Die Digitalisierung schreitet in nahezu allen Branchen mit hoher Geschwindigkeit voran. Unternehmen stehen dabei vor der Herausforderung, neue Prozesse, Produkte und Dienstleistungen so zu gestalten, dass sie nicht nur technisch innovativ, sondern auch rechtlich belastbar sind. Ein zentrales Element bildet dabei der Datenschutz, denn die Verarbeitung personenbezogener Daten ist in fast allen Digitalisierungsbestrebungen unvermeidlich. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat nun im Rahmen seiner Allgemeinen Kurz-Informationen vom 15.09.2025 konkrete Empfehlungen für Datenschutzkonzepten im Rahmen von Digitalisierungsvorhaben veröffentlicht.
Kurz-Information der BayLfD
Der BayLfD erklärt in seiner Kurz-Information, dass eine erfolgreiche Digitalisierung vom Vertrauen der Bürger abhängt. Hierfür erfordere es insbesondere verlässlichen Datenschutz und IT-Sicherheit. Bei der Gewährleistung dieser Vorgaben könne ein sorgsam ausgearbeitetes Datenschutzkonzept unterstützen. Zwar richtet sich das hier erarbeitete Konzept primär an bayrische öffentliche Stellen, es enthält aber wertvolle Ansätze, die auch für Unternehmen in ganz Deutschland von Bedeutung sind.
Zweck von Datenschutzkonzepten
Nach Auffassung des BayLfD dient ein Datenschutzkonzept vor allem dazu, die rechtlichen Anforderungen aus der Datenschutzgrundverordnung (DSGVO) von Anfang an systematisch zu berücksichtigen. Dabei verfolgt es mehrere Ziele.
Zum einen schaffe es Transparenz, indem die vorgesehenen Verarbeitungsvorgänge detailliert erfasst und dokumentiert werden. Diese Transparenz wirkt sowohl nach innen, etwa für Projektteams, Datenschutzbeauftragte und die Geschäftsführung, als auch nach außen, zum Beispiel gegenüber Aufsichtsbehörden oder betroffenen Personen.
Darüber hinaus würden Zuständigkeiten eindeutig zugeordnet. Dies betrifft die Frage, wer im Projekt welche Verantwortung trägt, aber auch die datenschutzrechtliche Rollenzuordnung, also ob ein Beteiligter Verantwortlicher oder Auftragsverarbeiter ist. Ohne diese Klarheit entstehen in der Praxis schnell Unsicherheiten, die zu rechtlichen Risiken führen können.
Ein weiterer wesentlicher Nutzen liege in der frühzeitigen Erkennung von Risiken. Datenschutzkonzepte ermöglichen es, potenzielle Konflikte oder Gefahrenlagen bereits in der Planungsphase sichtbar zu machen und geeignete Maßnahmen zu entwickeln, bevor ein Projekt in die Umsetzung geht. Auf diese Weise werde auch die Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erheblich erleichtert. Unternehmen können jederzeit nachvollziehbar darlegen, wie sie die datenschutzrechtlichen Vorgaben beachtet haben. Gleiches gelte für die Anfertigung von Datenschutzfolgenabschätzungen.
Empfohlene Handlungsanleitung
Besonders bedeutsam ist der Hinweis des BayLfD, dass Datenschutzkonzepte nicht als starres Dokument zu verstehen sind. Vielmehr sollten sie parallel zum Projektfortschritt wachsen. Mit jeder Projektphase werden neue Details erfasst, überprüft und ergänzt.
Im Zentrum stehe zunächst die systematische Erfassung und Beschreibung aller relevanten Verarbeitungsvorgänge. Dazu gehören Informationen über die betroffenen Datenkategorien, die Zwecke der Verarbeitung, die Rechtsgrundlagen sowie die vorgesehenen Lösch- und Aufbewahrungsfristen.
Ein zweiter zentraler Schritt ist die zuvor erwähnte Klärung der datenschutzrechtlichen Rollen. Wer ist Verantwortlicher, wer Auftragsverarbeiter, und in welchem Verhältnis stehen die Beteiligten zueinander? Diese Unterscheidung ist nicht nur für die interne Organisation wichtig, sondern auch für die Gestaltung von Verträgen und die Erfüllung gesetzlicher Pflichten.
Darüber hinaus müsse für jede Verarbeitung eine fundierte Rechtsgrundlage festgelegt werden. Ebenso gehöre eine Risikoanalyse dazu, die gegebenenfalls auch eine Datenschutzfolgenabschätzung einschließen muss.
Dann solle eine Abstimmung mit den Vorgaben für Informationssicherheit erfolgen. Abschließend betont der BayLfD die Bedeutung von Qualitätssicherung und Integration. Ein Datenschutzkonzept sollte nicht im Projektarchiv verschwinden, sondern in das bestehende Datenschutzmanagementsystem eingebettet und fortlaufend aktualisiert werden.
Fazit
Obwohl ein strukturiertes Datenschutzkonzept zwar nicht unmittelbar gesetzlich erforderlich ist, verdeutlichen die Leitlinien, dass ein solches viele positive Effekte für Unternehmen haben kann. Es handelt sich um ein strategisches Instrument, das von Beginn an Orientierung bietet und Verantwortlichen dabei hilft, Transparenz, Nachvollziehbarkeit und Compliance in digitale Projekte zu integrieren. Bei der Erstellung eines solchen empfiehlt es sich auch einen Externen Datenschutzbeauftragten zur Hilfe zu nehmen, um eine maßgeschneiderte und datenschutzkonforme Strategie zu entwickeln.
