Montag, 22. April 2013

Über das richtige „Maß“ beim Datenschutz


Gleich zu Beginn, damit ich nicht falsch verstanden werde: Ich halte den Datenschutz für eine absolut wichtige Sache, jede Person und insbesondere jedes Unternehmen sollte unbedingt den Datenschutz beherzigen und ein „anständiges“ Datenschutzmanagement betreiben.

In der Praxis kommt mir aber immer wieder unter, dass quasi mit „Kanonen auf Spatzen“ geschossen wird – und das ist meines Erachtens für die Akzeptanz des Datenschutzes sehr abträglich.

Beispiel:
Im Rahmen eines Auftragsdatenverarbeitungsverhältnisses gem. § 11 BDSG wird der Geschäftsführer des Auftragnehmers – eines relativ kleinen Unternehmens mit 5-8 Mitarbeitern – mit einer Frageliste des Datenschutzbeauftragten des Auftraggebers zu den durchgeführten technischen und organisatorischen Maßnahmen nach § 11 BDSG mit ca. 200 Fragen konfrontiert. Das mag in manchen Fällen sinnvoll und auch erforderlich sein, wenn es etwa um etwas sensiblere Daten mit einer erhöhten Schutzstufe geht oder um ein größeres, gar international agierendes Unternehmen. In diesem Fall – ich war mir nicht einmal ganz sicher, ob es sich überhaupt um einen Fall der Auftragsdatenverarbeitung und nicht etwa der Funktionsübertragung handelt (Beiträge hierzu) – war die Frageliste absolut überdimensioniert und führte beim Geschäftsführer des Auftragnehmers zu nichts anderem als Frust. Wir sind die Frageliste durchgegangen und haben sehr viele Felder mit dem Verweis auf die fehlende „Erforderlichkeit“ abgearbeitet, weil viele abgefragte Maßnahmen offensichtlich etwa bei einem Rechenzentrumsbetrieb Sinn machen, hier aber nicht – in ständiger Begleitung von einem Schimpfen des Geschäftsführers über den Datenschutz und „was sich die Herren in Berlin dabei nur gedacht haben“. Meine Besänftigungsversuche und Erklärungen, warum bestimmte Regelungen durchaus sinnvoll sind, konnten nicht dazu beitragen, den Menschen für Datenschutz zu begeistern. Ich befürchte auch, nach dieser Erfahrung wird das in Zukunft auch kaum möglich sein.
Schlecht für die Akzeptanz des Datenschutzes.

Genauso unverständlich – weil es letztendlich nur für Frust sorgt und den Datenschutz nur als „Bremse“ oder „reine Schikane“ erscheinen lässt – ist es, wenn manch jemand (zugegeben oftmals leider ein Datenschutzbeauftragter) massenweise Verbote ausspricht oder an ein Unternehmen, das keine personenbezogene Daten höherer Schutzstufen verarbeitet (wie eigentlich die meisten Unternehmen – ausgenommen natürlich der Bereich „Personal“), pauschal überall Anforderungen wie in einem „Hochsicherheitsbereich“ anlegt.
Klar dient es auf den ersten Blick dem Datenschutz, wenn ich beispielsweise überall den Einbau von Türen der höchsten Sicherheitsklasse fordere. Aber ist das auch für jeden Raum in Anbetracht der damit zu schützenden Daten erforderlich und angemessen – oder etwa nur beispielsweise beim Serverraum?

Das soll nicht bedeuten, dass man „alles durchgehen lassen“ sollte oder den Datenschutz „lax“ betreiben sollte (was in der Praxis leider auch sehr häufig zu beobachten ist) – natürlich nicht. Aber man sollte bei dem anzulegenden Maß erstens berücksichtigen, ob die geforderten Maßnahmen (auch vom Aufwand her) gemessen am Schutzzweck in einem angemessen Verhältnis stehen und keinesfalls pauschal mit irgendwelchen Fragebögen oder Checklisten bestimmte, möglicherweise in manchen Situationen durchaus sinnvolle Anforderungen pauschal über ein ganzes Unternehmen stülpen, sondern hier mit Augenmaß zu differenzieren.

Meine Auffassung von der Funktion des Datenschutzbeauftragten ist es, die Mitarbeiter des Unternehmens für den Datenschutz zu sensibilisieren und zu überzeugen, warum bestimmte erforderliche Maßnahmen sinnvoll sind und eine Lösung zu finden, wie bestimmte für das Unternehmen erforderliche Maßnahmen oder Prozesse datenschutzkonform gestaltet werden können – ich nenne das den „gelebten“ Datenschutz.
Das reine „Anordnen“ von möglicherweise noch im Einzelfall unverhältnismäßigen Maßnahmen ohne Hinterfragung und Erläuterung ist meines Erachtens nur kontraproduktiv und führen – siehe Beispiel oben – nur dazu, dass der Datenschutz sowohl im Unternehmen als auch generell von der Gesellschaft nicht akzeptiert wird. Und das ist schlecht.

Der allgemeine Rechtsgrundsatz der Verhältnismäßigkeit – auch ausdrücklich in einzelnen Normen des BDSG zu finden - verlangt keinen „Datenschutz um jeden Preis“. Maßnahmen zur Sicherung des Datenschutzes sind niemals Selbstzweck, sondern sind immer am Schutzzweck auszurichten. So ist es z.B. in § 9 S. 2 BDSG zu lesen (bei den zu ergreifenden technischen und organisatorischen Maßnahmen) oder in § 4f Abs. 2 S. 2 BDSG (Maß der erforderlichen Fachkunde eines Datenschutzbeauftragten).

Und nochmals um Missverständnisse zu vermeiden: Es geht bei diesem „Maß“ nicht um die Fragen, ob Datenschutz betrieben werden muss und bestimmte Datenschutzerfordernisse zu beachten sind. Es geht darum, wie und mit welchen Maßnahmen diese zwingend zu befolgenden Erfordernisse in concreto in Anbetracht des Schutzzwecks der Daten und des zu betreibenden Aufwands umzusetzen sind.

Das hierfür benötigte Fingerspitzengefühl zeichnet den „guten“ Datenschutzbeauftragten aus.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe