Wir sind schutzbedürftig. Na ja, viel mehr unsere Daten: Sobald mehr als neun Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, muss ein Datenschutzbeauftragter bestellt werden – so will es das Bundesdatenschutzgesetz (§ 4f). Der oder die Auserwählte muss für diese Aufgabe vor allem Fachkunde und Zuverlässigkeit mitbringen. Letzteres trifft auf Björn Küttner zweifelsfrei zu. Seit 13 Jahren gehört er zu LINET Services und ist eines unserer prägendsten Gesichter bei Kunden – menschlich beliebt und fachlich versiert. Der geborene Datenschutzbeauftragte also. Und er erfüllt noch ein anderes wichtiges Kriterium: Er ist nicht Teil unserer Führungsebene. Wäre er das, wären Interessenkonflikte vorprogrammiert, da der Hüter des Datenschutzes unbedingt unvoreingenommen und neutral agieren soll. Das könnte er kaum, wenn er auch sich selbst auf den Prüfstand stellen müsste. Eine seiner Hauptaufgaben ist das genaue Beobachten aller datenbezogenen Prozesse. Hier gilt: Schaut ein Datenschutzbeauftragter zu lange weg, kann er persönlich belangt werden. Um die notwendigen Fachkenntnisse zu erlangen, hat Björn ein einwöchiges Audit durchlaufen – das machte ihn schonmal zur Fachkraft für Datenschutz.
Drei Tage lang galt es, zusammen mit vier weiteren Teilnehmern, Gesetze zu pauken. Grundlage waren das Landes- und das Bundesdatenschutzgesetz. 2018 sollen deren Regelungen durch die EU-Datenschutzverordnung abgelöst werden. Tag vier behandelte technische Themen – auch die natürlich gewürzt mit diversen Paragraphen. Am fünften Tag hat Björn erfolgreich die freiwillige, schriftliche Prüfung abgelegt. Nachdem er von LINET Services offiziell schriftlich dazu bestellt wurde, wird er DEKRA-zertifizierter Datenschutzbeauftragter sein. Um die Gültigkeit des Zertifikats nach drei Jahren weiterhin zu erhalten, stehen fortan mind. 8 Stunden fachgerechte Weiterbildung pro Jahr auf seiner Aufgabenliste.
Björn erzählt, dass es sehr interessant war und wiederholt das noch ein paar Mal – scheint also zu stimmen. Dabei war er fast ein bisschen verwundert, wie umfangreich und einnehmend das Feld „personenbezogene Daten“ ist, selbst, wenn es nur um völlig triviale Punkte geht. In den ersten 100 Tagen als Datenschutzbeauftragter, das haben ihnen die drei Dozenten gesagt, würde man beinahe in Vollzeit auf dem neuen Aufgabengebiet agieren, ehe man ein berufsbegleitendes Level erreicht. Diese Zeit sei durchaus entscheidend, hat er gelernt: Man kann das Thema Datenschutz schnell auf die Spitze treiben und Unternehmen damit komplett lahm legen. Ist natürlich nicht Sinn und Zweck der Sache. Viel mehr sollen Datenvermeidung und Datensparsamkeit Einzug halten – Datenschutz für den Datenschatz eben. Wir reden hier zwar nicht von einem Piratenschatz, aber nicht weniger behutsam als solchen, gilt es, personenbezogene Daten zu behandeln.
Intern gibt es jetzt einiges zu tun: „Wir müssen erstmal alles überprüfen und noch ein paar Schritte erledigen, damit wir komplett datenschutzkonform sind“, sagt Björn. Da muss dringend eine interne Schulung über die zweckgebundene Erhebung und Nutzung von Daten her. So kennt jeder von uns die wichtigsten Begriffe und weiß, was zu tun ist. Wussten Sie zum Beispiel, dass es nicht nur eine Tugend, sondern von Rechts wegen sogar Pflicht ist, den Bildschirm zu sperren, sobald man seinen Arbeitsplatz verlässt? Das A und O – und das gilt eigentlich überall – ist stets das Einverständnis der Nutzer, deren Daten man bearbeitet. Im Grunde ist Datenschutz eine sehr machbare Sache – vorausgesetzt, man hält sich an ein paar Regeln.