Datenschutz ist Überzeugungsarbeit
Von Elisabeth Mayer
Über die Aufgaben und die Anforderungen, die an Datenschutzbeauftragte (DSB) gestellt werden, kann man viel lesen, doch über die tatsächliche Arbeit wissen nur wenige Konkretes. Die rechtlichen Grundlagen kann jeder nachlesen, sie sind in der Datenschutz-Grundverordnung (DSGVO) festgelegt, und es gibt auch vielfältige mehr oder weniger treffende Veröffentlichungen unterschiedlichen Umfangs zum Berufsbild. Aber wie sieht der DSB-Alltag wirklich aus?
Das Image hat sich gewandelt
Zunächst ist festzustellen, dass Datenschutzbeauftragter zwar ein anerkannter Beruf, aber kein klassischer Ausbildungsberuf ist und es meines Wissens auch keinen entsprechenden Studiengang mit Abschluss gibt. Das geforderte Fachwissen können (und sollten) sich die zukünftigen Datenschützer in Kursen aneignen, die bei den verschiedensten Anbietern belegt werden können. Hier beginnen auch die ersten Schwierigkeiten, denn der zeitliche Umfang der Kurse liegt zwischen einem Tag und drei Wochen, und die Qualität der Schulungen kann erst im Nachhinein beurteilt werden. Die Kursauswahl hängt meist davon ab, ob man als interner betrieblicher DSB tätig sein wird oder ob man eine selbstständige Tätigkeit als externer DSB anstrebt.
Viele der mir bekannten Datenschutzbeauftragten sind auf mehr oder weniger langen Umwegen zum Datenschutz gekommen, oft wie die sprichwörtliche Jungfrau zum Kind. Ich spreche aus eigener Erfahrung, denn als mir vor ca. 15 Jahren diese Aufgabe angetragen wurde, wusste ich – ehrlich gesagt – auch nicht, was genau auf mich zukommen werde. Klar war nur, dass Datenschutz von den meisten Kollegen in erster Linie als belastend und überflüssig angesehen wurde sowie als fürchterlich trocken und uninteressant. Datenschutzbeauftragte hatten den Ruf, langweilige, bürokratische, praxisfremde und spaßbefreite Zeitgenossen zu sein, die stets alleine in der Kantine sitzen.
Daten stecken überall
Davon hat sich aus meiner Warte nichts bestätigt. Wenn Datenschutz als zusätzliche Belastung empfunden wird, dann ist es meistens leider so, dass er bislang einfach nicht oder nicht ausreichend beachtet wurde. Spätestens mit Geltung der DSGVO ist dann das Risiko, das man eingeht, wenn man die Vorgaben ignoriert, signifikant größer geworden. Aber auch die Sensibilität der Kunden ist seitdem deutlich gestiegen, was sich beispielsweise in steigenden Auskunftsersuchen bemerkbar macht. Ein Grundrecht, denn ein solches ist das Recht auf informationelle Selbstbestimmung als Kern des Datenschutzes, gar als überflüssig zu bezeichnen, finde ich, gelinde gesagt, gewagt.
Wenn man als DSB viel unterwegs ist, wird man immer wieder mit Fragestellungen konfrontiert, mit denen man nicht rechnet und auf die man deshalb auch völlig unvorbereitet trifft.
- Bei einem Vor-Ort-Besuch erfuhr ich einmal beiläufig, dass geplant war, einen neuen Kaffeeautomaten zu kaufen. Datenschutzrechtlich war das zunächst völlig uninteressant. Im Lauf des weiteren Gesprächs zeigten sich aber die Vorzüge des Geräts als durchaus betrachtenswert: Die Mitarbeiter hätten zukünftig den Kaffee mit ihrem Transponder bezahlen können. Am Monatsende wäre auf Knopfdruck eine Auswertung zur Abrechnung des Kaffees erstellt worden. Außerdem hätte ein Servicetechniker per Fernwartung im Störungsfall auf das Gerät zugreifen können, und als Zusatzfunktion wäre die automatische Nachbestellung von Kaffee bei Unterschreitung eines vorgegebenen Füllstands möglich gewesen.
- Wie unschwer zu ahnen ist, bremste ich die Begeisterung erst einmal etwas und machte klar, dass hier auch einige datenschutzrechtliche Fragestellungen zu behandeln seien.
Bis zu diesem Zeitpunkt wäre ich nicht ansatzweise auf die Idee gekommen, vor Ort die Kaffeemaschine einer Prüfung zu unterziehen oder auch nur danach zu fragen. Seitdem aber schaue ich mir diese gerne etwas genauer an und frage im Zweifelsfall nach. Was normalerweise zunächst Verwunderung und anschließend Erheiterung auslöst.
Technik, Recht und Betriebswirtschaft
Wie man am obigen Beispiel erkennen kann, ist ein Mindestmaß an technischer Affinität eine der drei grundlegenden Voraussetzungen für den Beruf des DSB. Darüber hinaus sind aber auch noch rechtliches Verständnis und betriebswirtschaftliche und organisatorische Kenntnisse vonnöten.
Im Einzelfall werden die Kenntnisse in den drei Bereichen bei jedem DSB unterschiedlich stark ausgeprägt sein. Nach meiner Erfahrung kommt bisher ein großer Teil aus dem Bereich der IT. Vielleicht ist das auch darauf zurückzuführen, dass Datenschutz öfter mit Datensicherheit verwechselt wird. Durch die enge Verzahnung der beiden Themen kann diese Konstellation auch durchaus sinnvoll sein. Aber es sind auch viele Juristen als Datenschutzbeauftragte tätig. Jede der beiden Gruppen hat eine andere Herangehensweise an datenschutzrechtliche Fragestellungen, wobei meines Erachtens keine besser oder schlechter ist als die andere. Abhängig davon, welche Vorerfahrungen ein angehender DSB hat, sind unterschiedliche Qualifizierungsmaßnahmen notwendig.
Einzelkämpferin, Beichtvater, Rettungsdienst
Neben den fachlichen Anforderungen müssen Datenschutzbeauftragte aber auch persönliche Voraussetzungen erfüllen. Neben persönlicher Integrität, sozialer Kompetenz und Organisationstalent sind auch didaktische Fähigkeiten und Einfühlungsvermögen erforderlich. DSB sind in Erfüllung ihrer Aufgabe unabhängig und weisungsfrei, daher ist die Fähigkeit zu selbstständigem und strukturiertem Arbeiten unabdingbar.
Aus meiner Erfahrung heraus ist Praxiswissen in unterschiedlichen Bereichen ebenso hilfreich wie die Kunst des Zuhörens und Nachfragens, Geduld und Hartnäckigkeit und last, but not least ein hohes Maß an Frustrationstoleranz. Denn die erste Reaktion auf Datenschutzbeauftragte ist manchmal leider abwehrend. Nicht immer wird man gleich von allen mit offenen Armen begrüßt. Aber normalerweise ändert sich das schnell, denn die Mandanten stellen fest, dass der Datenschutzbeauftragte ihnen in erster Linie helfen will und sie bei der Umsetzung der Vorgaben unterstützt. Datenschutz wird nicht vom Datenschutzbeauftragten „gemacht“, das muss den Mitarbeitern und der jeweiligen Geschäftsführung klar sein – oder zur Not vermittelt werden. Datenschutz ist ein Mannschaftssport und kann nur gelingen, wenn sich alle beteiligen. Verantwortlich für die Umsetzung und Einhaltung der Datenschutzvorschriften ist stets der Verantwortliche im Sinne der DSGVO, also das Unternehmen, die Organisation, die Kommune selbst.
Gemeinsame Datenschutzbeauftragte
Ich betreue als gemeinsame Datenschutzbeauftragte sowohl das Landratsamt als auch die Gemeinden des Landkreises Regensburg. Schon vor Geltung der DSGVO war es notwendig, sich diesem Thema stärker zu widmen, was in einer kleinen Gemeinde oftmals nicht möglich gewesen wäre. Die Beauftragung externer Dienstleister war aber damals für bayerische Behörden nicht möglich, die Bestellung eines gemeinsamen DSB für mehrere Behörden aber zulässig. Landrätin Tanja Schweiger hat diese Chance genutzt, um die Gemeinden im Landkreis beim wichtigen Thema Datenschutz bestmöglich zu unterstützen. „Durch eine gemeinsame Datenschutzbeauftragte können wir für alle eine fundierte und stets aktuelle fachliche Betreuung gewährleisten und gegenseitig von unseren Erfahrungen profitieren“, sagt sie.
2012 bis 2018 hat das Landratsamt Regensburg seine Gebäude erneuert und erweitert. Auch dabei war der Datenschutz ein Gesichtspunkt, z.B. hat die Zulassungsstelle im generalsanierten Altbau nun keine Schalterhalle, sondern bearbeitet die Vorgänge in zehn Doppelbüros. (Bild: Julia Knorr – Landratsamt Regensburg)
Durch die Kooperation gibt es nun eine Stelle, die sich ausschließlich mit dem Thema Datenschutz beschäftigt – in einer ganz anderen Breite und Tiefe als dies vor Ort überhaupt möglich wäre –, und nicht, wie vorher, in jeder Gemeinde jeweils eine Person, die sich neben dem Tagesgeschäft auch noch mit einzelnen datenschutzrechtlichen Problemen auseinandersetzt, sich entsprechend fortbildet usw. (und das alles mit einem sehr knapp bemessenen Zeitkontingent). Die Kooperationspartner erhalten die Informationen, die sie benötigen, und auch dann, wenn sie sie benötigen. Eine Fragestellung, die eine Gemeinde betrifft, ist oftmals auch für die anderen von Interesse, sodass ich mich einmal umfassend mit einem bestimmten Thema, wie zum Beispiel den Anforderungen an ein Ratsinformationssystem, auseinandersetzen muss und diese Informationen dann bei Bedarf, meist mit wenig neuem Prüfaufwand, den anderen Gemeinden zur Verfügung stellen kann.
Der Alltag einer Datenschutzbeauftragten
Die DSB-Tätigkeit lässt sich grob in drei Aufgabenbereiche aufteilen:
- Da sind zum einen die reaktiven Aufgaben, denn ein großer Teil der Arbeit besteht aus ganz konkreten Anfragen. Das können Anfragen von Mitarbeitern sein, von Geschäftsführern oder Bürgermeistern, von Bürgern oder Kunden oder auch von der Aufsichtsbehörde. Zum Beispiel, um nur einige zu nennen, ob und unter welchen Voraussetzungen eine Gemeinde die Anschrift von Gemeindebürgern für Wahlwerbung weitergeben darf, was bei der Ladung zur Gemeinderatssitzung zu beachten ist, welche Informationen in einem Personalfragebogen nicht erforderlich sind oder was bei der Erstellung einer Geburtstagsliste zu beachten ist. Ich koordiniere Auskunftsersuchen, organisiere die Meldung von Datenschutzverletzungen und gegebenenfalls die Benachrichtigung der betroffenen Person.
- Der zweite Aufgabenkomplex ist formaler Natur. Hierzu zähle ich das Erstellen von Mustern, z.B. für die Erfüllung der Informationspflicht, meine Beteiligung an der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten und die Mitarbeit an Dienstvereinbarungen und Anweisungen zu datenschutzrechtlichen Fragestellungen.
- Und zu guter Letzt gibt es noch die überprüfenden Aufgaben. So kontrolliere ich beispielsweise Serverstandorte – denn nicht immer gibt es einen eigenen Serverraum – und prüfe Prozesse und technisch-organisatorische Maßnahmen. Vor dem Einsatz neuer Verfahren, mit denen personenbezogene Daten verarbeitet werden sollen, bewerte ich sie in Bezug auf die damit verbundenen Risiken und gebe meine Stellungnahme ab. Außerdem werden mir Vereinbarungen zur Auftragsverarbeitung sowie andere datenschutzrechtliche Vereinbarungen zur Prüfung vorgelegt.
Diese Aufzählung der Aufgaben stellt natürlich nur ein Ausschnitt aus dem gesamten Aufgabenspektrum einer Datenschutzbeauftragten dar.
Viel erreicht und viel zu tun
Der Reiz besteht für mich darin, im Lauf der Zeit alle Kooperationspartner auf das gleiche Datenschutzniveau zu heben. Dass wir auf einem guten Weg dorthin sind, merke ich an den Rückmeldungen, die ich vor Ort bekomme, denn diese sind durchweg positiv. Die Verantwortlichen setzen sich spürbar mehr mit datenschutzrechtlichen Fragen auseinander und geben zum Teil auch unumwunden zu, dass sie von sich aus jetzt Vorgehensweisen prüfen, die früher nicht infrage gestellt worden wären. Und der Erhalt dieses gewachsenen Datenschutzbewusstseins ist mein täglicher Ansporn.
Elisabeth Mayer ist die gemeinsame Datenschutzbeauftragte der Gemeinden und Zweckverbände des Landkreis Regensburg sowie des Landratsamtes Regensburg. Sie ist Mitglied im Arbeitskreis „Anpassung der behördlichen Praxis an die EU-Datenschutzreform“ beim Bayerischen Innenministerium und nebenamtliche Dozentin für die Bayerische Akademie für Verwaltungs-Management. Sie hat mittlerweile über zehn Jahre Praxis im betrieblichen Datenschutz, seit 2016 beim Landkreis Regensburg. Mitgebracht hat sie Erfahrungen aus ihrer langjährigen Tätigkeit in Prozessmanagement, Qualitätssicherung und als Ausbilderin sowie ein sozialwissenschaftliches Studium (M.A.) und eine kaufmännische Ausbildung.
Landratsamt Regensburg, Datenschutzbeauftragte, Altmühlstraße 3, 93059 Regensburg, Tel.: 0941-4009-262, datenschutz@landratsamt-regensburg.de, www.landkreis-regensburg.de