Dr. Thilo Weichert ist Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD). Die Aufsichtsbehörde kontrolliert die Datenverarbeitung in Unternehmen und Behörden in Schleswig-Holstein. Im Gespräch mit test.de erklärt er, wann seine Behörde aktiv wird, welche Sanktionen sie im Zweifel verhängen kann – und was ein betrieblicher Datenschutzbeauftragter tun kann, wenn die Geschäftsführung seine Ratschläge und Handlungsempfehlungen ignoriert.
Alle Testergebnisse für Weiterbildung zum betrieblichen Datenschutzbeauftragten 11/2014
Unkenntnis, Faulheit, Vorsatz
Wie steht es um den Datenschutz in deutschen Unternehmen?
In einigen Firmen sind Datenschutz und Datensicherheit auf hohem Niveau. Aber auch das genaue Gegenteil ist anzutreffen.
Eine Studie des Tüv Süd und der Ludwig-Maximilians-Universität München kommt zu dem Ergebnis, dass etwa zehn Prozent der Unternehmen in Deutschland keinen betrieblichen Datenschutzbeauftragten bestellt haben, obwohl sie gesetzlich dazu verpflichtet wären. Was sind aus Ihrer Sicht die Gründe dafür?
Die Gründe sind vielfältig: Unkenntnis, mangelnde Bereitschaft, sich damit auseinanderzusetzen, teilweise auch Vorsatz.
Behörde geht jedem Hinweis nach
Wann wird Ihre Aufsichtsbehörde aktiv?
Wir werden aktiv, wenn sich Betroffene, zum Beispiel Arbeitnehmer oder Kunden eines Unternehmens bei uns über Defizite beim Datenschutz beschweren. Wir sind verpflichtet, jedem Hinweis nachzugehen. Das ULD reagiert aber auch auf Presseberichte, politische Anfragen und andere Hinweise.
Wie gehen Sie dann vor?
Meist fordern wir das betroffene Unternehmen zu einer Stellungnahme auf und prüfen dann, ob diese plausibel und rechtmäßig ist. In einzelnen Fällen sind Kontrollen vor Ort unabdingbar. Signalisiert uns ein Unternehmen, dass es den Datenschutz unbedingt einhalten will und dass es sich von uns beraten lassen möchte, sehen wir von einer Überprüfung und möglichen Sanktionen ab. Kooperation wird belohnt. Dieses Vorgehen hat sich bewährt.
Für anlasslose Kontrollen fehlen die Kapazitäten
Kontrollen ohne konkreten Anlass gibt es also nicht?
Ohne einen konkreten Anlass führen wir in der Regel keine Überprüfungen, auch wenn das Gesetz das erlaubt. Aber es fehlen die Kapazitäten. Insbesondere Kontrollen vor Ort sind sehr aufwändig und die Aufsichtsbehörden in Deutschland leider katastrophal ausgestattet.
Kündigen Sie sich bei Kontrollen vor Ort zuvor an?
Ja, denn mit unangekündigten Besuchen haben wir schlechte Erfahrungen gemacht. Wir standen oft genug vor verschlossenen Türen oder hatten es vor Ort mit ignoranten Mitarbeitern zu tun. Inzwischen melden wir uns vorher an. Dann kann das Unternehmen einen Ansprechpartner für uns organisieren. Im besten Fall sind das der betriebliche Datenschutzbeauftragte und der Geschäftsführer.
Müssen Sie bei angekündigten Besuchen nicht befürchten, dass das Unternehmen noch schnell alle Schwachstellen beseitigt?
Manipulationen bei der Datenverarbeitung sind in so kurzer Zeit nur bei einfachen Sachverhalten möglich. Die Informationstechnik ist inzwischen derart komplex, dass kurzfristig nicht mehr viel geschönt werden kann.
Behörde kann betriebliche Datenschutzbeauftragte abberufen
Welche Sanktionen nutzen Sie bei Gesetzesverstößen?
Wir nutzen alles, was das Bundesdatenschutzgesetz bietet. Von Anordnungen, die betroffene Unternehmen dazu verpflichten, Mängel zu beseitigen, über Bußgelder mit Höchststrafen von bis zu 300 000 Euro bis hin zu Strafanzeigen. In einem Fall habe ich sogar mal, einen absolut unkooperativen Datenschutzbeauftragten abberufen.
Wie prüfen Sie die Kenntnisse und Fertigkeiten von betrieblichen Datenschutzbeauftragten? Müssen die bei Ihnen einen Antrittsbesuch machen?
Bei rund 100 000 Unternehmen in Schleswig-Holstein wäre das ULD allein mit Antrittsbesuchen voll ausgelastet. Wenn wir Missstände feststellen, ist das meist auch ein Hinweis darauf, dass der betriebliche Datenschutzbeauftragte ungenügend qualifiziert ist. In diesen Fällen fordern wir Nachschulungen ein. Es gibt aber durchaus Aufsichtsbehörden in anderen Bundesländern, die mit gezielten Fragen die Fachkunde von Datenschutzbeauftragten überprüfen.
Viel hängt von der Persönlichkeit des Datenschutzbeauftragten ab
Der betriebliche Datenschutzbeauftragte wird oft als „zahnloser Tiger“ bezeichnet, weil er die Geschäftsführung in Sachen Datenschutz nur beraten soll und kaum Möglichkeiten hat, seine Vorschläge durchzusetzen. Wie schätzen Sie die Macht der betrieblichen Datenschützer ein?
Die Bandbreite ist gewaltig. Ich kenne völlig machtlose Datenschutzbeauftragte genauso wie absolut maßgebende. Es hängt viel von der Persönlichkeit des Beauftragten ab, der sich natürlich nicht scheuen sollte, unbequem zu sein. Noch viel wichtiger aber ist die Haltung der Geschäftsführung. Sie sollte den Datenschutzbeauftragten nicht als unnötige Formalie oder überkritischen Verhinderer sehen, sondern als wichtigen Ratgeber, der schwerwiegenden, ja sogar existenzbedrohenden Schaden vom Unternehmen fernhalten kann.
Was kann ein betrieblicher Datenschutzbeauftragter tun, wenn die Geschäftsführung seine Ratschläge und Handlungsempfehlungen ignoriert?
Er kann die staatliche Datenschutzkontrolle informieren, also die Aufsichtsbehörde in seinem Bundesland, und zwar ohne dass er das seinem Arbeitgeber meldet. Warum wir aktiv werden, muss die Unternehmensleitung nicht erfahren. Manchmal hilft es aber auch schon, den Betriebsrat einzuschalten. In jedem Fall sollte der Datenschutzbeauftragte seine Position schriftlich formulieren und von der Geschäftsführung eine schriftliche Rückmeldung fordern. Das allein kann schon das Problembewusstsein der Leitung schärfen.
-
Diese Fördermittel gibts für Wissensdurstige
- Berufliche Weiterbildung ist oft teuer. Für Arbeitnehmer, Arbeitslose und Selbstständige gibt es Fördergelder. Unsere Checkliste hilft bei der Kurs-Suche.
-
Wo niemand mitliest
- WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.
-
EuGH kippt Datenschutzabkommen mit USA
- Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung,...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@dummdiedei
Die Frage wird unter "14 Fragen zum Berufsbild" beantwortet: Ein Datenschutzbeauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „automatisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätigkeit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundesdatenschutzgesetz. (aci)
"Wann brauchen Betriebe einen Datenschutzbeauftragten ...?"
Tät' mich schon interessieren, wann denn ein Datenschutzbeauftragter gesetzlich vorgesehen ist, leider ist das in der Einleitung zum Artikel oder anderswo auf Ihren Internetseiten nicht zu finden (oder?). Der § 4f ist für meine bescheidenen Verhältnisse nicht verständlich. Wenn ich Bedarf hätte, dann würde ich den Artikel kaufen; wird die Frage aus der Werbemail im kostenpflichtigen Artikel beantwortet?
@udisAkademie: Wir betonen in dem Artikel ausdrücklich, dass fünftägige Kurse das Minimum für den Einstieg sind und Lehrgänge mit dieser Dauer ihre Grenzen haben. Ein Einsteigerkurs ist nur der Anfang und er genügt nicht, um den Anforderungen als Datenschutzbeauftragter dauerhaft gerecht zu werden, heißt es im Artikel. Wer seinen Job gut machen möchte, muss sich stetig weiterqualifizieren. Zu dieser Auffassung sind wir u.a. durch die Diskussion mit unabhängigen, externen Experten gekommen, z.B. im satzungsgemäß durchgeführten Fachbeirat mit neutralen Vertretern (z.B. Wissenschaftlern und Verbandsvertretern), Anbieter- und Verbrauchervertretern. Insofern ist in der Untersuchung selbstverständlich die Auffassung von unabhängigen Vertretern integriert. (aci)
Kommentar vom Autor gelöscht.
Der Artikel berücksichtigt nicht die Auffassung von unabhängigen Datenschutzexperten z.B. des Berufsverbandes der Datenschutzbeauftagten Deutschlands e.V. (www.bvdnet.de) noch die Mindestanforderungen an die Fachkunde von Datenschutzbeauftragten, wie sie die Aufsichtsbehörden festgelegt haben (siehe Webseite der Bundesbeauftragten für den Datenschutz unter Infothek (www.bfdi.bund.de). Nach einer entsprechenden Studie der Uni Oldenburg sind 3 Wochen das Minimum zum Erwerb der Fachkunde. Im Augenblick gibt es nur 2 Anbieter, die das professionell machen: Die GDD (www.gdd.de) und udis (www.udis.de). Der test-Artikel geht also an den Erfordernissen vorbei. Er ist ausgesprochen schlecht recherchiert.