https://www.faz.net/-gqz-74doz

Datenschützer : Die überforderte Zunft

  • -Aktualisiert am

Idealerweise kennt sich der Datenschutzbeauftragte mit Jura und Informatik aus, er kennt die Prozesse im Unternehmen und ist bei den Kollegen beliebt. Die Realität sieht meist anders aus Bild: ddp

Vom vielleicht wichtigsten Beruf des 21. Jahrhunderts: Der Datenschutzbeauftragte hat entscheidende politische Funktionen. Leider kann er sie nicht wahrnehmen. Ein Appell an den Staat, seine Aufgabe ernst zu nehmen.

          Im Zuge der schier unermesslich erscheinenden Skandale in den letzten Jahren hat sich inzwischen wahrscheinlich herumgesprochen, dass sich jedes Unternehmen um den Datenschutz kümmern muss. Der Gesetzgeber sieht dafür verschiedene Rahmenbedingungen vor - angefangen bei einem jährlichen Datenschutzbericht an die Aufsichtsbehörde (also den jeweils zuständigen Landesdatenschutzbeauftragten) bis zu einem eigenen betrieblichen Datenschutzbeauftragten ab einer gewissen Unternehmensgröße respektive ab einer bestimmten Anzahl von Mitarbeitern, die mit personenbezogenen Daten umgehen müssen.

          Der betriebliche Datenschutzbeauftragte (bDSB) wirkt laut Bundesdatenschutzgesetz (BDSG) „auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin“ und hat insbesondere „die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen“ und „die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen“.

          Landesbehörde gnadenlos überfordert

          Er kann sich zu diesem Zweck übrigens auch „in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden“, normalerweise ist das der Landesdatenschutzbeauftragte. Ferner ist der bDSB „weisungsfrei“, was heißt, dass er bezüglich seiner Aufgaben im Bereich Datenschutz direkt der Geschäftsführung unterstellt ist, aber von ihr keine direkten Weisungen erhalten darf, sondern ausschließlich an die datenschutzbezogenen Gesetze gebunden ist. Er ist zudem „nicht weisungsbefugt“, was wiederum bedeutet, dass er den Mitarbeitern oder der Geschäftsführung keine Anordnungen machen kann. Die Entscheidung und Verantwortung, ob sich das Unternehmen datenschutzkonform verhält, liegt somit bei dem Unternehmen.

          Klingt gut, oder? Stellen wir uns das in der Praxis vor: Sie sind Datenschutzbeauftragter in Ihrem Unternehmen und stellen fest, dass die Marketingabteilung sehr viele personenbezogene Daten über potentielle Kunden einkauft oder sammelt und verarbeitet. Sie bemerken weiterhin, dass diese Daten laut BDSG illegal erhoben worden sind und zudem nicht gelöscht werden.

          Nun sind Sie Idealist und gehen - wie es Ihre Aufgabe verlangt - zu Ihrem Geschäftsführer und sagen: „Chef, ich weiß, dass wir mit diesen Daten zehn Millionen Euro pro Jahr Gewinn machen und dass wir mit an Sicherheit grenzender Wahrscheinlichkeit niemals erwischt werden weil die Landesbehörde gnadenlos überfordert ist. Dennoch müssen wir das sofort einstellen!“

          Ab wann resignieren Sie?

          Wie viele Runden machen Ihr Ego und Ihr Idealismus das mit? Würden Sie sich wirklich trauen, Ihr Unternehmen bei der Aufsichtsbehörde anzuzeigen, wie es das Gesetz vorsieht? Wie lange ertragen Sie es, von den Kollegen als Nörgler und Erfolgsbremse angesehen zu werden? Wie lange stehen Sie es durch, auch in der Öffentlichkeit als zahnloser Tiger oder Witzfigur dazustehen, wenn Sie beispielsweise Datenschutzbeauftragter bei Facebook, Lidl oder der Bahn sind?

          Oder anders gefragt: Ab wann resignieren Sie?

          Und noch ein Schmankerl zum Thema Weisungsfreiheit; wussten Sie, dass der Bundesdatenschutzbeauftragte dem Innenministerium unterstellt ist? Jenem Ministerium, das auch für Dinge wie die Verfassungsschutzbehörde, das Bundeskriminalamt und die Kameraüberwachung auf öffentlichen Plätzen verantwortlich zeichnet?

          Idealismus wird praktisch zwangsläufig aberzogen

          Aber gehen wir mal von der anderen Seite an das Thema heran: Stellen Sie sich vor, Sie sind Geschäftsführer eines mittelgroßen Unternehmens. Sie haben einen Mitarbeiter, der Jura und Informatik studiert hat und bei allen Kollegen beliebt ist. Er kennt auch alle Prozesse im Unternehmen und brennt für seine jeweilige Aufgabe.

          Wie würden Sie dieses Genie einsetzen? Sie würden es ganz selbstverständlich zum Beauftragten für den Datenschutz machen, weil es dafür ideal aufgestellt ist, nicht wahr? Das hätte natürlich zur Folge, dass dieser Mensch nicht mehr in leitende Aufgaben befördert werden dürfte. Er dürfte nie in der IT arbeiten und er dürfte nicht in der internen Revision beschäftigt sein - denn all diese Aufgaben stellen einen Interessenkonflikt im Sinne des BDSGs dar. Der Kontrolleur müsste sich somit selbst kontrollieren.

          Man darf also annehmen, dass solche Personen in den allerseltensten Fällen Datenschutzbeauftragte werden. In der Praxis wird derjenige Datenschutzbeauftragter, der bei der Verteilung unangenehmer Jobs nicht schnell genug weglief. Oder Idealisten, die ihren Idealismus in der Folge praktisch zwangsläufig aberzogen bekommen.

          Die Aufsichtsbehörden sind chronisch unterbesetzt

          Das macht sich natürlich bemerkbar; im Regelfall sind weder die nötigen juristischen noch die informationstechnischen Kenntnisse vorhanden. So hatte ich mit diversen bDSB Kontakt, deren Arbeitgeber berührungslose Bezahlsysteme anbieten, die aber weder wussten, dass noch wie diese Technologie funktioniert.

          Bevor nun jemand mit Blick auf den Beruf des Autors dieser Zeilen „Werbung in eigener Sache!“ schreit - nein, externe Datenschutzbeauftragte, die diverse Unternehmen anbieten, sind keinesfalls die Lösung. Stellen Sie sich einfach kurz folgende Ansage eines externen betrieblichen Datenschutzbeauftragten vor: „Lieber Kunde, leider muss ich Sie der Aufsichtsbehörde melden, weil Sie einfach nicht tun, was Sie tun müssen.“ Was meinen Sie, wie viele Kunden dieser Anbieter ab diesem Zeitpunkt haben wird?

          Dies ist kein Vorwurf an die Datenschutzbeauftragten. Ganz im Gegenteil - im Regelfall sind das engagierte und freundliche Personen. Es ist ein systematischer Fehler.

          Normalerweise bin ich der Letzte, der mehr staatliche Kontrolle fordert. Doch hier, in diesem ganz speziellen Bereich, wo es eben um die Freiheit und informationelle Selbstbestimmung der Bürger - und nicht der Unternehmen - geht, plädiere ich für mehr Überwachung seitens der Aufsichtsbehörden (na gut: und bei Banken). Genauer: Die Landesdatenschutzbeauftragten brauchen deutlich mehr Mittel, um die Wahrscheinlichkeit für Täter, bei gesetzlichen oder moralischen Datenschutzverstößen nicht erwischt zu werden, drastisch senken zu können. Denn diese Aufsichtsbehörden sind chronisch unterbesetzt und noch mehr überfordert als ihre betrieblichen Pendants.

          Weitere Themen

          Topmeldungen

          Sowohl Trump als auch Johnson winken mit ihrem zerstörerischen Potential. Nur schätzen sie ihre Position falsch ein.

          Schwäche der EU? : Boris Trump

          Sowohl Trump als auch Johnson verschätzen sich: Man kann aus den Wechselbeziehungen der globalisierten Welt nicht in Trotzecken fliehen und dabei nachhaltige Gewinne machen. Europa ist da in einer stärkeren Position.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.