10. Juni 2025 | DSGVO Information

Aktuelle Schwerpunktsetzung der Datenschutzbehörde

Wenn die Datenschutzbehörde vor der Tür steht …

Dass die Datenschutzbehörde Unternehmen regelmäßig überprüft und bei Verstößen Sanktionen verhängen kann, ist allgemein bekannt. Doch was passiert, wenn die Behörde plötzlich wirklich vor der eigenen Tür steht?Selbstverständlich sollten Sie Ihr Datenschutzmanagement vollständig und gewissenhaft erfüllen bzw.
erfüllt haben ;-).
Doch wie bei jedem komplexen Thema lohnt es sich, bestimmten Bereichen besondere Aufmerksamkeit zu schenken. In diesem Beitrag zeigen wir Ihnen fünf Schwerpunkte, auf die die Datenschutzbehörden besonders achten.

1. Datenschutzbeauftragter und Datenschutzschulungen

Ein wirksamer Datenschutz beginnt mit klarer Organisation. Die Datenschutzbehörde erwartet, dass Unternehmen über strukturierte Zuständigkeiten, klare Prozesse und eine fundierte Planung verfügen.

Dazu zählen

  • die Datenschutzorganisation mit
    • klar definierte Kompetenzen und Aufgaben des Datenschutzbeauftragten (DSB) der über Entsprechende Ressourcen, Weisungsfreiheit verfügt und in Entscheidungen eingebunden wird
    • gut strukturierter Kommunikation mit Ansprechpersonen im Datenschutz, die allen bekannt sind
  • Ein Schulungskonzept mit regelmäßiger Weiterbildung für alle Mitarbeitenden mit dokumentierten Nachweisen

2. Prozesse für Betroffenenanfragen und Digitalisierungsstrategien

  •  Anfragen von Betroffenen müssen innerhalb eines Monats beantwortet werden.
    • Um solche Anfragen effizient und gesetzeskonform zu bearbeiten, benötigen Unternehmen klar definierte Prozesse. Die Behörden prüfen dabei nicht nur, ob solche Anfragen beantwortet werden – sondern auch, wie strukturiert dies erfolgt.
  • Der Datenschutz ist bei jedem Digitalisierungsprojekt mitzudenken – am besten über klar definierte Prozesse, die den Datenschutzbeauftragten oder die Datenschutzkoordinatorin in jedem Fall in die Projekte einbinden.

3. Transparenz und Verständlichkeit von Datenschutzerklärungen

Datenschutz dreht sich überhaupt nicht darum Unternehmen in bürokratische Kleinarbeit zu verwickeln, sondern es geht um die Kontrolle über die Daten der Personen die Ihnen diese anvertrauen. Die Menschen, deren Daten Sie verarbeiten, müssen verstehen können, was mit ihren Informationen passiert – und warum.

Die Behörden prüfen daher, ob

  • Die Datenschutzerklärungen verständlich und leicht zugängliche sind (1 bis 2 Clicks höchstens!)
  • Vermeidung sogenannter „Dark Patterns“ in Consent-Bannern
  • Eine einfache Möglichkeit, Einwilligungen zu widerrufen

Komplizierte Menüs, versteckte Hinweise oder irreführende Buttons sind klare Negativkriterien.

4. Datenaufbewahrung und technische Sicherheitsmaßnahmen

  • Wie lange werden Daten gespeichert? Wer hat Zugriff? Und wie wird sichergestellt, dass keine unbefugten Zugriffe erfolgen? Das Zauberwort nennt sich: Löschkonzept! Es gehört nicht nur dokumentiert, sondern tatsächlich auch umgesetzt 😉
  • Technische und organisatorische Maßnahmen (TOMs) dienen dem Schutz der Daten, sie müssen nicht nur wirksam und state of the art sein, sie müssen auch umfassend dokumentiert sein.Die Behörden wollen beides sehen: Die Dokumentation und die Funktion, sowohl der TOMs also auch des Löschkonzepts.

5. Umgang mit Datenpannen und Notfallpläne

Trotz aller Vorsichtsmaßnahmen können Datenpannen passieren. Entscheidend ist dann, wie gut Sie vorbereitet sind und wie transparent Sie damit umgehen.
Eine Datenpanne muss innerhalb von 72 Stunden an die Datenschutzbehörde gemeldet werden. Eine fristgerechte Meldung mit konstruktiver Zusammenarbeit wird positiv bewertet – das Verschweigen hingegen kann schwerwiegende Folgen haben.

Wichtig ist auch: Gibt es einen strukturierten Notfallplan? Wie reagieren Sie bei kompromittierten IT-Systemen? Wie stellen Sie sicher, dass Ihre Mitarbeitenden im Ernstfall wissen, was zu tun ist?

Ein dokumentierter Prozess hilft nicht nur im Ernstfall, sondern zeigt der Behörde auch, dass Datenschutz in Ihrem Unternehmen gelebte Praxis ist.

MeineBerater-Tipp – externes Audit!

Vor einem Besuch der Behörde oder einem Verfahren vor der Datenschutzbehörde muss sich niemand fürchten, wenn man ein gut aufgestelltes Datenschutzmanagement hat. Regelmäßige Updates sind unumgänglich, noch wichtiger sind die Schulungen aller im Unternehmen tätigen Personen.
How to? Ein externes Audit schafft Klarheit und sorgt für Beruhigung… oder eine Todoliste ;-).
Kontaktieren Sie uns unter office@meineberater.at, um mehr zu erfahren und die ersten Schritte einzuleiten. 😊

Meine Berater
News abonnierenen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.