Dein Freund und Helfer!?
Datenschutz ist wichtig, Datenschutz ist richtig. Für die Bankenbranche, in der das Thema Kundenvertrauen eine besonders wichtige Rolle einnimmt, gilt das umso mehr. Dennoch birgt die Auseinandersetzung mit dem Datenschutzbeauftragten im Projektalltag ein gewisses Konfliktpotenzial. Drei einfache Grundsätze können dabei helfen, dass die Auseinandersetzung mit dem Datenschutz gelingt.
Beim Thema Datenschutz keine Risiken eingehen
Das Timing hätte für Mark Zuckerberg kaum schlechter sein können. Kurz bevor die EU Datenschutzgrundverordnung (DSGVO) am 25. Mai in allen 28 Mitgliedsstaaten der Europäischen Union verbindlich wirksam wird, musste der Facebook-Chef unlängst einräumen, dass über achtzig Millionen Nutzer seiner Social-Media-Plattform Opfer systematischen Datenmissbrauchs durch die Analysefirma Cambridge Analytica geworden waren. Es folgten eine Anhörung vor dem US-Kongress sowie herbe Kursverluste der Facebook-Aktie. Und das trotz eines Geschäftsmodells, bei dem sämtliche Beobachter ohnehin davon ausgehen mussten, dass Datenschutz und -sicherheit nicht allzu großgeschrieben werden.
Banken müssen bei diesen Themen traditionell vorsichtiger agieren – und sie tun es auch. Kundenvertrauen verstehen sie zurecht als absolut erfolgskritischen Eckpfeiler ihres Geschäfts. Gleichzeitig haben sie naturgemäß ein gesteigertes Interesse daran, die in ihren IT-Systemen reichlich verfügbaren Kundendaten für zielgerichtetere Produktansprachen zu nutzen und sie so in vertriebliche Erfolge umzumünzen. Dabei sollten sie jedoch das rechte Maß stets im Auge behalten. Denn neben der Erosion des Kundenvertrauens drohen bei unsachgemäßem Umgang mit personenbezogenen Daten auch empfindliche Geldstrafen. So sieht die DSGVO Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes vor.
Der Datenschutzbeauftragte als Gatekeeper
In dieser komplexen Gemengelage kommt der Funktion des Datenschutzbeauftragten eine besondere Bedeutung zu. Gemäß Artikel 39 der DSGVO überwacht der Datenschutzbeauftrage – weisungsfrei und unabhängig von Vorgesetzten – die Einhaltung der gültigen Datenschutzbestimmungen in seinem Unternehmen. Hierzu analysiert er (oder sie) unter anderem den Status quo von Prozessen und IT-Systemen, mittels derer personenbezogene Daten verarbeitet werden und zeigt etwaig vorhandene Schwachstellen sowie Verbesserungspotenziale auf.
Der Datenschutzbeauftragte wird in vielen Projekten eher als Bremsklotz wahrgenommen.
Bei der Einführung neuer IT-Systeme oder Prozesse nimmt der Datenschutzbeauftragte daher oftmals die Position eines „Gatekeepers“ ein. Obwohl er qua Rollendefinition über keinerlei Weisungsbefugnis verfügt, ist die Implementierung einer Softwarelösung oder die Umsetzung eines Prozesses entgegen seiner (expliziten) Empfehlung schlechterdings kaum vorstellbar. Die damit verbundenen persönlichen Risiken für die jeweiligen Entscheidungsträger sind dafür schlichtweg zu hoch.
Vor diesem Hintergrund wird der Datenschutzbeauftragte in vielen Projekten eher als Bremsklotz wahrgenommen: Mit seinen – vermeintlich – übertriebenen Bedenken verzögert er den Projektfortschritt über Gebühr, erzwingt teure Anpassungen oder zerfleddert das perfekt ausgereifte Fachkonzept, bis nur noch ein wirkungsloser Abklatsch der ursprünglichen Idee übrig ist – so zumindest die in vielen Projekten, wenn auch meist hinter vorgehaltener Hand, vorgebrachte Kritik von Fachseiten und Entscheidungsträgern.
So klappt’s auch mit dem Datenschützer
Den Kopf in den Sand zu stecken, ist jedoch selten bis nie eine gute Option. Die Hürde Datenschutz muss in vielen Projekten – beispielsweise im Zusammenhang mit der Freigabe eines Berechtigungskonzepts für eine neue IT-Anwendung – früher oder später unweigerlich genommen werden. Damit das möglichst erfolgreich und geräuschlos vonstatten geht, haben sich in meiner Praxiserfahrung drei Grundsätze bewährt:
- Die Perspektive wechseln
Wie in vielen anderen Lebenslagen hilft auch im Kontext des Datenschutzes ein Perspektivwechsel dabei, ein besseres Verständnis für die Herangehensweise der anderen Partei zu gewinnen: Der Datenschutzbeauftragte befindet sich in einer sehr exponierten Lage. Jeder (Image-)Schaden für sein Unternehmen, der sich aus dem unsachgemäßen Umgang mit personenbezogenen Daten ergibt, fällt unmittelbar auf ihn zurück – unabhängig davon, ob dieser Schaden auf ein irgendwie geartetes Versäumnis seinerseits zurückzuführen ist oder nicht.
An wirtschaftlichen Erfolgen partizipiert der Datenschutzbeauftragte zur Vermeidung von Zielkonflikten jedoch aus guten Gründen nicht. Gerade im vertrauensbasierten Banking-Umfeld können Verstöße schnell zu einer existenzbedrohenden Gefahr werden. Vorsicht ist also das oberste Gebot und Grauzonen müssen qua Rolle eher schwarz als weiß interpretiert werden.
Wie würde ich in dieser Situation agieren? Vermutlich nicht anders. Ein solches Grundverständnis hilft bereits dabei, Grabenkämpfe zu vermeiden und gemeinsam nach einer pragmatischen und für beide Seiten zufriedenstellenden Lösung zu suchen.
- Den Datenschutzbeauftragten frühzeitig einbinden
Nur wenig ist ärgerlicher als viel Zeit, Geld und Herzblut in ein Projekt investiert zu haben, nur um auf der Zielgeraden noch einen Knüppel zwischen die Beine geworfen zu bekommen. Diese Gefahr droht regelmäßig, wenn der Datenschutzbeauftragte erst am Ende der Konzeptionsphase konsultiert wird. Dass der Datenschutzbeauftragte die Ampel dann gänzlich ohne Anpassungswünsche auf grün setzt, stellt nach meiner Erfahrung eher die sprichwörtliche Ausnahme von der Regel dar. Zumeist sind seine Hinweise auch wohl begründet und werden von den Beteiligten im Projekt als hilfreich und richtig anerkannt. Im günstigen Fall lassen sich die vorhandenen Bedenken dann mit ein paar wenigen Anpassungen oder organisatorischen Maßnahmen beseitigen. Im schlimmsten Fall steht der Projekterfolg jedoch komplett auf der Kippe und umfangreiche, teure und langwierige Anpassungen am ursprünglichen Konzept sind erforderlich.
Sofern das Projekt einen irgendwie gearteten Berührungspunkt mit der Verarbeitung personenbezogener Daten hat, führt kein Weg an einer Abstimmung mit dem Datenschutzbeauftragten vorbei.
Warum also das Unvermeidliche unnötig hinauszögern?
Bindet man den Datenschutzbeauftragten bereits zu Beginn der Konzeptionsphase ein, lassen sich No-Gos rechtzeitig identifizieren und gemeinsam wesentliche Leitplanken für einen erfolgreichen Projektverlauf abstecken. Das erspart mittelfristig oftmals viel (böses) Blut, Schweiß und Tränen – und schont auch das Projektbudget.
- Gemeinsam den Lösungsraum ausloten
Die Einbindung des Datenschutzbeauftragten in einer frühen Projektphase ermöglicht es auch, von dessen Expertise im Datenschutzdschungel zu profitieren. Anstatt den obersten Datenschützer im Unternehmen als binäre „Abnickinstanz“ für mehr oder weniger fertige Konzepte zu betrachten, kann er in vielen Fällen zu einem essenziellen Teil des Projektteams gemacht werden. Zum einen wird durch die Melange von Fach- und Datenschutzexpertise im Team ein gemeinsames Verständnis für die vorhandenen Spielräume, die der Datenschutz gestattet, gefördert. Zum anderen zeigt die Erfahrung, dass im Zuge von Diskussionen oftmals kreative Lösungen für zunächst vermeintlich unlösbar erscheinende Probleme entstehen können.
Der Buy-in des Datenschutzbeauftragten wirkt darüber hinaus dem oben beschriebenen Phänomen entgegen, Grauzonen per se aus dem Lösungsraum auszuschließen. So ist es uns in einem Projekt im Schulterschluss zwischen Fachseite und Datenschutzbeauftragtem nach anfänglichen Differenzen beispielsweise gelungen, eine pragmatische Lösung für den Umgang mit dem Prinzip der minimalen Rechtevergabe gemäß MaRisk im Kontext einer aus datenschutzrechtlicher Sicht kritischen IT-Anwendung zur elektronischen Kreditaktenverwaltung zu erarbeiten.
Positiver Nebeneffekt: Durch das gemeinsame Ausloten und Bewerten von Lösungsoptionen entsteht im Idealfall en passant bereits eine aussagekräftige Dokumentation darüber, dass sich das Projekt intensiv mit Fragen des Datenschutzes auseinandergesetzt, sich Gedanken über mögliche Folgen der Projektergebnisse aus datenschutzrechtlicher Sicht gemacht und die vorhandenen Lösungsoptionen bezüglich ihrer datenschutzspezifischen, betrieblichen, IT-technischen und kostenseitigen Implikationen bewertet hat. Zusammengefasst: Die Anforderungen an eine DSGVO-konforme Datenschutz-Folgenabschätzung, die bei Anpassungen mit einem voraussichtlich hohen Risiko explizit gefordert wird, werden somit bereits zu großen Teilen erfüllt.
Werden diese drei einfachen Grundsätze beherzigt, sollte es auch mit dem Datenschützer klappen. Und vielleicht werden aus anfänglich Fremden am Ende eines erfolgreich abgeschlossenen Projekts ja sogar so etwas wie Freunde …