Deutschland
 

Kommentar

Datenschutzbeauftragter: ein Traumjob?

Der Schutz persönlicher Daten ist ein Menschenrecht, für dessen Einhaltung Datenschutzbeauftragte sorgen sollten. Dazu brauchen sie jedoch klarere Vorgaben von der Politik.
Von 
CSO | 10. November 2022 05:49 Uhr
Datenschutzbeauftragte müssen die Einhaltung der DSGVO überwachen. Ein Job, der nicht immer einfach ist.
Datenschutzbeauftragte müssen die Einhaltung der DSGVO überwachen. Ein Job, der nicht immer einfach ist.
Foto: Merkushev Vasiliy - shutterstock.com

Für die Wahrung des Menschenrechts auf Datenschutz verantwortlich zu sein, war noch nie eine einfache Aufgabe. Und durch die zunehmende Digitalisierung ist sie sicher nicht einfacher geworden. Mit der richtigen Einstellung und personellen Ausstattung ist es der Regierung und Unternehmen aber durchaus möglich, die Rechte derer zu wahren, die selbst dazu nicht die nötigen Ressourcen haben. Während Datenschutz von ebendiesen Privatpersonen oft als lästig angesehen wird, sollte sich jeder Bürger im Klaren sein, dass nur der Schutz der Daten sicherstellen kann, dass wir die Kontrolle über unsere Leben behalten. Wir müssen alleine entscheiden können, ob und welcher Datenkrake wir unsere Daten geben. Zudem gewährleistet nur effektiver Datenschutz, dass unsere Daten auch in der aktuell durch Cyberangriffe geprägten Zeit sicher vor Ausnutzung und Identitätsdiebstahl sind. Nur so sind wir vor ungewollter Manipulation und Veröffentlichung unserer persönlichen Daten geschützt.

Die Aufgaben von Datenschutzbeauftragten

Datenschutzbeauftragte auf Regierungsseite haben vor allem die übergreifende Aufgabe, sicher zu stellen, dass unsere Persönlichkeitsrechte nicht verletzt und wir nicht manipuliert werden. Sie üben eine wichtige Rolle für das Funktionieren einer Demokratie aus. So sind zum Beispiel die Manipulationen der öffentlichen Meinung im Vorfeld der Trump-Wahl und des Brexit-Votums wegen Verstößen gegen die DSGVO aufgeflogen. Idealerweise hätten Datenschutzbeauftragte allerdings schon eingegriffen, als diese Manipulationen noch stattfanden, und nicht erst im Nachgang.

Die Aufgaben eines Datenschutzbeauftragten in Unternehmen wird durch die Paragrafen 38 und insbesondere 39 der DSGVO vorgegeben. Unter anderem muss ein Datenschutzbeauftragter

  • die Verantwortlichen und diejenigen, die Daten verarbeiten, beraten und über ihre Pflichten informieren;

  • die Einhaltung einschlägiger nationaler und internationaler Vorgaben überwachen;

  • auf Anfrage eine Datenschutz-Folgeabschätzung durchführen;

  • mit der Aufsichtsbehörde zusammenarbeiten;

  • als Anlaufstelle für Datenschutzfragen innerhalb des Unternehmen dienen.

Artikel 37 und 38 der DSGVO legen darüber hinaus (relativ vage) fest, wann die Benennung eines Datenschutzbeauftragten geboten ist. Dies sind die wesentlichen Kriterien:

  • Bei der Organisation handelt es sich um eine Behörde oder öffentliche Stelle (für Gerichte gelten Ausnahmeregeln).

  • Die Kerntätigkeit der Organisation macht die regelmäßige und systematische Überwachung der Betroffenen erforderlich.

  • Die Kerntätigkeit der Organisation besteht in der Verarbeitung von personenbezogener Daten.

Zudem ergänzt Paragraph 38 des Bundesdatenschutzgesetzes (BDSG) die DSGVO dahingehend, dass ein Datenschutzbeauftragter zu benennen ist, "soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind".

Was hat der CISO mit Datenschutz zu tun?

Die grundlegende Rolle des CISOs besteht darin, die Datensicherheit zu gewährleisten. Diese Aufgabe ist unterschiedlich, wenn auch komplementär, zu der des Datenschutzbeauftragten. Dabei bestehen gewisse Abhängigkeiten. Weil Datenschutz letztlich über technische Maßnahmen gewährleistet werden muss, ist der Datenschutzbeauftragte auf den CISO angewiesen. Umgekehrt gilt das keineswegs. Auch die bestgeschützten Daten lassen sich missbrauchen.

Schon deshalb ist es keine gute Idee, Datensicherheit und Datenschutz einer Person in Personalunion anzuvertrauen. Ein guter Draht zum CISO ist allerdings für den Datenschutzbeauftragten wichtig, weil er Verbündete braucht, um Ressourcen für den Datenschutz in der Führungsetage einer Organisation zu rechtfertigen. So hat ein Datenschützer weitaus bessere Karten, mit seinen Forderungen beim Finanzvorstand Gehör zu finden, wenn der CISO bestätigt, dass bestimmte Maßnahmen aus technischer Sicht die beste Lösung sind.

Lesetipp: 11 Fakten über den Job eines CISO

Auch beim Datenschutz herrscht Personalmangel

Es gibt Regeln und Gesetze, wendet Sie an! Die Missachtung dieser Aufforderung ist das Hauptproblem bei der Umsetzung des Datenschutzes durch Behörden und Unternehmen. Schon wenn die bestehenden Regeln konsequent umgesetzt würden, wäre viel erreicht. Die Gründe, weshalb das nicht geschieht, sind vielfältig.

Insbesondere bei den Behörden ist Personalmangel ein wesentlicher Grund, warum sie ihren Aufgaben nicht nachkommen können. Je nach Bundesland ist die Lage beispielsweise bei den Landesdatenschutzbeauftragten unterschiedlich, allerdings in keinem Bundesland befriedigend. In einigen Ländern werden lediglich zehn Prozent der Hinweise auf Datenschutzverstöße behandelt. In keinem der Fälle können die Behörden schnell genug eingreifen, um den Missbrauch zu stoppen, bevor er signifikanten Schaden anrichtet.

Auch in Unternehmen verfügt ein Datenschutzbeauftragter nicht per se über die erforderlichen Ressourcen, um seine Aufgabe effektiv zu erfüllen. Dabei hapert es zuweilen an der richtigen Einstellung sowohl in der Unternehmensleitung als auch beim Beauftragten selbst. Vielfach wird Datenschutz nicht als Wahrung eines Menschenrechts betrachtet, sondern lediglich als Kästchen im Compliance-Katalog, das es abzuhaken gilt. In solchen Fällen mag der Dokumentierungspflicht genüge getan sein, nicht aber automatisch auch dem echten Schutz sensibler Daten vor Missbrauch. Zudem wissen immer noch zu wenige Unternehmen Datenschutz als Unterscheidungsmerkmal und somit als Wettbewerbsvorteil zu nutzen. So kann ein verantwortungsvoller Umgang mit Daten ein wichtiges Argument für Konsumenten sein, sich für ein Unternehmen zu entscheiden. Das gilt insbesondere in Branchen, die per definitionem mit sensiblen Daten arbeiten wie Banken und der Gesundheitssektor. Datenschutz kann hier eine vertrauensbildende Maßnahme für Kunden und damit ein Wettbewerbsvorteil sein. Auch im B2B-Umfeld, etwa beim Hosting, kann sich ein hohes Datenschutzniveau bei der Anbahnung einer Geschäftsbeziehung als förderlich erweisen. Intern kann ein verantwortungsbewusster und vorbildlicher Umgang mit den Daten der Mitarbeitenden vertrauensbildend wirken. Ein Faktor, der gerade in der angespannten Fachkräftesituation nicht zu vernachlässigen ist.

Lesetipp: So finden Sie Sicherheitsexperten

Datenschutz wird nicht konsequent durchgesetzt

Eine oftmals laxe Haltung wird auch durch die Tatsache befördert, dass Datenschutzbehörden häufig nur milde gegen Verstöße vorgehen. Unternehmen droht bei einem Verstoß gegen die DSGVO eine Strafzahlung von vier Prozent des weltweiten Jahresumsatzes. Dieses Strafmaß wird aber in der Praxis nicht einmal annähernd erreicht. Oft fehlt es offenbar am politischen Willen, gerade namhafte Unternehmen will man offenbar lieber mit Samthandschuhen anpacken, als geltendes Recht zur Anwendung zu bringen. Eine klare Linie ist auch dort nicht zu sehen, wo öffentliche Einrichtungen wie Schulen und Universitäten von den staatlich bestellten Datenschutzbeauftragten der Länder klare Aussagen benötigen. Weil es vielerorts an klaren Vorgaben für oder wider den Einsatz bestimmter Lösungen mangelt, arbeiten Schulen und Universitäten häufig monatelang Datenschutz-Konzepte aus, die dann nicht von den zuständigen Behörden akzeptiert werden. Oft werden sie auch einfach abgemahnt und erhalten dann keine Unterstützung in der Lösungsfindung. Pragmatismus und konstruktive Lösungsansätze sind hier Mangelware. Dabei gibt es Best Practices aus der Wirtschaft, die zeigen, wie sich beispielsweise die Nutzung einer amerikanischen Cloud mit dem Datenschutz vereinbaren lässt.

Auch im BSI wird, was den Datenschutz angeht, nicht auf der Höhe der Zeit operiert. Kaum etwas hat dies so deutlich gemacht, wie die Demission des BSI-Chefs Arne Schönbohm: Datenschutz und Datensicherheit sind technische Themen und müssen durch ein technisches Ressort geregelt werden. Unabhängig davon, wie die Details der Affäre aussehen, muss eine Institution, die die Informationssicherheit in Deutschland gewährleisten soll, losgelöst von politischer Einflussnahme werden und die technisch besten Lösungen und Maßnahmen testen und empfehlen. Dass hierbei das BSI nicht up-to-date ist, belegt beispielsweise die Vergabe von IT-Sicherheitskennzeichen. Derartige Kennzeichen lassen sich lediglich in den Kategorien Breitbandrouter, E-Mail-Dienste und smarte Verbrauchergeräte beantragen. Als ob es Cloud Computing, Virtualisierung oder Edge Computing nicht gäbe. Das BSI scheint technisch um Jahrzehnte hinterherzuhinken.

Lesetipp: „Die Politik stellt die Weichen falsch"

Datenschutz braucht deutliche Regeln

Auch wenn das Defizit hauptsächlich in der konsequenten Anwendung von Datenschutzregeln besteht, fehlt es zuweilen an klaren Regeln. So hat US-Präsident Biden gerade einen Nachfolger für das gescheiterte Privacy-Shield-Abkommen auf den Weg gebracht, das den Zugriff von US-Behörden auf Daten europäischer Bürger regeln soll. Es handelt sich dabei nur um eine weitere Folge der politischen "Soap Opera", in der eine Scheinlösung für ein dringliches Problem präsentiert wird. Die entscheidende Frage an Bidens Vorschlag lautet: Wann ist eine Überwachung, also ein Zugriff auf Daten europäischer Bürger oder Unternehmen, verhältnismäßig? Wie der Datenschutz-Aktivist Max Schrems in einer Stellungnahme feststellte, haben die EU und die USA unterschiedliche Auffassungen darüber, was verhältnismäßig ist. Es ist eine Illusion, dass sich Daten europäischer Bürger und Unternehmen mit derartig schwammigen Formulierungen sichern ließen. Auch hier brauchen Unternehmen klare Regeln. Und zwar jetzt!

Denn mit klaren Regeln und der konsequenten Verfolgung von DSGVO-Verstößen könnte der Datenschutzbeauftragte, ob in Unternehmen oder Behörden, ein Traumjob werden. Dann kann er seine Aufgabe als Wahrer eines Menschenrechts ernst nehmen und darüber hinaus Unternehmen einen Wettbewerbsvorteil verschaffen, Geschäftsführer vor Haftung für Datenschutzverstöße bewahren und den ESG-Score (Environmental, Social, Governance) des Unternehmens verbessern.

Jetzt kostenlos für den CSO-Newsletter anmelden

Elmar Eperiesi-Beck leitet die von ihm gegründete eperi GmbH als CEO. Eine seiner Kernkompetenzen ist die Beratung von Unternehmen in Bezug auf die sichere und rechtskonforme Speicherung personenbezogener Daten in der Cloud. In den letzten Jahren hat er sich als geschätzter Berater für Cloud-Sicherheitsfragen auf Landes-, Bundes- und EU-Ebene etabliert. Angetrieben wird er von dem Bestreben, Menschen dabei zu unterstützen, zu jedem Zeitpunkt die Kontrolle über ihre personenbezogenen Daten zu erhalten.
Folgen: