Im Dienste des Datenschutzes – die heikle Mission der Verantwortlichen
Die Nachfrage nach Datenschutzbeauftragten ist so groß wie nie – doch eingeklemmt zwischen Gesetz und Geschäftsführung wird der Job oft zur Zerreißprobe.
Wird die Stelle intern besetzt, wird gerne ein Justiziar oder ein Mitarbeiter aus der IT-Abteilung genommen – um eine Interessenskollision zu vermeiden, darf es allerdings nicht deren Leiter sein. Gerade für kleinere Unternehmen lohnt es sich jedoch oft nicht, zeit- und kostenintensiv internes Know-how aufzubauen – ein externer Dienstleister kann hier die richtige Wahl sein.
“Aber auch bei den Profis gibt es einige schwarze Schafe, deswegen ist es wichtig, immer auf die Qualifikation zu achten”, warnt der Bundesdatenschutzbeauftragte Schaar. Hintergrund ist ein boomender Markt, der für wachsenden Konkurrenzkampf sorgt. “So entstehen Dumping-Angebote, bei denen jedoch die Qualität auf der Strecke bleibt. Firmen, die sich auf solche Angebote einlassen, müssen sich im Klaren darüber sein, dass sie nur einen Alibi-Datenschutz betreiben, aber im Zweifelsfall dann doch eine Strafe zahlen müssen, wenn der Datenschutz nicht ordnungsgemäß gehandhabt wird”, so BvD-Chef Federrath.
Bei gravierenden Verstößen sind Geldstrafen bis zu 250.000 Euro möglich – die Praxis sieht jedoch anders aus. Gerät ein Unternehmen ins Visier der Aufsichtsbehörden, muss es in der Regel nachweisen, dass es Maßnahmen ergriffen hat, um das Problem zu beseitigen. “Verhält sich eine Firma kooperativ, sind die Behörden eher einmal bereit ein Auge zuzudrücken, trotzdem kann auch bei Erstverstößen ein Bußgeld fällig werden”, so Rechtsanwältin Sibylle Gierschmann. “Im Vergleich zu den europäischen Nachbarn fallen die Bußgelder in Deutschland aber eher gering aus, in der Regel bleiben sie weit unter der Höchstgrenze.”
Ähnlich verhält es sich mit Prüfungen durch die Aufsichtsbehörde. Grundsätzlich können sie inzwischen zwar anlassfrei durchgeführt werden, meistens erfolgen sie jedoch weiterhin aufgrund eines konkreten Anhaltspunkts. Den liefern beispielsweise Verbraucherschutzverbände oder Betroffene. “Ich habe auch lange Jahre in einer Aufsichtsbehörde gearbeitet und habe es nie erlebt, dass die Konkurrenz ein Unternehmen angeschwärzt hat – was nicht heißt, dass es diesen Fall nicht grundsätzlich geben kann”, sagt Peter Schaar. “Es kommt aber eher vor, dass sich ein Mitarbeiter oder ein ehemaliger Mitarbeiter beschwert.”
Datenschutz an sich ist nicht benutzerfreundlich
Damit es nicht so weit kommt, muss der Datenschutzbeauftragte immer am Ball bleiben, und das bedeutet in der Regel jede Menge Argumentationsarbeit, denn “der Datenschutz an sich ist nicht benutzerfreundlich”, sagt udis-Geschäftsführer Kongehl. “Der Datenschutzbeauftragte gestaltet die Informationstechnik wie ein Designer, so dass die Vorgaben des Datenschutzes erfüllt werden.” Dazu ist nach seinen Worten viel Überzeugungsarbeit notwendig. “Wichtig ist es, von der Unternehmensseite her zu argumentieren, also beispielsweise deutlich zu machen, wann etwas zum Skandal führen und langfristig das Firmenimage schädigen könnte.” Die Sicht der Betroffenen zu erläutern führe dagegen selten zum Erfolg, so Kongehl.
Hält eine Firma die Vorgaben nicht ein, ist es theoretisch möglich, dass der Datenschutzbeauftragte persönlich zur Rechenschaft gezogen wird. Da die hauptsächliche Verantwortung aber bei der Geschäftsführung liegt, ist dieser Fall nicht sehr wahrscheinlich. “Eine persönliche Haftung des Datenschutzbeauftragten ist nur in Ausnahmefällen vorstellbar”, sagt silicon.de-Kolumnistin Gierschmann. “Die Haftung eines internen Datenschutzbeauftragten gegenüber seinem Arbeitgeber ist nur denkbar, wenn er zumindest ‘grob fahrlässig’ gehandelt hat, was in der Regel nicht der Fall sein wird. Ein externer Datenschutzbeauftragter wird versuchen seine Haftung bereits vertraglich auf grobe Fahrlässigkeit und Vorsatz zu begrenzen.”
Trotzdem: Der Job eines Datenschutzbeauftragten ist eine heikle Angelegenheit. Denn der Datenschutz in Deutschland bewegt sich derzeit grundsätzlich in einem schwierigen Spannungsfeld. Im Nachklang der Terroranschläge vom 11. September 2001 wollen auf der einen Seite die Sicherheitsbehörden möglichst viele Daten sammeln, um einen größtmöglichen Schutz zu gewährleisten – auf der anderen Seite wehren sich die Bürger gegen das Gefühl, überall und ständig überwacht zu werden. “Dummerweise ist die aktuelle Einstellung vieler Firmen, dass der Datenschutz nicht so wichtig ist wie die Sicherheit”, sagt Hannes Federrath vom Berufsverband der Datenschutzbeauftragten. Oder – um es mit den Worten des Bundesdatenschutzbeauftragten Schaar optimistischer auszudrücken: “Wenn es keine Schwierigkeiten gäbe, wäre es langweilig.”