Datenschutz und Diskretion – was ist was?

„Darf ich nicht sagen, Datenschutz!“

Kennen Sie diese Aussage? Ich zu Genüge. Sie ist einerseits richtig und doch falsch. Aber warum?

Datenschutz wird im Verständnis des Wortes recht oft mit Diskretion vermengt. Dem stehe ich zwiegespalten gegenüber. Zwischen beiden Begriffen gibt es eine gewisse Schnittmenge, sodass ich zur Einhaltung von Diskretion den Datenschutz beachten muss, gleichzeitig im Datenschutz Diskretion wichtig ist. Aber die Begriffe sind NICHT kongruent!

Datenschutz bedeutet grob gefasst:

  • Rechtliche Gewährleistung der Vertraulichkeit personenbezogener Daten
  • Sicherstellung der Privatsphäre
  • Juristischer Schwerpunkt

Diskretion hingegen:

  • Informationssparsamkeit
  • Verschwiegenheit
  • Interdisziplinäre Anwendung

Diskretion ist für mich eine Tugend, Datenschutz eine Art Regelwerk. Daten mit Personenbezug sind durch den Datenschutz erfasst, müssen also mit Diskretion behandelt werden.

Interessant wird es aber, wenn es Daten ohne direkten Personenbezug gibt. Betriebsgeheimnisse sind so ein Fall. Wenn ich erfahre, dass der Durchschnittsverdienst in meiner 20 Mitarbeiter großen Abteilung für die gleiche Tätigkeit bei 4.000 € brutto liegt, ich aber nur 2.000 brutto erhalte, stiftet das gehörigen Unfrieden, obwohl Anonymisierung und Pseudonymisierung nach Maßgaben des Datenschutzes vorgenommen wurden. Ich begehe ich der Nennung des Durchschnittsverdienstes in der Abteilung keinen Datenschutzverstoß, fange mir dennoch eine Kündigung ein. Warum? Weil es mir im Regelfall arbeitsvertraglich untersagt war.

Datenschutz heißt also nicht Diskretion. Wenn ich erzähle, dass mein Nachbar seiner Frau heimlich fremdgeht, muss das auch nicht zwingend ein Datenschutzverstoß i. S. d. DSGVO und den untergeordneten Spezialgesetzen sein. Dennoch kann es in der Folge passieren, dass ich mir eine saftige Ohrfeige einfange.

Man kann darüber nachdenken, ob ich gemäß Art. 4 DSGVO Rückschlüsse auf persönliche und sachliche Verhältnisse des Nachbarn ermögliche, wenn ich vom Ehebruch berichte. Auf die persönlichen wohl sicherlich. Trotzdem wird es der Aufsichtsbehörde egal sein, da sich die DSGVO mit Pflichten für Unternehmen beschäftigt. Neuerdings im weiten Unternehmensbegriff, keinesfalls aber für Privatpersonen. Datenschutz ist B2B und B2C, niemals C2C oder C2B – Diskretion ist dies hingegen sehr wohl.

Mal angenommen, wir befinden uns in einem Sachverhalt außerhalb der gesetzlichen Regelungen zum Datenschutz und jemand plaudert meine intimsten Geheimnisse aus – kann man Indiskretion sanktionieren? Man könnte es vertraglich oder sozial, wie das Beispiel von der Gehalts-Tratschtante oder dem Nachbarschafts-Tageblatt zeigt, aber sieht das Gesetz so etwas vor?

Abseits von Whistleblowing durch Geheimnisträger ist das letztendlich kaum möglich, zumindest nicht bei Privatpersonen. Eine Kriminalisierung von Indiskretion als Straftatbestand natürlicher Personen muss man in Deutschland außerhalb der sogenannten Datenhehlerei lange suchen.

Dennoch – wenn Sie am Arbeitsplatz datenschutzkonform handeln wollen, dann geht dies nicht ohne Diskretion.

Was diese ominöse Datenhehlerei ist, werde ich in naher Zukunft hier näher beleuchten.

TOMs und Folgenabschätzung mit der DSGVO – oder: Arbeitsschutz im Datenschutz

Ich hoffe, Sie alle sind gut in das neue Jahr gekommen – ich bin es bis jetzt auch.

Nun bimmelt der Outlook – die technisch-organisatorischen Maßnahmen einiger Beratungskunden müssen aktualisiert werden. Was im eigenen Unternehmen (wie gesagt, unter 10 Leute und der IT-Fachmann sitzt im Büro nebenan) noch machbar war, kann in größeren Betrieben schnell ausufern. Zum Glück finden sich unter den Unternehmen, die von mir beraten werden, bislang nur Kleinunternehmen.

DIE KONTROLLFLUT BLEIBT AUF DEN ZWEITEN BLICK AUS

Fangen wir direkt mit den TOMs an. Waren es nach BDSG-alt „nur“ 8 Punkte, haben wir nun nach meiner Zählung 14! Wenn doch nur mein Gehalt ab Mai 2018 so steigen würde…

BDSG-alt:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • „Zweckgebundenheit“, Trennungsgebot

§ 64 III BDSG-neu:

  • Zugangskontrolle
  • Datenträgerkontrolle
  • Speicherkontrolle
  • Benutzerkontrolle
  • Zugriffskontrolle
  • Übertragungskontrolle
  • Eingabekontrolle
  • Transportkontrolle
  • Wiederherstellbarkeit
  • Zuverlässigkeit
  • Datenintegrität
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennbarkeit

Mal ganz abgesehen davon, dass man sich vom Schrecken erst einmal erholen muss, fällt auf, dass Punkte weggefallen sind. Zutritts- und Weitergabekontrolle schaffen es nicht ins neue Zeitalter. Oder etwa doch?

In der Tat ist nichts wirklich weggefallen. Es macht schlichtweg keinen Sinn, bei der Zugangskontrolle nach § 64 III BDSG-neu erst dann zu beginnen, wenn sich der böse Datendieb an meinen PC setzt. Vielmehr muss er ja vorher zunächst die Bürotür aufhebeln oder auf anderen Wege zum Endgerät gelangen. Mit anderen Worten: Er muss sich Zutritt verschaffen. Wenn wir also den Zugang gründlich kontrollieren wollen, müssen wir zwingend den Zutritt mit einbeziehen. Sie können in Zukunft also nicht die Alarmanlage abstellen und das Fenster offen lassen ohne in Konflikt mit dem Datenschutz zu kommen.

Und die Weitergabekontrolle? Auch hier ein plastisches Beispiel:

Ich lade mir ein paar Freunde und Bekannte ein und bestelle eine Pizza. Am Ende des Abends ist der Karton leer – der Inhalt findet sich jedoch in den Mägen von Alex, Myriam, Vincent, Melih, Alicia und Matthias wieder (wobei der Löwenanteil garantiert in Alex Obdach fand…).

Mit anderen Worten: Die Weitergabekontrolle verschwindet, findet sich inhaltlich aber in Transport-, Übertragungs-, Datenträger- und Benutzerkontrolle wieder.

Neu sind also nun Datenträgerkontrolle, Speicherkontrolle, Transportkontrolle, Wiederherstellbarkeit, Zuverlässigkeit und Datenintegrität.

 

Diese Kontrollen liegen thematisch eng beieinander (Datenträger – Speichern – Wiederherstellbarkeit – Datenintegrität – all das spielt ineinander). Vielmehr dienen die neuen Kontrollen nicht unbedingt dazu, die Netz der TOMs in unermessliche Dimensionen zu erweitern, sondern es lediglich engmaschiger zu spinnen. In den Ruin wird es Sie auch nicht treiben. Bislang war der Stand der Technik bei der Verschlüsselung zu berücksichtigen, nun gilt dies für alle TOMs. Von einer Einmann-GmbH wird keine Aufsichtsbehörde verlangen, dass sie ihre Server in einem klimatisierten, atomkriegssicheren Bunker betreibt, der 100 Meter unter der Erde liegt und von der Bundeswehr rund um die Uhr bewacht wird. Gleichzeitig wird natürlich von einem Weltkonzern in jedem Fall erwartet, dass man dort weiß, was Virenscanner und Backups sind.

DIE FOLGENABSCHÄTZUNG IST NICHT NEU

Kennen Sie § 4d V BDSG-alt? Die gute, alte Vorabkontrolle? Sie ist das gute Beispiel eines Papiertigers. Durchzuführen ist sie, wenn automatisierte Datenverarbeitungsverfahren „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“, so § 4d Abs. 5 Satz 1.

Das Problem daran ist nur, dass bei Verstößen keine Sanktion vorgesehen ist – und sie somit mutmaßlich höchst selten durchgeführt wurde. Ich räume mein Auto schließlich auch nur auf, wenn ich meine Mutter mitnehmen muss. Der geopferte Nachmittag ist das geringere Übel, glauben Sie mir das ruhig.

Die Datenschutz-Folgenabschäzung ist – sehr stark vereinfacht – eine Vorabkontrolle mit Sanktionsmöglichkeit. Erforderlich ist sie zudem nun öfter als bisher: Zwar weiterhin bei besonderen Risiken für die Rechte und Freiheiten der Betroffenen, aber auch für weitere Sachverhalte, wie z. B. Scoring, Verarbeitung sensibler, besonders schutzwürdiger Daten (z. B. Gesundheitsdaten) oder besonders umfangreiche Verarbeitungsvorgänge. Es liegt nun an den Aufsichtsbehörden, entsprechende Positiv- und Negativlisten zu erarbeiten.

NUN KOMMT DER ARBEITSSCHUTZ HINZU – RISIKOMANAGEMENT IM DATENSCHUTZ

Ich bin nicht nur DSB, sondern auch Sicherheitsbeauftragter meines Arbeitgebers. Eine zugegebenermaßen sehr exotische Kombination, die sich jetzt jedoch auszahlt.

Die DSGVO fordert ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs.

Im Rahmen der Vorabkontrolle müssen Sie in jedem Fall Ihre Interessen und Ziele mit den Rechten und Interessen der Betroffenen abwägen – auch hier kommen Sie um Überprüfung, Bewertung und Evaluierung nicht herum.

Einen Ansatz zu finden ist nicht leicht – es sei denn, man ist Fachkraft für Arbeitssicherheit. Wikipedia ist als Quelle zwar verpönt, aber besser könnte ich eine Gefährdungsbeurteilung auch nicht beschreiben.

Die Gefährdungsbeurteilung beschreibt den Prozess der systematischen Ermittlung und Bewertung aller relevanten Gefährdungen, denen die Beschäftigten im Zuge ihrer beruflichen Tätigkeit ausgesetzt sind. Hinzu kommt die Ableitung und Umsetzung aller zum Schutz der Sicherheit und der Gesundheit erforderlichen Maßnahmen, die anschließend hinsichtlich ihrer Wirksamkeit überprüft werden müssen. Das Ziel besteht darin, Gefährdungen bei der Arbeit frühzeitig zu erkennen und diesen präventiv, das heißt noch bevor gesundheitliche Beeinträchtigungen oder Unfälle auftreten, entgegenzuwirken.

Mit anderen Worten: Wenn Sie einen Ansatz für TOMs und Folgenabschätzung benötigen, lesen Sie bei der Berufsgenossenschaft nach, wie man eine gute Gefährdungsbeurteilung erstellt. Das BayLDA (ich schätze diese Behörde für ihr Engagement sehr) gab im Oktober letzten Jahres ein Dokument mit dem Titel „DS-GVO – letzte Runde vor dem Start: Was plant die bayerische Aufsicht und wie kann ich mich davor schützen?“ heraus. Darin ist eine solche Bewertungsmatrix abgebildet, die prinzipiell nichts anderes darstellt als die aus dem Arbeitsschutz bekannte NOHL-Matrix.

 

 

Eine immer wieder gute Hilfe für Gefährdungsbeurteilungen ist der 11-Punkte-Plan der BG RCI, den ich für meine Arbeit als Sicherheitsbeauftragter heranziehe. Er ist kompakt, klar strukturiert, dennoch deckt er fast alles ab. Einen solchen entwickele ich auch für den Datenschutz, um standardisiert, aber stets vollständig meine Aufgaben als DSB effizient zu bearbeiten.

Bildschirmarbeitsplatzbrille, ergonomisches Gestühl, angenehmere Lichtfarbe der künstlichen Beleuchtung – vielleicht sollten Sie bei der Gelegenheit auch einen Blick in die Bildschirmarbeitsplatzverordnung werfen, wenn Sie sich ohnehin schon mit Arbeitsschutz auseinandersetzen.

Damit beeile ich mich besser – wenn ich mit dem Datenschutz durch bin, wartet im Outlook schon die jährliche Fortschreibung der Gefährdungsbeurteilung auf mich. Insofern verabschiede ich mich an dieser Stelle wieder.

 

 

Der Datenschutzbeauftragte und das Nilpferd

Sie sehen das Unheil bereits im Augenwinkel. Es ist groß und grau. Doch es zu Ihrer Überraschung nicht der Abteilungsleiter, der stampfend und trompetend Ergebnisse einfordert. Der Gast in Ihrem Büro hat keinen Rüssel, und er gibt mahnende Grunzlaute von sich. Anschließend stapft der Besuch – noch immer grunzend – ins Wasser und entschwindet.

Ja, das kann doch nur der – oder auch die – Datenschutzbeauftragte gewesen sein sein.

Datenschutzbeauftragte werden in Unternehmen gern als Nilpferde betrachtet. Sie sind die meiste Zeit faul (was tun die eigentlich? Stehen sie mit gezogenem Colt am Server und schießen auf jeden Hacker, der die Daten missbrauchen will?), und, was viel entscheidender ist, sie reißen erst das Maul auf und tauchen direkt wieder ab.

Wenn Sie in den Zoo gehen und sich vor das Nilpferdgehege stellen, erleben Sie diese Verhaltensweise in Reinkultur. Das Männchen verwedelt mit seinem Schwanz höchstens noch seinen Kothaufen, um sein Revier zu markieren. Stimmt, der Datenschutzbeauftragte muss ja auch immer raushängen lassen, dass er direkt der Geschäftsleitung unterstellt ist. Warum wurde der nicht mit in das Gehege gesperrt? Er würde sich schnell einleben.

DER DSB AUS MITARBEITERSICHT

 

Während der Betriebsrat – so sollte es zumindest sein – auf meiner Seite steht und sich für meine Belange einsetzt, wüsste ich aus Perspektive des normalen Angestellten nicht, was der Datenschutzbeauftragte für mich tut.

Nach und nach stellt sich heraus, dass er für die Passwortrichtlinie verantwortlich ist. Alle 14 Tage muss ich mir neue Passwörter ausdenken, die aus mindestens 20 Zeichen bestehen sowie Groß/Kleinschreibung, Sonderzeichen, arabische Zahlen, römische Zahlen, Einhornblut und ein Stück vom Bernsteinzimmer enthalten. Da das für alle gefühlt 127 Benutzerkennungen nötig ist, rufe ich alle 14 Tage bei der IT an, die meine Passwörter zurücksetzen und sich diese Tage schon mit Rot im Kalender markieren.

Die IT macht übrigens regelmäßig Bekanntschaft mit dem Hippo – er reißt das Maul auf, fordert häufigere Backups, mehr Virenscans, bessere Serverkühlung – und geht auf Tauchstation.

Ralf aus der Personalabteilung berichtet sichtbar entsetzt von ähnlichen Erfahrungen. Ein Nilpferd tauchte aus dem Nichts auf, grunzte etwas von „Schreibtisch aufräumen“ „Kein Kaffee am PC“ und „Bildschirm sperren“. Auch hier tauchte es so schnell wieder ab, wie es auftauchte.

WARUM MAN STETS EIN NILPFERD BLEIBT

Alles klar, die Leute fühlen sich allein gelassen und bevormundet. Dann mache ICH es halt anders.

Ja, das dachte ich mir auch – und bin gescheitert, weil ich dazu verdammt bin, ein Nilpferd zu sein.

Ich muss intern bei uns den Datenschutz am Laufen halten, das mag noch recht einfach sein in einem Unternehmen mit 10 Mitarbeitern. Man hat mit jedem regelmäßig Kontakt und kann alles unkompliziert ansprechen. Auch die Zahl der Verträge ist noch handhabbar. In einem Konzern sieht das schon ganz anders aus – der DSB wird fast automatisch zum Nilpferd.

Zusätzlich betreue ich allerdings auch Partner und Dienstleister. Dort bin ich eigentlich nur, wenn etwas zu tun ist: Die Früchte meiner Arbeit kontrollieren. Wenn sie gedeihen, tauche ich wieder ab. Wenn nicht, reiße ich vorher das Maul auf. Dort erlebt man mich bereits als echtes Nilpferd.

Dann wäre da noch die Softwareimplementierung beim Kunden. Zwei Nilpferde treffen also aufeinander. In dem Fall bin ich das kleinere Nilpferd. Ich will natürlich schnell produktivsetzen, damit die Provision kommt – mein Maul bleibt zu, wenn kein objektives Hindernis vorliegt. Dennoch dringe ich in das Revier des großen Nilpferdes ein – es kommt nicht selten zum Kampf.

Versetzen wir uns in die Lage des großen Nilpferdes auf Kundenseite. Er kennt das Softwareprodukt nicht – während ich im Laufe der Zeit alles durchprüfen konnte, muss er nun im Schnelldurchlauf die Datenschutzkonformität von Software, aber auch Schnittstellen, Benutzerrollen, etc. verifizieren. Wird er nicht schon vor Projektbeginn konsultiert, kommt er in Zeitnot. Sie ahnen bereits, was nun zwingend passieren muss: Er reißt das Maul auf und taucht ab.

Wenn etwas schief geht, und er oder sie hat es übersehen, wird es ungemütlich – die Verantwortung ist enorm und der Schaden kann beträchtlich ausfallen – sowohl materiell als auch immateriell. Da helfen auch keine Hafungsklauseln, die man dem Auftragnehmer reindrückt, diese begrenzen höchstens den Schaden.

 

DER „BUNDESLIED-FALL“ IM PM

Da in Projekten Zeit knapp ist (und Zeit ist bekanntlich Geld), kann es passieren, dass das Projekt dem DSB davonläuft. Wenn das Maul aufgeht, kann im worst case das passieren, was ich für mich den „Bundeslied-Fall“ nenne. Das kennen Sie doch auch:

Datenschützer, aufgewacht!

Und erkenne deine Macht!

Alle Projekte stehen still.

Wenn dein starker Arm es will.

Gerade weil die ganze Thematik ein hohes Risiko birgt, steht wirklich alles still. Die Leute machen sich möglicherweise sogar schon bereit, Tastatur und Maus panisch vom Tisch zu fegen, wenn der Datenschutzbeauftragte auch nur leise hustet – oder reagieren mit Unverständnis.

Insbesondere die Geschäftsleitung ist nicht erbaut, wenn eng geplante Projekte nicht eingehalten werden. Auch dem Auftraggeber wurde eine recht kurze Frist gesetzt, die nun mit jedem verstrichenen Tag noch kürzer wird. Wenn es schlecht läuft, folgt ein mitunter teurer change request.

Aber das große Nilpferd hat nun die Zeit, in Ruhe zu prüfen. Und meine bisherige Erfahrung zeigt, dass wenn der Datenschutzbeauftragte auf Kundenseite sich einmal mit einem hastig ausgesprochenen „STOP!“ bemerkbar macht und das Projekt einige Tage aufhält, es kein Weltuntergang ist. Da dieses STOP von allen Beteiligten kritisch und genau hinterfragt wird, hat man Zeit, alles auch kritisch und genau zu klären – im gleichberechtigten Dialog.

Und danach bleibt das große Nilpferd auch erstmal eine ganze Weile unter Wasser, ehe es wieder auftaucht und sein Revier gegen das Kleine verteidigt.

 

DIE GEFAHR FÜR DAS PROJEKT BANNEN

Nilpferde gelten als eine der gefährlichsten Tierarten der Welt. Im Unternehmen sind sie aber recht umgänglich, wenn folgende Abläufe funkionieren:

den/die Beauftragte(n) vor Projektbeginn einbinden

genug Zeit zur Prüfung lassen

ganzheitliche Diskussion mit Führungskräften, IT, und Auftragnehmer.

Wenn die Zusammenarbeit mit dem DSB funktioniert, sehen Nilpferde im Zoo eigentlich ganz harmlos und putzig aus, oder?

WIE BIN ICH EIN NETTES NILPFERD?

Auch wenn Sie viel Verantwortung tragen und zeitgleich an mehreren Fronten Ihren Kot verwedeln müssen: Nehmen Sie sich die Zeit, jeden abzuholen. Der Hintergrund für bestimmte Maßnahmen und Handlungsanweisungen erschließt sich für Außenstehende nicht immer von selbst.

Gleichzeitig sollten Sie mehrere Gesichter haben.

  • Verbindlich einfordernd
  • geduldig begründend
  • konzentriert problemlösend
  • gewissenhaft prüfend
  • fröhlich grunzend.

 

Zu Risiken und Nebenwirkungen fragen Sie bitte den Zoologen oder den Tierpfleger.

Seminare, Zertifikate, Fachkundenachweis – die Qual der Wahl beim DSB

Datenschutzbeauftragte werden aktuell gesucht – und wenn Sie sich selbstlos aufopfern, steht auch immer die Frage nach dem Qualifikationsnachweis.

Aktuell kann man bei vielen Fortbildungsanbietern eine Fachkundeprüfung ablegen und erhält dafür – wenn man denn besteht – ein Zertifikat. TÜV, DEKRA – das sind anerkannte Prüfungsorganisationen, die dafür bekannt sind, Zertifikate nicht zu verschenken und deren Siegel anerkannt ist. Auch die IHK bietet Seminare mit Prüfung an.

Diese Seminare dauern zwischen drei und fünf Tagen. Angesichts der stetig steigenden Bedeutung und Aufgaben eines Datenschutzbeauftragten geht das natürlich nur mit Druckbetankung. Die Kosten von ca. 1.500 Euro sind eigentlich angemessen, wenn man bedenkt, dass Unterlagen und Verpflegung dabei sind. Ich habe auf meinem Lehrgang vorzüglich gespeist und die Stullen gingen als Hasenbrote mit zurück nach Hause.

Grundsätzlich ist es möglich, Lehrgänge bzw. Fortbildung auch ohne Fachkundeprüfung zu besuchen. Man erhält dann vom Kursanbieter ein entsprechendes Teilnahmezertifikat.

Ich kann hiervon aus folgenden Gründen nur abraten.

 

 

  • Im Geschäftsverkehr werden Sie mit Fachkundenachweisen ernster genommen. Bei einer Prüfung durch die Aufsichtsbehörde läuft es ähnlich – da sollte ein gültiger Fachkundenachweis einer Prüforganisation auch nicht gerade hinterlich sein!
  • Wenn ich mich fünf Tage anstrenge, das Wissen zu erwerben, will ich für mich selbst auch eine Quittung über den Erfolg!
  • Wenn ich mich in einem anderen Unternehmen bewerbe, erhöht ein Fachkundenachweis meinen Marktwert.

Mit Blick auf den letzten Punkt – Sie wollen Karriere machen – denke ich, dass IHK am Vorteilhaftesten wäre.

Ich selbst habe eine DEKRA-Prüfung abgelegt, und ich kann bestätigen, dass man nichts hinterhergeworfen bekommt. Die Prüfung war fordernd, aber machbar, wenn man der Druckbetankung standgehalten hat. Da der Dozent sehr darauf geachtet hat, nicht in lange Monologe zu verfallen und das Ganze recht gut aufbereitet hatte, war das für mich glücklicherweise nicht das Problem.

Was sich ändern muss

Kleinstaaterei bei den Zertifikaten nützt uns aber nichts. Wenn sich IHK, TÜV und DEKRA auf einen einheitlichen Prüfungskatalog festlegen und dieser auch einheitlich benannt wird – z.B. Datenschutz-Fachkraft o.Ä. – sind Qualifikationen einheitlich und vergleichbar.

Auch ist es mittlerweile so, dass drei bis fünf Tage trotz Druckbetankung nur mit Mut zur Lücke funktionieren. Mit erfolgreich bestandener Fachkundeprüfung zeigt man lediglich, dass man ein gewisses Grundverständnis besitzt. ISO 9001 und 27001, Vertragsgestaltung, ja, auch Soft Skills, fehlen aus meiner Sicht komplett.

Man sollte definitiv ein standardisiertes zweiwöchiges Seminar veranschlagen. Ja, das kostet mehr Geld. Aber erst recht durch die DSGVO ist es gut investiert.

 

Warum Soft Skills entscheidend sind

Datenschutzbeauftragte dürfen keine Einzelgänger sein, die starr das rechtliche und technische Programm durchführen. Sie machen sich manchmal unbeliebt, wenn der Geburtstagskalender abgeschafft werden muss. Sie fordern bei der IT alles an und ein, was nicht bei drei im Server-Rack verschwunden ist. Sie müssen ihre Position gegenüber der Geschäftsleitung und Dienstleistern vertreten und nicht zuletzt kann es passieren, dass unzufriedene Kunden oder Dritte ihnen ans Leder wollen.

Wer soll denn nach herrschender Meinung DSB werden? Juristen und IT-Fachleute. Also die einen aalglatte, besserwisserische Theoretiker, die anderen introvertiere Fachidioten.

Glücklicherweise sind das nur Vorurteile, die sich nach meiner Erfahrung relativ selten bestätigen und zur notwendigen Vorqualifiakation habe ich mich bereits im letzten Datenschutz-Beitrag geäußert. Aber die Qualifikation zum DSB hat nicht nur fachliche, sondern auch persönliche Anforderungen.

Und genau darum wird es im nächsten Beitrag gehen.

 

Angst und Schrecken…

… verbeiteten in der Regel Piraten, Ungeziefer, oder Mathematikklausuren. Auch so manche Superschurken wie Khan Noonien Singh, der Joker oder Darth Vader verstehen sich gut in diesem Metier.

Viel bedeutender für Bernd Berater, Stefan Sachbearbeiter oder Regina Rechtsanwältin ist aber die Datenschutzgrundverordnung.

Vom Gefühl her ist sie noch weit bedrohlicher als eine Allianz von Darth Vader, Donald Trump, der Steuerprüfung, einer tollwütigen Ratte und einer Vogelspinne. Wie auf dem Fischmarkt hört man es allerorts schreien:

 

SANKTIONEN, SANKTIONEN! NEUE SANKTIONEN! HEUTIGES SONDERANGEBOT 4 PROZENT DES JAHRESUMSATZES! SANKTIONEN, FRISCHE SANKTIONEN!

Von dieser Atmosphäre profitieren natürlich versierte Consultants. Denn auch ohne DSGVO ist klar: Das Thema gewinnt rasant an Bedeutung, die Digitalisierung – und da sind wir wieder beim Arbeiten 4.0 – macht aktuell beruflich wie privat große Fortschritte.

Das bayerische Landesamt für Datenschutz hat in seinem aktuellen Tätigkeitsbericht eine sehr informative Statistik veröffentlicht, aus der eine klare Tendenz hervorgeht. Die Zahlen sprechen für sich, auf ein näheres Interpretieren verzichte ich an dieser Stelle.

entnommen aus: BayLDA, 7. Tätigkeitsbericht

EXTERNE EINBINDEN – JA ODER NEIN?

Mit dem Klima der Angst wird Unsicherheit generiert, die sich im Einkauf von Beraterleistungen niederschlägt. Aber glauben Sie nicht, dass ich jetzt alle Berater pauschal verteufeln will. Denn: Es kann nie schaden, fachkundige Meinung einzuholen und ggf. Verantwortung abzugeben. Auch ich als geprüfter DSB bin sogar auf Hilfe angewiesen: Bei der Umsetzung der technisch-organisatorischen Maßnahmen und ggf. bei der Einführung neuer Datenverarbeitungssysteme fehlt mir technisches Hintergrundwissen. Spätestens im Projektmanagement beim Kunden kann es für mich dann verflucht eng werden.

Ich werde bei meinem Arbeitgeber durch den IT-Fachvorgesetzen glücklicherweise kompetent begleitet und erhalte Zuarbeiten ohne Diskussion zügig und verständlich. Außerdem sind wir ein recht kleines Unternehmen, dass ich gut überblicken kann.

Wenn Sie also

  • komplexe und verschachtelte Organisationsstrukturen haben
  • Sie weder Jurist noch IT-Fachkraft sind
  • und diese Sie nicht umfangreich unterstützen können,

spätestens dann sollten Sie also tatsächlich auf die Marktschreier hören und sich einen Berater ins Haus holen. Ob glatter Aal oder schuppiger Bitterling, das bleibt Ihnen überlassen.

SOLL ICH DSB WERDEN?

Es kann natürlich passieren, dass Sie auserkoren werden, um sich fortan auf den Datenschutz zu fokussieren. Lassen Sie sich nicht darauf ein, wenn vorher nicht klargestellt wird, dass diese Tätigkeit Arbeitszeit benötigt – und zwar reichlich davon, insbesondere angesichts des 25. Mai.

Auch sollten Sie eine Fortbildung einfordern. Der Geschäftsführer meines Arbeitgebers wählte mich aufgrund meiner Präqualifizierung als Jurist aus, sah das ganze jedoch völlig realistsich: Datenschutz wird weder im klassischen Jurastudium noch in diversen Wirtschaftsjuristen-Studiengängen großartig gewürdigt. Von daher war eine Fortbildung auch schnell und ohne Diskussion bewilligt. Und glauben Sie mir, allein die Freistellung für die Fortbildungszeit war Gold wert, da ich mich außerhalb des Hamsterrades auch wirklich auf das Thema einlassen konnte. Gute Dozenten – vielen Dank an die Herren Schulze und Jander – taten ihr Übriges.

Es wird gelegentlich als ungeschriebene Vorschrift gesehen, dass DSB aus dem Fachbereich Recht und/oder IT kommen müssen. Das ist aus meiner Sicht vorteilhaft, man sollte sich aber auch nicht darauf versteifen. Ich kenne eine sehr engagierte Datenschützerin, die in einem internationalen Konzern eine gute Figur macht und zuvor „nur“ Vertriebsassistenz war.

IST DIE ANGST BERECHTIGT?

Das ist natürlich eine Frage, die sich kaum beantworten lässt. Die klassische Juristenantwort: Es kommt darauf an! – und zwar darauf, wie gut es um den Datenschutz bei Ihnen bestellt ist. Grundsätzlich gilt: Deutschland war Vorbild für die EU-DSGVO und somit ist die Masse der völligen Neuerungen halbwegs übersichtlich.

Keinesfalls sollte man Angst haben – Sie wissen schon, die klassische German Angst – , aber definitiv Respekt. Die Sanktionen sind in der Tat drastisch, und in Fachkreisen wird geraunt, dass Aufsichtsbehörden nur zu gerne ein Exempel statuieren möchten. Gleichzeitg wird man wohl kaum sofort den vollen Strafrahmen ausschöpfen – Aufsichtsbehörden kennen den Grundsatz der Verhältnismäßigkeit.

Es ist wie bei mündlichen Leistungskontrollen: Keiner will der Erste sein, aber irgendwen wird es treffen. Für den wird es dann einigermaßen ätzend, aber er wird es überleben. Die anderen Schüler versuchen indes, aus den Fehlern des Ersten zu lernen.

Dabei ist es erwähnenswert, dass wir bislang den Grundsatz lex specialis gelebt haben, das alte BDSG also nur ein Auffanggesetz war, während Spezialvorschriften, z.B. aus dem Arbeits- oder Sozialrecht, vorgingen. Gleichzeitig geht aber supranationales (also auch europäisches) Recht vor.

Auch da kann ich nur dringendstens empfehlen, die Rechtsprechung genau zu beobachten, aber keinesfalls direkt in einem Anfall von Aktionismus umzusetzen, bevor sich nicht eine klare Linie herauskristallisiert hat.

IST DIE AUFSICHTSBEHÖRDE BÖSE?

Ich kann nur für Bayern sprechen, und da bietet sich mir ein anderes Bild. Der bayerische Landesdatenschutzbeauftragte hat einen – nach meiner Auffassung – recht pragmatischen Ansatz mit Blick auf Rechtssicherheit und Umsetzungsaufwand. Gleichzeitig stellt die Behörde eine Vielzahl herunterladbarer Dokumente zur Verfügung, um die Unternehmen vorzubereiten.

Man kann dem BayLDA also nun wirklich nicht vorwerfen, die Leute im Regen stehen zu lassen. Wenn man ahnt, dass man nicht DSGVO-konform ist und nicht weiß, wie man ebendiese Konformität herstellen soll, ist es vielleicht gar nicht verkehrt, die Behörde um Rat zu bitten. Man wird Sie dort nicht beißen, da dies eine Körperverletzung im Amt darstellen würde. Seien Sie sich jedoch bewusst, dass die Behörde sich zu einem späteren Problem vergewissern möchte, ob ihre Handlungsempfehlungen auch den Weg in die Umsetzung gefunden haben…

 

HAT MIR DIESER BEITRAG WEITERGEHOLFEN?

Entscheiden Sie selbst und hinterlassen Sie einen Kommentar. Gern gehe ich auch auf fachliche Diskussionen ein – ich bin nicht allwissend und bin auf Ihren Input zur Selbstreflektion angewiesen.