Kundenvertrauen – das ist für viele Unternehmen das wichtigste Asset in ihrem Geschäftsmodell. Datenschutz sollte daher nicht als lästige Pflicht verstanden und aus Furcht vor Strafzahlungen infolge von Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO) betrieben werden, sondern aus ureigenem Geschäftsinteresse. Im „Daily Business“ kommt es allerdings häufig zu Reibereien mit dem Datenschutzbeauftragten, die für Projektverzug und Ärger sorgen sowie Zeit und Geld kosten. Denn: Einzelne Mitarbeiter verfolgen bei ihren Projekten vor allem ihre operativen Ziele ohne die datenschutzstrategische Agenda ihres Unternehmens im Hinterkopf. Für Björn Wenninger, Manager bei der Management-Beratung Berg Lund & Company, haben sich in der Praxis drei Grundsätze als nützlich erwiesen, um solche Konflikte zu vermeiden.

  1. Andere Perspektive einnehmen

Wie in allen Bereichen des Lebens hilft es auch im Umgang mit Datenschutzbeauftragten, sich in die Position des Gegenübers hineinzuversetzen. Der Datenschutzbeauftragte hat kein leichtes Los: Geht etwas bei der Handhabung personenbezogener Daten schief, muss er sich dafür verantworten. Jeder Schaden für sein Unternehmen – zum Beispiel für den Ruf des Hauses –, der sich aus dem unsachgemäßen Umgang mit personenbezogenen Daten ergibt, fällt direkt auf ihn zurück. Und dies ungeachtet der Tatsache, ob dieser Schaden auf einen Fehler oder ein unmittelbares Versäumnis seinerseits zurückzuführen ist oder nicht.

Gleichzeitig beteiligt das Unternehmen ihn, um Interessenskonflikte im Spanungsfeld zwischen ökonomischen Potenzialen und datenschutzrechtlichen Beschränkungen zu vermeiden, aus gutem Grunde nicht am wirtschaftlichen Erfolg. Gerade im Bankenumfeld, in dem Vertrauen das höchste Gut ist, stellen Verstöße gegen den Datenschutz eine Gefahr dar, die sogar die Existenz des Instituts bedrohen kann. Aus Sicht des Datenschützers gilt daher: Vorsicht steht über allem.

Jeder, der sich über ein vermeintlich kurzsichtiges Veto des verantwortlichen Datenschutzbeauftragten ärgert, sollte sich daher zunächst die Frage stellen, ob er unter diesen Voraussetzungen anders handeln würde. Die Antwort wird nicht selten ein „Nein“ sein. Ein solches Verständnis für den Anderen hilft bereits dabei, Grabenkämpfe zu vermeiden und stattdessen gemeinsam nach Lösungen zu suchen, die pragmatisch und für beide Seiten zufriedenstellend sind.

  1. Datenschutzbeauftragten früh einbinden

Als Beispiel kann folgende Situation dienen: Für ein Projekt hat ein Unternehmen viel Geld in die Hand genommen, und die Mitarbeiter haben Überstunden gemacht. Kurz vor dem Ende der Konzeptionsphase beziehen sie den Datenschutzbeauftragten mit ein und erbitten seine fachliche Meinung. Die Praxiserfahrung lehrt, dass es bei der absoluten Mehrheit der Fälle Anpassungswünsche seinerseits gibt. Meist sind seine Hinweise auch wohl begründet und die Projektbeteiligten nehmen sie als hilfreich und richtig an. Im besten Fall geht es nur um ein paar kleinere Anpassungen oder organisatorische Maßnahmen. Es kann jedoch auch zum GAU kommen, und der Erfolg des Projekts steht gänzlich infrage. Das Ergebnis: Langwierige und teure Anpassungen am ursprünglichen Konzept sind vonnöten.

Sollte das Projekt einen Berührungspunkt mit der Verarbeitung personenbezogener Daten haben, führt früher oder später ohnehin kein Weg an einer Abstimmung mit dem Datenschutzbeauftragten vorbei. Binden die Projektmitarbeiter ihn bereits zu Beginn der Konzeptionsphase ein, lassen sich mögliche Schwierigkeiten rechtzeitig identifizieren und gemeinsam wesentliche Leitlinien für einen erfolgreichen Projektverlauf abstecken. Dies spart mittelfristig viel Arbeit und schont das Budget.

  1. Gemeinsam Lösungen ausloten

Ist der Datenschutzbeauftragte früh in ein Projekt eingebunden, können die übrigen Beteiligten von seiner Expertise im Datenschutzdschungel profitieren. Anstatt den obersten Datenschützer im Unternehmen als binären „Abnicker“ für mehr oder weniger fertige Konzepte zu betrachten, kann er in vielen Fällen zu einem essenziellen Teil des Projektteams werden. Denn zum einen fördert der Austausch von Fach- und Datenschutz-Expertise im Team ein gemeinsames Verständnis für die vorhandenen Spielräume, die die datenschutzrechtlichen Vorgaben bieten. Zum anderen zeigt die Erfahrung, dass durch Diskussionen zwischen den Mitarbeitern oft kreative Lösungen für zunächst vermeintlich unlösbar erscheinende Probleme entstehen.

In einem Projektbeispiel ist es im Schulterschluss zwischen Fachseite und Datenschutzbeauftragtem nach anfänglichen Differenzen etwa gelungen, eine pragmatische Lösung für den Umgang mit dem Prinzip der minimalen Rechtevergabe gemäß MaRisk im Kontext einer aus datenschutzrechtlicher Sicht kritischen IT-Anwendung zur elektronischen Kreditaktenverwaltung zu erarbeiten. Durch das gemeinsame Ausloten und Bewerten der Lösungsoptionen entsteht im Idealfall ganz nebenbei eine aussagekräftige Dokumentation. Sie zeigt zum Beispiel, in welchem Umfang sich die Mitarbeiter mit Fragen des Datenschutzes auseinandergesetzt haben.

Dazu zählen: Welche möglichen Folgen können die Projektergebnisse aus datenschutzrechtlicher Sicht haben? Wie bewertet das Projektteam vorhandene Ansätze bezüglich ihrer datenschutzspezifischen, betrieblichen, IT-technischen und kostenseitigen Implikationen? Die Anforderungen an eine DSGVO-konforme Datenschutz-Folgenabschätzung, die bei Anpassungen mit einem voraussichtlich hohen Risiko explizit gefordert wird, sind somit bereits zu großen Teilen erfüllt.

Weitere Informationen stehen unter www.berg-lund.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.