Kurse für betriebliche Daten­schutz­beauftragte

Daten­schützer Thilo Weichert: „Koope­ration wird belohnt“

4

Dr. Thilo Weichert ist Leiter des Unabhängigen Landes­zentrums für Daten­schutz Schleswig-Holstein (ULD). Die Aufsichts­behörde kontrolliert die Daten­ver­arbeitung in Unternehmen und Behörden in Schleswig-Holstein. Im Gespräch mit test.de erklärt er, wann seine Behörde aktiv wird, welche Sanktionen sie im Zweifel verhängen kann – und was ein betrieblicher Daten­schutz­beauftragter tun kann, wenn die Geschäfts­führung seine Ratschläge und Hand­lungs­empfehlungen ignoriert.

Kurse für betriebliche Daten­schutz­beauftragte Alle Testergebnisse für Weiterbildung zum betrieblichen Datenschutzbeauftragten 11/2014

Unkennt­nis, Faulheit, Vorsatz

Wie steht es um den Daten­schutz in deutschen Unternehmen?

In einigen Firmen sind Daten­schutz und Daten­sicherheit auf hohem Niveau. Aber auch das genaue Gegen­teil ist anzu­treffen.

Eine Studie des Tüv Süd und der Ludwig-Maximilians-Universität München kommt zu dem Ergebnis, dass etwa zehn Prozent der Unternehmen in Deutsch­land keinen betrieblichen Daten­schutz­beauftragten bestellt haben, obwohl sie gesetzlich dazu verpflichtet wären. Was sind aus Ihrer Sicht die Gründe dafür?

Die Gründe sind vielfältig: Unkennt­nis, mangelnde Bereitschaft, sich damit auseinander­zusetzen, teil­weise auch Vorsatz.

Behörde geht jedem Hinweis nach

Wann wird Ihre Aufsichts­behörde aktiv?

Wir werden aktiv, wenn sich Betroffene, zum Beispiel Arbeitnehmer oder Kunden eines Unter­nehmens bei uns über Defizite beim Daten­schutz beschweren. Wir sind verpflichtet, jedem Hinweis nach­zugehen. Das ULD reagiert aber auch auf Pressebe­richte, politische Anfragen und andere Hinweise.

Wie gehen Sie dann vor?

Meist fordern wir das betroffene Unternehmen zu einer Stellung­nahme auf und prüfen dann, ob diese plausibel und recht­mäßig ist. In einzelnen Fällen sind Kontrollen vor Ort unabding­bar. Signalisiert uns ein Unternehmen, dass es den Daten­schutz unbe­dingt einhalten will und dass es sich von uns beraten lassen möchte, sehen wir von einer Über­prüfung und möglichen Sanktionen ab. Koope­ration wird belohnt. Dieses Vorgehen hat sich bewährt.

Für anlass­lose Kontrollen fehlen die Kapazitäten

Kontrollen ohne konkreten Anlass gibt es also nicht?

Ohne einen konkreten Anlass führen wir in der Regel keine Über­prüfungen, auch wenn das Gesetz das erlaubt. Aber es fehlen die Kapazitäten. Insbesondere Kontrollen vor Ort sind sehr aufwändig und die Aufsichts­behörden in Deutsch­land leider katastrophal ausgestattet.

Kündigen Sie sich bei Kontrollen vor Ort zuvor an?

Ja, denn mit unangekündigten Besuchen haben wir schlechte Erfahrungen gemacht. Wir standen oft genug vor verschlossenen Türen oder hatten es vor Ort mit ignoranten Mitarbeitern zu tun. Inzwischen melden wir uns vorher an. Dann kann das Unternehmen einen Ansprech­partner für uns organisieren. Im besten Fall sind das der betriebliche Daten­schutz­beauftragte und der Geschäfts­führer.

Müssen Sie bei angekündigten Besuchen nicht befürchten, dass das Unternehmen noch schnell alle Schwach­stellen beseitigt?

Manipulationen bei der Daten­ver­arbeitung sind in so kurzer Zeit nur bei einfachen Sach­verhalten möglich. Die Informations­technik ist inzwischen derart komplex, dass kurz­fristig nicht mehr viel geschönt werden kann.

Behörde kann betriebliche Daten­schutz­beauftragte abberufen

Welche Sanktionen nutzen Sie bei Gesetzes­verstößen?

Wir nutzen alles, was das Bundes­daten­schutz­gesetz bietet. Von Anordnungen, die betroffene Unternehmen dazu verpflichten, Mängel zu beseitigen, über Bußgelder mit Höchst­strafen von bis zu 300 000 Euro bis hin zu Straf­anzeigen. In einem Fall habe ich sogar mal, einen absolut unkoope­rativen Daten­schutz­beauftragten abberufen.

Wie prüfen Sie die Kennt­nisse und Fertigkeiten von betrieblichen Daten­schutz­beauftragten? Müssen die bei Ihnen einen Antritts­besuch machen?

Bei rund 100 000 Unternehmen in Schleswig-Holstein wäre das ULD allein mit Antritts­besuchen voll ausgelastet. Wenn wir Miss­stände fest­stellen, ist das meist auch ein Hinweis darauf, dass der betriebliche Daten­schutz­beauftragte ungenügend qualifiziert ist. In diesen Fällen fordern wir Nach­schu­lungen ein. Es gibt aber durch­aus Aufsichts­behörden in anderen Bundes­ländern, die mit gezielten Fragen die Fach­kunde von Daten­schutz­beauftragten über­prüfen.

Viel hängt von der Persönlich­keit des Daten­schutz­beauftragten ab

Der betriebliche Daten­schutz­beauftragte wird oft als „zahnloser Tiger“ bezeichnet, weil er die Geschäfts­führung in Sachen Daten­schutz nur beraten soll und kaum Möglich­keiten hat, seine Vorschläge durch­zusetzen. Wie schätzen Sie die Macht der betrieblichen Daten­schützer ein?

Die Band­breite ist gewaltig. Ich kenne völlig macht­lose Daten­schutz­beauftragte genauso wie absolut maßgebende. Es hängt viel von der Persönlich­keit des Beauftragten ab, der sich natürlich nicht scheuen sollte, unbe­quem zu sein. Noch viel wichtiger aber ist die Haltung der Geschäfts­führung. Sie sollte den Daten­schutz­beauftragten nicht als unnötige Formalie oder über­kritischen Verhinderer sehen, sondern als wichtigen Ratgeber, der schwerwiegenden, ja sogar existenz­bedrohenden Schaden vom Unternehmen fernhalten kann.

Was kann ein betrieblicher Daten­schutz­beauftragter tun, wenn die Geschäfts­führung seine Ratschläge und Hand­lungs­empfehlungen ignoriert?

Er kann die staatliche Daten­schutz­kontrolle informieren, also die Aufsichts­behörde in seinem Bundes­land, und zwar ohne dass er das seinem Arbeit­geber meldet. Warum wir aktiv werden, muss die Unter­nehmens­leitung nicht erfahren. Manchmal hilft es aber auch schon, den Betriebsrat einzuschalten. In jedem Fall sollte der Daten­schutz­beauftragte seine Position schriftlich formulieren und von der Geschäfts­führung eine schriftliche Rück­meldung fordern. Das allein kann schon das Problembewusst­sein der Leitung schärfen.

4

Mehr zum Thema

  • Weiterbildung finanzieren Diese Fördermittel gibts für Wissens­durs­tige

    - Berufliche Weiterbildung ist oft teuer. Für Arbeitnehmer, Arbeits­lose und Selbst­ständige gibt es Fördergelder. Unsere Check­liste hilft bei der Kurs-Suche.

  • Messenger-Apps im Vergleich Wo niemand mitliest

    - WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.

  • Privacy Shield EuGH kippt Daten­schutz­abkommen mit USA

    - Der Europäische Gerichts­hof (EuGH) hat das Daten­schutz­abkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung,...

4 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Profilbild Stiftung_Warentest am 28.11.2014 um 08:29 Uhr
Kein Etikettenschwindel

@dummdiedei
Die Frage wird unter "14 Fragen zum Berufsbild" beantwortet: Ein Daten­schutz­beauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „auto­matisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätig­keit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundes­daten­schutz­gesetz. (aci)

dummdiedei am 27.11.2014 um 19:02 Uhr
Etikettenschwindel?

"Wann brauchen Betriebe einen Datenschutzbeauftragten ...?"
Tät' mich schon interessieren, wann denn ein Datenschutzbeauftragter gesetzlich vorgesehen ist, leider ist das in der Einleitung zum Artikel oder anderswo auf Ihren Internetseiten nicht zu finden (oder?). Der § 4f ist für meine bescheidenen Verhältnisse nicht verständlich. Wenn ich Bedarf hätte, dann würde ich den Artikel kaufen; wird die Frage aus der Werbemail im kostenpflichtigen Artikel beantwortet?

Profilbild Stiftung_Warentest am 27.11.2014 um 16:28 Uhr
In 5 Tagen keine Fachkunde im Datenschutz

@udisAkademie: Wir betonen in dem Artikel ausdrücklich, dass fünftägige Kurse das Minimum für den Einstieg sind und Lehrgänge mit dieser Dauer ihre Grenzen haben. Ein Einsteigerkurs ist nur der Anfang und er genügt nicht, um den Anforderungen als Datenschutzbeauftragter dauerhaft gerecht zu werden, heißt es im Artikel. Wer seinen Job gut machen möchte, muss sich stetig weiterqualifizieren. Zu dieser Auffassung sind wir u.a. durch die Diskussion mit unabhängigen, externen Experten gekommen, z.B. im satzungsgemäß durchgeführten Fachbeirat mit neutralen Vertretern (z.B. Wissenschaftlern und Verbandsvertretern), Anbieter- und Verbrauchervertretern. Insofern ist in der Untersuchung selbstverständlich die Auffassung von unabhängigen Vertretern integriert. (aci)

mieterverein am 27.11.2014 um 12:32 Uhr

Kommentar vom Autor gelöscht.

udisAkademie am 27.11.2014 um 12:29 Uhr
In 5 Tagen keine Fachkunde im Datenschutz

Der Artikel berücksichtigt nicht die Auffassung von unabhängigen Datenschutzexperten z.B. des Berufsverbandes der Datenschutzbeauftagten Deutschlands e.V. (www.bvdnet.de) noch die Mindestanforderungen an die Fachkunde von Datenschutzbeauftragten, wie sie die Aufsichtsbehörden festgelegt haben (siehe Webseite der Bundesbeauftragten für den Datenschutz unter Infothek (www.bfdi.bund.de). Nach einer entsprechenden Studie der Uni Oldenburg sind 3 Wochen das Minimum zum Erwerb der Fachkunde. Im Augenblick gibt es nur 2 Anbieter, die das professionell machen: Die GDD (www.gdd.de) und udis (www.udis.de). Der test-Artikel geht also an den Erfordernissen vorbei. Er ist ausgesprochen schlecht recherchiert.