Zum Inhalt springen
Digitalisierungsmanager werden
Was macht ein Digitalisierungsmanager? Berufsbild und AlltagWeg in den BerufQuereinstiegBranchen und ArbeitgeberBewerbung, Portfolio und GehaltZertifikate und Skills Blog Termin buchen
Zertifikate und Skills

Datenschutz-Grundlagen für den Berufseinstieg

· 9 Min. Lesezeit · Dr. Jens Aichinger
Angehender Digitalisierungsmanager am Schreibtisch, liest Datenschutzunterlagen, Laptop im Hintergrund

Für den Berufseinstieg als Digitalisierungsmanager brauchst du Datenschutz-Grundwissen auf dem Niveau eines gut informierten Fachanwenders, keinen Datenschutzbeauftragten-Schein. Konkret heißt das: Du kennst die sechs Rechtsgrundlagen aus Artikel 6 DSGVO, verstehst was Auftragsverarbeitung bedeutet, erkennst wann eine Datenschutz-Folgenabschätzung nötig wird und weißt, dass Artikel 22 DSGVO automatisierte Entscheidungen über Menschen streng reguliert. Mehr musst du am ersten Tag nicht können, weniger auch nicht.

In meinen Kursen merke ich, dass viele Teilnehmer beim Thema Datenschutz zwischen zwei Extremen pendeln. Die einen unterschätzen es und glauben, das sei Aufgabe der Rechtsabteilung. Die anderen überschätzen es und wollen vor dem ersten Projekttermin einen Datenschutzbeauftragten-Kurs buchen. Beides ist falsch. Du bist weder der Jurist noch kannst du dich rausziehen. Du bist der, der in Projekten die datenschutzrelevanten Fragen früh stellt und an die richtige Stelle weiterreicht.

Was die DSGVO im Projekt von dir verlangt

Die Datenschutz-Grundverordnung gilt, sobald in einem Prozess personenbezogene Daten verarbeitet werden. Personenbezogen heißt: eine Person ist direkt oder indirekt identifizierbar. Name, E-Mail, IP-Adresse, Kundennummer, oft auch Fotos und Sprachaufnahmen. Als Digitalisierungsmanager baust du Prozesse um, die solche Daten verarbeiten, also bist du in fast jedem Projekt betroffen.

Die wichtigste Regel lautet: Jede Verarbeitung braucht eine Rechtsgrundlage. Artikel 6 DSGVO zählt sechs auf, und du musst sie kennen. Im Beratungsgespräch frage ich Teilnehmer regelmäßig nach diesen sechs, weil sie im Berufsalltag andauernd auftauchen.

Rechtsgrundlage (Art. 6 DSGVO)Typisches Beispiel im Digitalisierungsprojekt
Einwilligung (lit. a)Newsletter-Anmeldung, optionale Chat-Features
Vertragserfüllung (lit. b)Rechnungsversand, Auftragsabwicklung
Rechtliche Verpflichtung (lit. c)GoBD-Aufbewahrung, Steuerunterlagen
Lebenswichtige Interessen (lit. d)Selten, Notfallsysteme
Öffentliche Aufgabe (lit. e)Nur bei Behörden, nicht privatwirtschaftlich relevant
Berechtigtes Interesse (lit. f)Betrugsprävention, IT-Sicherheit, interne Analysen

Berechtigtes Interesse ist die am häufigsten genutzte und am häufigsten falsch verwendete Grundlage. Du darfst dich nicht einfach darauf berufen, weil dir keine andere einfällt. Es braucht eine dokumentierte Interessenabwägung zwischen deinem berechtigten Interesse und den Rechten der betroffenen Person. Diese Dokumentation ist später im Audit die erste Frage eines Prüfers.

Artikel 22 DSGVO im Projekt

Artikel 22 DSGVO ist der Paragraf, der dich als Digitalisierungsmanager am meisten beschäftigen wird, weil du genau die Systeme baust, die er reguliert. Er sagt im Kern: Eine Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht und rechtliche Folgen oder erhebliche Beeinträchtigungen hat.

Typische Situationen in denen Art. 22 greift: automatisierte Bewerberauswahl, Kredit-Scoring, Versicherungstarife, automatische Vertragskündigungen, KI-basierte Kundensegmentierung mit preislichen Folgen. Die Ausnahmen sind eng. Entweder gibt es eine ausdrückliche Einwilligung, oder die Verarbeitung ist für den Vertragsabschluss erforderlich, oder sie ist durch ein spezielles Gesetz erlaubt. In allen Fällen muss eine menschliche Überprüfung möglich sein.

Aus meiner Beratungspraxis weiß ich, dass viele Projekte an diesem Punkt in eine Sackgasse laufen. Ein Team baut einen KI-Filter, der Bewerbungen vorsortiert, und niemand denkt an Artikel 22. Drei Monate später kommt der Betriebsrat rein, und das Projekt liegt. Dein Job ist, diese Frage am Anfang zu stellen, bevor Geld in die Umsetzung fließt.

Auftragsverarbeitung: das AV-Pflichtspiel

Auftragsverarbeitung ist der rechtliche Rahmen, in dem externe Dienstleister personenbezogene Daten in deinem Auftrag verarbeiten. Jedes Mal wenn du ein SaaS-Tool einführst, das Kundendaten, Mitarbeiterdaten oder andere personenbezogene Daten speichert, brauchst du einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO. Ohne geht es nicht. Mit einem schlechten Vertrag ist die Haftung später bei dir.

Typische AV-Fälle im Digitalisierungsprojekt:

  • Cloud-Hosting (AWS, Azure, Google Cloud, Hetzner)
  • CRM-Systeme (Salesforce, HubSpot, Pipedrive)
  • KI-APIs von Anbietern außerhalb des eigenen Unternehmens
  • Transkriptions- und Übersetzungsdienste
  • E-Mail-Versand-Plattformen
  • Support-Ticket-Systeme

Deine Aufgabe ist nicht, den Vertrag selbst zu schreiben. Das machen die Rechtsabteilung oder der Datenschutzbeauftragte. Dein Job ist, früh zu signalisieren: Hier kommt ein neuer Dienstleister, prüft bitte den AV-Vertrag. Und: Wenn Daten ins Nicht-EU-Ausland fließen, zum Beispiel in die USA, braucht es zusätzliche Garantien wie Standardvertragsklauseln oder ein Angemessenheitsbeschluss. Das Stichwort dazu ist Schrems II.

Die offiziellen Leitfäden dazu findest du bei den Aufsichtsbehörden, unter anderem beim Bundesdatenschutzbeauftragten. Wer tiefer einsteigen will, liest die DSGVO direkt auf EUR-Lex.

Wann eine DSFA nötig wird

Eine Datenschutz-Folgenabschätzung, kurz DSFA, ist nach Artikel 35 DSGVO Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen birgt. Klingt vage, ist aber in der Praxis klarer als gedacht.

Die Aufsichtsbehörden haben sogenannte Muss-Listen veröffentlicht, auf denen konkrete Verarbeitungsvorgänge stehen, für die eine DSFA immer erforderlich ist. KI-Projekte landen sehr schnell auf diesen Listen, insbesondere wenn sie:

  • automatisierte Entscheidungen mit erheblichen Folgen treffen
  • biometrische Daten verarbeiten (Gesichtserkennung, Stimmprofile)
  • Beschäftigtendaten in großem Umfang analysieren
  • Profiling betreiben, das die betroffene Person nicht erwartet
  • neue Technologien einsetzen, deren Risiken schwer abschätzbar sind

Die DSFA führst du nicht alleine durch. Sie ist eine Kooperation zwischen Datenschutzbeauftragten, Fachabteilung, IT und eben dir als Digitalisierungsmanager. Du lieferst die technische Prozessbeschreibung, der Datenschutzbeauftragte bewertet das Risiko, gemeinsam werden Maßnahmen definiert. Wichtig für den Berufseinstieg: Du musst erkennen, wann eine DSFA nötig wird, nicht wie man sie komplett ausarbeitet.

Der Reflex im ersten Projekt

In deinen ersten Wochen als Digitalisierungsmanager ist der beste Datenschutz-Reflex eine einfache Frage: “Welche personenbezogenen Daten fließen hier durch welchen Schritt?” Die Antwort schreibst du auf, und du bekommst sehr schnell eine Landkarte des Projekts, die dem Datenschutzbeauftragten hilft.

Konkret heißt das:

  • Prozessdiagramm aufmalen (BPMN oder auch nur auf Papier)
  • An jedem Schritt notieren: Welche Daten, welche Personen, wie lange gespeichert
  • Externe Dienste markieren, Cloud-Standorte notieren
  • Rechtsgrundlage je Schritt mit dem Datenschutzbeauftragten abstimmen
  • Risiko-Flags setzen bei automatisierten Entscheidungen oder biometrischen Daten

Das dauert einen halben Tag und schützt dich vor Überraschungen drei Monate später. In meinen Kursen ist diese Übung Teil von Modul 12 (Datenschutz, Sicherheit, Compliance), und sie ist der Skill, den Absolventen am häufigsten rückmelden, dass sie ihn im ersten Job sofort gebraucht haben. Mehr zum Modul-Aufbau findest du in Berufsbild Digitalisierungsmanager.

DSGVO und EU AI Act nebeneinander

Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht nach Artikel 4 der KI-Verordnung. Unternehmen, die KI-Systeme einsetzen, müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das ist keine DSGVO, sondern ein eigenständiges Regime, aber die beiden überschneiden sich stark.

Einfache Faustregel: DSGVO regelt, welche personenbezogenen Daten du wie verarbeiten darfst. Der EU AI Act regelt, welche KI-Systeme du überhaupt einsetzen darfst und unter welchen Auflagen. Wenn dein KI-System personenbezogene Daten verarbeitet, gelten beide Regelwerke parallel. Wer mehr dazu lesen will, findet den aktuellen Stand der Regulierung beim Bundesamt für Sicherheit in der Informationstechnik.

Die Details zu Artikel 4 und was er für deinen Alltag bedeutet, stehen im Silo-Nachbarartikel EU AI Act im Berufsalltag. Wer den Sachkundenachweis im Kurskontext verstehen will, liest EU AI Act Sachkundenachweis.

Welche Zertifikate helfen wirklich

Für den Berufseinstieg reicht ein solides Verständnis der Grundlagen. Einen offiziellen TÜV-Datenschutzbeauftragten-Kurs brauchst du nicht, denn du willst ja kein Datenschutzbeauftragter werden. Der Aufwand ist auch deutlich größer: 40 bis 80 Stunden Lehrgang, mehrere hundert bis über tausend Euro, und dazu Prüfung und Zertifikat mit Verlängerung alle paar Jahre.

Was dir mehr bringt:

  • Ein sauberes Grundverständnis im Rahmen deiner Weiterbildung (Modul 12 deckt das ab)
  • Ein gutes Verhältnis zum Datenschutzbeauftragten deines späteren Arbeitgebers
  • Die Fähigkeit, einen Verarbeitungsvorgang in einem Satz datenschutzrelevant zu beschreiben

Wenn du später in eine Rolle willst, in der Datenschutz der Kern ist (Datenschutzkoordinator, DPO-Assistenz, Compliance), dann lohnt der DSB-Schein. Für den Einstieg als Digitalisierungsmanager ist er nicht notwendig. Mehr zur Skill-Orientierung findest du in Muss ich Python lernen? und im Überblick Zertifikate im Vergleich zum Portfolio.

Häufige Fragen zum Datenschutz im Berufseinstieg

Muss ich die DSGVO auswendig kennen? Nein. Du musst die sechs Rechtsgrundlagen aus Art. 6 und die Grundidee von Art. 22 und Art. 28 parat haben. Für alles andere recherchierst du nach Bedarf. Kein Datenschutzbeauftragter hat die DSGVO im Kopf, alle schlagen nach.

Bin ich als Digitalisierungsmanager für Datenschutzverstöße haftbar? Im Normalfall nicht persönlich. Verantwortlich ist das Unternehmen als juristische Person. Du trägst aber Verantwortung für die technische Konzeption eines Prozesses und solltest dokumentieren, wann du den Datenschutzbeauftragten informiert und welche Empfehlung du bekommen hast. Rechtsberatung im Einzelfall gibt es bei einer Rechtsanwaltskanzlei, nicht bei mir und nicht aus einem Blogartikel.

Was mache ich, wenn ein Tool ohne AV-Vertrag schon im Einsatz ist? Markieren, eskalieren, dokumentieren. Das passiert häufiger, als man denkt, weil Fachabteilungen eigenmächtig SaaS-Tools einführen (Schatten-IT). Deine Rolle ist, den Befund sichtbar zu machen, nicht stillschweigend weiterzubauen.

Wie läuft das mit KI-Tools wie ChatGPT und personenbezogenen Daten? Vorsicht. Der Anbieter sitzt in den USA, die kostenlose Variante bietet keinen AV-Vertrag. Für den Geschäftseinsatz brauchst du eine Enterprise-Version mit Datenschutz-Zusatzvereinbarung oder eine API-Nutzung mit abgeschaltetem Training. Frage im Unternehmen, welche Variante lizenziert ist, bevor du personenbezogene Daten reingibst.

Wie reagiert die Bundesagentur für Arbeit, wenn ich den Bildungsgutschein nur mit Datenschutz-Argument beantrage? Der Bildungsgutschein nach § 81 SGB III ist eine Ermessensleistung und setzt voraus, dass die Weiterbildung deine Eingliederungschancen verbessert. Datenschutz-Themen allein sind kein Begründungspfad. Der bessere Pfad: Die gesamte Weiterbildung zum Digitalisierungsmanager argumentieren, die Datenschutz als einen Baustein enthält. Mehr zur Antragslogik in Bildungsgutschein-Pfad.

Über den Autor

Dr. Jens Aichinger ist Gründer von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger für KI- und Digitalisierungs-Weiterbildungen. Promovierter Naturwissenschaftler, seit über zehn Jahren in Bildung und Digitalisierung, aktiver Kursleiter und Berater für Quereinsteiger. Er begleitet Teilnehmer durch Modul 12 (Datenschutz und Compliance) und berät Unternehmen zu KI-Einführungen. Mehr über den Autor.

Zuletzt geprüft am 14. April 2026 von Dr. Jens Aichinger.

Bereit für den nächsten Schritt?

Du willst wissen, welche Datenschutz-Themen dich in deinem konkreten Berufswunsch erwarten und ob du sie über die Weiterbildung zum Digitalisierungsmanager sauber abdeckst? Buch dir zehn Minuten mit Jens. Wir klären deine Situation und besprechen den Förderweg. Wenn es nicht passt, sagen wir das.

Termin mit Jens buchen

Weiterlesen