Datenschutz: Sicher im Netz

Der letzte große Zwischenfall liegt gerade mal zwei Monate zurück. Im Juli stahl ein Hacker rund 50 000 Kundendaten von einem Server der Handelsgruppe Rewe und veröffentlichte sie anschließend im Internet. Für den Konzern war das mehr als peinlich, er hatte eine eklatante Sicherheitslücke übersehen. Datenmissbrauch gibt es aber auch hausgemacht: Das zeigen die Überwachungsskandale bei Lidl, Telekom und Deutsche Bahn, wo systematisch Mitarbeiter ausspioniert wurden. Die Aufsichtsbehörden der Länder reagieren auf Datenmissbrauch mit saftigen Bußgeldern, die Rolle der Datenschutzbeauftragten in den Unternehmen wird derweil immer wichtiger. Datenschutzbeauftragte sind für alle Unternehmen Pflicht, die mit personenbezogenen Daten arbeiten. Wer den Job übernimmt, erhält viel Verantwortung – das nötige Wissen lässt sich in Seminaren erwerben.

Seit 2009 ist Olaf Thom interner Datenschutzbeauftragter bei der Berliner Pin Mail AG. „Meine Aufgabe ist es, beim Umgang mit personenbezogenen Daten auf die Einhaltung der Gesetze zu achten“, sagt Thom. Personenbezogene Daten, das können Namen und Adressen von Kunden sein, aber auch Personalakten. Als privates Postunternehmen hat die Pin Mail AG rund 1000 Angestellte. Deren Sensibilisierung für datenschutzrechtliche Belange zählt Thom zu seinen wichtigsten Zielen. „In regelmäßigen Schulungen lernen unsere Mitarbeiter, welche Daten sie überhaupt erheben, verarbeiten und nutzen dürfen.“ Ebenso wichtig sei der Schutz der Daten gegen den Zugriff von außen. „Hierfür arbeite ich intensiv mit unseren IT-Verantwortlichen zusammen“, sagt Thom. Seine Tätigkeit empfindet der 46-Jährige als spannend und abwechslungsreich: „Man hat mit allen Abteilungen zu tun und weiß, wie das Unternehmen tickt.“

Für den Job als Datenschützer war Olaf Thom prädestiniert: Schon vorher hatte er bei der Pin Mail AG als Beauftragter für Qualitätsmanagement und Arbeitsschutz gewirkt. Mittlerweile übt Thom alle drei Funktionen parallel aus - ein „Full-Time-Job“, wie er selbst sagt. Die meisten internen Datenschutzbeauftragten arbeiten in Teilzeit, was ihre Aufgabe nicht unbedingt erleichtert. „Zum Teil ist in den Bestellungsverträgen definiert, wie viel Prozent der Arbeitszeit für Datenschutz aufgewendet werden soll", sagt Jürgen Hartz, Vorstandsmitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD). „In der Praxis wird der Datenschutz aber häufig gegenüber der Hauptaufgabe zurückstehen.“ Statt einen Mitarbeiter zum Datenschützer zu ernennen, können Unternehmen aber auch auf einen externen Datenschutzbeauftragten zurückgreifen – das Bundesdatenschutzgesetz (BDSG) bietet beide Optionen.

Datenschutzbeauftragter darf sich grundsätzlich jeder nennen, der über die „notwendige Fachkunde und Zuverlässigkeit" verfügt – so steht es im BDSG. Als unabhängige Kontrollinstanz darf er allerdings nicht der Geschäftsführung des Unternehmens angehören, auch Leiter der Personal- und IT-Abteilung scheiden aus. „Der Datenschutzbeauftragte besitzt Weisungsfreiheit“, sagt Jürgen Hartz, „es kann ihm also niemand vorschreiben, wie er seinen Job zu erledigen hat.“ Gestärkt wird seine Position durch einen Sonderkündigungsschutz, der ein Jahr über seine Tätigkeit hinaus gilt. Gegenüber der Geschäftsleitung hat der Datenschutzbeauftragte ein direktes Vortragsrecht, aber keine Weisungsbefugnis. „Er kann also nur auf die Einhaltung der Datenschutzrichtlinien hinwirken“, so Hartz.

Bei der Pin Mail AG wird Olaf Thom in jedes neue Projekt beratend eingebunden. „Ich erstelle einen fortlaufenden Bericht über den Stand des Datenschutzes im Unternehmen“, sagt Thom. „Letztlich entscheidet aber die Geschäftsführung, was getan wird.Von seinem Arbeitgeber erfahre er stets große Unterstützung. „Das ist aber leider nicht in jedem Unternehmen so.“

Die Tätigkeit als Datenschutzbeauftragter setzt fundiertes Wissen, hohe Lernbereitschaft und Kommunikationstalent voraus. 1990 formulierte das Ulmer Landgericht erstmals die beruflichen Anforderungen im sogenannten Ulmer Urteil. Ende 2010 wurden diese Anforderungen vom Düsseldorfer Kreis – einer Versammlung der obersten Aufsichtsbehörden – nochmals konkretisiert und erweitert. „Als Generalist sollte der Datenschutzbeauftragte von technischen, juristischen und betriebswirtschaftlichen Dingen eine Ahnung haben“, fasst Jürgen Hartz das Leistungsprofil zusammen. „Er muss sich in viele Gesetze einarbeiten.

Nicht nur in das Bundesdatenschutzgesetz, sondern unter anderem auch in das Betriebsverfassungsgesetz, das Telekommunikationsgesetz oder das Telemediengesetz.“ EDV-technisch sollte der Datenschutzbeauftragte mehr als nur grundlegende Kenntnisse besitzen, um mit der IT-Abteilung auf Augenhöhe kommunizieren zu können, rät Hartz.

Olaf Thom nennt als Praxisbeispiel den eBrief: „Unsere Kunden können über eine Internetplattform Briefe hochladen, die dann von uns ausgedruckt, kuvertiert, frankiert und zugestellt werden. Ich muss sicherstellen, dass die Kundendaten sowohl bei der Eingabe als auch bei der späteren Weiterverarbeitung gegen unbefugten Zugriff geschützt sind.“

Als Vorbereitung auf den verantwortungsvollen Posten empfiehlt sich in jedem Fall eine Schulung. Eine ganze Reihe von Berufsakademien bietet Fortbildungen für Datenschutzbeauftragte an. Die Palette reicht vom zweitägigen Crash-Kurs über mehrwöchige Einsteigerkurse bis hin zu Aufbauseminaren wie „Medizinischer Datenschutz“ oder „Datenschutz für Nichttechniker“. Olaf Thom besuchte 2009 einen fünftägigen Kurs bei der Kedua GmbH. Kedua-Dozentin Beata Hubrig leitet das Einsteigerseminar gemeinsam mit zwei Kollegen. „Am ersten Tag geben wir einen Überblick über die rechtlichen Grundlagen, zum Beispiel das Bundesdatenschutzgesetz und die europäische Datenschutzrichtlinie von 1995“, sagt Hubrig. „Anschließend legen wir sehr viel Wert auf Praxisbezug. Pro Kurstag gehen wir vier bis sechs Fälle durch.“

Die Teilnehmer kommen aus sämtlichen Unternehmensbereichen. „Das können IT-Fachleute sein, aber auch Sachbearbeiter, Assistenten und Sekretariatsmitarbeiter.“ Für Hubrig ist learning by doing ein entscheidender Faktor: „Datenschutz ist so konkret auf ein Unternehmen zugeschnitten, dass Theorie oft nur begrenzt weiterhilft.“

Der Arbeitgeber ist ausdrücklich verpflichtet, dem internen Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen. Das bedeutet, dass er auch die Seminarkosten trägt. In etwa der Hälfte aller Fälle werde zudem der Arbeitsvertrag angepasst, so Hubrig. Ein automatisches Anrecht auf einen Gehaltszuschlag habe der Datenschutzbeauftragte zwar nicht. „Man sollte da aber verhandeln, schließlich übernimmt man auch sehr viel Verantwortung.“