Marcel Päßler wurde im März als Betrieblicher Datenschützer für semcona bestellt. Wir haben mit ihm über seine Aufgaben und die bald in Kraft tretende DSGVO gesprochen.

Daniela: Hallo Marcel und herzlichen Glückwunsch zur bestandenen TÜV-Prüfung sowie zur Ernennung als Betrieblicher Datenschützer für semcona! Welche Aufgaben und neuen Herausforderungen kommen jetzt auf Dich zu?

Marcel: Hallo Daniela und danke für die Gratulation. Die Aufgabe eines Betrieblichen Datenschützers ist es im Grunde, den Finger in die Wunde zu legen. Er muss aufzeigen, wo in der Firma hinsichtlich Datenschutz noch Optimierungsbedarf besteht und sie in Bezug auf Lösungsansätze beraten. Die Umsetzung liegt dann bei der Firma selbst.

Im Allgemeinen hat ein Betrieblicher Datenschützer auf die Erledigung vieler Formalien hinzuwirken. Zum Beispiel müssen Verträge zur Auftragsdatenverarbeitung (ADV) mit den Firmen geschlossen werden, welche für semcona personenbezogene Daten erheben, verarbeiten oder speichern. Außerdem werde ich demnächst damit anfangen, Verfahrensverzeichnisse zu erstellen. Dabei geht es darum, zu dokumentieren und festzulegen, bei welchen Prozessen wer Zugriff auf welche personenbezogenen Daten hat, wie lange diese aufbewahrt werden dürfen und wann die Daten vernichtet werden müssen etc. Das geht schon beim Bewerbungsprozess los. So muss beispielsweise definiert werden, wie mit den Daten der Bewerber umgegangen wird, wer diese einsehen darf, wie lange die Bewerbungsunterlagen aufbewahrt werden müssen bzw. dürfen und wo sie abzulegen sind. Das wird sicherlich sehr mühsam, dies alles erst einmal zu durchdenken und zu planen. Allerdings ist es für die Einhaltung des Datenschutzes sehr wichtig.

Weiterhin bin ich dafür verantwortlich, dass semcona technische, organisatorische Maßnahmen (kurz: TOM) trifft, um die Sicherheits- und Schutzanforderungen des Bundesdatenschutzgesetzes (BDSG) zu gewährleisten. Dazu gehören solche Themen wie die Zugangskontrolle zu einzelnen Räumen, die Nutzung sicherer Passwörter aber auch das Schreddern von vertraulichen Dokumenten, wenn sie nicht mehr benötigt werden.

Last but not least übernehme ich als Betrieblicher Datenschützer auch die Schulung und Beratung unserer Mitarbeiter. Wenn jemand meint, dass es ein Problem in Bezug auf Datenschutz bei uns gibt oder Unsicherheiten bestehen, kann er sich gern an mich wenden.

Insgesamt kann man zusammengefasst sagen, dass ich als Betrieblicher Datenschützer darauf zu achten habe, dass semcona in Bezug auf den Datenschutz gesetzeskonform arbeitet.

Daniela: Für Deine Ausbildung hast Du ein einwöchiges Seminar besucht und ihr habt wahrscheinlich sehr viele unterschiedliche Fragestellungen behandelt. Was waren für Dich die spannendsten Themen? Hattest Du vielleicht sogar einen Aha-Moment?

Marcel: Meinen persönlichen Aha-Moment hatte ich, als ich gleich am Anfang gesehen habe, wie viele Unternehmen das Thema Datenschutz erst jetzt für sich erkennen, obwohl das Bundesdatenschutzgesetz, welches seit 1977 existiert, bereits 2009/2010 umfangreich novelliert wurde. Das betrifft nicht nur kleine Firmen, sondern auch große Konzerne. Viele Unternehmen haben den Datenschutz bisher eher entspannt behandelt und stehen jetzt vor großen Problemen und Herausforderungen. Ein Mitarbeiter eines großen Telekommunikationsdienstleisters hat beispielsweise erzählt, dass er als Admin einer Cloud alle Daten der Kunden einsehen könnte – obwohl er es eigentlich gar nicht dürfte.

Aktuell ist das Thema Datenschutz wirklich am Hochkochen. Je mehr man darüber nachdenkt, desto schwieriger wird es eigentlich. So sind ja schon Vor- und Nachnamen personenbezogene Daten. Das heißt, dass beispielsweise jede Agentur mit mehr als zehn Mitarbeitern, in der ja tagtäglich hunderte E-Mails geschrieben werden, theoretisch einen Datenschutzbeauftragten bräuchte. Wenn ich mich jedoch am Markt so umsehe, wird das nur in den wenigsten Fällen so umgesetzt. Ich würde sogar so weit gehen zu behaupten, dass die wenigsten Agenturen überhaupt eine Idee zum Thema Datenschutz haben.

Ein zweiter Aha-Moment ist für mich die Erkenntnis, dass auch bei unseren Mitarbeitern meine Belehrungen zum Thema Datenschutz langsam erste Früchte tragen. Ich musste neulich schmunzeln, als vor der Mittagspause eine Kollegin die andere ermahnte, beim Verlassen des Raumes doch den Laptop zu sperren, weil es sonst Ärger mit mir geben würde. ?

Daniela: Stimmt, mich hast Du auch schon ziemlich beeinflusst. Als ich neulich im Home Office war und meinen Schreibtisch verlassen wollte, um mir ein Getränk zu holen, habe ich auch schon ganz automatisiert den Rechner gesperrt. Dann musste ich auch über mich lachen ?. Doch zurück von semcona zu unserer Gesellschaft: Denkst Du, das gesteigerte Bewusstsein für das Thema Datenschutz, hängt mit der im Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) zusammen?

Marcel: Ja, ich denke schon. Ich beobachte auch, dass sich aktuell ein Markt entwickelt. Es gibt immer mehr Experten, die Unternehmen zum Thema Datenschutz als Externer Datenschutzbeauftragter beraten (wollen). Zum Beispiel ist mir auch bei der Schulung aufgefallen, dass es viele Unternehmen gibt, die ursprünglich aus Bereichen wie Qualitätssicherung oder Arbeitsschutz kommen und jetzt ihr Portfolio erweitern, weil das von ihren Kunden momentan stark nachgefragt wird.

Ich glaube aber auch, dass das Thema Datenschutz immer mehr in den Köpfen der Leute angekommen ist. Datenschutz wird Mainstream. Dank der Digitalisierung haben wir es heute in so ziemlich allen Bereichen unseres täglichen Lebens mit der Erhebung, Verarbeitung und Speicherung von Daten zu tun. 2009/2010, als das BDSG novelliert wurde, war unser Alltag einfach noch nicht so digital. Das erste iPhone kam 2007 auf den Markt. Ich denke, dies hat so bisschen die Grundlage für den Aufbruch in die Digitalisierung der Wirtschaft gelegt. Mainstream war es aber auch 2009/2010 noch lange nicht. Heute sind wir jedoch mittendrin in der Digitalisierung – daher wird das Thema Datenschutz noch wichtiger.

Daniela: Die DSGVO stellt Unternehmen vor große Veränderungen. Um den neuen gesetzlichen Anforderungen entsprechen zu können, gibt es viel zu tun. Was sind zusammengefasst die wichtigsten Aufgaben, denen sich Unternehmen jetzt schnellstmöglich stellen sollten?

Marcel: Im Grunde genommen ändert sich nicht so viel – einiges ist gleichgeblieben, anderes hat sich etwas verändert bzw. wurden Begrifflichkeiten angepasst. Wichtig ist, dass jedes Unternehmen jetzt genau überprüfen sollte, mit welchen externen Dienstleistern Verträge zur Auftragsdatenverarbeitung abzuschließen sind. Bisher war es beispielsweise so, dass der Auftraggeber überprüfen muss, ob der Auftragnehmer auch die Vorgaben des Datenschutzes einhält. So muss beispielsweise ein Unternehmen untersuchen, ob die beauftragte externe Lohnbuchhaltung allen Anforderungen des Datenschutzes in Bezug auf die Erhebung, Verarbeitung und Speicherung der personenbezogenen Daten tatsächlich gerecht wird. Das bedeutet natürlich einen enormen bürokratischen Aufwand. Übrigens, ab Mai sind sowohl der Auftraggeber und der Auftragnehmer in der Pflicht, die TOMs und ADV zu regeln.

Daniela: Eigentlich sollte mit der DSGVO ja auch die ePrivacy Verordnung am 25. Mai 2018 in Kraft treten. Wie es momentan aussieht, wird es wohl u.a. durch den langwierigen Regierungsbildungsprozess in Deutschland zu Verzögerungen kommen. Die geäußerten Absichten im Koalitionsvertrag sind noch relativ unkonkret, aber es sieht so aus, als wolle die neue Bundesregierung an der ePrivacy Verordnung sägen. Das käme den ein oder anderen Lobbyverbänden zugute. Was glaubst Du, welche Rolle spielen Datenschutz und der Schutz der Privatsphäre der Nutzer in Deutschland im europaweiten Vergleich tatsächlich?

Marcel: Tja, zuallererst ist ja die spannende Frage, welche Teile vom Koalitionsvertrag wie genau umgesetzt werden. Wie Du schon sagst, die Formulierungen dort sind ja auch noch sehr schwammig. Weshalb sich die neue Regierung jetzt so stark von der Lobbyarbeit beeinflussen lässt, kann ich Dir leider auch nicht sagen. Aber worauf ich auch einmal hinweisen möchte: Alle Verbraucher sind der Meinung, Cookies sind böse. Teils zurecht. Aber gefühlt besitzt jeder zweite Deutsche mindestens eine DeutschlandCard oder eine PAYBACK Karte. Diese zeichnen das komplette Kaufverhalten auf und analysieren es. Setzt man die Karten beim Einkauf ein, macht man sich als Kunde komplett nackig. Hier wünsche ich mir auch etwas mehr Bewusstsein in der Bevölkerung für einen sensibleren Umgang mit personenbezogenen Daten und den Schutz der Privatsphäre.

Nichtsdestotrotz existieren bereits heute eine Vielzahl von Tools, die es mir ermöglichen, auch im Web anonym zu surfen. Ich denke, es wird auch zukünftig niemand aktiv zustimmen, dass Cookies gesetzt werden, damit Werbung geschaltet werden kann. Dafür fehlt dem Nutzer einfach der relevante Mehrwert. Hier müssen neue, innovative Lösungen, wie das kontextuelle Targeting geschaffen werden, die auch ohne den Einsatz von Cookies ein datenschutzkonformes Targeting ermöglichen.

Insgesamt denke ich aber schon, dass Deutschland im Hinblick auf Datenschutz im europaweiten Vergleich gut aufgestellt ist. Ich denke da gern an meine Ausbildung zum Marktforscher zurück. Dort hatten wir es immer mit relativ starken Regulierungen zu tun. Ich glaube andere Länder, wie zum Beispiel Irland, hängen beim Datenschutz weitaus mehr zurück. Nicht ohne Grund sitzen dort Firmen wie Facebook oder Google. Aus Datenschutzsicht kann man in diesen Ländern bisher so ziemlich alles machen. Doch dies wird sich ja jetzt durch die DSGVO, die als Verordnung ja europaweit gilt und nicht erst in nationales Recht umgesetzt werden muss, glücklicherweise ändern.

Daniela: Vielen Dank, dass Du Dir die Zeit für unser Gespräch genommen und uns so einen spannenden Einblick in das Thema Datenschutz gegeben hast!

 

Disclaimer: Der Gesetzgeber untersagt kostenlose Rechtsberatung. Wir bieten keine Rechtsberatung an.

Daniela Kloth verantwortet als Head of Marketing die konsequente Ausrichtung der semcona GmbH mit ihren Smart Relevance Solutions an den Bedürfnissen des Marktes. Als erfahrene Medienmanagerin verfügt sie über umfangreiches Know-how im Onlinemarketing, der Presse- und Öffentlichkeitsarbeit sowie im Bereich Social Media Marketing. Im semcona Blog beschäftigt sie sich intensiv mit den Themen Context Marketing, Cognitive Computing sowie Smart Data.