Datenschutzbeauftragte E-Book

Alle im Buch verwendeten Begriffe verstehen sich geschlechterneutral. Aus Gründen der besseren Lesbarkeit wird teilweise auf eine geschlechtsspezifische Differenzierung verzichtet – entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat lediglich redaktionelle Gründe und beinhaltet keine Wertung.

ISBN: 978-3-8005-1882-1

© 2023 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: Beltz Grafische Betriebe GmbH, 99947 Bad Langensalza

Vorwort

Nach nunmehr drei Jahren freue ich mich, die zweite Auflage dieses Buches präsentieren zu dürfen.

Die Neuauflage war erforderlich, um gesetzliche Änderungen und vor allem die Rechtsprechung des EuGH, der deutschen Gerichte und auch die Aufsichtsbehördenpraxis zu berücksichtigen.

Stil und Aufbau des Buches sind ansonsten gleichgeblieben. Es ist immer noch ein Lernbuch, mit dem Anfängerinnen und Anfänger sich dem umfangreichen Stoff erfolgreich nähern können. Der Untertitel des Buches ist leicht verändert worden, um deutlich zu machen, dass sich das Buch nicht nur zum Einstieg, sondern auch zur Vertiefung eignet.

Die zahlreichen Muster im Buch sind nun auch als Download verfügbar und jeweils im Buch gekennzeichnet.

Wie die erste Auflage ist auch diese zweite Auflage meiner Frau und meinen Kindern gewidmet. Sie halten mir immer noch den Rücken frei und unterstützen mich bei fast jeder, manchmal auch verrückten Idee, die ich gerne umsetzen möchte. Danke!

Flensburg, 30.7.2023

Stephan Hansen-Oest

Inhaltsverzeichnis

Vorwort

1. Einleitung – Warum ist dieses Buch so, wie es ist ...

2. Drei Buchstaben: DSB

Was muss ich als DSB wissen?

3. Begriffsklärungen

3.1 Verantwortlicher

3.2 Gemeinsam Verantwortliche

3.3 Auftragsverarbeiter

3.4 Personenbezogene Daten

3.5 Besondere Kategorien personenbezogener Daten („Magendaten“)

3.6 Gebräuchliche Abkürzungen

4. Wer bin ich als DSB?

4.1 Stellung des DSB

4.2 Aufgaben des DSB

4.3 Was ist nicht Aufgabe des DSB?

4.4 Haftung des DSB

4.5 Wann muss ein DSB benannt werden?

4.6 Muster einer Benennung

5. Rechtliche Grundlagen

5.1 Rechtsquellen

5.2 Sachlicher und räumlicher Anwendungsbereich

5.3 Struktur der DSGVO

6. Grundsätze für die Verarbeitung personenbezogener Daten

6.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

6.2 Zweckbindung

6.3 Datenminimierung

6.4 Richtigkeit

6.5 Speicherbegrenzung

6.6 Integrität und Vertraulichkeit

6.7 Rechenschaftspflicht

7. Grundüberlegungen zur „Gemüsenorm“

7.1 Art. 6 Abs. 1 lit. a) DSGVO – Einwilligung → „ALTernative“

7.2 Art. 6 Abs. 1 lit. b) DSGVO – Datenverarbeitung zur Vertragserfüllung → „Dickes B“

7.3 Art. 6 Abs. 1 lit. c) DSGVO – Datenverarbeitung zur Erfüllung rechtlicher Pflichten → „Caesar“

7.4 Art. 6 Abs. 1 lit. d) DSGVO – Datenverarbeitung für lebenswichtige Interessen → „Dead“

7.5 Art. 6 Abs. 1 lit. e) DSGVO – Datenverarbeitung für öffentliche Aufgaben → „Echt jetzt“

7.6 Art. 6 Abs. 1 lit. f) DSGVO – Datenverarbeitung auf Basis einer Interessenabwägung → „FETT“

8. Die Einwilligung – „ALTernative“

9. Datenverarbeitung für Vertragszwecke – „Dickes B“

10. Datenverarbeitung zur Erfüllung rechtlicher Pflichten – „Caesar“

11. Datenverarbeitung für lebenswichtige Interessen – „Dead“

12. Datenverarbeitung für öffentliche Aufgaben – „Echt jetzt“

13. Datenverarbeitung auf Basis einer Interessenabwägung – „FETT“

13.1 Erste Stufe – Berechtigtes Interesse des Verantwortlichen oder Dritten

13.2 Zweite Stufe – Zur Wahrung des berechtigten Interesses erforderlich

13.3 Dritte Stufe – Abwägung mit entgegenstehenden Interessen der betroffenen Personen

13.4 Widerspruchsrecht

13.5 Kein „FETT“ für öffentliche Stellen

14. Verarbeitung von „Magendaten“

15. Standard-Datenschutzmodell (SDM) – auf ein Wort

16. Die Informationspflichten der DSGVO

16.1 Gut gedacht – schlecht gemacht

16.2 Grundsatz der Transparenz

16.3 Zeitvorgaben für die Beantwortung von Anfragen Betroffener

16.4 Daten zum Betroffenen nicht verfügbar

16.5 Zweifel an der Identität des Betroffenen

16.6 Bildsymbole

17. Informationspflichten bei der Erhebung beim Betroffenen

17.1 Praktische Begrenzung der Informationsfülle

17.2 Die „Link-Lösung“

17.3 Ausnahmen von der Informationspflicht

17.4 Weiterverarbeitung

18. Informationspflichten bei Daten, die nicht beim Betroffenen erhoben wurden

18.1 Weiterverarbeitung

18.2 Ausnahmen

19. Beispiel einer Information – Datenschutzhinweise für Beschäftigte

20. Auskunftsrecht und Recht auf Kopie

20.1 Erste Stufe – „Ob“ einer Verarbeitung

20.2 Zweite Stufe – Auskunft zu gespeicherten Daten

20.3 Dritte Stufe – Weitere Informationen

20.4 Vierte Stufe – Recht auf Kopie

21. Löschansprüche von Betroffenen

21.1 Recht auf Vergessenwerden

21.2 Ausnahmen von Löschpflichten

22. Weitere Betroffenenrechte

23. Datenschutz-Compliance und risikobasierter Ansatz

24. Privacy by Design & by Default

25. Auftragsverarbeitung

25.1 Was ist Auftragsverarbeitung?

25.2 Wann liegt eine Auftragsverarbeitung vor?

25.3 Wann liegt keine Auftragsverarbeitung vor?

25.4 Der Auftragsverarbeitungsvertrag

25.5 Unterauftragnehmer

25.6 Technische und organisatorische Maßnahmen

25.7 Mustervertrag

26. Gemeinsame Verantwortlichkeit

26.1 Wann liegt eine gemeinsame Verantwortlichkeit vor?

26.2 Wie muss ich die gemeinsame Verantwortlichkeit „regeln“?

26.3 Muster einer Vereinbarung zur gemeinsamen Verantwortlichkeit

27. Meldepflichten bei „Datenpannen“

27.1 Was ist eine Datenschutzverletzung („Datenpanne“)?

27.2 Wann ist diese bei der Aufsichtsbehörde zu melden?

27.3 Wie schnell muss die Meldung erfolgen?

27.4 Wie muss die Meldung erfolgen?

27.5 Dokumentation der Datenpanne

27.6 Meldepflicht gegenüber Betroffenen

28. Verzeichnis von Verarbeitungstätigkeiten

28.1 Gibt es Ausnahmen?

28.2 Was ist das Verarbeitungsverzeichnis?

28.3 Wie erstelle ich das Verarbeitungsverzeichnis praktisch?

28.4 Wie pflege ich das Verarbeitungsverzeichnis?

28.5 Muster für ein Verarbeitungsverzeichnis

29. Datenschutz-Folgenabschätzung (DSFA)

29.1 „In dubio pro DSFA“

29.2 Wann ist eine DSFA durchzuführen?

29.3 Was muss eine DSFA beinhalten?

29.4 Empfehlung für die Praxis als DSB

29.5 Besonderheiten für „Caesar“ und „Echt jetzt“

30. Haftung für Datenschutzverletzungen?

Was muss ein DSB zu Schadensersatzansprüchen der DSGVO wissen?

31. Aufsichtsbehörde

32. Beschäftigtendatenschutz

33. Datenverarbeitung in Drittländern

34. Datensicherheit nach DSGVO – Einleitung

35. Rechtsgrundlagen zur Datensicherheit

35.1 Was ist eigentlich „Datensicherheit“?

35.2 Datensicherheit in der DSGVO

35.3 Grundsatz der „Integrität und Vertraulichkeit“ (Art. 5 Abs. 1 lit. f) DSGVO)

35.4 Sicherheit der Verarbeitung (Art. 32 DSGVO)

35.5 Weitere Rechtsgrundlagen zur Datensicherheit

36. Sanktionen bei Nicht- oder Schlechtumsetzung von Datensicherheit

37. Haftungsrisiken bei Nicht- oder Schlechtumsetzung von Datensicherheit

38. Umsetzung von Datensicherheit (Theorie)

38.1 Datensicherheit für „Beginner“

38.2 Wie und wieviel Datensicherheitsmaßnahmen muss ich denn treffen?

38.3 Was wollen wir schützen?

38.4 Hilfreiche Dokumente

38.5 Schritt 1 – Die Analyse

38.6 Schritt 2 – Die Schutzbedarfsfeststellung

38.7 Schritt 3 – Die Risikoanalyse

38.8 Schritt 4 – Maßnahmen treffen

39. Überlegung für eine praktikable Umsetzung von Datensicherheit in KMU

40. Wie organisiere ich als DSB meine Arbeit?

41. Wie fange ich an? – Erste Schritte als DSB

Zu Beginn – Organisation und Abläufe kennenlernen

42. Wir bauen uns ein Datenschutzmanagementsystem (DSMS)

42.1 Top-Management ins Boot holen

42.2 Leitlinie zu Datenschutz und Informationssicherheit

42.3 Datensicherheits-/Datenschutz-Team bilden

42.4 Verarbeitungsverzeichnis

42.5 TOM-Dokument

42.6 Beispiel: TOM-Dokument

42.7 Kritische Prozesse identifizieren & Schutzbedarf feststellen

42.8 Risikoanalyse in „dreckig“

42.9 Richtlinien erstellen und verbindlich machen

42.10 Richtlinie zum Datenschutz (für Beschäftigte)

42.11 Richtlinie zur Umsetzung von Datenschutzmaßnahmen

42.12 Richtlinie für die Umsetzung von Betroffenenrechten

42.13 IT-Richtlinie für Nutzer

42.14 Richtlinie für Speicherorte

42.15 Richtlinie für die Nutzung mobiler IT-Systeme

42.16 Richtlinie für die Nutzung mobiler Datenträger

42.17 Richtlinie Regelungen für Lieferanten und sonstige Auftragnehmer

42.18 Richtlinie für Störungen und Ausfälle

42.19 Richtlinie für Sicherheitsvorfälle

42.20 Notfallplan

42.21 Evaluierung

43. Schlusswort

QR-Code zum Download der Muste

1. Einleitung – Warum ist dieses Buch so, wie es ist ...

Dieses Buch soll anders sein als andere Bücher zum Datenschutzrecht. Oder andere Bücher, deren Zielgruppe Datenschutzbeauftragte sind.

Dieses Buch darf auch anders sein, weil der Verlag mir dankenswerter Weise erlaubt hat, hier „offen zu sprechen“.

Und zwar in einer Art und Weise, die nicht dem klassischen, gewöhnlichen juristischen Stil entspricht. Sondern in einem lockeren, offenen und zugleich auch herzlich norddeutschen Ton.

Dem Datenschutzrecht eilt der Ruf voraus, dass es sich um ein trockenes, langweiliges und sprödes Rechtsgebiet handele. Auch wenn dem nach meiner Überzeugung nicht so ist, würde hier ein juristisch-trockener Schreibstil nicht gerade dazu beitragen, dass wir Datenschutzrecht gut erlernen können.

Die verstorbene Psychologin und Managementtrainerin Vera F. Birkenbihl hat einmal sinngemäß gesagt: „Das Gehirn lernt gern in einem guten Zustand.“

Und so habe auch ich die Vorstellung, dass Leserinnen und Leser dieses Buches sich die Inhalte nicht mit Gewalt versuchen, in ihr Hirn einzuarbeiten, sondern in einer gemütlichen Liege- oder Sitzposition dieses Büchlein nehmen und sich mit einem kleinen Schmunzeln und Augenzwinkern im Gesicht dem Thema Datenschutz nähern.

Übrigens war der Untertitel des Buches „Stroh im Kopf“ von Vera F. Birkenbihl dieser: „Vom Gehirn-Besitzer zum Gehirn-Benutzer“ – auch das ist ein schönes Bildnis, das gut für Anwenderinnen und Anwender der DSGVO passen könnte.

Dieses Buch ist in Du-Form geschrieben. Das ist so, weil ich meine, dass du die Inhalte dieses Buches so besser verinnerlichen kannst. Zumindest ist das meine Erfahrung in der Vermittlung von Datenschutzwissen der letzten 10 Jahre.

Vielleicht magst du diesen Ansatz nicht. Und vielleicht hast du auch mal gelesen, dass das gar nicht stimmt, sondern Siezen viel mehr zum Wissenserwerb beiträgt. Aber leg diesen Gedanken doch einfach einmal beim Lesen dieses Buches zur Seite und freunde dich zumindest mit dem Gedanken an, dass es stimmen könnte, dass ein „Du“ für ein Erlernen von Datenschutzwissen mehr wirkt.

Und vielleicht hilft dir dabei auch, dass es ein „respektvolles Du“ ist, das wir hier gemeinsam verwenden wollen.

Was vielleicht beim Lesen eines juristisch geprägten Werkes auch neu für dich ist: Die Sprache ist bewusst nicht staubtrocken formal, sondern so, dass du es (hoffentlich) nicht so schwer hast, dieses Buch nicht nur zu lesen, sondern die Inhalte auch zu verstehen.

Also suche dir ein schönes Plätzchen und fang einfach mal an.

Ach, und noch etwas: Ich verwende in diesem Buch mal das generische Femininum und mal das generische Maskulinum. Hierbei gilt, dass sich andere Geschlechter genauso angesprochen fühlen dürfen.

Ich schreibe die DSGVO in diesem Buch übrigens ohne Bindestrich. Du kannst in vielen anderen Büchern die Abkürzung „DS-GVO“ lesen. Ich finde es ohne Bindestrich angenehmer. Und letztlich kürzt nun auch das Bundesverfassungsgericht (BVerfG) den Gesetzesnamen mit DSGVO ab. Du befindest dich also in guter Gesellschaft, wenn du keinen Bindestrich verwendest.

Apropos gute Gesellschaft: Viele gute Informationen findest du heute in sozialen Netzwerken. In einer Zeit, in der Twitter noch Twitter hieß (und war), gab es z.B. unter dem Hashtag #teamdatenschutz viele zahlreiche und aktuelle Beiträge und Diskussionen zu datenschutzrechtlichen Themen. Die gibt es dort auch heute noch. Nur haben sich die sozialen Netzwerke diversifiziert bzw. die Teilnehmerinnen und Teilnehmer finden sich jetzt verstreut in unterschiedlichen Netzwerken. So kannst du heute auch bei Mastodon oder auch LinkedIn zahlreiche gute Beiträge und Diskussionen finden. Nur sind sie leider etwas schwieriger aufzufinden als zuvor.

Seit dem 25.5.2018 wird die Datenschutz-Grundverordnung (DSGVO) angewendet. In Kraft ist sie schon seit dem 24.5.2016. So hatten Unternehmen und öffentliche Stellen damals „eigentlich“ schon zwei Jahre Zeit, um sich auf die DSGVO vorzubereiten und die Umsetzung dieser neuen gesetzlichen Regelungen zur Verarbeitung personenbezogener Daten intern voranzutreiben.

Nur war das praktisch mitnichten der Fall. Während ich diese Zeilen schreibe, sind weit über 1.800 Tage seit der Geltung der DSGVO vergangen. Und wenn wir ganz ehrlich sind, wissen wir heute immer noch nicht so ganz genau, wie wir dieses „Ungetüm“, wie es manche bezeichnen, bewältigen wollen oder sollen.

Und schließlich möchte ich in diesem Buch auch gerne ehrlich sein. Natürlich kann ich dir empfehlen, jede Excel-Datei in dein Verzeichnis von Verarbeitungstätigkeiten zu übernehmen, damit dieses Verarbeitungsverzeichnis (viele kürzen es gerne als „VVT“ ab) möglichst komplett ist. Nur ist damit keinem geholfen. Dir nicht, weil du dann niemals fertig wirst, und der Aufsichtsbehörde nicht, weil sie mit so einem Verzeichnis nicht viel anfangen kann. Und dem Betroffenen übrigens auch nicht. Denn diesem ist letztlich dein Verarbeitungsverzeichnis egal. Er möchte vielmehr, dass du seine personenbezogenen Daten ordentlich verarbeitest.

Ich erzähle in diesem Buch auch Geschichten von mir oder eben auch Dinge, die ich mit Mandantinnen erlebt habe. Die Geschehnisse habe ich dabei jeweils so abgeändert, dass keine Rückschlüsse auf meine Mandantinnen gezogen werden können.

Meine Hoffnung ist, dass dieses Buch auch deswegen „authentisch“ für dich ist. Und da bleibt es nicht aus, dass einige Dinge mit einem Augenzwinkern und manchmal auch einem Grinsen im Gesicht erzählt werden.

Ich fände es auch ein wenig traurig, wenn uns wegen DSGVO & Co. das Lachen vergehen würde. Ich habe gerade wegen der DSGVO in den letzten beiden Jahren viel gelacht. Ja, auch so manche Stilblüten hat die DSGVO oder vielmehr die Anwender der DSGVO hervorgebracht.

Und um ganz ehrlich zu sein, bemerke ich mich auch heute noch häufig laut lachend am Schreibtisch. So manche Urteilsbegründung oder auch Äußerungen einiger Aufsichtsbehörden lassen dann kein Auge trocken. Das ist in anderen Rechtsgebieten aber auch so. Und da merkst du... so trocken ist dieses Rechtsgebiet also wirklich nicht. Oder wir können auch sagen, dass es mit ein bisschen Humor eine feuchtfröhliche Angelegenheit sein kann.

2. Drei Buchstaben: DSB

Dieses Buch richtet sich an Datenschutzbeauftragte. Egal ob weiblich oder männlich, ob intern oder extern, ob in Unternehmen oder öffentlicher Stelle. Dieses Buch ist eine Einführung für jede Datenschutzbeauftragte und jeden Datenschutzbeauftragten.

Die gebräuchliche Abkürzung für Datenschutzbeauftragte ist DSB. Und daher verwende ich sie hier auch in diesem Buch. Wenn ich hier von DSB schreibe, darf sich damit jede Datenschutzbeauftragte und jeder Datenschutzbeauftragte eines Unternehmens oder einer öffentlichen Stelle angesprochen fühlen.

Und natürlich darfst du dich auch angesprochen fühlen, wenn du noch kein DSB bist, sondern erst auf dem Weg dahin bist bzw. überlegst, ob dieses Berufsbild etwas für dich ist.

Apropos Berufsbild – ein offizielles oder gar festes Berufsbild gibt es für Datenschutzbeauftragte nicht. Es gibt jedoch auf Verbandsebene Vorstellungen dazu. Beispielhaft kann hier „Das berufliche Leitbild der Datenschutzbeauftragten“ des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V. genannt werden.

Das Fehlen eines amtlichen Berufsbildes wird vielerorts bedauert. Beklagt wird, dass ein fehlendes Berufsbild dazu führe, dass die Qualität der DSB nicht gewährleistet sei.

Nun, das mag stimmen. Jedenfalls in Teilbereichen. Ich berate als Anwalt seit mehr als 20 Jahren DSB und habe so eine ganze Menge Menschen aus dieser Berufssparte kennengelernt. Ich habe DSB kennengelernt, die eine – nach Ansicht einiger Berufsverbände von DSB – exzellente Ausbildung genossen haben. Andere wiederum waren „Selfmade“-DSB und haben sich sozusagen alles selbst beigebracht.

Ich kann aus meiner Erfahrung mit DSB mit unterschiedlichen Ausbildungen sagen, dass auch eine vermeintlich exzellente Ausbildung in bestimmten Kursen anerkannter Anbieter nicht zwingend dazu führt, dass eine Person als DSB auch das erforderliche Fachwissen anwenden kann. Und so habe ich manchen „Selfmade“-DSB kennengelernt, der jeden anderen DSB mit vermeintlich herausragender Ausbildung im Hinblick auf Kenntnis von Datenschutzrecht und Datensicherheit und die praktische Anwendung dieser Fachbereiche locker in die Tasche stecken konnte.

Und dennoch sehe auch ich das Problem, dass ein fehlendes „offizielles“ Berufsbild dazu führt, dass sich eben nahezu jede Person „DSB“ nennen kann, ohne den Hauch einer Ahnung im erforderlichen Datenschutzwissen zu haben.

Letztlich ist es Sache der „Verantwortlichen“, also der Unternehmen oder öffentlichen Stelle, einen geeigneten DSB auszuwählen und zu benennen. Hier ist eine sorgfältige Auswahl oberstes Gebot.

Was muss ich als DSB wissen?

Was ein DSB wissen muss, ergibt sich primär aus dem Gesetz. Oder – besser gesagt – den Gesetzen. Und davon gibt es eine ganze Reihe.

Welche Anforderungen an „Wissen“ an einen DSB nun aber zu stellen sind, ergibt sich erst einmal aus Art. 37 Abs. 5 DSGVO. Denn dort können wir nachlesen, welche Anforderungen ein DSB zu erfüllen hat, damit er zum DSB benannt werden kann.

Wörtlich heißt es in Art. 37 Abs. 5 DSGVO:

Benötigt wird also eine „berufliche Qualifikation“ und insbesondere ein Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis.

Aus dem Wortlaut ergibt sich zudem, dass dieses Fachwissen schon zum Zeitpunkt der Benennung vorliegen muss. Es gilt also, dass zunächst ein Fachwissen bestehen muss, bevor eine Benennung erfolgen kann.

Das ist in der Praxis häufig schwierig umzusetzen. Denn wie soll ein DSB Fachwissen in der Datenschutzpraxis erwerben, ohne zuvor DSB gewesen zu sein? Es ist ja mitnichten so, dass jede öffentliche Stelle oder jedes Unternehmen eine Abteilung „Datenschutz“ vorhält, in der Menschen Datenschutz praktisch ausüben können, um so eine Datenschutzpraxis zu erwerben.

In der Praxis läuft es vielmehr meist so ab, dass jemand in Unternehmen oder öffentlichen Stellen als DSB „ausgeguckt“ wurde, auf einen DSB-Lehrgang geschickt wurde und nach Rückkehr zum DSB benannt wurde. Wenn der DSB dann einen guten Lehrgang besucht und gut und aufmerksam zugehört hat, dann hat er vielleicht einen Teil des Fachwissens im Datenschutzrecht erlangt, aber sicher keine Datenschutzpraxis.

Und um es ganz ehrlich zu sagen: Das ist auch nicht wirklich schlimm. Denn am allermeisten lernen alle DSB, indem sie als DSB praktisch arbeiten.

Und solltest du bereits bei einem DSB-Lehrgang gewesen sein und nach der Rückkehr bemerkt haben, dass du eigentlich gar nicht weißt, wie du „anfangen“ sollst, dann kann ich dir versichern, dass du nicht alleine bist. Im Gegenteil, den meisten frischgebackenen DSB geht es so, wenn sie vom Lehrgang zurück sind.

Gefühlt liegt da vor vielen ein „Datenschutz-Berg“, dessen Besteigung nicht nur beschwerlich, sondern manchmal unmöglich scheint. Meine Empfehlung lautet dann: Nicht resignieren, sondern den Blick nach vorne richten. Und zwar nicht auf den Gipfel, sondern auf die erste Bergstation. Und dieses Buch wird dich dabei gerne ein wenig begleiten.

Und wenn du dann merkst, dass der Weg zur ersten Bergstation mit ein wenig Hilfe doch „gar nicht so schlimm“ war, dann schaffst du die weiteren Stationen bis zum Gipfel auch. Eine nach der anderen. Bis du dann ganz oben auf dem Gipfel stehst. Und dann hoffentlich den „Überblick“ hast.

Schon an dieser ersten kleinen Stelle, in der es um die gesetzlich geforderte Datenschutzpraxis geht, merken wir also, dass nicht alles, was in Gesetzen schriftlich niedergelegt ist, auch in exakt der Form so umsetzbar ist. Und das muss es auch nicht.

Wir Juristen haben dazu im Studium gelernt, wie Gesetze auszulegen sind, um diese Widersprüche aufzulösen. Und auch wenn du nicht alle Auslegungsmethoden von Gesetzen kennen musst, werden wir doch immer mal wieder an diesen Stellen einhaken, um zu schauen, wie bestimmte Probleme in der Anwendung des Datenschutzrechts gelöst werden könnten.

Aber zurück zum Thema: Ein DSB muss also Fachwissen bzgl. Datenschutzrecht und Datenschutzpraxis haben.

Einigkeit besteht darin, dass es für DSB nicht zwingend ist, ein Studium der Rechtswissenschaften absolviert zu haben. Sicher schadet es nicht, aber erforderlich ist es eben nicht. Dies gilt in gleicher Weise für ein technisches Studium, wie z.B. der Informatik. Auch das schadet einem DSB sicher nicht, zwingend ist es aber gleichwohl nicht.

Auch muss die berufliche Qualifikation nicht unbedingt einen Fokus auf dem Datenschutz gehabt haben. Ich denke zwar schon, dass es hilfreich ist, wenn ein DSB in einem rechtlichen Beruf oder einem IT-orientieren Beruf eine Ausbildung gemacht hat. Prädestiniert wäre auch eine berufliche Qualifikation im Bereich der Revision oder auch des Qualitätsmanagements. Denn gerade diese Bereiche prägten in den letzten Jahren den Datenschutz.

Aber zwingend ist dies – wie gesagt – alles nicht. Die rechtswissenschaftliche Literatur in Deutschland diskutiert die Anforderungen an einen DSB immer noch primär mit Blick auf das erforderliche Fachwissen. Dieses soll nach häufig vertretener Auffassung vorliegen, wenn ein DSB

– genügend rechtliche Kenntnisse im Datenschutzrecht,

– genügend technische Kenntnisse im Bereich der Datensicherheit und

– genügend organisatorische Kenntnisse über die Abläufe von Datenverarbeitung im Unternehmen oder der öffentlichen Stelle hat.

Auch in der Rechtsprechung sind die Anforderungen thematisch behandelt worden. So hat sich das Landesarbeitsgericht Mecklenburg-Vorpommern (Urteil vom 25.2.2020, Az.: 5 Sa 108/19) mit den Anforderungen befasst.

Zusammengefasst lassen sich die Anforderungen danach wie folgt aufstellen:

– Der Datenschutzbeauftragte muss über die Fähigkeit verfügen, seine in Art. 39 DSGVO genannten Aufgaben zu erfüllen.

– Die Tätigkeit des Datenschutzbeauftragten ist nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse geknüpft.

– Welche Sachkunde erforderlich ist, richtet sich insbesondere nach der Größe der Organisation, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren und dem Typus der anfallenden Daten.

– Wenn der DSB nur in einem Teilbereich über eine eigene Qualifikation verfügt, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann.

–Fortbildungen des DSB zu neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung sind unerlässlich.

– Der DSB muss nicht nur die nötigen Fachkenntnisse besitzen, sondern auch die Gewähr bieten, dass er seinen Aufgaben gewissenhaft nachkommt und nicht gegen seine Pflichten als DSB (z.B. seine Verschwiegenheitspflicht) verstößt.

– Der DSB muss – über die Sachkunde hinaus – eine wirksame Selbstkontrolle der Organisation gewährleisten können.

Im Hinblick auf die erforderliche Fachkunde ist offen, wie dieses Fachwissen belegt werden kann.

Gebräuchlich ist eine Abschlussprüfung, die ein DSB ggf. am Ende seines Lehrgangs absolviert hat. Wirklich aussagekräftig ist dies jedoch häufig nicht.

Es kommt durchaus vor, dass Aufsichtsbehörden z.B. im Zusammenhang mit einer Beschwerde eines Betroffenen bei einem Unternehmen nachfragen, wer zum DSB benannt ist und wie dieser sein Fachwissen erworben hat.

Hier wird jedoch in aller Regel keine absolvierte Prüfung verlangt. Eine gewisse „Ausbildung“ in Form eines Lehrgangs, Teilnahme an Schulungen oder Seminaren sollte aber schon nachgewiesen werden können.

Ich persönlich halte es für viel wichtiger, dass DSB sich regelmäßig und fortwährend weiterbilden. Denn das eigentliche Fachwissen wird erst durch ein „Tun“ in der Praxis erworben und kann dann in weiteren Fortbildungen, Schulungen oder Seminaren (online/offline) vertieft werden.

Letztlich kann sich aber jede Person einfach DSB nennen, da die Berufsbezeichnung an sich nicht geschützt oder die Berufsausbildung nicht staatlich reguliert ist.

Ein DSB ohne „Grundausbildung“ wird allerdings schnell an seine oder ihre Grenzen kommen.

Zusammengefasst muss ein DSB also grundlegende Kenntnisse im Datenschutzrecht, der Datensicherheit und der Organisation von Datenverarbeitung im betreffenden Unternehmen bzw. der öffentlichen Stelle haben.

Nach Erwägungsgrund 97 der DSGVO ist das geforderte Niveau des Fachwissens übrigens abhängig von der durchgeführten Datenverarbeitung und dem Schutzbedarf der Daten.

Konkret formuliert: Je höher der Schutzbedarf der Daten, umso höher sind die Anforderungen an die Kenntnisse des oder der Datenschutzbeauftragten. So wird man beispielsweise bei der Benennung einer Datenschutzbeauftragten in einem größeren Krankenhaus nicht nur eine erwiesene Fachkunde, sondern auch eine mehrjährige Berufspraxis in einem medizinischen Umfeld erwarten können.

3. Begriffsklärungen

Wer sich mit Datenschutz beschäftigt, wird nicht umhinkommen, bestimmte Begriffe kennenzulernen und anzuwenden. Wir werden viele Begriffe im Laufe dieses Buches näher besprechen. Für das Grundverständnis der ersten Kapitel ist es aber ratsam, sich einige Begriffe schon hier zu vergegenwärtigen.

Übrigens: Wenn du im Kontext mit einer Frage der DSGVO nicht genau weißt, was ein Begriff bedeutet, sollte dein erster Blick gleich auf Art. 4 DSGVO fallen. Denn dort sind 26 wichtige Begriffe der DSGVO legaldefiniert. Das ist praktisch, denn dann haben wir eine feste Definition dessen, was mit dem jeweiligen Begriff gemeint ist. Jetzt sind diese Definitionen leider nicht immer verständlich. Aber immerhin sind sie stets ein guter Ausgangspunkt für weitere Überlegungen.

Folgende grundlegende Begriffe kommen sehr häufig vor, wenn wir uns mit Datenschutz und der DSGVO beschäftigen.

3.1 Verantwortlicher

Hier haben wir eine Definition in Art. 4 Nr. 7 DSGVO. Auch wenn sie anfangs ganz verständlich daherkommt, merken wir dann später aber, dass es doch nicht ganz so klar ist. Denn dort, wo wir z.B. die Auftragsverarbeitung von der eigenen Verantwortlichkeit abgrenzen müssen, herrscht häufig Unklarheit.

Nach Art. 4 Nr. 7 ist ein Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Es ist also die „Stelle“, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Wann ich nun allerdings „entscheiden“ kann, steht dort nicht. Im zweiten Halbsatz finden wir nur die Regelung, dass im nationalen Recht der Mitgliedstaaten – also z.B. im deutschen Recht – die Zwecke und Mittel der Verarbeitung bzw. die Kriterien, wann ich Verantwortlicher bin, durch das nationale Recht vorgegeben werden können. So ist z.B. vom deutschen Gesetzgeber in § 11 Abs. 2 StBerG geregelt worden, dass Steuerberaterinnen und Steuerberater Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO sind und somit z.B. insoweit keine Auftragsverarbeiter sein können.

Festzustellen ist, dass die Norm des Art. 4 Nr. 7 DSGVO in sich nicht eindeutig ist. Immer wenn Rechtsnormen nicht eindeutig sind, dürfen sie mit den juristischen Auslegungsmethoden ausgelegt werden.

Und hier ist zunächst ein besonderer Punkt zu beachten, den deutsche Juristen gerne übersehen oder übersehen wollen. Denn europäische Rechtsnormen sind grundsätzlich europarechtsautonom auszulegen. Das bedeutet, dass z.B. für die Auslegung von Normen der DSGVO nur anderes europäisches Recht herangezogen wird und nicht Regelungen, die im deutschen Recht bestehen. So können wir z.B. bei der Auslegung der DSGVO nicht die Rechtsprechung des BVerfG zum Recht auf informationelle Selbstbestimmung heranziehen. Denn dieses Recht ist vom BVerfG aus den Grundrechten des Grundgesetzes (GG) abgeleitet worden. Das europäische Recht kennt dieses Recht auf informationelle Selbstbestimmung nicht.

Was bedeutet das nun für die Auslegung des Begriffs des Verantwortlichen in Art. 4 Nr. 7 DSGVO? Wie bei anderen Normen der DSGVO auch dürfen wir uns umschauen, welche im Europarecht geltenden Normen es sonst noch gibt.

Leider werden wir da nicht direkt fündig. Fündig würden wir allerdings bei einer Konvention des Europarats. Der Europarat ist nicht institutionell mit der Europäischen Union verbunden und Konventionen des Europarats sind formal betrachtet keine Rechtsquelle des europäischen Rechts.

Für das Verständnis, wann jemand Verantwortlicher ist, ist gleichwohl ein Blick in das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Konvention Nr. 108), das durch den Vertrag 223 des Europäischen Rats vom 10.10.2018 modernisiert wurde, sehr erhellend.

Denn dort findet sich eine viel bessere Definition des Verantwortlichen als in Art. 4 Nr. 7 DSGVO.

In der Konvention Nr. 108 ist der Verantwortliche (englisch: „controller“) nämlich in Art. 2 lit. d) wie folgt definiert:

Der Begriff „decision-making power“, den wir mit Entscheidungsbefugnis übersetzen können, bringt viel besser zum Ausdruck, wann eine Stelle Verantwortlicher ist. Und daher wird dieser – auch wenn er genau genommen nicht unmittelbar europarechtlich verankert ist – hier zugrunde gelegt.

Verantwortlich bin ich für die Verarbeitung personenbezogener Daten, wenn ich alleine (oder gemeinsam mit anderen) die Befugnis zur Entscheidung über Zwecke und Mittel der Datenverarbeitung habe.

Diese Entscheidungsbefugnis kann sich z.B. aus einem Gesetz ergeben, das mir diese Befugnis direkt zuweist.

Oder durch ein Gesetz, das mir eine bestimmte Aufgabe oder Rolle zuweist, aus der sich die Entscheidungsbefugnis über das Ob und Wie einer Datenverarbeitung ableiten lässt.

Oder letztlich kann sich eine Entscheidungsbefugnis aus den objektiven Umständen ergeben. Wenn mir z.B. eine vertragliche Regelung in zulässiger Weise eine Entscheidung über die Datenverarbeitung zubilligt, so kann sich hieraus die Entscheidungsbefugnis ergeben.

Aber Achtung: Das bedeutet jetzt nicht, dass ich einfach nur im Vertrag regeln könnte, wer verantwortlich ist. Der Vertrag muss schon die objektive Aufgabenwahrnehmung widerspiegeln. So kann ich nicht einen Auftragsverarbeiter, der meinen Weisungen unterworfen ist, per Vertrag selbst zum Verantwortlichen definieren, ohne dass dieser die Daten auch für eigene Zwecke verarbeitet.

Und natürlich dürfen wir noch die Rechtsprechung des EuGH heranziehen. Der EuGH hat sich bereits zum Sinn und Zweck der Definition des Art. 4 Nr. 7 DSGVO geäußert. Ziel sei es, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten.

3.2 Gemeinsam Verantwortliche

Dieser Begriff ist schon durch Art. 4 Nr. 7 DSGVO mitdefiniert. Denn dort ist ja von der alleinigen oder gemeinsamen Entscheidung bzw. Entscheidungsbefugnis über Zweck und Mittel der Datenverarbeitung die Rede.

Eine gemeinsame Verantwortlichkeit liegt praktisch sehr häufig vor. Das hat allerdings primär damit zu tun, dass der EuGH diese Rechtsfigur sehr extensiv auslegt. In seinen drei Entscheidungen „Facebook Fanpages“, „Zeugen Jehovas“ und „Fashion ID“ hat der EuGH versucht, die Rechtsfigur der gemeinsamen Verantwortlichkeit zu konkretisieren.

Die Betonung dürfte hier auf „Versuch“ liegen. Denn die Rechtsprechung des EuGH hat in den ersten beiden Entscheidungen („Facebook Fanpages“ und „Zeugen Jehovas“) zunächst zu einer extensiven Reichweite der gemeinsamen Verantwortlichkeit geführt. Ausreichend ist danach für die Annahme einer gemeinsamen Verantwortlichkeit schon, dass ein Beitrag zur Entscheidung über die Zwecke und Mittel der Datenverarbeitung geleistet wird bzw. man daran beteiligt sei. Ja, es könne sogar ausreichen, dass man zu einer Datenverarbeitung „ermuntere“ bzw. dazu aufrufe.

Diese sehr fragwürdig weite Auslegung scheint der EuGH allein damit begründen zu wollen, dass er zum Schutz der Betroffenen die Verantwortlichkeit weit auslegen wolle. Allerdings übersieht der EuGH dabei, dass diese Auslegung in der Praxis dazu führt, dass Verantwortlichkeiten geradezu verschwimmen.

In seiner dritten Entscheidung zur gemeinsamen Verantwortlichkeit („Fashion ID“) hat der EuGH dann die Rechtsfigur der gemeinsamen Verantwortlichkeit etwas praxistauglicher gemacht, weil sich nunmehr die gemeinsame Verantwortlichkeit auch nur auf bestimmte Phasen einer Datenverarbeitung beziehen kann.

Unter dem Strich muss man aber leider sagen, dass die bisherige Rechtsprechung des EuGH für die Praxis kein Segen war, sondern die schon zuvor schwierige Regelung von Fragen der Verantwortlichkeit noch komplizierter gemacht hat. Und die Vielzahl von nun nach Art. 26 DSGVO erforderlichen Vereinbarungen zur gemeinsamen Verantwortlichkeit führt praktisch nicht nur für die Verantwortlichen, sondern auch für die Betroffenen zu wesentlich mehr Unklarheit. Die Betroffenen dürfte da auch nur bedingt trösten, dass theoretisch mehrere Verantwortliche als Anspruchsgegner in Betracht kommen.

Im Englischen sprechen wir bei der gemeinsamen Verantwortlichkeit von „Joint Control“ oder „Joint Controllership“. Da sich der Begriff „Joint Control (JC)“ auch im deutschsprachigen Raum etabliert hat, solltest du diesen auch kennen.

3.3 Auftragsverarbeiter

Auftragsverarbeiter ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

Aus der Definition ergibt sich im Umkehrschluss, dass diejenigen, die Auftragsverarbeiter sind, nicht zugleich Verantwortliche sein können.

Und wenn du darüber nachdenkst, wirst du erkennen, dass daher die Abgrenzungsfrage, ob eine Auftragsverarbeitung vorliegt oder nicht, primär danach zu beantworten ist, wer alleine oder gemeinsam mit anderen verantwortlich ist. Der Auftragsverarbeiter ist lediglich Dienstleister des Verantwortlichen und verarbeitet die Daten vor allem nicht für eigene Zwecke.

3.4 Personenbezogene Daten

Nach altem Recht, also der alten Fassung des BDSG („BDSG a.F.“) waren personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.

Das war eine schöne knackige Definition. Sicher hat diese nicht das Problem gelöst, ob es für die Annahme eines Personenbezuges erforderlich ist, ob ich selbst einen Personenbezug herleiten können muss oder ob schon ausreicht, dass irgendeine Stelle es kann. Aber es war eine verständliche Definition.

Nach der neuen Definition des Art. 4 Nr. 1 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Auch das ist eine gut verständliche Beschreibung. Um das Problem der „Personenbeziehbarkeit“ besser zu lösen, ist in Art. 4 Nr. 1 DSGVO im 2. Halbsatz noch die Identifizierbarkeit konkretisiert worden:

Interessanterweise löst auch diese Definition per se nicht die Frage, ob ich selbst den Personenbezug herstellen können muss. Hier könnte man aber ggf. die Rechtsprechung des EuGH zur alten EG-Datenschutzrichtlinie (95/46/EG) heranziehen. Vor allem gibt es aber noch eine Konkretisierung in Erwägungsgrund 26 der DSGVO:

Wichtig: Die Erwägungsgründe der DSGVO selbst sind keine verbindlichen Rechtsvorschriften. Sie können lediglich zur Auslegung der in den Artikeln der DSGVO niedergelegten Rechtsvorschriften herangezogen werden.

In der Praxis wird auch heute noch darüber gestritten, ob nun der Begriff der personenbezogenen Daten „relativ“ oder „absolut“ zu verstehen ist. Vertreter der relativen Theorie meinen, dass es darauf ankomme, ob der Verantwortliche selbst einen Personenbezug herstellen könne. Nach der absoluten Theorie liegt ein Personenbezug schon dann vor, wenn nicht nur der Verantwortliche die Daten personenbeziehbar machen könne; vielmehr reiche bereits aus, dass ein Dritter einen Personenbezug herleiten könne, ohne dass es auf die Möglichkeiten des Verantwortlichen ankomme.

Häufig hört man – gerade mit Blick auf das Beispiel der IP-Adresse –, dass der EuGH in der Rechtssache „Breyer“ (Urteil vom 19.10.2016, Az.: C-582/14) entschieden habe, dass IP-Adressen personenbezogen wären und der EuGH die „absolute“ Theorie vertreten würde.

Nun, das tut der EuGH nicht. Vielmehr vertritt der EuGH eine modifizierte relative Auffassung im Hinblick auf den Begriff des Personenbezuges. Es kommt nach der Rechtsprechung zwar nicht darauf an, dass der Verantwortliche unmittelbar einen Personenbezug aus den Daten herleiten kann. Wenn dem Verantwortlichen aber rechtliche Mittel zur Verfügung stehen, die es ihm erlauben, die betreffende Person anhand von Zusatzinformationen, die Dritte haben, zu identifizieren, dann ist ein Personenbezug gegeben. Damit hat der EuGH dem absoluten Verständnis des Begriffs des Personenbezugs eine deutliche Abkehr erteilt. Es kommt im Ergebnis also immer noch darauf an, dass der Verantwortliche (wenn auch nur mittelbar im Rahmen seiner rechtlichen Möglichkeiten) einen Personenbezug herleiten kann.

3.5 Besondere Kategorien personenbezogener Daten („Magendaten“)

In Art. 9 DSGVO werden besondere Kategorien personenbezogener Daten unter einen speziellen Schutz gestellt.

Dabei handelt sich um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung.

Ich nenne diese Kategorie „Magendaten“. Warum „Magendaten“? Das lässt sich leicht erklären. Immer wenn du mit diesen Arten von Daten zu tun hast, sollte sich dein Magen umdrehen. Und damit meine ich nicht das „Übergeben“, sondern, dass dein „Bauchgefühl“ sich bemerkbar macht. Denn diesen „Magendaten“ ist gemein, dass sie deshalb besonders schutzwürdig sind, weil sie in den Händen Dritter, die diese Daten „nichts angehen“, eine Gefahr für die Betroffenen darstellen können, weil sie ggf. Nachteile für sich befürchten müssen.

Fortan wirst du also bei „Magendaten“ ein kleines Warnsignal im Körper hören. Das sagt dir „STOPP! – Hier ist ggf. etwas zu beachten“.

Und das ist es auch. Denn nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung von „Magendaten“ grundsätzlich untersagt.

Von jedem Grundsatz gibt es Ausnahmen. Und so sind in Art. 9 Abs. 2 DSGVO eine Reihe von Ausnahmen geregelt. Nur muss ich diese auch erkennen und dann ggf. anwenden können. Greift eine Ausnahme nicht, dann ist die Verarbeitung von „Magendaten“ untersagt.

Der EuGH legt in seiner Rechtsprechung den Begriff der „besonderen Kategorien personenbezogener Daten“ übrigens weit aus. Danach unterliegen nicht nur personenbezogene Daten, die sich direkt auf eine in Art. 9 DSGVO genannte Kategorie beziehen, dem Anwendungsbereich der Vorschrift. Der EuGH lässt es ausreichen, dass aus Daten diese Kategorien herzuleiten sind.

So kann z.B. aus der Information, dass ein Mann auf Grundlage einer Vorschrift im Recht eines Mitgliedstaats der EU den Namen seiner Lebenspartnerin bzw. seines Lebenspartners angeben muss, ggf. hergeleitet werden, dass der betroffene Mann z.B. heterosexuell oder homosexuell sein kann. Und dann würden die anzugebenden Informationen ebenfalls in den Schutz und Anwendungsbereich von Art. 9 DSGVO fallen (EuGH, Urteil vom 1.8.2022, Az.: C-184/20)

Ein weiteres Beispiel für die weite Auslegung des EuGH ist, dass der Anbieter eines sozialen Netzwerkes im Internet ebenfalls die Vorgaben des Art. 9 DSGVO zu beachten hat, wenn die Nutzerinnen und Nutzer dort (auch entgegen den vertraglichen Bestimmungen) Informationen veröffentlichen, die dem Anwendungsbereich von Art. 9 DSGVO unterliegen, und insoweit dann eine spezifische Einwilligung bzgl. der Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich werden kann (EuGH, Urteil vom 4.7.2023, Az.: C-252/21).

3.6 Gebräuchliche Abkürzungen

„Datenschützer“ verwenden gerne Abkürzungen für bestimmte Begriffe, die sich mit der Zeit eingebürgert haben. Hier ist eine kleine Übersicht:

4. Wer bin ich als DSB?

Wenn Mandanten mich fragen, was die Kernkompetenz ist, die ein DSB haben sollte, dann ist meine Antwort aktuell: Frustrationstoleranz.

Ich meine das ganz ehrlich. Ich habe eine Menge von DSB in den letzten Jahren gesprochen, die gerade zu Beginn ihrer Tätigkeit unbefriedigt waren. Das hat vielerlei Gründe und hat neben der anfangs ggf. bestehenden eigenen Unsicherheit im Umgang mit dieser neuen Aufgabe auch Gründe, die im Unternehmen oder der Behörde selbst liegen.

In vielen Unternehmen und öffentlichen Stellen wird Datenschutz als „leidiges Thema“ wahrgenommen. Es gilt häufig das Vorurteil „Datenschutz bringt uns nichts, kostet aber Zeit und Geld“. Die Motivation, Tätigkeiten in diesem Bereich zu fördern und besonders zu unterstützen, ist oft gering.

Viele DSB sind in der Fremdwahrnehmung durch Kolleginnen und Kollegen eher anstrengend, weil sie eine zusätzliche „Hürde“ bei Abstimmungen oder Entscheidungen sein können. Einige nennen die Funktion des DSB sogar „lästig“.

Und dabei stimmt dies alles in der Form so sicher nicht. Und jeder DSB kann durch eigene Art und eigenes Auftreten dazu beitragen, das Thema Datenschutz intern „positiv“ zu besetzen.

Auf einigen Datenschutz-Schulungen hört man gerne mal den Spruch:

Nun, diese sicher nicht ganz ernst gemeinte Sichtweise ist nicht meine. Ich bin der festen Überzeugung, dass ein DSB das Thema Datenschutz im Unternehmen besser durch positive Motivation fördern kann.