfachung

Mit dem GDNG wurden neue rechtliche Grundlagen geschaffen, die unter bestimmten Voraussetzungen eine Nutzung von Gesundheitsdaten auch ohne ausdrückliche Einwilligung ermöglichen. Besonders relevant sind hier die Regelungen in den §§ 5 und 6, die den Zugang zu Daten für Forschungszwecke erweitern sollen.

Gleichzeitig steht das Gesetz im Zusammenhang mit dem geplanten Europäischer Gesundheitsdatenraum (EHDS), der europaweit den Austausch und die Nutzung von Gesundheitsdaten verbessern soll.

Die zentrale Botschaft der Aufsichtsbehörde ist jedoch eindeutig: Das GDNG führt nicht automatisch zu weniger Aufwand. Einwilligungen bleiben in vielen Fällen erforderlich, und auch bestehende landesrechtliche Regelungen behalten ihre Bedeutung. Unternehmen müssen daher weiterhin genau prüfen, auf welcher Rechtsgrundlage sie Daten verarbeiten.

Datenschutz bleibt ein strategischer Erfolgsfaktor

Gerade in der Gesundheitsforschung ist Vertrauen ein entscheidender Faktor. Patientinnen und Patienten geben sensible Daten nur dann preis, wenn sie sicher sein können, dass diese verantwortungsvoll genutzt werden.

Das bedeutet für Unternehmen: Datenschutz ist nicht nur eine rechtliche Pflicht, sondern ein echter Wettbewerbsvorteil. Wer frühzeitig klare Prozesse etabliert, Risiken bewertet und Schutzmaßnahmen umsetzt, schafft die Grundlage für nachhaltige Forschung und stabile Kooperationen.

Die Orientierungshilfe betont daher, wie wichtig es ist, Datenschutzanforderungen bereits in der Projektplanung mitzudenken – statt sie erst im Nachhinein zu berücksichtigen.

Was Unternehmen jetzt konkret tun sollten

Für Unternehmen im Gesundheitsbereich – ob Forschungseinrichtung, Hersteller oder Dienstleister – wird es entscheidend sein, die neuen Rahmenbedingungen aktiv zu interpretieren und in bestehende Abläufe zu integrieren.

Ein praktischer Ansatzpunkt ist das vom BayLfD bereitgestellte Musterformular für Anträge nach § 6 Abs. 3 GDNG. Es bietet eine hilfreiche Struktur, um Projekte datenschutzkonform zu planen und umzusetzen. Gleichzeitig sollten interne Prozesse regelmäßig überprüft und gegebenenfalls angepasst werden, um den neuen Anforderungen gerecht zu werden.

Unsere Top 5

Orientierungshilfe des BayLfD gezielt nutzen und in Projekte einfließen lassen
Für jedes Vorhaben die passende Rechtsgrundlage sauber prüfen
Landesrechtliche Vorgaben frühzeitig berücksichtigen
Musterformulare als strukturierte Arbeitshilfe einsetzen
Transparenz gegenüber Betroffenen konsequent sicherstellen

AVV vs. SLA: Wenn Verträge die Informationssicherheit ausbremsen

Unternehmen schließen täglich Verträge, um Zusammenarbeit, Leistung und Sicherheit zu regeln.

03 April 2026

Unternehmen schließen täglich Verträge, um Zusammenarbeit, Leistung und Sicherheit zu regeln. Besonders relevant sind dabei Auftragsverarbeitungsverträge (AVV) und Service-Level-Agreements (SLA). Doch genau diese Regelwerke können im Ernstfall zum Problem werden: Dann nämlich, wenn schnelle Entscheidungen gefragt sind – und vertragliche Vorgaben die nötige Flexibilität einschränken.

Gerade im Kontext von Business Continuity, also der Sicherstellung kritischer Geschäftsprozesse im Notfall, entstehen hier Spannungsfelder, die in der Praxis häufig unterschätzt werden.

Wenn Regelwerke kollidieren

Ein AVV regelt, wie personenbezogene Daten im Auftrag verarbeitet werden dürfen – inklusive der Frage, welche Sub-Dienstleister eingesetzt werden dürfen. Änderungen sind in der Regel zustimmungspflichtig.

Ein SLA hingegen definiert messbare Leistungsziele, etwa Verfügbarkeiten oder Reaktionszeiten bei Störungen.

Das Problem liegt auf der Hand: Während ein SLA schnelle Reaktionen verlangt, kann ein AVV genau diese Reaktionsfähigkeit einschränken. Im IT-Notfall entsteht so ein Zielkonflikt zwischen Vertragstreue und operativer Handlungsfähigkeit.

Ein typisches Praxisbeispiel

Ein Unternehmen nutzt einen festgelegten Sub-Dienstleister für den automatisierten E-Mail-Versand. Kommt es zu einem Ausfall, kann die vereinbarte Verfügbarkeit aus dem SLA nicht mehr eingehalten werden.

Naheliegend wäre es, kurzfristig auf einen alternativen Anbieter auszuweichen. Doch genau das ist durch den AVV untersagt – zumindest ohne vorherige Zustimmung des Kunden.

Die Verantwortlichen stehen vor einer schwierigen Entscheidung:
Soll ein SLA-Verstoß in Kauf genommen werden?
Oder ist es vertretbar, ohne Zustimmung einen anderen Dienstleister einzusetzen, um größeren Schaden abzuwenden?

Solche Entscheidungen müssen oft unter hohem Zeitdruck getroffen werden – und bergen rechtliche wie operative Risiken.

Warum diese Situation so kritisch ist

In der Theorie sind Verantwortlichkeiten klar geregelt. In der Praxis jedoch treffen unterschiedliche Interessen aufeinander: Rechtssicherheit, Datenschutz, Verfügbarkeit und Unternehmensrisiken müssen gleichzeitig berücksichtigt werden.

Besonders herausfordernd wird es, wenn mehrere Hierarchieebenen oder externe Ansprechpartner eingebunden sind. Schnelle Abstimmungen sind dann kaum möglich – und genau das kann im Notfall entscheidend sein.

Hinzu kommt: Viele Verträge wurden in stabilen Zeiten erstellt und berücksichtigen keine dynamischen Bedrohungsszenarien oder akuten Krisensituationen.

Lösungsansätze für mehr Handlungssicherheit

Um solche Konflikte zu vermeiden, lohnt sich ein proaktiver Blick auf Vertragsgestaltung und Notfallplanung.

Sinnvoll sind beispielsweise klar definierte Notfallklauseln, die den Einsatz alternativer Dienstleister unter bestimmten Bedingungen erlauben. Ebenso wichtig ist eine mehrstufige Dienstleisterstrategie: Wer bereits im Vorfeld mögliche Ersatzanbieter identifiziert und vertraglich eingebunden hat, kann im Ernstfall deutlich schneller reagieren.

Ein weiterer zentraler Punkt ist die Verzahnung von Business-Continuity-Management und Vertragsmanagement. Notfallpläne sollten nicht nur technische Abläufe beschreiben, sondern auch rechtliche Rahmenbedingungen berücksichtigen.

Regelmäßige Überprüfungen der bestehenden Verträge helfen zudem, diese an aktuelle Risiken und technologische Entwicklungen anzupassen.

Fazit

AVV und SLA erfüllen wichtige Funktionen – können aber im Zusammenspiel unbeabsichtigte Hürden schaffen. Eine pauschale Lösung gibt es nicht. Entscheidend ist vielmehr, potenzielle Konflikte frühzeitig zu erkennen und vertraglich zu entschärfen.

Unternehmen, die ihre Verträge regelmäßig prüfen und Notfallszenarien aktiv mitdenken, schaffen sich einen entscheidenden Vorteil: Sie bleiben auch in kritischen Situationen handlungsfähig.

Unsere Top 5

Notfallklauseln frühzeitig verhandeln und klar definieren
Alternative Dienstleister strategisch vorbereiten und absichern
Business Continuity und Vertragsmanagement eng verzahnen
Verträge regelmäßig prüfen und anpassen
Kritische Abhängigkeiten erkennen und gezielt reduzieren

Phishing-Angriffe 2026: So schützt du dein Unternehmen wirksam

Phishing bleibt 2026 die häufigste Angriffsform auf Unternehmen. Wirksamer Schutz erfordert mehr als technische Lösungen.

27 März 2026

Phishing bleibt 2026 die häufigste Angriffsform auf Unternehmen. Die Angriffe werden immer raffinierter – KI-generierte E-Mails und Deepfake-Telefonate täuschen selbst geschulte Mitarbeiter. Wirksamer Schutz erfordert mehr als technische Lösungen.

Die Bedrohungslage hat sich verschärft: Cyberkriminelle nutzen KI-Tools, um täuschend echte E-Mails zu erstellen, die perfekt auf das Zielunternehmen zugeschnitten sind. Spear-Phishing-Angriffe auf Führungskräfte (CEO-Fraud) und Finanzabteilungen nehmen zu. Deepfake-Technologie ermöglicht gefälschte Telefon- oder Videoanrufe vermeintlicher Geschäftspartner.

Technische Schutzmaßnahmen sind wichtig, aber nicht ausreichend: E-Mail-Filter mit KI-Erkennung, Spam- und Phishing-Schutz, Multi-Faktor-Authentifizierung (MFA) für alle Zugänge, DMARC, SPF und DKIM zur E-Mail-Authentifizierung sowie regelmäßige Sicherheitsupdates und Patch-Management. Der entscheidende Faktor bleibt aber der Mensch.

Organisatorische Maßnahmen und Awareness-Training: Regelmäßige Phishing-Simulationen zur Sensibilisierung, klare Meldeprozesse für verdächtige E-Mails, Vier-Augen-Prinzip bei finanziellen Transaktionen sowie Notfallpläne für erfolgreiche Phishing-Angriffe. Die Kombination aus Technik, Prozessen und geschulten Mitarbeitern bietet den besten Schutz.

Fazit

Phishing-Angriffe werden durch KI immer raffinierter. Technische Schutzmaßnahmen allein reichen nicht mehr – der Faktor Mensch ist entscheidend. Regelmäßige Schulungen, Phishing-Simulationen und klare Meldeprozesse sind unverzichtbar. Wer Technik und Awareness kombiniert, minimiert das Risiko erheblich.

Top 5 Empfehlungen:

1. Multi-Faktor-Authentifizierung (MFA) einführen: Schütze alle Zugänge mit MFA – gestohlene Passwörter allein genügen dann nicht mehr.

2. Regelmäßige Phishing-Simulationen durchführen: Teste deine Mitarbeiter mit simulierten Angriffen und schulle gezielt nach Schwachstellen.

3. Klare Meldeprozesse etablieren: Mitarbeiter müssen wissen, wie sie verdächtige E-Mails melden können – ohne Angst vor Konsequenzen.

4. Vier-Augen-Prinzip bei Zahlungen: Finanzielle Transaktionen sollten immer von zwei Personen freigegeben werden.

5. Notfallplan für Phishing-Vorfälle: Definiere vorab, was bei einem erfolgreichen Angriff zu tun ist – schnelles Handeln minimiert Schäden.

Home-Office und Datenschutz: Was Arbeitgeber 2026 beachten müssen

Home-Office ist gekommen, um zu bleiben. Wir zeigen, worauf es bei der mobilen Arbeit mit personenbezogenen Daten ankommt.

20 März 2026

Home-Office ist gekommen, um zu bleiben. Doch viele Arbeitgeber unterschätzen die datenschutzrechtlichen Anforderungen. Wir zeigen, worauf es bei der mobilen Arbeit mit personenbezogenen Daten ankommt.

Art. 32 DSGVO verlangt ein angemessenes Schutzniveau – auch im Home-Office. Das bedeutet: Arbeitgeber müssen technische und organisatorische Maßnahmen treffen, um personenbezogene Daten zu schützen. In der Praxis heißt das: Sichere Geräte (verschlüsselte Festplatten, aktuelle Software, Virenschutz), VPN-Verbindungen für den Zugriff auf Unternehmensnetzwerke, klare Regelungen zu privatem WLAN (sichere Passwörter, Gastnetzwerke) sowie Verpflichtung zur Vertraulichkeit und Clean-Desk-Policy.

Häufige Fehler in der Praxis: Mitarbeiter nutzen private Geräte ohne ausreichende Sicherheitsmaßnahmen, sensible Dokumente werden ausgedruckt und liegen offen herum, keine Regelung für die Entsorgung von Dokumenten oder Familienmitglieder haben Zugriff auf dienstliche Geräte. Diese Schwachstellen können zu Datenpannen führen – und der Arbeitgeber haftet.

Lösung: Erstelle eine Home-Office-Richtlinie, die technische Anforderungen, organisatorische Vorgaben und Verhaltensregeln klar definiert. Schulungen sensibilisieren Mitarbeiter für Risiken. Die Einhaltung sollte regelmäßig überprüft werden, etwa durch Stichproben oder Self-Assessments.

Fazit

Home-Office erfordert besondere datenschutzrechtliche Maßnahmen. Arbeitgeber müssen technische und organisatorische Vorkehrungen treffen und diese in einer Richtlinie festhalten. Schulungen und regelmäßige Kontrollen sind unverzichtbar, um Datenpannen zu vermeiden.

Top 5 Empfehlungen:

1. Home-Office-Richtlinie erstellen: Definiere klare technische und organisatorische Anforderungen für die mobile Arbeit.

2. Sichere Geräte bereitstellen: Stelle verschlüsselte Firmengeräte zur Verfügung – BYOD (Bring Your Own Device) erhöht das Risiko.

3. VPN-Pflicht durchsetzen: Zugriff auf Unternehmensnetzwerke nur über sichere VPN-Verbindungen.

4. Clean-Desk-Policy einführen: Sensible Dokumente dürfen nicht offen liegen – auch nicht im Home-Office.

5. Regelmäßige Schulungen durchführen: Sensibilisiere Mitarbeiter für Risiken wie Phishing, unsichere WLANs und Social Engineering.

Löschkonzepte nach DSGVO: Warum viele Unternehmen hier scheitern

Die Speicherbegrenzung gehört zu den Grundprinzipien der DSGVO – dennoch scheitern viele Unternehmen an der Umsetzung.

13 März 2026

Die Speicherbegrenzung gehört zu den Grundprinzipien der DSGVO – dennoch scheitern viele Unternehmen an der Umsetzung. Fehlende Löschkonzepte sind ein häufiger Kritikpunkt bei Audits und können teuer werden.

Art. 5 Abs. 1 lit. e DSGVO fordert: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Klingt einfach, ist in der Praxis aber komplex. Denn verschiedene Daten unterliegen unterschiedlichen Aufbewahrungsfristen – gesetzlich (Handelsrecht, Steuerrecht), vertraglich (Gewährleistung, Verjährung) oder betrieblich (Dokumentationspflichten).

Typische Fehler in der Praxis: Keine definierten Löschfristen für verschiedene Datenkategorien, fehlende technische Prozesse zur automatischen Löschung, Altdaten in Legacy-Systemen, die niemand anfasst sowie keine Dokumentation durchgeführter Löschungen. Das Problem: Ohne Löschkonzept kann die Rechenschaftspflicht nicht erfüllt werden. Bei Auskunftsanfragen oder Kontrollen durch Aufsichtsbehörden wird das schnell zum Problem.

Die Lösung ist ein strukturiertes Löschkonzept mit: Kategorisierung aller Datenarten nach Verarbeitungszweck, Definition konkreter Löschfristen (unter Berücksichtigung gesetzlicher Vorgaben), technischen Löschprozessen (automatisiert oder manuell mit Erinnerungsfunktion) sowie Dokumentation durchgeführter Löschungen (Nachweis für Rechenschaftspflicht).

Fazit

Löschkonzepte sind keine Kür, sondern Pflicht. Wer personenbezogene Daten verarbeitet, muss nachweisen können, wann und wie diese gelöscht werden. Ein strukturiertes Löschkonzept schützt vor Bußgeldern und erleichtert die Erfüllung von Betroffenenrechten. Die Investition lohnt sich.

Top 5 Empfehlungen:

1. Dateninventar erstellen: Erfasse alle Kategorien personenbezogener Daten und ordne sie den Verarbeitungszwecken zu.

2. Löschfristen definieren: Lege für jede Datenkategorie konkrete Löschfristen fest (gesetzlich, vertraglich, betrieblich).

3. Automatisierung nutzen: Implementiere technische Lösungen zur automatischen Löschung – manuelle Prozesse sind fehleranfällig.

4. Legacy-Systeme bereinigen: Räume Altdatenbestände systematisch auf – ungenutzte Daten sind Risikofaktoren.

5. Löschungen dokumentieren: Halte fest, welche Daten wann gelöscht wurden – das ist für die Rechenschaftspflicht unverzichtbar.

Ransomware-Abwehr 2026: Neue Bedrohungen, bewährte Schutzmaßnahmen

Wirksamer Schutz erfordert mehrschichtige Strategien.

06 März 2026

Ransomware-Angriffe werden 2026 noch gezielter und professioneller. Double Extortion (Verschlüsselung + Datendiebstahl) ist Standard, Triple Extortion (zusätzlich DDoS-Angriffe) nimmt zu. Wirksamer Schutz erfordert mehrschichtige Strategien.

Die Bedrohungslage hat sich verschärft: Cyberkriminelle nutzen KI für gezielte Angriffe, infiltrieren Netzwerke monatelang vor dem Zuschlagen und greifen gezielt Backup-Systeme an. Besonders perfide: Angreifer drohen nicht nur mit Verschlüsselung, sondern auch mit Veröffentlichung sensibler Daten und DDoS-Angriffen auf kritische Systeme.

Technische Schutzmaßnahmen bilden die erste Verteidigungslinie: Segmentierung der Netzwerke (Zero Trust-Prinzip), Offline-Backups mit 3-2-1-Regel (3 Kopien, 2 Medien, 1 offline), Endpoint Detection and Response (EDR) statt klassischem Virenschutz, Privileged Access Management (PAM) zur Absicherung administrativer Zugriffe sowie regelmäßige Vulnerability-Scans und Patch-Management.

Organisatorische Maßnahmen sind gleichwertig wichtig: Incident Response Plan mit definierten Rollen und Eskalationswegen, regelmäßige Backup-Tests und Wiederherstellungsübungen, Cyber-Versicherung mit klarer Risikoanalyse sowie Notfall-Kommunikationsplan für interne und externe Stakeholder. Die Kombination aus Prävention, Detektion und schneller Reaktion minimiert Schäden.

Fazit

Ransomware ist 2026 die größte Cyber-Bedrohung für Unternehmen. Wirksamer Schutz erfordert mehr als Virenschutz – es braucht mehrschichtige technische Maßnahmen, belastbare Backups und klare Notfallpläne. Wer präventiv investiert, spart im Ernstfall Millionen.

Top 5 Empfehlungen:

1. Offline-Backups sicherstellen: Implementiere die 3-2-1-Regel mit mindestens einer offline/air-gapped Kopie.

2. Netzwerksegmentierung umsetzen: Verhindere die laterale Ausbreitung durch Zero Trust-Architektur.

3. EDR statt Antivirus: Moderne Endpoint Detection and Response-Lösungen erkennen auch unbekannte Angriffe.

4. Incident Response Plan testen: Übe Ransomware-Szenarien regelmäßig – Theorie hilft im Ernstfall nicht.

5. Privileged Access absichern: Schütze administrative Zugänge besonders – sie sind das Hauptziel von Angreifern.

Cyber Resilience Act: Neue Sicherheitspflichten für Produkte mit digitalen Elementen

Von IoT-Geräten bis zu Industriesteuerungen – wer Produkte in der EU verkauft, muss handeln.

27 Februar 2026

Der EU Cyber Resilience Act (CRA) tritt 2026 schrittweise in Kraft und verpflichtet Hersteller von Produkten mit digitalen Elementen zu umfassenden Cybersicherheitsmaßnahmen. Von IoT-Geräten bis zu Industriesteuerungen – wer Produkte in der EU verkauft, muss handeln.

Der CRA gilt für alle Produkte mit digitalen Elementen – von Smart-Home-Geräten über Industrieroboter bis zu medizinischen Geräten. Ausgenommen sind nur Produkte, die bereits durch sektorspezifische Regelungen (z.B. MDR, Kfz-Typgenehmigung) abgedeckt sind. Die Verordnung verfolgt einen risikobasierten Ansatz: Produkte werden in drei Klassen eingeteilt (Standard, wichtig, kritisch), je nach Risiko für Cybersicherheit.

Zentrale Anforderungen für Hersteller: Security by Design und Security by Default ab Entwicklungsbeginn, Schwachstellenmanagement über den gesamten Produktlebenszyklus (mindestens 5 Jahre), Meldepflicht für aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden, sichere Software-Updates und Patch-Management sowie CE-Kennzeichnung mit Cybersicherheitsnachweis.

Besonders kritisch: Die Haftungsregelungen. Hersteller haften für Schäden durch Sicherheitslücken. Bußgelder bei Verstößen können bis zu 15 Mio. Euro oder 2,5% des weltweiten Jahresumsatzes betragen. Die Übergangsfrist läuft – Hersteller sollten jetzt mit der Implementierung beginnen.

Fazit

Der Cyber Resilience Act ändert die Spielregeln für Produkthersteller grundlegend. Security by Design wird zur Pflicht, nicht zur Option. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch den Marktzugang in der EU. Eine frühzeitige Vorbereitung ist unverzichtbar.

Top 5 Empfehlungen:

1. Betroffenheit prüfen: Analysiere dein Produktportfolio – welche Produkte fallen unter den CRA?

2. Security by Design implementieren: Integriere Cybersicherheit von Anfang an in den Entwicklungsprozess.

3. Schwachstellenmanagement aufbauen: Etabliere Prozesse zur Identifikation, Bewertung und Behebung von Sicherheitslücken.

4. Update-Strategie entwickeln: Plane langfristige Software-Updates (mindestens 5 Jahre Support) und automatische Patch-Mechanismen.

5. Dokumentation sicherstellen: Erstelle die erforderliche technische Dokumentation für die CE-Kennzeichnung frühzeitig.

ISO 9001 und Risikomanagement: Die unterschätzte Verbindung

Risikomanagement ist seit der ISO 9001:2015 fester Bestandteil des Qualitätsmanagements – wird aber in der Praxis oft stiefmütterlich behandelt.

20 Februar 2026

Risikomanagement ist seit der ISO 9001:2015 fester Bestandteil des Qualitätsmanagements – wird aber in der Praxis oft stiefmütterlich behandelt. Dabei bietet ein gut aufgebautes Risikomanagement echte Mehrwerte für die Organisation.

Die ISO 9001 fordert in Kapitel 6.1 die Identifikation und Bewertung von Risiken und Chancen, die die Erreichung der QM-Ziele beeinflussen können. Viele Unternehmen erfüllen diese Anforderung nur oberflächlich – etwa mit einer jährlichen Risikobewertung in der Managementbewertung. Dabei geht es um mehr: Risikomanagement soll systematisch in alle Prozesse integriert werden.

Praktische Umsetzung bedeutet: Risiken und Chancen bei Prozessänderungen bewerten, Lieferantenrisiken systematisch erfassen und bewerten, Produktrisiken in der Entwicklung berücksichtigen sowie Compliance-Risiken (DSGVO, NIS-2, Lieferkettengesetz) integrieren. Die Verzahnung von QM und Risikomanagement schafft Synergien – etwa bei der Vorbereitung auf Audits oder der Erfüllung gesetzlicher Anforderungen.

Ein häufiger Fehler: Risikomanagement wird als separate Excel-Tabelle geführt, ohne Anbindung an das QM-System. Besser: Integration in bestehende Prozesse, etwa in Managementbewertungen, interne Audits oder Lieferantenbewertungen.

Fazit

Risikomanagement nach ISO 9001 ist mehr als eine Pflichtübung. Wer Risiken systematisch identifiziert und bewertet, schafft echte Mehrwerte: bessere Entscheidungsgrundlagen, frühzeitige Problemerkennung und höhere Rechtssicherheit. Die Integration in bestehende QM-Prozesse spart Zeit und erhöht die Akzeptanz.

Top 5 Empfehlungen:

1. Risikomanagement in Prozesse integrieren: Bewerte Risiken und Chancen systematisch bei Prozessänderungen, nicht nur einmal jährlich.

2. Compliance-Risiken berücksichtigen: Integriere DSGVO, NIS-2 und andere gesetzliche Anforderungen in dein Risikomanagement.

3. Lieferantenrisiken bewerten: Erfasse systematisch Risiken in der Lieferkette (z.B. Lieferkettengesetz, Abhängigkeiten).

4. Digitale Tools nutzen: Excel-Tabellen sind ein Anfang – professionelle QM-Software erleichtert die Integration erheblich.

5. Chancen nicht vergessen: Risikomanagement heißt auch Chancenmanagement – nutze systematische Bewertungen für strategische Entscheidungen.

Gemeinsame Verantwortlichkeit (Joint Controllership): Das oft übersehene Risiko

Viele Unternehmen übersehen, dass sie bei bestimmten Datenverarbeitungen gemeinsam mit anderen Stellen verantwortlich sind.

13 Februar 2026

Viele Unternehmen übersehen, dass sie bei bestimmten Datenverarbeitungen gemeinsam mit anderen Stellen verantwortlich sind. Die gemeinsame Verantwortlichkeit (Joint Controllership) nach Art. 26 DSGVO wird häufig falsch eingeschätzt – mit rechtlichen Folgen.

Gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung festlegen. Klassische Fälle: Fanpage-Betreiber auf Social Media (EuGH-Rechtsprechung), gemeinsame Nutzung von CRM-Systemen durch verbundene Unternehmen, Kooperationen bei Marketing-Aktionen mit geteilten Kundendatenbanken oder Plattformbetreiber und Händler bei Marktplätzen.

Art. 26 DSGVO schreibt vor: Die gemeinsam Verantwortlichen müssen in einer Vereinbarung ihre jeweiligen Verantwortlichkeiten festlegen – insbesondere für die Erfüllung von Betroffenenrechten und Informationspflichten. Diese Vereinbarung muss den Betroffenen in wesentlichen Teilen zur Verfügung gestellt werden. Fehlt eine solche Vereinbarung, haften beide Verantwortliche gesamtschuldnerisch.

Das Risiko wird oft unterschätzt: Ohne Joint-Controller-Agreement fehlt die Rechtsgrundlage für die Datenverarbeitung. Aufsichtsbehörden können Bußgelder verhängen, und Betroffene können sich an jeden der Verantwortlichen wenden – unabhängig davon, wer tatsächlich die Daten verarbeitet.

Fazit

Joint Controllership wird in der Praxis häufig übersehen oder falsch eingeordnet. Wer mit anderen Stellen gemeinsam Daten verarbeitet, sollte prüfen, ob eine gemeinsame Verantwortlichkeit vorliegt. Eine schriftliche Vereinbarung nach Art. 26 DSGVO ist nicht nur Pflicht, sondern schützt auch vor Haftungsrisiken.

Top 5 Empfehlungen:

1. Kooperationen prüfen: Analysiere alle Datenverarbeitungen mit externen Partnern auf gemeinsame Verantwortlichkeit.

2. Joint-Controller-Agreement abschließen: Schließe schriftliche Vereinbarungen mit allen gemeinsam Verantwortlichen ab.

3. Verantwortlichkeiten klar definieren: Lege fest, wer für welche DSGVO-Pflichten zuständig ist (Auskunft, Löschung, Informationspflichten).

4. Betroffene informieren: Stelle die wesentlichen Inhalte der Vereinbarung transparent zur Verfügung (z.B. in der Datenschutzerklärung).

5. Social-Media-Fanpages beachten: Auch als Fanpage-Betreiber bist du gemeinsam mit dem Plattformbetreiber verantwortlich – prüfe die Vereinbarungen.

Datenschutz-Folgenabschätzung (DSFA): Wann sie wirklich Pflicht ist

Wir zeigen, in welchen Fällen Sie nicht um eine DSFA herumkommen.

06 Februar 2026

Viele Unternehmen sind unsicher, wann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Dabei ist die Rechtslage klarer als oft angenommen. Wir zeigen, in welchen Fällen Sie nicht um eine DSFA herumkommen.

Eine DSFA ist nach Art. 35 DSGVO verpflichtend, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutzkonferenz (DSK) hat eine „Muss-Liste“ veröffentlicht, die konkrete Verarbeitungsvorgänge benennt. Dazu gehören: umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten), systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung) und automatisierte Entscheidungen mit Rechtswirkung (z.B. Scoring, Profiling).

Typische Fälle aus der Praxis: Einführung einer HR-Software mit umfangreicher Mitarbeiterdatenverarbeitung, Einsatz von KI-gestützten Bewerbermanagementsystemen, Videoüberwachung mit biometrischer Gesichtserkennung oder umfangreiches Tracking von Nutzerverhalten auf Websites. Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden und die Risiken sowie geplante Schutzmaßnahmen dokumentieren.

Wichtig: Bei Unsicherheit gilt die Faustregel – lieber eine DSFA zu viel als eine zu wenig. Die Nichtdurchführung einer erforderlichen DSFA kann zu Bußgeldern führen und gilt als Verstoß gegen die Rechenschaftspflicht.

Fazit

Die DSFA ist kein bürokratisches Übel, sondern ein wirksames Instrument zur Risikominimierung. Wer unsicher ist, ob eine DSFA erforderlich ist, sollte die Muss-Liste der DSK konsultieren oder im Zweifelsfall eine durchführen. Die Dokumentation schützt nicht nur Betroffene, sondern auch das Unternehmen bei Kontrollen.

Top 5 Empfehlungen:

1. Muss-Liste der DSK prüfen: Gleiche deine Verarbeitungsvorgänge mit der offiziellen Liste der Datenschutzkonferenz ab.

2. DSFA vor Verarbeitungsbeginn durchführen: Die Folgenabschätzung muss abgeschlossen sein, bevor du mit der Datenverarbeitung startest.

3. Risiken dokumentieren: Beschreibe konkret, welche Risiken für Betroffene bestehen und wie du diese minimierst.

4. Datenschutzbeauftragten einbeziehen: Hole den DSB frühzeitig in den Prozess ein – seine Stellungnahme ist Pflicht.

5. Regelmäßig aktualisieren: Bei wesentlichen Änderungen der Verarbeitung muss die DSFA überarbeitet werden.