Was macht ein Datenschutzbeauftragter?

Veröffentlicht am: 21.01.2022
Zuletzt aktualisiert: 21.01.2022

Wissen Sie eigentlich, was ein Datenschutzbeauftragter so macht und welchen Unterschied es zwischen einem Datenschutzbeauftragten und einen Datenschutzkoordinator gibt? Diesen und weiteren spannenden Fragen sind wir im Gespräch mit unserem Datenschutzbeauftragten Dr. Karsten Ronnenberg auf den Grund gegangen.

Karsten, was genau verbirgt sich hinter der Berufsbezeichnung Datenschutzbeauftragter?

Zu meinen Aufgaben als Datenschutzbeauftragter zählt es, die Mitarbeiterinnen und Mitarbeiter zu sensibilisieren und zu beraten. Ich kontrolliere und evaluiere die Arbeitsabläufe unter datenschutzrechtlichen Gesichtspunkten und berate das Unternehmen in Datenschutzfragen. Als Datenschutzbeauftragter bin ich der Geschäftsführung direkt unterstellt.

Warum braucht man Datenschutzbeauftragte oder Datenschutzkoordinatoren?

Unternehmen, in denen mehr als 20 Mitarbeiterinnen und Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, müssen einen Datenschutzbeauftragten bestellen. Bei einer großen Organisation wie den Maltesern – mit 80.000 Mitarbeitenden, gut einer Million Mitgliedern und ein paar Millionen Kundinnen und Kunden in Deutschland – sprechen wir über ganz andere Dimensionen. Um das bewältigen zu können, müssen entsprechende Ressourcen vorgehalten werden. Daher gibt es zusätzlich zum Datenschutzbeauftragten die Datenschutzkoordinatorinnen und -koordinatoren in den Malteser Regionen und Betriebsgesellschaften – wie etwa in der SoCura. Als die DSGVO eingeführt wurde, dachten viele, das Thema sei nach ein, zwei Jahren wieder erledigt. Das Gegenteil ist der Fall: Es kommen stetig neue Fragen auf, die über einen längeren Zeitraum immer wieder neu betrachtet und geregelt werden müssen.

Wie viel Bürokrat steckt denn in so einem Datenschutzbeauftragten bzw. Datenschutzkoordinator?

Wir sind alle nicht so die Bürokraten-Seelen, nichtsdestotrotz müssen wir diese Last natürlich mittragen und – was viel schwieriger ist – auch den Maltesern ein Stück weit aufbürden. Das ist auch das, was mir am wenigsten Spaß an dem Job macht. Aber so ist es nun mal, der Datenschutz hat 2018 mit der Einführung der DSGVO enorme Lasten für die Unternehmen gebracht. Das lässt sich nicht anders sagen.

Du hast eben gesagt, dass eine der Aufgaben von Datenschutzbeauftragten es ist, die Mitarbeitenden zu schulen. Wie oft braucht eigentlich ein Datenschutzbeauftragter selbst eine Schulung?

Auf dem Papier reicht der einmalige Besuch eines vier- bis fünftägigen Seminars beim TÜV aus. Aus meiner Sicht machen neue Urteile und Gesetzesänderungen es jedoch erforderlich, sich regelmäßig weiterzubilden. Deswegen gehen wir einmal im Jahr auf Fortbildungen, haben diverse Newsletter abonniert, lesen Fachzeitschriften und nehmen uns innerhalb des Teams die Zeit, über inhaltliche Fragen zu diskutieren. Mir ist es wichtig, mit einer Schwarmintelligenz ranzugehen: Vier Personen sind vier Perspektiven und jeder von uns kann neue Aspekte und Sichtweisen beitragen, die uns dann auch wieder weiterbringen. Das schätze ich sehr an unserer Arbeit im Team.

Was sind denn die täglichen Aufgaben eines Datenschutzkoordinators?

Sie haben viele verschiedene Aufgaben. Sie kümmern sich um die Datenschutzerklärung auf unseren Webseiten, prüfen, ob Dokumente datenschutzrechtlich okay sind, und passen diese ggf. an. Sie sichern die Auftragsverarbeitungsverhältnisse ab und helfen bei der Vertragserstellung bzw. übernehmen diese. Schauen wir uns etwa einen Bewerbungsprozess an: Was passiert mit den Daten eines abgelehnten oder angenommenen Bewerbers? Darüber hinaus klären sie beispielsweise auch Fragen zur Videoüberwachung: Was wird von dem Videobild wirklich erfasst? Wie lange dürfen die Bilddaten aufgehoben werden? Was muss auf dem Warnschild stehen, das auf die Videoüberwachung hinweist? Kommt es zu einer Datenpanne, landet die Meldung beim ServiceDesk und der Datenschutz unterstützt bei der Risikobewertung.

Das sind eine Menge Aufgaben, die Datenschutzkoordinatoren haben. Welche Aufgaben hat denn dann ein Datenschutzbeauftragter und was sind die Unterschiede?

Der Datenschutzbeauftragte muss in Verträgen und Datenschutzerklärungen aufgeführt werden. Per Gesetz muss ich als Datenschutzbeauftragter für jeden erreichbar sein. Man muss also nicht erst woanders anrufen, sondern kann sich mit seinem Anliegen sofort an mich wenden und ich kümmere mich dann darum.  Ich habe auch die Verpflichtung, meinen Arbeitgeber darauf hinzuweisen, wenn etwas unter datenschutzrechtlichen Gesichtspunkten nicht korrekt gelöst ist. Damit Datenschutzbeauftragte dieser Verpflichtung in der Praxis nachkommen können, stehen sie übrigens unter einem gesetzlichen Kündigungsschutz – zumindest für die Zeit, in der sie Datenschutzbeauftragte sind. Es handelt sich um eine hinwirkende Tätigkeit, ich weise also zum Beispiel die Geschäftsführung darauf hin, dass dieser oder jener Prozess angepasst werden sollte, um Ärger zu vermeiden. Es bleibt dann aber trotzdem die Entscheidung der Geschäftsführung, ob sie es umsetzt oder nicht.

Welche besonderen Herausforderungen hat ein Datenschutzbeauftragter oder Datenschutzkoordinator bei den Maltesern?

Generell haben die wenigsten Lust, sich mit Datenschutz zu beschäftigen. Wir wollen den Datenschutz daher so gestalten, dass die Malteser ihren eigentlichen Auftrag „Hilfe den Bedürftigen“ mit möglichst geringen Einschränkungen erfüllen können und dabei Datenschutzrisken möglichst vermeiden. Dazu kommt noch die große Herausforderung, das Organigramm der Malteser mit den zwei großen Organkreisen MHD und Malteser Deutschland zu berücksichtigen: Wie sind die einzelnen Dienste strukturiert? Wie „funktionieren” sie? Wie sind die Beziehungen der Zentrale zur Fläche und was heißt das für die Praxis? Dann sind Haupt- und Ehrenamt getrennt zu betrachten. Es gibt aber Überschneidungen und handelt sich nicht notwendigerweise um verschiedene Personen. Das macht unsere Aufgabe spannend und vielfältig.

Gehen hauptamtliche und ehrenamtliche Mitarbeitende unterschiedlich mit dem Thema Datenschutz um und was bedeutet es für eure Arbeit?

Auf hauptamtliche Mitarbeiter kann der Arbeitgeber Druck ausüben, den Datenschutz einzuhalten. Das ist bei ehrenamtlichen Helfern und Helferinnen anders, weil das Ehrenamt davon lebt, dass die Menschen das gerne machen. Meine Erfahrung zeigt jedoch, dass die Malteser auch im Ehrenamt die Sachen richtig angehen wollen. Unsere Aufgabe ist es, unsere Datenschutzthemen so aufzuarbeiten, dass es klare, präzise und einfache Vorgaben gibt. Wenn sie die Notwendigkeit einsehen, setzen auch Ehrenamtliche diese gerne um.

Wie geht ihr damit um, wenn datenschutzrechtlich bedenkliche Tools, wie beispielsweise WhatsApp, genutzt werden?

Diese Themen fallen unter die IT-Compliance, die auch bei uns im Team Recht & Compliance sitzt. Wir wollen nicht, dass Malteser-Daten in WhatsApp bzw. an Facebook übermittelt werden. Das Unternehmen ist ja nicht gerade für einen vertraulichen Umgang mit den Daten seiner Nutzerinnen und Nutzer bekannt. Für die Kommunikation untereinander nutzen wir beispielsweise Microsoft Teams. Teams funktioniert auch auf dem Handy und es gibt keine datenschutzrechtlichen Bedenken. Allerdings sind wir den Leuten schuldig, zu erklären warum sie WhatsApp nicht nutzen sollen.  Für solche Themen wurde die Stelle des IT-Compliance Manager geschaffen. Er soll derartige Themen in die Fläche und ins Ehrenamt kommunizieren.

Darf ein Datenschutzbeauftragter eigentlich alles einsehen?

Dem Datenschutzbeauftragten ist Einsicht in alle Daten zu gewähren, die er für seine Tätigkeit benötigt. Das kann sehr weit gehen und auch sehr sensible Geschäftsprozesse und Vertragsdaten umfassen. Es kann auch um sehr persönliche und unschöne Fälle gehen, die datenschutzrechtliche Vorgaben berühren, wie etwa arbeitsrechtliche Streitigkeiten oder sexualisierte Übergriffe.

Eine letzte Frage haben wir noch. An wen wende ich mich eigentlich, wenn mir ein Datenschutzverstoß auffällt oder selbst unterläuft?

Ans Self Service Portal der SoCura: selfservice.socura.de/datenpannen. Wir sind dafür zwar am Ende verantwortlich, aber die eigentliche Bearbeitung wird von den Kolleginnen und Kollegen im Service Desk vorgenommen. Es gibt da einen klaren Prozess, was unter anderem daran liegt, dass diese immer erreichbar sind – auch nachts, an Feiertagen oder am Wochenende.