Datenschutz-Roadmap für den CISO: pragmatisch priorisiert
Kernaussage
Datenschutz nach der DSGVO (Verordnung (EU) 2016/679) ist für den CISO kein abgeschlossenes Projekt, sondern eine priorisierte Reihenfolge aufeinander aufbauender Fähigkeiten. Wer alle Pflichten gleichzeitig erfüllen will, verteilt Ressourcen dünn und erreicht nirgends Belastbarkeit.
Die pragmatische Reihenfolge: erst wissen, was verarbeitet wird (Verzeichnis, Art. 30), dann angemessen schützen (Art. 32), dann im Ernstfall handeln (Art. 33 und 34), dann Risiken vorab erkennen (Art. 35), dann Lieferkette und Drittlandtransfers ordnen (Art. 28 und 44 bis 49), dann das Ganze nachweisbar machen. Die Sequenz folgt der Rechenschaftspflicht aus Art. 5 Abs. 2 und Art. 24: nicht nur konform sein, sondern es belegen können.
Problem in der Praxis
Datenschutz wird oft entlang von Dringlichkeit statt entlang von Abhängigkeit getrieben. Ein Kundenaudit erzwingt eine TOM-Liste, ein Vorfall einen improvisierten Meldeprozess, eine neue Software eine hastige Folgenabschätzung. So entstehen Einzelartefakte ohne Fundament. Das fällt auf, sobald das Verzeichnis fehlt oder veraltet ist: Dann sind TOMs nicht risikobezogen begründbar, der Breach-Prozess kann betroffene Verarbeitungen nicht zuordnen, und Drittlandtransfers bleiben unklar.
CISO-Einordnung
Der CISO sollte die Pflichten als Stapel mit Abhängigkeiten lesen, nicht als gleichrangige Liste. Jede Stufe macht die nächste billiger und belastbarer.
- Fundament, Art. 30: das Verzeichnis als Inventar, auf das alles zugreift. Erleichterungen unter 250 Beschäftigten greifen praktisch oft nicht.
- Schutz, Art. 32: technische und organisatorische Maßnahmen nach Stand der Technik, am Risiko für die Rechte und Freiheiten orientiert; konzeptionell genannt sind u. a. Pseudonymisierung und Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit und regelmäßige Wirksamkeitsprüfung. Hier dockt das ISMS an: ISO/IEC 27001 und IT-Grundschutz liefern das nachweisbare Wie, die DSGVO das Schutzziel.
- Reaktion, Art. 33 und 34: Meldung an die Aufsicht unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, sofern ein Risiko besteht; bei hohem Risiko zusätzlich unverzügliche Benachrichtigung der Betroffenen (Ausnahmen etwa bei wirksamer Verschlüsselung). Alle Verletzungen sind zu dokumentieren.
- Vorsorge, Art. 35 und 36: Folgenabschätzung bei voraussichtlich hohem Risiko, etwa bei neuen Technologien, systematischer umfangreicher Überwachung oder umfangreicher Verarbeitung sensibler Daten; bei verbleibendem hohem Risiko vorherige Konsultation der Aufsicht.
- Lieferkette, Art. 28 und 44 bis 49: Auftragsverarbeitung per Vertrag mit Mindestinhalten und Unterauftragsregelung; Drittlandtransfers nur mit Rechtsgrundlage (Angemessenheitsbeschluss oder geeignete Garantien wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften).
- Nachweis: ISO/IEC 27701 strukturiert die Rechenschaftsfähigkeit, ersetzt aber keine rechtliche Konformität.
Umsetzungsperspektive
Die Roadmap lässt sich als Wellen denken, nicht als Stichtag.
- Welle eins: Verzeichnis aufbauen und mit dem ISMS-Inventar verknüpfen, sodass schutzbedürftige Verarbeitungen als Werte im Risikoregister erscheinen.
- Welle zwei: TOMs aus diesem Inventar ableiten statt isoliert pflegen; jede Maßnahme einmal im Maßnahmenregister führen, das Wirksamkeitsverfahren in der ISMS-Taktung mitlaufen lassen.
- Welle drei: Meldeprozess operativ machen (Erkennung, Risikoschwelle, Eskalation, vorbereitete Texte, laufende 72-Stunden-Uhr). Ein Vorfall kann parallele Pflichten auslösen, etwa Art. 33 und, je nach Sektor, NIS2 oder DORA mit eigenen Triggern und Fristen; der Prozess sollte aus einer Erkennung alle Pfade ableiten.
- Welle vier: Folgenabschätzung als Trigger im Change- und Beschaffungsprozess verankern.
- Welle fünf: Verträge und Transfers ordnen (Register der Auftragsverarbeiter, geprüfte Verträge nach Art. 28, gepflegte Transfer-Bewertung).
Typische Fehler
- Start mit einer TOM-Liste, bevor das Verzeichnis nach Art. 30 existiert.
- Das Verzeichnis wird als einmaliges Dokument erstellt statt als gepflegtes Inventar betrieben.
- TOMs werden getrennt vom ISMS geführt, womit Doppelstrukturen auseinanderlaufen.
- Der Breach-Prozess wird nur für die DSGVO gedacht, sodass NIS2- oder DORA-Pflichten übersehen werden.
- Die Folgenabschätzung wird reaktiv statt vorgelagert ausgelöst.
- Eine ISO/IEC-27701-Zertifizierung wird als Beleg rechtlicher DSGVO-Konformität kommuniziert.
Risiken und Trade-offs
Geschwindigkeit gegen Fundament: Schnell sichtbare Artefakte können das Verzeichnis überspringen und alle späteren Schichten untergraben; umgekehrt darf das Fundament nicht zur Dauerbaustelle werden.
Integration gegen Rollenklarheit: Die Kopplung von Datenschutz und ISMS spart Aufwand, kann aber Verantwortlichkeiten verwischen. Rechtliche Bewertung verantwortet der Datenschutzbeauftragte, Betrieb und Nachweis der CISO, die Entscheidung die Leitung.
Falsche Sicherheit durch Nachweisinstrumente: Eine Zertifizierung oder ein ausgefülltes TOM-Dokument belegt Struktur, ersetzt aber keine einzelfallbezogene rechtliche Bewertung durch Aufsicht, Gerichte und Rechtsberatung.
Entscheidungspunkte
- In welcher Reihenfolge bauen wir die Schichten, und welche Abhängigkeiten dürfen nicht übersprungen werden?
- Führen wir Verzeichnis und TOMs integriert mit dem ISMS oder getrennt?
- Ab welcher Risikoschwelle löst eine Verarbeitung verpflichtend eine Folgenabschätzung nach Art. 35 aus, und wer entscheidet?
- Wie leitet der Vorfallprozess aus einer Erkennung die 72-Stunden-Pflicht nach Art. 33 und weitere Meldepfade ab?
- Welche Drittlandtransfers bestehen tatsächlich, und welche Garantien sind dokumentiert und gepflegt?
Praktische Empfehlungen
- Mit dem Verzeichnis nach Art. 30 beginnen und es mit dem ISMS-Inventar verknüpfen.
- TOMs nach Art. 32 aus dem Inventar ableiten und das Wirksamkeitsverfahren in die ISMS-Taktung integrieren.
- Den Breach-Prozess vor dem ersten Vorfall operativ machen, mit klaren Schwellen und Mehrfach-Trigger-Mapping für Art. 33, NIS2 und DORA.
- Die Folgenabschätzung als vorgelagerten Trigger im Change- und Beschaffungsprozess verankern.
- Ein gepflegtes Register der Auftragsverarbeiter und Drittlandtransfers mit Garantien führen.
- ISO/IEC 27701 als Nachweisinstrument nutzen, nicht als Ersatz für die rechtliche Bewertung, und bei Auslegungs-, Angemessenheits- und Transferfragen rechtlichen Rat einholen.
Relevante Normreferenzen
- DSGVO (Verordnung (EU) 2016/679): insbesondere Art. 5 Abs. 2, Art. 24, 28, 30, 32, 33, 34, 35, 36 sowie Art. 44 bis 49. Der Volltext ist amtliches EU-Recht und frei zitierbar (EUR-Lex); ergänzend das BDSG, dessen jüngste Novelle vor verbindlichen Aussagen gegen die Aktualfassung zu prüfen ist.
- ISO/IEC 27001 und IT-Grundschutz: Referenz für Managementsystem und Maßnahmenrahmen, die das Wie der TOMs aus Art. 32 tragen (reference-only, keine Control-Listen).
- ISO/IEC 27701: Referenz für das Privacy Information Management System als Nachweisinstrument; erste Ausgabe 2019 als Erweiterung zu 27001/27002, zweite Ausgabe 2025 als eigenständiger, zertifizierbarer Standard. Editionswechsel sind üblicherweise mit einer Übergangsfrist versehen, deren genaue Regeln gegen den Aktualstand der Zertifizierungs- und Akkreditierungsstellen zu prüfen sind (reference-only).
Häufige Fragen
Womit sollte eine Datenschutz-Roadmap beginnen?+
Mit dem Verzeichnis nach Art. 30, dem Inventar, auf das TOMs, Breach-Prozess, Folgenabschätzung und Transferbewertung zugreifen.
Wie hängen TOMs nach Art. 32 mit dem ISMS zusammen?+
Die DSGVO definiert das Schutzziel und verlangt Maßnahmen nach Stand der Technik mit Wirksamkeitsprüfung; ISO/IEC 27001 und IT-Grundschutz liefern das Wie. Sinnvoll ist, die TOMs aus dem ISMS-Maßnahmenregister abzuleiten.
Was muss der Breach-Prozess leisten?+
Erkennen, Risikoschwelle bewerten, bei Risiko unverzüglich und möglichst binnen 72 Stunden nach Art. 33 melden, bei hohem Risiko nach Art. 34 die Betroffenen benachrichtigen und alle Verletzungen dokumentieren. Parallele Pflichten aus NIS2 und DORA mitdenken.
Wann ist eine Datenschutz-Folgenabschätzung erforderlich?+
Bei voraussichtlich hohem Risiko, etwa bei neuen Technologien, systematischer umfangreicher Überwachung oder umfangreicher Verarbeitung sensibler Daten nach Art. 35; bei verbleibendem hohem Risiko ist die Aufsicht nach Art. 36 vorab zu konsultieren.
Belegt ISO/IEC 27701 die DSGVO-Konformität?+
Nein. Sie strukturiert und belegt die Rechenschaftsfähigkeit. Die rechtliche Konformität im Einzelfall bleibt Sache von Aufsichtsbehörden, Gerichten und Rechtsberatung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen DSGVO & ISO 27701 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: dsgvo-008.
