Datenschutzbeauftragte allein zu Haus
24. November 2012 2 Kommentare
„Datenschutzbeauftragte – die überforderte Zunft“ betitelte die FAZ einen Artikel am Freitag letzter Woche. Peter Leppelt, der selber als Datenschutzberater in Hannover tätig ist, setzt sich in dem Artikel kritisch mit der Rolle der Datenschutzbeauftragten in Unternehmen auseinander. Leppelt beschreibt die Realität, die jeder, der als Datenschutzbeauftragter oder- berater arbeitet und in der Lage ist, seine eigene Rolle ehrlich zu reflektieren, wiedererkennt: Die Datenschutzbeauftragten können Missstände im Umgang mit Daten in Unternehmen anprangern, doch sie haben praktische keine Druckmittel, ihre Forderungen auch durch zu setzen. Ernstzunehmende staatliche Sanktionen von Datenschutzverstößen gibt es keine.
Keine ernstzunehmenden Sanktionen
So bleibt es den Unternehmen selber überlassen ob sie Lust haben, den Empfehlungen ihrer Datenschutzbeauftragten zu folgen und die Datenschutzgesetze einzuhalten. Tun sie es nicht, wird ihnen geschätzt in einem von 50.000 Fällen von Seiten der Datenschutzaufsichtsbehörden Ungemach drohen, wenn überhaupt. Und je größer das Unternehmen, desto höher die Wahrscheinlichkeit, dass Strafen aus der Portokasse bezahlt werden, wenn sie denn doch mal verhängt werden. Das ist gerade so als ob man einem Unternehmen die Zahlung von Steuern auferlegt – und werden die nicht freiwillig gezahlt, wird nie ein Finanzbeamter vorbei kommen und die geschuldeten Beträge pfänden. Eine absurde Vorstellung, die im Datenschutz Realität ist.
Sollten wir wirklich Gesetze einhalten?
Ich werde schon in Vorgesprächen zu möglichen Aufträgen oftmals gefragt: Was droht, wenn wir Ihren Ratschlägen nicht folgen? Was soll ich Ihnen sagen? antworte ich dann meistens. Wenn Sie in Datenschutz investieren, investieren Sie in vertrauensbildende Maßnahmen gegenüber ihren Kunden und Auftraggebern. Weil Sie meinen, dass es sich gehört, Gesetze einzuhalten. Aber nicht, weil sie Angst vor staatlichen Sanktionen haben müssten. Vor diesem Hintergrund kann ein Datenschutzbeauftragter tatsächlich sehr schnell zu einem „zahnlosen Tiger“ werden, wie Leppelt schreibt. „Ein Appell an den Staat seine Aufgabe ernst zu nehmen“, steht denn auch in der Einleitung des Artikels. Soweit so bekannt und im Grunde wenig bemerkenswert.
Verunglimpfung?
Bemerkenswert ist allerdings die Reaktion der Hamburger Datenschutzgesellschaft, die durch den Artikel offenbar den Berufsstand der Datenschutzbeauftragten genauso verunglimpft sieht wie die Unternehmen. Die Forderung nach einem Mehr an behördlichen Kontrollen beruhe auf „falschen Voraussetzungen“, so der Vorstand in einer Stellungnahme an die FAZ. „Wer inkompetente Datenschutzbeauftragte und rechtswidrig handelnde Unternehmen unterstellt, muss wohl ganz auf den Staat und staatliche Überwachung setzen“. Da staunt der Laie und die Fachfrau wundert sich. Sehen wir alle nicht jeden Tag Unternehmen, die massiv gegen datenschutzrechtliche Vorschriften verstoßen? Und das sind nur die besonders krassen Fälle, die überhaupt öffentlich werden. Sehen wir, dass diese Unternehmen Strafen auferlegt bekommen, die wehtun und Wiederholungstäter abschrecken? Nein. Das ist die bedauerliche Realität.
An der Wahrnehmung gehindert
Die – wenn auch nicht öffentliche – Realität sind die Klagen der (internen) Datenschutzbeauftragten in Unternehmen und Behörden über ihre vollkommen mangelhafte Ausstattung mit Zeit und Wissen, die eine auch nur ansatzweise ordentliche Wahrnehmung ihrer Aufgaben in der Regel verhindert. Die kennt jeder, der über entsprechende Kontakte und Erfahrungen verfügt und ein wenig hinhört. Ebenfalls nicht öffentliche Realität sind auch die Erfahrungen von externen Datenschutzbeauftragten, die in der Hoffnung bestellt werden, sie würden ihr Beratungshonorar kassieren, aber nicht ernsthaft arbeiten wollen. Alles das ist mitnichten eine Unterstellung böswilliger FAZ Autoren, wenn auch Ausnahmen wie überall die Regel bestätigen.
Selbstkontrolle wird es richten?
Nach Ansicht der Hamburger Datenschutzgesellschaft soll offenbar die Selbstkontrolle durch betriebliche Datenschutzbeauftragte das Allheilmittel gegen diese Umstände sein. Die Datenschutzabteilungen von „Facebook, Lidl oder bei der Bahn sind durch deren Geschäftsleiter in den vergangenen Jahren personell und fachlich extrem aufgewertet worden und wirken inzwischen im gesamten Unternehmensbereich. Gerade weil erkannt wurde, dass Verbesserungsbedarf besteht und dafür fachlich versierte und durchsetzungsstarke Mitarbeiter erforderlich sind, die mit ihrer Autorität teilweise sogar in der Presse erscheinen“, heißt es in der Stellungnahme wörtlich. Ah ja. Facebook wertet seine Datenschutzabteilung auf und alles ist gut? Das ist bestenfalls eine naive Annahme. Wer hofft, dass das allein zum Erfolg führen wird, kann auch bei der Steuerpflicht auf Freiwilligkeit und Selbstkontrolle setzen.
Ein konstruierter Gegensatz
Zweifelsohne ist die Rolle der Datenschutzbeauftragten eine wichtige und zweifelsohne sind viele von ihnen fachlich versiert und durchsetzungsstark. Doch die Datenschutzbeauftragten können der immer noch weit weitverbreiteten Missachtung von Datenschutzgesetzen nur wirkungsvoll etwas entgegensetzen, wenn sie auch ein Druckmittel haben. Dieses haben sie aber zurzeit nicht. Die für Datenschutzverstöße vorgesehenen Strafen sind lächerlich gering und werden kaum je verhängt. Auch von nicht-staatlicher Seite haben Datenverbrecher kaum je ernsthafte Sanktionen zu befürchten. Das zu konstatieren setzt mitnichten die Rolle der Datenschutzbeauftragten herab. Im Gegenteil, denn eine funktionierende staatliche Kontrolle der Einhaltung der Datenschutzgesetze würde ihre Position stärken.
Schade, dass die Hamburgische Datenschutzgesellschaft mit ihrer plumpen Reaktion die Chance vertan hat, die von Peter Leppelt angestoßene wichtige Diskussion aufzugreifen und fortzusetzen.
