Datenschutzbeauftragte – Aufgaben und Pflichten

Manche Themen sind genauso wichtig wie unbeliebt. Ein Paradebeispiel dafür ist der Datenschutz. Deshalb sind viele Führungskräfte in Unternehmen dankbar über Datenschutzbeauftragte (in der Praxis häufig als „betriebliche Datenschutzbeauftragte“ bezeichnet), die dafür sorgen, dass bei der Speicherung und Verarbeitung personenbezogener Daten alles mit rechten Dingen zugeht.

Aber wie sieht der Arbeitsalltag betrieblicher Datenschutzbeauftragter aus, welche Aufgaben müssen sie bewältigen und wie können sie Führungskräfte dabei unterstützen? Wir haben uns mit Dr. Thomas Balzer, Partner bei Zuhorn & Partner Rechtsanwälte, darüber unterhalten, warum der Job von Datenschutzbeauftragten in der Praxis noch anspruchsvoller ist als in der Theorie und worauf Neulinge besonders achten sollten.
 

Wer nach den Aufgaben und Pflichten eines Datenschutzbeauftragten fragt, bekommt zwei mögliche Antworten.

1. Die Aufgaben, die dem gesetzlichen Leitbild entsprechen.
2. Die Aufgaben, die Datenschutzbeauftragte in der Praxis übernehmen.

Tatsächlich stimmt beides laut Thomas Balzer nicht hundertprozentig überein. „Der Gesetzgeber hat die Idee, dass Datenschutzbeauftragte darauf achten, dass Gesetze eingehalten werden, und darauf aufmerksam machen, wenn das nicht der Fall ist. Sie haben also eher eine Kontrollfunktion.“

Nicht Aufgabe betrieblicher Datenschutzbeauftragter ist laut Gesetzgeber die Umsetzung von Datenschutzmaßnahmen. An dieser Stelle sieht Thomas Balzer eine deutliche Lücke zwischen Theorie und Realität klaffen. „Die Idealvorstellung der reinen Aufsicht ist eine Illusion. In der Praxis haben Datenschutzbeauftragte in 95 Prozent aller Fälle auch eine operative Umsetzungsfunktion.“

Das fängt beim Erstellen von Unterlagen an. Welche im Einzelfall erforderlich sind, hängt von der Organisation und Komplexität von Datenverarbeitungsprozessen ab, aber die folgenden gehören zu einer Mindestdokumentation.

Oft leiten Datenschutzbeauftragte die komplette Datenschutzorganisation in Unternehmen. Dafür gibt es einen einfachen Grund, so Thomas Balzer: „Niemand anderes will es machen.“

Der (tatsächliche) Job einer oder eines Datenschutzbeauftragten ist hochkomplex. Das liegt zum einen daran, dass er in der Praxis mindestens drei Seiten hat:

1. organisatorische
2. rechtliche
3. technische

„Man ist schnell damit überfordert, dass man in so vielen Bereichen ein solides Basiswissen haben muss“, konstatiert Thomas Balzer.

Zum anderen gibt es keinen Leitfaden, den Datenschutzbeauftragte abarbeiten könnten. Stattdessen stehen sie vor der Aufgabe, ein abstraktes Gesetz in konkrete Maßnahmen zu überführen. Den meisten frischgebackenen Datenschutzbeauftragten fehlen dazu die Erfahrungswerte, beobachtet Thomas Balzer. „Wie muss ich was formulieren, wo im Unternehmen ergeben sich datenschutzrechtliche Fragen, wo finden sich entsprechende Vorlagen? Das sind große Herausforderungen, wenn das Handwerkszeug fehlt.“ Besonders gilt das für Personen, die in Teilzeit Datenschutzbeauftragte beziehungsweise Datenschutzbeauftragter sind.

Besser bewältigen lassen sich diese Herausforderungen mit professioneller Unterstützung. Thomas Balzer empfiehlt Datenschutzbeauftragten, nicht nur ein Einführungsseminar zu Beginn ihrer Tätigkeit zu besuchen. Ideal sei es, zusätzlich nach einiger Zeit im Job an einem Aufbaukurs teilzunehmen. Dann hätten Datenschutzbeauftragte bereits Erfahrungen gesammelt, sodass sie wüssten, worauf es ankommt und welche Fragen sich im Alltag stellen.

Thomas Balzer unterscheidet zwei Arten, wie Datenschutzbeauftragte, die neu in einem Unternehmen sind, an ihre Arbeit herangehen können.

1. Dogmatischer Ansatz: Bei dieser Herangehensweise verschaffen sich Datenschutzbeauftragte zuerst einen Überblick über Strukturen. Dabei geht es vorrangig darum, Datenflüsse zu verstehen: Welche personenbezogenen Daten fließen von wem wohin und warum? Im nächsten Schritt erstellen Datenschutzbeauftragte ein Verarbeitungsverzeichnis. So gewinnen sie einen guten Überblick über verschiedene Prozesse und können daraus weitere Maßnahmen ableiten.
2. Risikobasierter Ansatz: Zentraler Ausgangspunkt bei diesem Ansatz ist die Frage: „Wo drohen die größten Risiken für das Unternehmen?“ Datenschutzbeauftragte gehen zuerst die Themen an, die nach außen am auffälligsten sind. Dazu gehören zum Beispiel Videoüberwachung und Datenschutz auf der Unternehmens-Homepage.

So oder so gehört es für Thomas Balzer zum Berufsalltag von Datenschutzbeauftragten, Risiken abzuwägen. Schließlich werde in vielen Unternehmen mit Millionen personenbezogenen Daten umgegangen. Jede E-Mail unter die Lupe zu nehmen, sei aber kaum möglich. Auch Art und Tätigkeit des Unternehmens spielen eine wesentliche Rolle. „Eine Metzgerei hat ein ganz anderes datenschutzrechtliches Profil als ein Unternehmen, dessen Geschäftsmodell von personenbezogenen Daten lebt.“

Wie gut eine Datenschutzbeauftragte beziehungsweise ein Datenschutzbeauftragter arbeiten können, hängt nicht zuletzt vom Umfeld ab. Thomas Balzer hält es für besonders wichtig, dass sich das Management zu dem Thema Datenschutz bekennt und Datenschutzbeauftragten die notwendigen Ressourcen zur Verfügung stellt. Das schließt finanzielle Mittel ein, zum Beispiel für Weiterbildungsmaßnahmen oder externe Unterstützung in der Anfangszeit.

Schließlich ist Kooperation entscheidend. Zwar verdienen Unternehmen mit erfolgreichem Datenschutz kein Geld, aber sie beugen hohen Geldbußen und Klagen betroffener Personen vor. Außerdem setzen Partner und Kunden heute ein professionelles Datenschutzmanagement voraus. Dabei gilt: Im Regelfall haften Geschäftsführerinnen und Geschäftsführer für Datenschutzverstöße. Ein Grund mehr, Datenschutzbeauftragte von Beginn an in ihrer Arbeit zu unterstützen.