Artikel aus dem Handelsblatt Journal CYBERSECURITY & DATENSCHUTZ vom 21.11.2022
Datenschutz in einem Konzern – das ist wie Flöhe hüten. Zumal dann, wenn sich der Konzern – wie die EnBW und mit ihr vermutlich alle Konzerne in Europa – vorgenommen hat, sich zu transformieren und hierzu besonders auf die Digitalisierung zu setzen. Digitalisierung wiederum heißt, bei jeder Verarbeitung sicher zu stellen, dass personenbezogene Daten datenschutzkonform genutzt werden. Als EnBW haben wir hier die gesamte Wertschöpfungskette der Energiewirtschaft zu bewältigen. Das beginnt beim Schutz unserer Monteure bei ihrem Einsatz auf den Windenergieanlagen Offshore, geht über Videoanlagen systemkritischer Kraftwerksanlagen, berührt die energiewirtschaftliche Abwicklung der Kunden und endet nicht zuletzt bei unseren Mitarbeitenden sowie denen der Callcenter.
Dabei gilt es, die verschiedenen Player der Digitalisierung im Konzern einzubinden, deren Rollen klar vor Augen zu haben und diese Rollen gut miteinander in Verbindung zu bringen. Um es gleich vorwegzunehmen: Dies kann nur gelingen, wenn zwei Dinge umgesetzt werden:
- Ein gut funktionierendes Managementsystem, welches einen wie auf Schienen durch den Konzern bringt, klug die Datenschutzprüfung in die Geschäftsprozesse einbindet und Beratung genauso sicher stellt wie Kontrolle.
- Eine Form der Zusammenarbeit aller Beteiligten, die von Wertschätzung und ernsthaftem Verstehenwollen geprägt sowie fokussiert ist auf ein gemeinsames Ziel: Den verantwortungsvollen Umgang mit personenbezogenen Daten im Unternehmen unter steter Fortsetzung der Digitalisierung.
Wer trägt die Verantwortung?
Um aus dem rosaroten Bild wieder auszubrechen, muss eines in aller Klarheit gesagt werden: Im Falle eines Datenschutzverstoßes ist es selten die Geschäftsführung, welche unternehmensintern für den Verstoß zur Verantwortung gezogen wird. Vielmehr richten sich alle Augen auf den Bereich, der angeblich für den Datenschutz verantwortlich zeichnet – also den Datenschutzbeauftragten oder die Leitung der Datenschutzabteilung. „Datenschutz macht der Datenschutz“, ist ein Satz, den alle Datenschutzberater:innen kennen. Nun wissen wir alle, dass die DSGVO bzw. das BDSG die Verantwortung für die Verarbeitung nicht beim Datenschutzbeauftragen (DSB) sieht, sondern beim Verantwortlichen, also in letzter Konsequenz der Geschäftsführung. Der DSB soll letztere ja eher „kontrollieren“ und in Bezug auf datenschutzrechtliche Sachverhalte beraten. Die Realität aber ist, naheliegend und nachvollziehbar, dass alle Augen auf den DSB gerichtet sind, wenn die Frage aufgeworfen wird, ob die beabsichtigte Verarbeitung – noch – datenschutzkonform ist. Und so richtet sich der Blick eben auch dorthin, wenn etwas schief gegangen ist. Nun darf sich hieraus keine Abwehrhaltung ergeben. Anders gesagt: Sage ich als Berater:in immer nur, was nicht geht, um so unangreifbar zu bleiben, haben wir alle ein Problem. Denn die Digitalisierung schreitet voran, findet in sensiblen Lebensbereichen statt und sollte gerade deshalb nicht ohne Datenschutzberatung erfolgen. Damit ist die Zielsetzung klar: Die Beratung ist so zu gestalten, dass sie für den Fachbereich hilfreich ist und deshalb angefragt wird.
Auflösung des Dilemmas: Klarheit in den Rollen
Zunächst einmal zurück zu den Rollen, die für den Umgang mit personenbezogenen Daten im Unternehmen wesentlich sind:
- Der Fachbereich, der Daten nutzen muss oder möchte. Das sind Vertrieb, Personalabteilung und Data Center der Unternehmen.
- Dann ist da der CISO, der das Unternehmen schützen und als solcher im Zweifel auf die personenbezogenen Daten zugreifen können möchte.
- Dann die IT-Sicherheit, die die notwendigen Schutzmechanismen kennen und implementieren muss.
- Da ist die Geschäftsführung als „Verantwortliche“, der Datenschutzbeauftragte als „Kontrolleur“ und die beratende Datenschutzabteilung – häufig im oder nahe am Legal-/Compliance-Bereich etabliert.
Alle Rollen haben eine andere Sicht und andere Ziele im Hinblick auf dieselben Daten. Diese Sichtweisen zusammenzubringen, ist meines Erachtens Grundvoraussetzung für eine wirksame Umsetzung der DSGVO im Unternehmen. Wir haben hierzu ein Gremium eingerichtet: Den „Data Compliance Jour Fixe“, in dem wir gemeinsam Positionen entwickeln. Das allein aber wäre nicht ausreichend. Gleichzeitig findet das Finden gemeinsamer Sichten jeden Tag in der Beratung statt. Hierbei das Verständnis für das Ansinnen des Gegenübers zu haben, ist hilfreich. Dabei ist die von Wertschätzung und ernsthaftem Verstehenwollen geprägte Haltung äußerst dienlich. Diese Haltung gelingt umso besser, je klarer die Rollen beschrieben sind. Sehr gute Erfahrungen haben wir mit einer Nähe zwischen dem Datenschutzbeauftragten und der Legal-Datenschutzberatung gemacht. Der DSB ist eng integriert in die Beratung und kann auf sie Einfluss nehmen. Klar ist: Seine Dotted Line und das Eskalationsrecht zum Vorstand sind Waffen, welche umso wirksamer sind, je bewusster er hiervon Gebrauch macht. Der Datenschutzbereich ist daneben geprägt von juristischer Beratung. Er ist nahe an denjenigen Bereichen angesiedelt, welche den Umgang mit personenbezogenen Daten im Wesentlichen treiben. Die Geschäftsmodelle zu verstehen, frühzeitig in Projekte eingebunden zu werden und damit schon von Beginn an Einfluss auf das Geschäftsmodell und damit auf das Schutzniveau personenbezogener Daten nehmen zu können, bedeutet „Privacy by Design“. Die Umsetzung dieses von der DSGVO geforderten Prinzips gelingt durch das Nebeneinander von Datenschutzbeauftragten und Datenschutzberatern sehr gut. Und muss seine Fortsetzung in der Abteilung finden, die die technischen und organisatorischen Maßnahmen implementiert.
Klarheit im Vorgehen
Neben der Beratung ist eine klare Struktur, mit Hilfe derer die Einhaltung der DSGVO-Vorgaben zum einen sichergestellt und zum anderen kontrolliert werden, notwendig, um die Verantwortung der ordnungsgemäßen Organisation zu managen. Diese liegt – da ist das OWiG eindeutig – bei der Geschäftsführung. Nicht zuletzt dieser Umstand hat sicherlich zu der zunehmenden und sinnvollen Etablierung und Ausprägung von Datenschutzabteilungen in den Konzernen geführt. Es bot sich an, nicht Neues zu erfinden, sondern Bewährtes zu nutzen, und so haben wir als EnBW ein Managementsystem etabliert und gestalten es beständig fort, welches auf dem Prüfungsstandard IDW PS980 der Wirtschaftsprüfer fußt. In einer Ausprägung, die die datenschutzrechtlichen Belange berücksichtigt. Dieses System ist das Netz, welches von der dezentralen Verarbeitung und der Beratung, über die notwendige Dokumentation und Audits, hin zu der Kommunikation, Schulung sowie Regelinformation des Vorstands und Aufsichtsrats gewebt ist und so eine wiederkehrende Erinnerung und Befassung mit den Themen der DSGVO sicherstellt. Eine wesentliche Rolle spielen dabei die dezentralen Datenschutzmanager:innen, die die Verantwortlichen vor Ort bei der Umsetzung der DSGVO-Anforderungen unterstützen. Sie sind notwendige Ankerpunkte für dieses Netz und ohne sie wäre das Managementsystem nicht umsetzbar.
Mindset
Datenschutz kann nur gelingen, wenn die schon von der DSGVO geforderte Abwägung zwischen den Freiheitsrechten des Einzelnen einerseits und der Notwendigkeit der Verarbeitung andererseits ernst genommen wird. In diesem Abwägungsprozess steckt alles drin: Der Diskurs, das Wiegen von Argumenten, das gegenseitige Einbeziehen. Die Datenschutzabteilung wird ihre Rolle im Abwägungsprozess erfüllen können, wenn die Softskills gut ausgeprägt sind. Verstehen wollen, was das Business beabsichtigt, die Fähigkeit zum Perspektivwechsel aller Beteiligter und nicht zuletzt – weil Quelle unzähliger Missund Fehlverständnisse – die ausführliche Kommunikation. Hinzu kommt die Fähigkeit, sich einerseits als Berater zu etablieren, andererseits aber auch klare Governance aufzuzeigen, wenn dies erforderlich ist. Ein Spagat, der nicht immer einfach umzusetzen ist, der aber umso leichter wird, je klarer ist, dass ein guter Rat auch einmal in einem Verbot liegen kann, um so den Erfolg nachhaltig werden zu lassen. Ein Datenschutz-Team ist so aufzustellen, dass all diese Aspekte berücksichtigt sind. Und wenn es dann noch jemanden gibt, der Flöhe husten hört, kann gar nichts mehr schief gehen. ■
