Gleich zu Beginn, damit ich nicht falsch verstanden werde:
Ich halte den Datenschutz für eine absolut wichtige Sache, jede Person und
insbesondere jedes Unternehmen sollte unbedingt den Datenschutz beherzigen und
ein „anständiges“ Datenschutzmanagement betreiben.
In der Praxis kommt mir aber immer wieder unter, dass quasi
mit „Kanonen auf Spatzen“ geschossen wird – und das ist meines Erachtens für
die Akzeptanz des Datenschutzes sehr abträglich.
Beispiel:
Im Rahmen eines Auftragsdatenverarbeitungsverhältnisses gem.
§ 11 BDSG wird der Geschäftsführer des Auftragnehmers – eines relativ kleinen
Unternehmens mit 5-8 Mitarbeitern – mit einer Frageliste des
Datenschutzbeauftragten des Auftraggebers zu den durchgeführten technischen und
organisatorischen Maßnahmen nach § 11 BDSG mit ca. 200 Fragen konfrontiert. Das
mag in manchen Fällen sinnvoll und auch erforderlich sein, wenn es etwa um
etwas sensiblere Daten mit einer erhöhten Schutzstufe geht oder um ein
größeres, gar international agierendes Unternehmen. In diesem Fall – ich war
mir nicht einmal ganz sicher, ob es sich überhaupt um einen Fall der
Auftragsdatenverarbeitung und nicht etwa der Funktionsübertragung handelt
(Beiträge hierzu) – war die Frageliste absolut überdimensioniert und führte beim
Geschäftsführer des Auftragnehmers zu nichts anderem als Frust. Wir sind die
Frageliste durchgegangen und haben sehr viele Felder mit dem Verweis auf die
fehlende „Erforderlichkeit“ abgearbeitet, weil viele abgefragte Maßnahmen offensichtlich etwa bei
einem Rechenzentrumsbetrieb Sinn machen, hier aber nicht – in ständiger
Begleitung von einem Schimpfen des Geschäftsführers über den Datenschutz und
„was sich die Herren in Berlin dabei nur gedacht haben“. Meine
Besänftigungsversuche und Erklärungen, warum bestimmte Regelungen durchaus
sinnvoll sind, konnten nicht dazu beitragen, den Menschen für Datenschutz zu
begeistern. Ich befürchte auch, nach dieser Erfahrung wird das in Zukunft auch
kaum möglich sein.
Schlecht für die Akzeptanz des Datenschutzes.
Genauso unverständlich – weil es letztendlich nur für Frust
sorgt und den Datenschutz nur als „Bremse“ oder „reine Schikane“ erscheinen
lässt – ist es, wenn manch jemand (zugegeben oftmals leider ein
Datenschutzbeauftragter) massenweise Verbote ausspricht oder an ein
Unternehmen, das keine personenbezogene Daten höherer Schutzstufen verarbeitet
(wie eigentlich die meisten Unternehmen – ausgenommen natürlich der Bereich
„Personal“), pauschal überall Anforderungen wie in einem
„Hochsicherheitsbereich“ anlegt.
Klar dient es auf den ersten Blick dem Datenschutz, wenn ich
beispielsweise überall den Einbau von Türen der höchsten Sicherheitsklasse
fordere. Aber ist das auch für jeden Raum in Anbetracht der damit zu
schützenden Daten erforderlich und angemessen – oder etwa nur beispielsweise
beim Serverraum?
Das soll nicht bedeuten, dass man „alles durchgehen lassen“
sollte oder den Datenschutz „lax“ betreiben sollte (was in der Praxis leider
auch sehr häufig zu beobachten ist) – natürlich nicht. Aber man sollte bei dem
anzulegenden Maß erstens berücksichtigen, ob die geforderten Maßnahmen (auch
vom Aufwand her) gemessen am Schutzzweck in einem angemessen Verhältnis stehen
und keinesfalls pauschal mit irgendwelchen Fragebögen oder Checklisten
bestimmte, möglicherweise in manchen Situationen durchaus sinnvolle
Anforderungen pauschal über ein ganzes Unternehmen stülpen, sondern hier mit
Augenmaß zu differenzieren.
Meine Auffassung von der Funktion des
Datenschutzbeauftragten ist es, die Mitarbeiter des Unternehmens für den
Datenschutz zu sensibilisieren und zu überzeugen, warum bestimmte erforderliche
Maßnahmen sinnvoll sind und eine Lösung zu finden, wie bestimmte für das
Unternehmen erforderliche Maßnahmen oder Prozesse datenschutzkonform gestaltet
werden können – ich nenne das den „gelebten“ Datenschutz.
Das reine „Anordnen“ von möglicherweise noch im Einzelfall
unverhältnismäßigen Maßnahmen ohne Hinterfragung und Erläuterung ist meines
Erachtens nur kontraproduktiv und führen – siehe Beispiel oben – nur dazu, dass
der Datenschutz sowohl im Unternehmen als auch generell von der Gesellschaft
nicht akzeptiert wird. Und das ist schlecht.
Der allgemeine Rechtsgrundsatz der Verhältnismäßigkeit –
auch ausdrücklich in einzelnen Normen des BDSG zu finden - verlangt keinen
„Datenschutz um jeden Preis“. Maßnahmen zur Sicherung des Datenschutzes sind
niemals Selbstzweck, sondern sind immer am Schutzzweck auszurichten. So ist es
z.B. in § 9 S. 2 BDSG zu lesen (bei den zu ergreifenden technischen und
organisatorischen Maßnahmen) oder in § 4f Abs. 2 S. 2 BDSG (Maß der
erforderlichen Fachkunde eines Datenschutzbeauftragten).
Und nochmals um Missverständnisse zu vermeiden: Es geht bei
diesem „Maß“ nicht um die Fragen, ob Datenschutz betrieben werden muss und
bestimmte Datenschutzerfordernisse zu beachten sind. Es geht darum, wie und mit
welchen Maßnahmen diese zwingend zu befolgenden Erfordernisse in concreto in
Anbetracht des Schutzzwecks der Daten und des zu betreibenden Aufwands umzusetzen
sind.
Das hierfür benötigte Fingerspitzengefühl zeichnet den
„guten“ Datenschutzbeauftragten aus.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe