Angst und Schrecken…

… verbeiteten in der Regel Piraten, Ungeziefer, oder Mathematikklausuren. Auch so manche Superschurken wie Khan Noonien Singh, der Joker oder Darth Vader verstehen sich gut in diesem Metier.

Viel bedeutender für Bernd Berater, Stefan Sachbearbeiter oder Regina Rechtsanwältin ist aber die Datenschutzgrundverordnung.

Vom Gefühl her ist sie noch weit bedrohlicher als eine Allianz von Darth Vader, Donald Trump, der Steuerprüfung, einer tollwütigen Ratte und einer Vogelspinne. Wie auf dem Fischmarkt hört man es allerorts schreien:

 

SANKTIONEN, SANKTIONEN! NEUE SANKTIONEN! HEUTIGES SONDERANGEBOT 4 PROZENT DES JAHRESUMSATZES! SANKTIONEN, FRISCHE SANKTIONEN!

Von dieser Atmosphäre profitieren natürlich versierte Consultants. Denn auch ohne DSGVO ist klar: Das Thema gewinnt rasant an Bedeutung, die Digitalisierung – und da sind wir wieder beim Arbeiten 4.0 – macht aktuell beruflich wie privat große Fortschritte.

Das bayerische Landesamt für Datenschutz hat in seinem aktuellen Tätigkeitsbericht eine sehr informative Statistik veröffentlicht, aus der eine klare Tendenz hervorgeht. Die Zahlen sprechen für sich, auf ein näheres Interpretieren verzichte ich an dieser Stelle.

entnommen aus: BayLDA, 7. Tätigkeitsbericht

EXTERNE EINBINDEN – JA ODER NEIN?

Mit dem Klima der Angst wird Unsicherheit generiert, die sich im Einkauf von Beraterleistungen niederschlägt. Aber glauben Sie nicht, dass ich jetzt alle Berater pauschal verteufeln will. Denn: Es kann nie schaden, fachkundige Meinung einzuholen und ggf. Verantwortung abzugeben. Auch ich als geprüfter DSB bin sogar auf Hilfe angewiesen: Bei der Umsetzung der technisch-organisatorischen Maßnahmen und ggf. bei der Einführung neuer Datenverarbeitungssysteme fehlt mir technisches Hintergrundwissen. Spätestens im Projektmanagement beim Kunden kann es für mich dann verflucht eng werden.

Ich werde bei meinem Arbeitgeber durch den IT-Fachvorgesetzen glücklicherweise kompetent begleitet und erhalte Zuarbeiten ohne Diskussion zügig und verständlich. Außerdem sind wir ein recht kleines Unternehmen, dass ich gut überblicken kann.

Wenn Sie also

  • komplexe und verschachtelte Organisationsstrukturen haben
  • Sie weder Jurist noch IT-Fachkraft sind
  • und diese Sie nicht umfangreich unterstützen können,

spätestens dann sollten Sie also tatsächlich auf die Marktschreier hören und sich einen Berater ins Haus holen. Ob glatter Aal oder schuppiger Bitterling, das bleibt Ihnen überlassen.

SOLL ICH DSB WERDEN?

Es kann natürlich passieren, dass Sie auserkoren werden, um sich fortan auf den Datenschutz zu fokussieren. Lassen Sie sich nicht darauf ein, wenn vorher nicht klargestellt wird, dass diese Tätigkeit Arbeitszeit benötigt – und zwar reichlich davon, insbesondere angesichts des 25. Mai.

Auch sollten Sie eine Fortbildung einfordern. Der Geschäftsführer meines Arbeitgebers wählte mich aufgrund meiner Präqualifizierung als Jurist aus, sah das ganze jedoch völlig realistsich: Datenschutz wird weder im klassischen Jurastudium noch in diversen Wirtschaftsjuristen-Studiengängen großartig gewürdigt. Von daher war eine Fortbildung auch schnell und ohne Diskussion bewilligt. Und glauben Sie mir, allein die Freistellung für die Fortbildungszeit war Gold wert, da ich mich außerhalb des Hamsterrades auch wirklich auf das Thema einlassen konnte. Gute Dozenten – vielen Dank an die Herren Schulze und Jander – taten ihr Übriges.

Es wird gelegentlich als ungeschriebene Vorschrift gesehen, dass DSB aus dem Fachbereich Recht und/oder IT kommen müssen. Das ist aus meiner Sicht vorteilhaft, man sollte sich aber auch nicht darauf versteifen. Ich kenne eine sehr engagierte Datenschützerin, die in einem internationalen Konzern eine gute Figur macht und zuvor „nur“ Vertriebsassistenz war.

IST DIE ANGST BERECHTIGT?

Das ist natürlich eine Frage, die sich kaum beantworten lässt. Die klassische Juristenantwort: Es kommt darauf an! – und zwar darauf, wie gut es um den Datenschutz bei Ihnen bestellt ist. Grundsätzlich gilt: Deutschland war Vorbild für die EU-DSGVO und somit ist die Masse der völligen Neuerungen halbwegs übersichtlich.

Keinesfalls sollte man Angst haben – Sie wissen schon, die klassische German Angst – , aber definitiv Respekt. Die Sanktionen sind in der Tat drastisch, und in Fachkreisen wird geraunt, dass Aufsichtsbehörden nur zu gerne ein Exempel statuieren möchten. Gleichzeitg wird man wohl kaum sofort den vollen Strafrahmen ausschöpfen – Aufsichtsbehörden kennen den Grundsatz der Verhältnismäßigkeit.

Es ist wie bei mündlichen Leistungskontrollen: Keiner will der Erste sein, aber irgendwen wird es treffen. Für den wird es dann einigermaßen ätzend, aber er wird es überleben. Die anderen Schüler versuchen indes, aus den Fehlern des Ersten zu lernen.

Dabei ist es erwähnenswert, dass wir bislang den Grundsatz lex specialis gelebt haben, das alte BDSG also nur ein Auffanggesetz war, während Spezialvorschriften, z.B. aus dem Arbeits- oder Sozialrecht, vorgingen. Gleichzeitig geht aber supranationales (also auch europäisches) Recht vor.

Auch da kann ich nur dringendstens empfehlen, die Rechtsprechung genau zu beobachten, aber keinesfalls direkt in einem Anfall von Aktionismus umzusetzen, bevor sich nicht eine klare Linie herauskristallisiert hat.

IST DIE AUFSICHTSBEHÖRDE BÖSE?

Ich kann nur für Bayern sprechen, und da bietet sich mir ein anderes Bild. Der bayerische Landesdatenschutzbeauftragte hat einen – nach meiner Auffassung – recht pragmatischen Ansatz mit Blick auf Rechtssicherheit und Umsetzungsaufwand. Gleichzeitig stellt die Behörde eine Vielzahl herunterladbarer Dokumente zur Verfügung, um die Unternehmen vorzubereiten.

Man kann dem BayLDA also nun wirklich nicht vorwerfen, die Leute im Regen stehen zu lassen. Wenn man ahnt, dass man nicht DSGVO-konform ist und nicht weiß, wie man ebendiese Konformität herstellen soll, ist es vielleicht gar nicht verkehrt, die Behörde um Rat zu bitten. Man wird Sie dort nicht beißen, da dies eine Körperverletzung im Amt darstellen würde. Seien Sie sich jedoch bewusst, dass die Behörde sich zu einem späteren Problem vergewissern möchte, ob ihre Handlungsempfehlungen auch den Weg in die Umsetzung gefunden haben…

 

HAT MIR DIESER BEITRAG WEITERGEHOLFEN?

Entscheiden Sie selbst und hinterlassen Sie einen Kommentar. Gern gehe ich auch auf fachliche Diskussionen ein – ich bin nicht allwissend und bin auf Ihren Input zur Selbstreflektion angewiesen.