Ausbildung zum zertifizierten Datenschutzbeauftragen am Wifi

Sarah/ Juni 6, 2018

„Datenschutz“ hat vermutlich große Chancen zum Unwort des Jahres gewählt zu werden 😉

Auch ich „darf“ mich in der Arbeit intensiv damit beschäftigen. Daher hab ich mich bereits auf meine diesbezügliche Ausbildung am Wifi gefreut. Mit Jus hatte ich im Berufsleben bisher wenig zu tun und die wenigen Berührungspunkte beim Studium haben mein Interesse an hochgestochen formulierten und trockenen Paragraphen nicht unbedingt gefördert.

Fragen über Fragen

In den letzten Wochen wurde mein Büro aber regelrecht von meinen Kollegen gestürmt, die mich mit Fragen zum Datenschutz überhäuften. Wir hatten eine bereichsübergreifende Arbeitsgruppe ins Leben gerufen, um unser Unternehmen fit zu machen für die Datenschutzgrundverordnung (DSGVO) der EU. In enger Abstimmung mit unserem Anwalt näherten wir uns diesem Ziel Schritt für Schritt, erstellen das obligatorische Verarbeitungsverzeichnis, schlossen die geforderten Verträge mit unseren Auftragsverarbeitern ab und machten brav unsere Folgenabschätzung, wo sie notwendig war. Die Arbeitsschritte zu koordinieren und die Kollegen aufzuklären, war eine spannende neue Herausforderung für mich, zumal ich mein Wissen von Google, diversen Foren und der Expertise unseres Anwalts bezog. Der fordert natürlich sein Honorar, gleichzeitig waren seine Antworten im Vergleich zu Google jene auf die wir uns auch tatsächlich verlassen konnten.

Nicht googeln, DSGVO lesen!

So wuchs in mir der Wunsch, die Hintergründe zu verstehen und selbst beurteilen zu können, was die DSGVO denn wirklich von uns verlangt. Alleine wären das Lesen und vor allem das RICHTIGE Interpretieren der DSGVO wohl zur kaum bewältigbaren Aufgabe geworden. So setzte ich mich ins Wifi und erlangte dort zum Glück die erwarteten Erkenntnisse.

Der Vortragende war ein Anwalt, der sich auf Datenschutz spezialisiert hat. Er stellte gleich mal klar, dass die DSGVO eine ernstzunehmende Verordnung ist, da die Datenschutzbehörde mit vielen Kompetenzen ausgestattet ist. Im nächsten Atemzug legte er uns nahe immer ausschließlich direkt in der DSGVO nachzulesen und nicht zu googeln, da viele Falschmeldungen kursieren. Auch die Medien stellen die neuen Bestimmungen oft verzehrt dar.

Die Datenschutzbehörde

Eine dieser fragwürdigen Behauptungen ist jene, dass die Datenschutzbehörde berät statt zu strafen.  Zu ihren Aufgaben laut Artikel 57 zählt zwar auch, dass sie die Verantwortlichen für ihre Pflichten zu sensibilisieren hat, bei einem Verstoß kann sie aber eine Verwarnung aussprechen, die eine Strafe und keine Beratungsleistung darstellt.

Newsletterversand

Spannend finde ich beispielsweise auch, dass ich sehr viele Mails von Unternehmen erhalten habe, die mich bloß informieren, dass die DSGVO in Kraft tritt. Sie forderten aber keine neuerliche Zustimmung zu ihrem Newsletter sondern würden ihn mir weiterhin schicken, sofern ich mich nicht aktiv abmelde. Auf diese Frage, ob das Schweigen des Newsletterempfängers als Zustimmung ausreicht, fanden wir in der DSGVO eine eindeutige Antwort: Einer der zentralen Grundsätze in dem so wichtigen Artikel 5 lautet, dass personenbezogene Daten auf rechtmäßige Weise verarbeitet werden müssen. Artikel 6 verrät uns, wann eine Verarbeitung rechtmäßig ist. Da steht unter anderem sie ist dann rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat. Wie diese auszusehen hat, lesen wir in Artikel 7 und da heißt es gleich mal, dass der Verantwortliche nachzuweisen hat, dass die betroffene Person eingewilligt hat. Wenn der Newsletterempfänger also nicht ausdrücklich zu diesem konkreten Zweck (=Newsletterempfang) zugestimmt hat bzw. das Unternehmen es nicht mehr beweisen kann, wäre es an der Zeit gewesen, diese aktive Zustimmung einzufordern. Viele Unternehmen haben das getan, aber eben nicht alle. Und die haben nicht zweckmäßig gehandelt. Die DSGVO ist zwar oft schwammig, aber dieser Fall ist eindeutig.

Ich fand es eine große Hilfe für meine weiteren Aufgaben bzgl. Datenschutz in unserem Unternehmen, dass wir im Kurs Artikel für Artikel der DSGVO durchgenommen haben und zu verstehen versucht haben, was das nun für die Praxis bedeutet.

Der Datenschutzbeauftragte

Spannend fand ich bei meiner Ausbildung auch die Beispiele der anderen Teilnehmer. Da wurde von Geschäftsführern berichtet, die die Empfehlungen ihrer Datenschutzbeauftragten nicht ernst genommen haben und wissentlich nicht rechtskonforme Entscheidungen getroffen haben. Mag sein, dass manche meinen, bei gewissen Vorgaben könne man das Risiko in Kauf nehmen, sie nicht zu erfüllen. Aber ich möchte nicht in der Haut dieser Chefs stecken, wenn das aufkommt.

In der Praxis kommt es leider auch öfter vor, dass die falsche Person im Unternehmen als Datenschutzbeauftragter bestellt wird. Dabei regelt die DSGVO in Artikel 38 die erforderliche Stellung des Datenschutzbeauftragten. Es darf kein Interessenskonflikt zu seinen anderen Aufgaben im Unternehmen vorliegen und er muss weisungsfrei agieren können. Ein Mitarbeiter der IT Abteilung ist daher genauso ungeeignet für diese Tätigkeit wie der Geschäftsführer selbst.

„Nicht aus der Hüfte schießen“ 😉

Diese Erkenntnisse, die ich durch die Ausbildung gewann, waren für mich zum Teil neu. Ich hatte zwar bereits gewusst, was wir alles zu tun hatten, um datenschutzkonform zu sein bzw. zu werden. Aber die Zusammenhänge wurden mir erst durch den eloquenten Vortragenden klar, der uns bei der Interpretation der Artikel half. Vor allem seine Begeisterung für die Materie hat mich beeindruckt. Mir schien die Rechtswelt bisher eine sehr trockene und eher langweilige zu sein. Unser Lehrer hatte einen völlig anderen Zugang, wie ihn wohl die meisten Juristen pflegen. Es sei unsere Aufgabe, die Worte mit Leben zu füllen. Wir müssen die Verordnung anwenden. Manchmal gibt sie Spielraum, den können wir nutzen. Generell gilt es bei der Umsetzung sein Köpfchen anzustrengen, wie man die Prozesse im Unternehmen datenschutzkonform mache, falls sie es noch nicht sind. Eingeprägt habe ich mir dabei vor allem seinen häufigsten Ausspruch: „Wir schießen nicht aus der Hüfte. Wenn uns jemand etwas fragt, schauen wir zuerst in der DSGVO nach und geben dann eine Antwort.“ Diese Empfehlung nahm ich mir zu Herzen. Als Datenschutzbeauftragter hat man eine Verantwortung, das eigene Wort hat Gewicht. Eine falsche Antwort könnte unangenehme Folgen für das Unternehmen haben. Daher gilt wie sooft: Zuerst denken dann reden. Die Kollegen müssen sich somit trotz meiner absolvierten Ausbildung auch weiterhin etwas gedulden, bis ich ihnen mit Sicherheit Bescheid gebe, welche Vorgehensweise die richtige im Sinne der DSGVO ist 😉

Hinterlasse eine Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*