Berufsbild Datenschutzbeauftragter: Wer sich freiwillig zur DSGVO meldet

Seit die Daten­schutz-Grund­verordnung in Kraft getreten ist, haben sich die An­forderungen an Daten­schutz­beauftragte stark ver­ändert. Die Auf­gaben leiten sich in erster Linie aus Art. 39 DSGVO ab, doch in der Praxis sind sie sehr viel komplexer und viel­fältiger. Und das ist auch der Reiz dieses Berufs.

Schmerzensmann und Wonder Woman

Von Rainer Aigner

Vor dem Stichtag im Mai 2018 führten Datenschutzbeauftragte eher ein Nischendasein. Auch noch danach unterlagen Unternehmen häufig dem Irrtum, Mitarbeiter könnten problemlos und zusätzlich zu ihrer Haupttätigkeit im Unternehmen, die DSB-Tätigkeit ausüben. Oft brach aber gleich eine regelrechte Flut von Anfragen auf die Datenschutzbeauftragten herein, die Laien in dieser Position überforderte: Ist die Firmenwebsite DSGVO-konform aufgestellt? Sind unsere Verträge mit den Lieferanten auf dem neuesten Stand? Erhalten alle Bewerber die korrekten Informationspflichten? Ist die Videoüberwachung richtig ausgeschildert? Haben wir alles dokumentiert? Und ist es schlimm, dass wir gerade eine E-Mail an einen offenen Verteiler versendet haben?

Unternehmenslenker wollen valide Antworten auf all diese Fragen. Gleichzeitig ging die Angst vor Bußgeldern durch die Chefetagen. Und bald wurde klar, dass ein Datenschutzbeauftragter tiefgreifende juristische und technische Kenntnisse braucht. Also: Welche Voraussetzungen muss ein professioneller Datenschutzbeauftragter heute erfüllen, um den Anforderungen in der Praxis gerecht zu werden?

Auf allen Ebenen, an allen Fronten

Nun, zuerst einmal braucht es für diese Position ein gewisses Rückgrat und die innere Einstellung, dass man „Missionar in Sachen Datenschutz“ ist. Denn noch heute muss man Führungskräfte und Mitarbeiter überzeugen, dass das Einhalten der DSGVO sinnvoll und notwendig ist. Klar, Bußgelder sind als Druckmittel zunächst effektiv. Damit sie aber dauerhaft dazu führen, dass sich wirklich alle Unternehmer an die Vorgaben halten, müssten die Aufsichtsbehörden dieses Mittel rigoroser einsetzen. Im Beratungsalltag hören Datenschutzbeauftragte deshalb immer wieder Chef-Aussagen wie: „Ach, uns wird’s schon nicht erwischen“ oder „Wir wollen ja im Datenschutz keine Goldmedaille gewinnen“. Das erschwert die Arbeit. Gute Datenschutzbeauftragte müssen damit umgehen können. Hier ist Überzeugungsarbeit gefragt – DSB müssen gebetsmühlenartig für den Datenschutz werben, denn die DSGVO hat sinnvolle Inhalte und Vorgaben.

Die DSGVO fordert eine Menge von Unternehmen und von den Datenschutzbeauftragten. Aber warum von den Datenschutzbeauftragten? Ihnen kommt doch in der Gesetzgebung nur eine beratende und überwachende Funktion zu (Art. 39 DSGVO). Im Tagesgeschäft kümmern sich Datenschutzbeauftragte neben Beratung und Überwachung aber meist auch um die Umsetzung der Maßnahmen, die notwendig sind, um guten Datenschutz in Unternehmen zu etablieren und die Vorgaben der DSGVO zu erfüllen.

ITKarriere 2020-02.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazin­reihe „IT & Karriere“ erschienen. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

Initiative – und noch mehr Aufgaben

Ein paar Beispiele aus der Praxis: Zu den DSB-Aufgaben gehören die regelmäßigen Schulungen des Personals, jährliche Audits des Unternehmens, Begehungen, die Erstellung der dazugehörigen Berichte, die Dokumentation und Überprüfung von Videoüberwachungsanlagen mit der korrekten Beschilderung, die Überprüfung von Websites inklusive Erstellung von Datenschutzerklärungen und der korrekten Cookie-Einblendung. Außerdem müssen zahlreiche Einwilligungserklärungen und Informationspflichten erstellt und aktuell gehalten werden. Datenpannen müssen bewertet, dokumentiert und eventuell gemeldet werden. Die Prüfung von Verträgen zur Auftragsverarbeitung externer Dienstleister gehört genauso dazu wie die eigentlich erforderlichen Lieferanten-Audits, für die meist das Budget fehlt – aber dazu später mehr.

Auch die Zusammenarbeit mit dem Betriebsrat wird vorausgesetzt, zum Beispiel in Form von Unterstützung bei der Erstellung von Betriebsvereinbarungen oder Anlagen zum Arbeitsvertrag. Auch die Bewertung von Software und Apps, die neu im Unternehmen eingeführt werden, ist DSB-Aufgabe. Das geschieht selten im Vorfeld, hier besteht die Arbeit oft mehr darin, dass man diesen Themen hinterherläuft: „Ach, die neue HR-Software haben die Geschäftsführung und die IT vor vier Wochen freigegeben. Der Live-Gang ist schon für nächsten Monat geplant. Hat Sie da niemand informiert?“ Solche und ähnliche Sätze hört man als DSB nur zu oft, dann muss man schnell sein, um nicht als Blockierer dazustehen.

Serie: DSGVO-konformes Cloud Computing
Teil 1 beginnt dort, wo der Daten­schutz am wichtigsten ist: bei den Auftrags­daten­verarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechen­zentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.

Dokumentation und neue Vorgaben

Ferner müssen alle Prozesse im Unternehmen, die personenbezogene Daten verarbeiten, identifiziert und im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Dazu muss in der Regel alles einer Risikoeinschätzung unterzogen werden. Oft müssen dafür umfassende Bewertungen vorgenommen werden: die sogenannte Datenschutz-Folgenabschätzung (DSFA), wie sie in Art. 35 DSGVO festgelegt ist. Dies bedeutet viel Abstimmungsarbeit zwischen Abteilungen und Verantwortlichen, die insbesondere bei größeren Unternehmen und komplizierten Konzernstrukturen schnell zur Detektivarbeit werden kann, um herauszufinden, wer der richtige Ansprechpartner ist, von dem man all seine Informationen bekommt.

Nur Datenschutzbeauftragte, die es schaffen, gesamte Unternehmen inklusive oberster Führungsebene davon zu überzeugen, wie wichtig der Datenschutz ist, werden in bestehende Prozesse miteinbezogen und frühzeitig auch in Change-Prozesse involviert.

Häufig ergeben sich Änderungen beispielsweise aus Urteilen, wie die aktuellen Entwicklungen zum Datentransfer in die USA zeigen. So hat die EuGH-Entscheidung zum EU-US Privacy Shield dazu geführt, dass plötzlich alle externen Dienstleister und Auftragsverarbeiter dahingehend geprüft werden müssen, ob sie noch auf dieser mittlerweile für ungültig erklärten Rechtsgrundlage personenbezogene Daten des Unternehmens verarbeiten. In solchen Fällen ist, oft mit dem Dienstleister gemeinsam, zügig nach Alternativen zu suchen. Dann sind entweder neue Verträge zu schaffen, die sogenannten Europäischen Standardvertragsklauseln, oder Einwilligungen, die ebenfalls noch verwendet werden können. Im schlimmsten Fall müssen auf DSB-Rat auch Dienstleister ausgetauscht werden. Aktuelle Gerichtsurteile, Beschlüsse von Aufsichtsbehörden oder des Europäischen Datenschutzausschusses können also von heute auf morgen viel Arbeit machen.

It’s law … It’s IT … It’s Super-DSB!

Wie sieht er also aus, der ideale Datenschutzbeauftragte? Er hat eine juristische Ausbildung an einer Universität, ist also Volljurist mit 2. Staatsexamen, gleichzeitig ist er zertifizierter IT-Spezialist für Datenbanken, für Web-Applikationen, für ERP-Systeme und hat auch gleich noch den Master in IT-Security. Prozess– und Projektmanagement beherrscht er ebenso wie Compliance– und Risikomanagement. Ein paar Zertifikate von Microsoft schaden nie. Ach ja: 20 Jahre Berufserfahrung im Management und dazu die entsprechende Persönlichkeit sind extrem hilfreich, denn man muss ja mit Geschäftsführern und Vorständen auf Augenhöhe kommunizieren und dort Überzeugungsarbeit leisten. Gleichzeitig sollte der DSB aber auch die nötige Bodenständigkeit mitbringen, um in Schulungen die Mitarbeiter vom Sinn des Datenschutzes zu überzeugen.

In einer idealen Welt hätte jedes Unternehmen genau einen solchen perfekten DSB. All diese Kenntnisse und Fähigkeiten in einer Person zu vereinen, ist aber nahezu unmöglich, weshalb viele Unternehmen, insbesondere bei interner DSB-Bestellung, Kompromisse eingehen. Trotzdem müssen interne DSB mindestens Folgendes mitbringen: fundierte Kenntnisse aus dem juristischen Bereich und auch aus der IT, etwa im Verhältnis 50:50. Die ideale juristische Ausbildung ist der klassische universitäre Jura-Abschluss mit 2. Staatsexamen und einer gewissen IT-Affinität. Oder umgekehrt: der ausgebildete IT-Abschluss mit einer Neigung zu juristischen Texten. Für jede dieser Ausbildungen ist aber mindestens eine Praxiserfahrung von ein bis zwei Jahren notwendig, sonst besteht man im Datenschutzalltag nicht!

Externe Teams koordinieren

Die Alternative für viele Unternehmen ist daher die Beauftragung eines externen Datenschutzbeauftragten. Aber auch hier gilt, dass die genannten Kompetenzen vorhanden sein müssen. Am besten vertraut man einem professionellen Datenschutzunternehmen mit der notwendigen Erfahrung und einem interdisziplinären Team. Dann dient der DSB selbst oft nur noch als Hauptansprechpartner, vergleichbar mit einem Key Account Manager. Er kennt seine Kunden, berät das Unternehmen auf allen Ebenen und gibt Arbeitsaufträge, die nicht seinen Fachbereich betreffen, direkt an die Spezialisten weiter. Dies sind dann ausgebildete Volljuristen, Experten für Websites, Microsoft-Datenbanken oder für IT-Security.

Aber einer gewissen Firmengröße bzw. -komplexität empfiehlt sich dann oft, zusätzlich im Unternehmen einen sogenannten Datenschutzkoordinator zu installieren. Für diese Position reichen grundlegende Kenntnisse im Datenschutz, die man sich auch mal schnell mit einer einwöchigen Ausbildung zum „zertifizierten Datenschutzbeauftragten“ beim TÜV oder bei der IHK aneignen kann. Der Koordinator hat die Funktion einer Schnittstelle zwischen internen und externen Spezialisten. Mit einer solchen, gut eingespielten Kombination bringt das Unternehmen dann die besten Voraussetzungen für einen funktionierenden Datenschutz mit, was das Bußgeldrisiko deutlich reduziert. Und wenn es einen Verstoß gibt, der mit Aufsichtsbehörden zu bearbeiten ist, dann wissen die Profis, wie man damit umgeht. Ein solches Team arbeitet in hohem Maße eigenständig, dokumentiert umfassend und erinnert an fällige Aufgaben wie Audits, Schulungen usw. Gerade größere Unternehmen profitieren ungemein von einer solchen Arbeitsweise, weil sie hocheffizient ist.

Im Kampf um Mittel und Zuständigkeiten

Die größte Herausforderung für interne und externe DSB ist aber mit Sicherheit das Thema Kosten. Guter Datenschutz kostet Geld – das ist Fakt. Interne DSB müssen genügend Zeit für ihre Aufgaben haben, Budgets für Fortbildungen und den Fachkundeerhalt sowie gegebenenfalls für eine ordentliche Datenschutzmanagement-Software. Auch externe Datenschutzbeauftragte brauchen über ein genügend großes monatliches oder jährliches Budget bzw. Stundenkontingent, um handlungsfähig zu bleiben. Regelmäßige Vertragsprüfungen, Website-Checks, Anfragen von Betroffenen, Audits, Schulungen, Tätigkeitsberichte – all das verschlingt mittlerweile viel Zeit. Je nach Unternehmensgröße reicht das von ein paar Stunden bis zu zig Personentagen pro Monat.

Nicht vergessen darf man dabei die vielen Dokumentationsvorgaben. Datenschutzpannen müssen dokumentiert werden, und nach Art. 30 DSGVO müssen auch Verzeichnisse von Verarbeitungstätigkeiten und Folgenabschätzungen erstellt werden. Dies erledigt sich nicht von allein. Und die Idee der DSGVO, dass sich darum die „verantwortliche Stelle“, also das Unternehmen selbst kümmern soll, ist eine Illusion. Am Ende erstellen diese Dokumente die Datenschutzbeauftragten, weil nur sie über die nötige Fachkenntnis verfügen, die auch einer Überprüfung durch Aufsichtsbehörden standhält. Nicht umsonst fordern Datenschutzverbände wie der BVD e.V. längst eine Nachbesserung der DSGVO, dass hier auch die formelle Verantwortlichkeit auf die DSB übergeht.

Ein gleichermaßen verbreiteter Irrtum ist die Einstufung der DSGVO-Konformität im Unternehmen als „Projekt“. Tatsächlich kann Datenschutz nur als kontinuierlicher Prozess funktionieren, der fortwährend verbessert wird. Denn kaum sind Dokumente erstellt oder Maßnahmen umgesetzt, wiederholt sich der P-D-C-A Zyklus (Plan, Do, Check, Act). In der Praxis sieht man das häufig anhand des jährlichen DSB-Tätigkeitsberichts, aus dem auch schon der nächste Maßnahmenkatalog entsteht.

Mein missionarisches Doppelleben

Warum tun sich DSB das alles an? Was ist die Motivation dahinter? Nun, ganz einfach: Genau diese Mischung macht den Reiz an der Arbeit aus. Man erhält in unglaublich viele Unternehmensbereiche Einblick, man ist Schnittstelle zwischen Abteilungen und Berater zugleich. Man spricht mit Mitarbeitern aus allen hierarchischen Ebenen bis hinauf zur Unternehmensleitung, ist für juristische und technische Belange gleichermaßen zuständig. Externe Datenschutzbeauftragte agieren in der Regel für mehrere Unternehmen und sind branchenunabhängig, was die Tätigkeit noch vielfältiger macht. Kurzum, es wird nie langweilig, niemals!

Und natürlich bleibt auch der beruhigende Gedanke, dass man dabei etwas Gutes tut. Man verbessert den Datenschutz in Unternehmen, man schützt vor Bußgeldern und vor unrechtmäßiger Datenverarbeitung und hilft dabei, die DSGVO, ein in sich gesehen wirklich sehr gelungenes Beispiel europäischer Gesetzgebung, umzusetzen. Und selbst wer sich nicht als Multitalent sieht und nur jeweils für einen Fachbereich – IT oder Recht – qualifiziert ist, findet ein interessantes DSB-Aufgabenfeld. Denn viele externe Datenschutzbeauftragte, die mit ihrem Team Unternehmen beraten, suchen Spezialisten für den ein oder anderen Bereich. Hoch spannend ist beides!

MW-ITuK2.2020.ID06 DSB-Aigner.jpeg

Rainer Aigner ist Datenschutzbeauftragter und Geschäftsführer der aigner business solutions GmbH. Das Beratungsunternehmen für Datenschutz und IT-Sicherheit mit Sitz in Hutthurm bei Passau betreut mit knapp 20 Mitarbeitern nationale und internationale Konzerne ebenso wie KMU und gehört in Bayern zu den führenden Dienstleistern in diesem Bereich.


aigner business solutions GmbH, Goldener Steig 42, 94116 Hutthurm, Tel.: 08505-91927-0, info@aigner-business-solutions.com, aigner-business-solutions.com

Nützliche Links