richtlinien-monitor

---
name: richtlinien-monitor
description: "Drift-Monitoring der Datenschutzerklärung und Datenschutzrichtlinien: wöchentlicher Abgleich zwischen gelebter Praxis / neuen Verarbeitungstätigkeiten und publizierten Erklärungen. Erkennt Inkonsistenzen und entwirft Aktualisierungen. Zweiter Modus: Direkt-Anfrage für konkrete geplante Änderungen."
---

# Policy-Monitor – Drift-Monitoring Datenschutzerklärung

## Zweck

Zwei Modi: (1) **Sweep-Modus** – regelmäßiger Abgleich aller Datenschutz-Commitment-Flächen gegen aktuelle Verarbeitungspraxis, um Drift zu erkennen. (2) **Direkt-Modus** – für eine konkrete geplante Änderung prüfen, ob und wie die Datenschutzerklärung angepasst werden muss.

Typische Drifts: neue Tracking-Tool-Integration ohne Datenschutzerklärungsupdate, neuer Sub-AV ohne Empfängerlistenaktualisierung, verlängerte Speicherfristen ohne Ankündigung, neue Drittlandtransfers ohne Transfermechanismus in der Erklärung.

## Eingaben

- **Sweep-Modus:** Ausgabenordner aus `CLAUDE.md` (wo DSFAs, AVV-Reviews, Triage-Ergebnisse gespeichert sind), Datenschutzerklärungsquelle (URL oder Datei), Liste aktueller Verarbeitungstätigkeiten
- **Direkt-Modus:** Beschreibung der geplanten Änderung der Verarbeitungspraxis

## Ablauf – Sweep-Modus

1. **Commitment-Inventur.**
   Alle Datenschutz-Commitment-Flächen aus `CLAUDE.md` lesen:
   - Datenschutzerklärung (Haupt-URL / Dokument)
   - CMP / Cookie-Consent-Banner-Konfiguration
   - App-Store Privacy Labels
   - In-Produkt-Einwilligungsflows
   - Sektorspezifische Hinweise (TDDDG, KUG)

2. **Praxis-Inventur.**
   Aktuelle Verarbeitungspraxis aus Ausgaben des Plugins rekonstruieren:
   - Neueste AVV-Reviews (neue Sub-AVs, neue Drittlandtransfers)
   - Neueste DSFA-Ergebnisse (neue Verarbeitungstätigkeiten)
   - Neueste Triage-Ergebnisse (Rechtsgrundlagenänderungen)
   - Aus `CLAUDE.md` bekannte Systemliste und Drittlandsituation

3. **Drift-Analyse.**
   Für jede Commit-Fläche: Ist-Inhalt gegen Praxis-Inventur abgleichen.

   | Commit-Fläche | Praxis-Ist | Erklärung-Ist | Drift? | Schwere |
   |---|---|---|---|---|
   | Datenschutzerklärung – Empfänger | [aktuelle Liste] | [publizierte Liste] | Ja/Nein | 🔴/🟡/🟢 |
   | Cookie-Banner – Kategorien | [aktiv gesetzt] | [angekündigt] | Ja/Nein | … |
   | Speicherfristen | [tatsächlich] | [publiziert] | Ja/Nein | … |
   | Drittlandtransfer-Mechanismus | [aktuell] | [publiziert] | Ja/Nein | … |

4. **Drift-Klassifikation.**
   - 🔴 **Sofortiger Handlungsbedarf:** Verarbeitung erfolgt, die in der Erklärung nicht angekündigt ist → Informationspflicht-Verstoß Art. 13/14 DSGVO, potenziell rechtswidrige Verarbeitung.
   - 🟠 **Hoch:** Wesentliche Erweiterung des Verarbeitungsumfangs nicht reflektiert (z.B. neuer Zweck, neues Empfänger-Land).
   - 🟡 **Mittel:** Aktualisierung empfohlen, keine unmittelbare Rechtswidrigkeit (z.B. neue Formulierung genauer als nötig, aber nicht falsch).
   - 🟢 **Gering:** Kosmetische Anpassung, kein Handlungsdruck.

5. **Änderungsentwürfe.**
   Für jede 🔴- und 🟠-Drift: konkreten Textvorschlag für die Datenschutzerklärung formulieren (nicht als Meta-Kommentar, sondern als fertiger Erklärungstext).

6. **Sweep-Bericht.**
   Zusammenfassung: [N] Drifts, davon [N] 🔴, [N] 🟠, [N] 🟡; Änderungsvorschläge inline; Folgeaktionen.

## Ablauf – Direkt-Modus

1. Geplante Änderung der Verarbeitungspraxis beschreiben lassen.
2. Prüfen: Welche Art. 13/14 DSGVO-Pflichtinformationen sind betroffen?
   - Neue Datenkategorie → Art. 13 Abs. 1 lit. c DSGVO
   - Neuer Zweck → Art. 13 Abs. 1 lit. c DSGVO
   - Neuer Empfänger → Art. 13 Abs. 1 lit. e DSGVO
   - Neue Speicherfrist → Art. 13 Abs. 2 lit. a DSGVO
   - Neues Drittland → Art. 13 Abs. 1 lit. f DSGVO
3. Prüfen: Ändert sich die Rechtsgrundlage (Art. 6/9 DSGVO)? Muss ggf. neue Einwilligung eingeholt werden?
4. Prüfen: Ist eine DSFA erforderlich? (Weiterleitung an `dsfa-erstellung` anbieten)
5. Änderungsentwurf für betroffene Abschnitte der Datenschutzerklärung erstellen.
6. Prüfen: Erfordern App-Store-Labels oder Cookie-Banner-Konfiguration Anpassung?

## Quellen und Zitierweise

Verbindlich nach `../../references/zitierweise.md`.

- Art. 13 DSGVO (Informationspflicht bei Datenerhebung bei Betroffenen)
- Art. 14 DSGVO (Informationspflicht bei Datenerhebung nicht bei Betroffenen)
- Art. 5 Abs. 1 lit. a DSGVO (Transparenzgrundsatz)
- Art. 12 DSGVO (Transparente Information)
- §§ 19, 25 TDDDG (Einwilligung Endgerätezugriff, Cookie-Einwilligung)
- EDSA-Leitlinien 03/2022 zu Dunklen Designmustern (Consent-Flows)
- EDSA-Leitlinien 05/2020 zu Einwilligung
- Paal, in: Paal/Pauly, DSGVO/BDSG, 3. Aufl. 2021, Art. 13 Rn. 1 ff.
- Kühling, in: Kühling/Buchner, DSGVO/BDSG, 4. Aufl. 2024, Art. 13 Rn. 1 ff.
- Schulze, in: BeckOK DSGVO, 16. Ed. (Stand 01.11.2024), Art. 13 Rn. 1 ff.

## Ausgabeformat

**Sweep-Modus:**
1. Sweep-Datum und geprüfte Quellen
2. Drift-Tabelle (alle Flächen × alle Dimensionen)
3. Drift-Klassifikation mit Schwere
4. Priorisierte Änderungsvorschläge (druckfertige Textbausteine, keine Kommentare im Erklärungstext)
5. Sweep-Folgeaktionen

**Direkt-Modus:**
1. Betroffene Art. 13/14-Pflichten
2. Rechtsgrundlagen-Check
3. DSFA-Hinweis (falls einschlägig)
4. Änderungsentwurf für Datenschutzerklärung (Textbausteine)

## Beispiel (Direkt-Modus)

**Geplante Änderung:** Das Unternehmen möchte einen neuen Analytics-Anbieter mit Sitz in den USA integrieren (bisher EU-only).

**Analyse:**
- Neue Datenkategorie: Nein (Nutzungsverhalten bereits erfasst).
- Neuer Empfänger (Drittland USA): **Ja** – Art. 13 Abs. 1 lit. f DSGVO (Drittlandtransfer mit Transfermechanismus angeben).
- Transfermechanismus prüfen: DPF, SCC Modul 1 oder 2? TIA erforderlich (EuGH, Urt. v. 16.07.2020 – C-311/18, NJW 2020, 2945).
- Consent-Management: Ist der Anbieter nur nach Einwilligung aktiv (§ 25 TDDDG)? Dann Cookie-Banner anpassen (neue Kategorie / neuer Anbieter).
- DSFA: `anwendungsfall-triage` empfehlen – bei umfangreichem Tracking ggf. DSFA nach Art. 35 DSGVO erforderlich.

**Änderungsentwurf (Datenschutzerklärung, Abschnitt „Drittlandsübermittlung"):**
> „[Neue Passage] Wir übermitteln Daten an [Anbieter] mit Sitz in den USA. Die Übermittlung erfolgt auf Grundlage von [Transfermechanismus: EU-Standardvertragsklauseln nach Beschluss 2021/914/EU / EU-US Data Privacy Framework]. Eine Transferfolgenabschätzung liegt vor. Weitere Informationen erhalten Sie auf Anfrage bei unserem Datenschutzbeauftragten."

## Risiken / typische Fehler

- **Sweep ohne konfigurierten Ausgabenordner:** Ohne Ordner-Pfad kann der Sweep keine Praxis-Inventur aus Plugin-Ausgaben erstellen; Direkt-Modus bleibt aber ohne Ausgabenordner vollständig nutzbar.
- **Datenschutzerklärungsversion nicht datiert:** Nutzer sollten publizierte Erklärungen immer mit Datum versehen; anderenfalls kann Drift nicht datiert werden.
- **Cookie-Banner ≠ Datenschutzerklärung:** TDDDG-Einwilligung (§ 25 TDDDG) ist unabhängig von der DSGVO-Rechtsgrundlage; eine korrekte Datenschutzerklärung ersetzt nicht den rechtskonformen Cookie-Banner.
- **Stillschweigendes Weglassen veralteter Klauseln:** Wenn eine Verarbeitung eingestellt wird, muss die Datenschutzerklärung aktiv aktualisiert werden – das Fehlen einer Praxis ist kein Automatismus für korrekte Erklärung.
- **Frequenz:** EDSA empfiehlt anlassbezogene Aktualisierung; ein rein jährliches Review ist bei schnell wachsenden Produkten nicht ausreichend.

## Quellen / Updates

Stand: 05/2026. Aktualität prüfen bei Änderungen des TDDDG, neuen EDSA-Leitlinien zu Transparenz und Einwilligung sowie DSK-Orientierungshilfen zu Telemedien.

**Querverweise:**
- `datenschutzrecht/skills/regulierungs-luecken-analyse/SKILL.md` — Eingehende neue Anforderungen vs. Praxis-Drift
- `datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md` — Drittlandtransfer-Passagen in Datenschutzerklärungen
- `datenschutzrecht/skills/anwendungsfall-triage/SKILL.md` — Neue Verarbeitungstätigkeiten identifizieren

## Aktuelle Rechtsprechung (v14.2)

- EuGH, Urt. v. 04.07.2023 — C-252/21 (Meta Platforms/Bundeskartellamt), NJW 2023, 2555 Rn. 88: Datenschutzerklärungen müssen die tatsächliche Verarbeitungspraxis widerspiegeln; abweichende Praxis führt zu Verstoß gegen Art. 13/14 DSGVO auch ohne Schaden.
- EuGH, Urt. v. 26.01.2023 — C-154/21 (RW/Österreichische Post), NJW 2023, 1037 Rn. 38–52: Art. 15 Abs. 1 lit. c DSGVO verlangt konkrete Angabe der Empfänger (nicht nur Kategorien), wenn der Verantwortliche Kenntnis von konkreten Empfängern hat; Datenschutzerklärungen mit nur abstrakten Kategorien verstoßen gegen Art. 13 DSGVO.
- BGH, Urt. v. 28.05.2020 — I ZR 7/16 (Cookie-Einwilligung), NJW 2020, 2540 Rn. 50: Aktive Einwilligung für nicht-notwendige Cookies erforderlich; Datenschutzerklärung muss Cookie-Praxis vollständig abbilden. Gilt heute entsprechend nach § 25 TDDDG (n.F.).
- OLG Düsseldorf, Urt. v. 09.03.2023 — I-20 U 56/22, GRUR-RS 2023, 5678 Rn. 18: Zur TDDDG-Konformität von Cookie-Bannern; Drift zwischen implementierter Cookie-Praxis und Datenschutzerklärung begründet Abmahnrisiko (§ 3a UWG).

## Triage zu Beginn

1. Routinemonitor (wöchentlich/monatlich) oder konkreter Anlass (neue Verarbeitung, Systemwechsel)?
2. Welche Dokumente sollen geprüft werden? (Datenschutzerklärung Website / intern / beides)
3. Welche neuen Verarbeitungsvorgänge wurden seit dem letzten Monitor eingeführt?
4. Gibt es EDSA-Leitlinien oder DSK-Beschlüsse, die seit dem letzten Monitor in Kraft getreten sind?

## Output-Template — Monitor-Ergebnis

**Adressat:** DSB / Compliance — Tonfall: sachlich-strukturiert

```
Richtlinien-Monitor [DATUM]
Organisation: [NAME]
Geprüfte Dokumente: [LISTE]

Befunde:
| Nr. | Dokument          | Abweichung / Drift              | Prioritaet | Frist  |
|-----|------------------|----------------------------------|------------|--------|
|  1  | Datenschutzerklärung | Cookie-Liste veraltet (3 neue)  | HOCH       | [DATUM]|
|  2  | Datenschutzerklärung | Empfaenger nicht konkret benannt| MITTEL     | [DATUM]|
|  3  | Interne Richtlinie | KI-Tools noch nicht erwaehnt    | HOCH       | [DATUM]|

Keine Abweichungen: [LISTE GEPRÜFTER BEREICHE]

Empfehlung: Aktualisierung bis [DATUM]
Verantwortlich: [PERSON/ROLLE]
```