Datenschutz ist Führungsaufgabe
Es passiert nicht so häufig, aber es passiert: Vor ein paar Wochen haben wir das Mandat mit einem Kunden beendet, den wir gut zwei Jahre lang als externe betriebliche Datenschutzbeauftragte beraten haben.
Die Zusammenarbeit im Rahmen eines solchen Mandats als externe betriebliche Datenschutzbeauftragte setzt eine Einigkeit über das gemeinsame Vorgehen beim Aufbau einer Datenschutzorganisation in dem jeweiligen Unternehmen voraus. Sie setzt auch eine gute Kommunikation und verlässliche Absprachen über die notwendigen Aufgaben und deren Umsetzung voraus. Für den Fall, dass etwas nicht gut läuft, ist es hilfreich wenn man Probleme rechtzeitig offen benennt.
Datenschutz ist Führungsaufgabe?
Das Wichtigste aber ist die Tatsache, dass Datenschutz eine Führungsaufgabe ist und diese Verantwortung müssen die zuständigen Führungskräfte im Unternehmen wahrnehmen. Wir können noch so gute Ideen für den Aufbau eines Datenschutzmanagements in einem Unternehmen haben – wenn die Geschäftsführung diese inhaltlich und auch ihre Umsetzung nicht unterstützt, ist der Nutzen für das Unternehmen gering bis nicht vorhanden.
Die Rolle des externen Datenschutzbeauftragten
In dem Mandat, das ich eingangs erwähnte, trafen unterschiedliche Vorstellungen von der Rolle eines externen Datenschutzbeauftragten aufeinander. Das Unternehmen hatte eine Reihe von sehr grundlegenden internen Umstrukturierungen und mehrere Führungskräftewechsel vorgenommen. Als wir bestellt wurden, war das Unternehmen gerade dabei sich weitgehend neu zu organisieren und erhoffte sich von uns die Dienstleistung Datenschutz etwa so, wie man einen Dienstleister mit einer Aktenvernichtung beauftragt: Abholung der Akten beauftragt, datenschutzkonforme Vernichtung bestätigt, Angelegenheit aus dem Sinn. So einfach ist es aber leider in Bezug auf die Etablierung von Datenschutz und Informationssicherheit in einem Unternehmen nicht.
Wechselspiel in der Zusammenarbeit
Im konkreten Fall ist es uns nicht gelungen, eine Zusammenarbeit aufzubauen, in der unsere Handlungsempfehlungen aufgenommen und umgesetzt wurden. Man erwartete von uns fertige Konzepte und wir schafften es nicht zu vermitteln, dass wir Konzepte nur individuell auf die jeweiligen Besonderheiten des Unternehmens zuschneiden können (und wollen). Damit das gelingt, ist aber ein „Input“ seitens des Unternehmens erforderlich.
Richtlinie „BYOD“
Beispiel: wir sollen eine Richtlinie für den Einsatz privater Smartphones, Laptops etc. für dienstliche Zwecke („Bring Your Own Device – BYOD“) erarbeiten, weil es dazu im Unternehmen keine Regelung gibt. Jeder Mitarbeiter tut diesbezüglich was er für richtig hält, mit den entsprechenden Folgen für die Informationssicherheit. Um eine sinnvolle Richtlinie zu entwerfen, muss es allerdings in einem Unternehmen vorher eine Reihe grundsätzlicher Entscheidungen geben. Soll der Einsatz von privaten Geräten für dienstliche Zwecke erlaubt oder verboten sein? Falls erlaubt, soll die Erlaubnis für alle denkbaren Geräte gelten und für alle Mitarbeiter oder nur für einzelne? Diese Richtungsentscheidungen muss die Unternehmensleitung getroffen haben, bevor wir ernsthaft an die Arbeit gehen können. Selbstverständlich umfasst unsere Beratungstätigkeit auch die Vorbereitung der Richtungsentscheidung. Wir zeigen die Vorteile einer bestimmten Regelung auf, die Nachteile, die rechtlichen Risiken und die technischen Voraussetzungen. Auf der Grundlage dieser Beratung kann dann die Unternehmensleitung eine Entscheidung treffen und wir können wiederum auf der Grundlage dieser Entscheidung daran gehen die Details einer Richtlinie auszuarbeiten.
Weichenstellung durch das Unternehmen
Die entscheidenden Weichen können aber nicht wir stellen, das muss das Unternehmen selber tun und anderenfalls können wir höchstens einen allgemeinen Mustertext für eine „Bring Your Own Device“ – Richtlinie liefern. Einen allgemeinen Mustertext findet man aber jederzeit im Netz, dafür braucht man keinen externen betrieblichen Datenschutzbeauftragten. Wird die Grundsatzentscheidung nicht getroffen, weil im Unternehmen niemand die Führungsverantwortung wahrnimmt und notfalls auch unpopuläre Entscheidungen trifft, zieht sich diese Fragestellung als offener Punkt über Monate oder gar Jahre.
Vorgaben für externe Dienstleister
Ein weiteres Beispiel umfasste ein Ersuchen an uns, die Zusammenarbeit mit einem Dienstleister vertraglich abzusichern, der in dem Unternehmen die unternehmenseigene IT warten sollte. Hier galt es vorrangig, den Zugriff des Dienstleisters auf die Patientendaten zu verhindern, die das Unternehmen im Auftrag von Arztpraxen verarbeitete. Ein Projektleiter, dessen technischer Sachverstand sich in überschaubaren Grenzen hielt, war als unser verantwortlicher Ansprechpartner benannt. Eine direkte Kommunikation mit den internen IT-Verantwortlichen wurde uns mit der Begründung vorenthalten, diese hätten das Vorhaben geprüft und es gebe keine Möglichkeit, den Zugriff des Dienstleisters auf die Patientendaten durch technische Maßnahmen zu verhindern. Jede Frage zu den technischen Details der Unternehmens-IT und dem geplanten Vorhaben gerieten auf diese Weise zu einem umständlichen Lauf zwischen dem Projektleiter und uns, der unsere Fragen weiterreichte und die Antworten aufbereitete. Gleichzeitig wurden unsere Empfehlungen durch ihn fast durchweg mit dem Prädikat „nicht praktikabel“ versehen und letztlich so eine datenschutzkonforme Regelung der Angelegenheit verhindert. Die Geschäftsführung, die von uns schließlich informiert und um Entscheidung gebeten wurde, lavierte unentschlossen hin und her, und war offenbar nicht gewillt, den Konflikt mit dem Projektleiter zu suchen und auszutragen.
Klare Vorgaben sind nötig
Nötig wäre eine Entscheidung gewesen, ob man unsere Vorschläge umsetzen wollte, und die entsprechende Anweisung an die verantwortlichen Mitarbeiter, für die Einleitung der nötigen Schritte zu sorgen. Sofern Patientendaten (oder andere als sensibel einzustufende Daten) betroffen sind, kann so eine unentschlossene Haltung verheerende Folgen für das Unternehmen haben, von dem Haftungsrisiko für den Geschäftsführer selber einmal ganz abgesehen.
Datenschutz ist Führungsaufgabe!
Derartige Beispiele gibt es viele und immer läuft die Lösung solcher Konflikte darauf hinaus, dass Führungsverantwortung erkannt und wahrgenommen werden muss. Leider ist gerade die Wahrnehmung der zentralen Bedeutung des Themas Datenschutz und Informationssicherheit für ein Unternehmen unter Geschäftsführern und Vorständen noch immer nicht sehr ausgeprägt. Zu oft wird es als ein Thema betrachtet, „mit dem sich mal die IT beschäftigen soll“ und mit dem die Unternehmensleitung möglichst wenig behelligt werden möchte. Diese Sichtweise verkennt aber auch die Chancen, die eine entschlossene Herangehensweise an die Themen Datenschutz und Informationssicherheit birgt.