Vergleich: GRC Autonome Datenschutz-Software oder Datenschutz-Management-Software

29.04.2026

Einleitung

Neben der Möglichkeit, die Datenschutz-Bestimmungen auf der Grundlage von Excel o.ä. in Eigenregie zu bewältigen haben sich zwei Software-basierte Verfahren herausgebildet, um die bestehenden rechtlichen Anforderungen zu erfüllen.

Beschreibung der Software-Strategien

Der „GRC-Ansatz“ (Abkürzung für „Governance, Risk, and Compliance“) setzt auf fortschrittliche Software, welche in der internen IT-Struktur des eigenen Unternehmens alle Datenschutz-relevanten Verträge, Vorgänge, Abläufe Ablagen und Archive scannt, bewertet und gemäß definierten Vorgaben sortiert, strukturiert und verarbeitet.

Eine derartige Aufgabenstellung muss sorgfältig konfiguriert werden. Kenntnisse sowohl hinsichtlich rechtlicher Forderungen und Rahmenbedingungen, als auch der Architektur der vorliegenden Firmen-IT sind unerlässlich, ebenso sollten diese über Besonderheiten des vorliegenden Geschäftsbereichs orientiert sein.

Selbst unter Einbeziehung einer bewertenden KI erscheint für die Installation und Pflege eines derartigen Software-Ansatzes die Einbindung von Spezialisten unverzichtbar.

Die Vielzahl und Tiefe der Kenntnis-Bereiche mag ein Grund sein dafür, dass derartige Software-Angebote häufiger von Groß-Unternehmen eingesetzt werden.

Ansatz Nr.2 folgt einem Management-Ansatz, in welchem zunächst die geforderten Maßnahmen und anschließend deren Bewältigung in Dokumenten festgehalten werden.

Dieser Management-Ansatz gliedert sich in folgende Bereiche:

• Rechtliche Darstellung
• Unterstützung bei der Neu-Anlage von Dokumenten
• Maßnahmen-Dokumentation
• Vollständigkeits-Verfolgung
• Versionierung
• Revisionssichere Archivierung

Darstellung der hauptsächlich geforderten Maßnahmen

Die Datenschutz-Grundverordnung (DSGVO) legt Verantwortlichen (Unternehmen, Vereine, Behörden) eine umfassende Dokumentations- und Rechenschaftspflicht („Acountability“) auf. Diese dienen u.a. dem Nachweis gegenüber Aufsichtsbehörden, dass personenbezogene Daten rechtmäßig und sicher verarbeitet werden (Art. 5 Abs. 2 DSGVO).

Die wichtigsten Pflichten nach der DSGVO im Überblick

1. Verzeichnis von Verarbeitungstätigkeiten (VVT – Art. 30 DSGVO): Jede Verarbeitung benötigt eine Grundlage (z. B. Einwilligung oder Vertrag). Dokumentiert werden die Prozesse der Datenverarbeitung sowie Minimierung, welche Daten zu welchem Zweck verarbeitet werden, wer darauf Zugriff hat und wie lange sie gespeichert werden.
2. Technische und organisatorische Maßnahmen (TOMs – Art. 32 DSGVO): Welche Sicherheitskonzepte, Verschlüsselung, Passwortrichtlinien, Zugriffskontrollen und Prozesse zur Überprüfung der Wirksamkeit dieser Maßnahmen werden zum Schutz der Daten getroffen.
3. Datenschutz-Folgenabschätzung (DSFA – Art. 35 DSGVO): Zwingend ist eine schriftliche Folgenabschätzung für mögliche Risiken für die Rechte und Freiheiten natürlicher Personen (z.B. bei Videoüberwachung, Profiling).
4. Einwilligungen (Art. 7 Abs. 1 DSGVO): Dokumentation von Einwilligungserklärungen von Nutzern (z.B. für Newsletter) hinschlich Datum und Form der Einwilligungserteilung.
5. Meldung von Datenschutzverletzungen (Art. 33 Abs. 5 DSGVO): Verletzungen des Schutzes personenbezogener Daten müssen inklusive ihrer Auswirkungen sowie der daraufhin ergriffenen Abhilfemaßnahmen dokumentiert werden. Diese sind für eine Einsichtnahme durch Aufsichtsbehörden bereitzuhalten. (Auch wenn keine Meldepflicht an die Behörde bestand).
6. Dokumentation der Betroffenenrechte (Art. 13-22 DSGVO): Prozesse zur Beantwortung von Anfragen von Betroffenen (Auskunft, Löschung, Widerspruch) sollten dokumentiert werden, um eine Einhaltung von Informationspflichten belegen zu können.
7. Prozesse zur Beantwortung von Anfragen von Betroffenen (Auskunft, Löschung, Widerspruch)
8. In den geforderten Prozessen soll die Kommunikation festgehalten werden, um die Einhaltung von Informationspflichten zu belegen.
9. Datenschutzbeauftragter (DSB): Bestellung bei umfangreicher Datenverarbeitung (Art. 37).

Die Einhaltung dieser Pflichten ist essenziell, um DSGVO-konform zu handeln und Bußgelder zu vermeiden.

Die Geschäftsführung haftet für die Durchführung.

Autor: Eckehard Kraska