Daten­schützer Thilo Weichert: „Koope­ration wird belohnt“

Kurse für betriebliche Daten­schutz­beauftragte Test

Dr. Thilo Weichert

Dr. Thilo Weichert ist Leiter des Unabhängigen Landes­zentrums für Daten­schutz Schleswig-Holstein (ULD). Die Aufsichts­behörde kontrolliert die Daten­ver­arbeitung in Unternehmen und Behörden in Schleswig-Holstein. Im Gespräch mit test.de erklärt er, wann seine Behörde aktiv wird, welche Sanktionen sie im Zweifel verhängen kann – und was ein betrieblicher Daten­schutz­beauftragter tun kann, wenn die Geschäfts­führung seine Ratschläge und Hand­lungs­empfehlungen ignoriert.

Unkennt­nis, Faulheit, Vorsatz

Wie steht es um den Daten­schutz in deutschen Unternehmen?

In einigen Firmen sind Daten­schutz und Daten­sicherheit auf hohem Niveau. Aber auch das genaue Gegen­teil ist anzu­treffen.

Eine Studie des Tüv Süd und der Ludwig-Maximilians-Universität München kommt zu dem Ergebnis, dass etwa zehn Prozent der Unternehmen in Deutsch­land keinen betrieblichen Daten­schutz­beauftragten bestellt haben, obwohl sie gesetzlich dazu verpflichtet wären. Was sind aus Ihrer Sicht die Gründe dafür?

Die Gründe sind vielfältig: Unkennt­nis, mangelnde Bereitschaft, sich damit auseinander­zusetzen, teil­weise auch Vorsatz.

Behörde geht jedem Hinweis nach

Wann wird Ihre Aufsichts­behörde aktiv?

Wir werden aktiv, wenn sich Betroffene, zum Beispiel Arbeitnehmer oder Kunden eines Unter­nehmens bei uns über Defizite beim Daten­schutz beschweren. Wir sind verpflichtet, jedem Hinweis nach­zugehen. Das ULD reagiert aber auch auf Pressebe­richte, politische Anfragen und andere Hinweise.

Wie gehen Sie dann vor?

Meist fordern wir das betroffene Unternehmen zu einer Stellung­nahme auf und prüfen dann, ob diese plausibel und recht­mäßig ist. In einzelnen Fällen sind Kontrollen vor Ort unabding­bar. Signalisiert uns ein Unternehmen, dass es den Daten­schutz unbe­dingt einhalten will und dass es sich von uns beraten lassen möchte, sehen wir von einer Über­prüfung und möglichen Sanktionen ab. Koope­ration wird belohnt. Dieses Vorgehen hat sich bewährt.

Für anlass­lose Kontrollen fehlen die Kapazitäten

Kontrollen ohne konkreten Anlass gibt es also nicht?

Ohne einen konkreten Anlass führen wir in der Regel keine Über­prüfungen, auch wenn das Gesetz das erlaubt. Aber es fehlen die Kapazitäten. Insbesondere Kontrollen vor Ort sind sehr aufwändig und die Aufsichts­behörden in Deutsch­land leider katastrophal ausgestattet.

Kündigen Sie sich bei Kontrollen vor Ort zuvor an?

Ja, denn mit unangekündigten Besuchen haben wir schlechte Erfahrungen gemacht. Wir standen oft genug vor verschlossenen Türen oder hatten es vor Ort mit ignoranten Mitarbeitern zu tun. Inzwischen melden wir uns vorher an. Dann kann das Unternehmen einen Ansprech­partner für uns organisieren. Im besten Fall sind das der betriebliche Daten­schutz­beauftragte und der Geschäfts­führer.

Müssen Sie bei angekündigten Besuchen nicht befürchten, dass das Unternehmen noch schnell alle Schwach­stellen beseitigt?

Manipulationen bei der Daten­ver­arbeitung sind in so kurzer Zeit nur bei einfachen Sach­verhalten möglich. Die Informations­technik ist inzwischen derart komplex, dass kurz­fristig nicht mehr viel geschönt werden kann.

Behörde kann betriebliche Daten­schutz­beauftragte abberufen

Welche Sanktionen nutzen Sie bei Gesetzes­verstößen?

Wir nutzen alles, was das Bundes­daten­schutz­gesetz bietet. Von Anordnungen, die betroffene Unternehmen dazu verpflichten, Mängel zu beseitigen, über Bußgelder mit Höchst­strafen von bis zu 300 000 Euro bis hin zu Straf­anzeigen. In einem Fall habe ich sogar mal, einen absolut unkoope­rativen Daten­schutz­beauftragten abberufen.

Wie prüfen Sie die Kennt­nisse und Fertigkeiten von betrieblichen Daten­schutz­beauftragten? Müssen die bei Ihnen einen Antritts­besuch machen?

Bei rund 100 000 Unternehmen in Schleswig-Holstein wäre das ULD allein mit Antritts­besuchen voll ausgelastet. Wenn wir Miss­stände fest­stellen, ist das meist auch ein Hinweis darauf, dass der betriebliche Daten­schutz­beauftragte ungenügend qualifiziert ist. In diesen Fällen fordern wir Nach­schu­lungen ein. Es gibt aber durch­aus Aufsichts­behörden in anderen Bundes­ländern, die mit gezielten Fragen die Fach­kunde von Daten­schutz­beauftragten über­prüfen.

Viel hängt von der Persönlich­keit des Daten­schutz­beauftragten ab

Der betriebliche Daten­schutz­beauftragte wird oft als „zahnloser Tiger“ bezeichnet, weil er die Geschäfts­führung in Sachen Daten­schutz nur beraten soll und kaum Möglich­keiten hat, seine Vorschläge durch­zusetzen. Wie schätzen Sie die Macht der betrieblichen Daten­schützer ein?

Die Band­breite ist gewaltig. Ich kenne völlig macht­lose Daten­schutz­beauftragte genauso wie absolut maßgebende. Es hängt viel von der Persönlich­keit des Beauftragten ab, der sich natürlich nicht scheuen sollte, unbe­quem zu sein. Noch viel wichtiger aber ist die Haltung der Geschäfts­führung. Sie sollte den Daten­schutz­beauftragten nicht als unnötige Formalie oder über­kritischen Verhinderer sehen, sondern als wichtigen Ratgeber, der schwerwiegenden, ja sogar existenz­bedrohenden Schaden vom Unternehmen fernhalten kann.

Was kann ein betrieblicher Daten­schutz­beauftragter tun, wenn die Geschäfts­führung seine Ratschläge und Hand­lungs­empfehlungen ignoriert?

Er kann die staatliche Daten­schutz­kontrolle informieren, also die Aufsichts­behörde in seinem Bundes­land, und zwar ohne dass er das seinem Arbeit­geber meldet. Warum wir aktiv werden, muss die Unter­nehmens­leitung nicht erfahren. Manchmal hilft es aber auch schon, den Betriebsrat einzuschalten. In jedem Fall sollte der Daten­schutz­beauftragte seine Position schriftlich formulieren und von der Geschäfts­führung eine schriftliche Rück­meldung fordern. Das allein kann schon das Problembewusst­sein der Leitung schärfen.

Dieser Artikel ist hilfreich. 40 Nutzer finden das hilfreich.