Interviews

„Zertifizierungen sind kein Garant für Datenschutz in der harten Praxis.“

Interview mit Guido Hansch, Global Privacy Officer, CIPP/E & Head of Data Protection bei BIRKENSTOCK GmbH & Co. KG.

 

Datenschutz macht bekanntlich nicht an Landesgrenzen und auch nicht an vermeintlichen Sprachbarrieren halt. Wie wichtig ist es aus Ihrer Sicht für Datenschutzbeauftragte, weitere Sprachen lesen und auch sprechen zu können?

Seitdem die DSGVO Anwendung findet, ist die Beherrschung weiterer (insb. europäischer) Sprachen vielfach unabdingbar. Dies gilt insbesondere für Länder mit „aktiven“ Aufsichtsbehörden, wie z.B. der CNIL in Frankreich. Es ist daher wichtig, sicherzustellen, dass im Zweifel mit Mitarbeitern, sonstigen Betroffenen und Aufsichtsbehörden zeitnah und adäquat kommuniziert werden kann.

Nutzen Sie selbst bestimmte Übersetzungstools, um sich Fachwissen aus anderen Sprachen durchlesen zu können und wenn ja, welche?

Neben den jeweiligen Datenschutzkoordinatoren, die jeweils mindestens die englische Sprache, sowie die jeweilige Landessprache beherrschen sollten, haben sich KI-basierte Dienste (bspw. Deepl) als geeignet erwiesen, zumindest kurze Texte von der jeweiligen Landessprache (z.B. der jeweiligen Aufsichtsbehörde) ins Englische oder Deutsche zu übersetzen.

Es besteht so die Möglichkeit auch Pressemitteiliungen usw, von Aufsichtsbehörden oder Gerichtsurteile usw. mit geringem Aufwand zeitnah übersetzen zu lassen.

Fachwissen zum Datenschutzrecht, egal in welcher Sprache, ist nicht selten sehr juristisch. Sie selber sind Jurist, weshalb Ihnen die juristischen Termini leicht fallen dürften. Was würden Sie in Bezug auf das Aneigenen von Rechtswissen aber anderen Datenschützern empfehlen, die keine Juristen sind?

Die Frage ist schwierig zu beantworten. Die juristische Komplexität des Datenschutzes ist sicherlich in den vergangenen Jahren erheblich gestiegen. Als Beispiel kann die Frage dienen, wie eine Auslegung der DSGVO zu erfolgen hat. Mit der reinen deutschen Rechtssicht ist es seit Inkrafttreten der DSGVO nicht mehr getan, sondern es sind auch fundierte europarechtliche Kenntnisse (z.B. hinsichtlich der Auslegungsmethodik) nötig. Weiterhin halte ich auch Wissen aus den Querschnittsbereichen wie TMG, UWG, BetrVG usw. für notwendig. Datenschützer, die dieses Wissen nichts selbst haben, müssen es im Zweifelsfall durch externe Beratung einkaufen. Auch alle mir bekannten Kommentare und sonstige Literatur setzen die rechtlichen Grundlagen voraus.

Als Global Privacy Officer haben Sie ein sehr großes Aufgabengebiet. Welche Organisation und Kommunikationsmethoden empfehlen Sie großen internationalen Unternehmen, damit der DSB nach Art. 38 Abs. 1 DSGVO frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird?

Es ist elementar, dass zunächst die Verantwortlichkeiten und Zuständigkeiten in einer Organisation klar definiert und über alle Ebenen hinweg verstanden sind. Daneben benötigt ein Unternehmen Prozesse, die einerseits die Anforderungen des Art. 38 Abs. 1 DS-GVO sicherstellen (z.B. bei neuen Verarbeitungen oder im Rahmen einer DPIA), aber auf der anderen Seite ein entsprechendes Mindset der Mitarbeiter, damit die Prozesse auch im Alltag gelebt werden. Diese Prozesse können zur Überprüfung zB. regelmäßigen Belastungstests unterzogen werden. Die Frage der eingesetzen Kommunikationsmittel ist sicherlich sehr unternehmensspezifisch, aber es muss stets sichergestellt sein, dass relevante Informationen zeitnah an die richtige Stelle gelangen und nicht durch inhaltliche, sprachliche oder sonstige Barrieren verzögert werden. Relevant wird dies inbesondere bei fristgebundenen Themen, wie zum Beispiel Datenschutzverletzungen.

Einige Unternehmen arbeiten mit zusätzlichen Ansprechpartnern für Datenschutz in den Fachabteilungen, die dann Wissen verteilen und Informationen aufnehmen. Was halten Sie davon?

Ab einer gewissen Unternehmensgröße ist die Etablierung eines Netzwerkes im Bereich des Datenschutzes unabdingbar, insbesondere, um die frühzeitige Einbeziehung der relevanten Stellen zu gewährleisten.

Der Datenschutzbeauftragte oder auch die Datenschutz-Compliance kann bereits denklogisch nicht den Informations- und Wissenstand der jeweiligen Fachabteilungen haben und ist daher auf einen verlässlichen Informations- und Berichtsfluss angewiesen, um die zugewiesenen Aufgaben adäquat zu erfüllen. Koordinatoren oder auch Privacy Manager sind daher ein probates Mittel, um Informationen einzuholen und weiterzugeben. In der anderen Richtung sorgen Koordinatoren auch dafür, dass z.B. Themen aus dem Bereich Datenschutz in die Fachabteilungen gelangen.

Sie sind zwar Jurist, aber aus eigener Erfahrung als Juristin weiß ich, dass auch Rechtsexperten nicht alles wissen. Wann oder bei welcher Unternehmensgröße ist aus Ihrer Sicht die Zusammenarbeit mit externen Datenschutzexperten und -rechtsanwälten sinnvoll?

Spätestens bei konkreten Fragen, die sich nach einem Landesrecht richten, zu dem intern nicht (mehr) beraten werden darf. Daneben sind, wie bereits angesprochen, häufig rechtliche Querschnittsgebiete betroffen, die intern nicht vollständig mit eigener Expertise beantwortet werden können.

Auch intern gibt es oft noch Juristen neben dem Datenschutzbeauftragten. Welche Herausforderungen können sich Ihrer Meinung daraus ergeben und wie meistern Sie diese?

Gerade in größeren Unternehmen ist diese Frage meist Diskussionspunkt, da die Bereiche „Recht“, „Compliance“ und „Datenschutz“ allesamt mit Fragen des Datenschutzrechts befasst sein können. Gegebenenfalls stellt sich zusätzlich noch die Frage, inwieweit sich die Aufgaben des Internal Audit mit den Aufgaben der „Compliance“ und des „Datenschutzbeauftragten“ überschneiden.

Wieder kommt es m.E. darauf an, wie die einzelnen Verantwortlichkeiten und Aufgabenbereiche voneinander abgegrenzt sind. Aus Gesprächen mit vielen Kollegen habe ich den Eindruck gewonnen, dass die Frage weniger pressiert, sofern sich der Datenschutzbeauftragte eng an seinen in Art. 39 DSGVO orientiert.

Datenschutzbeauftragte haben häufig Zusatzqualifikationen. Sie selbst sind zum Beispiel noch CIPP/E des IAPP (Certified Privacy Professional Europe). Wie wichtig sind Ihrer Meinung nach diese Art Zertifikate oder Zusatzausbildungen? Welche halten Sie für besonders gut oder relevant?

Grundsätzlich halte ich es für sinnvoll mit Zertifikaten die Fachkenntnis belegen zu können. Allerdings ist mit Zertifikaten stets nur der Nachweis theoretischer Kenntnisse verbunden. Die Anwendung der Theorie bei der Entwicklung, Implementierung und Auditierung eines Datenschutzmanagementsystems in der Praxis ist allerdings eine völlig andere Sache. Somit ist eine Zertifizierung zwar Nachweis der notwendigen theoretischen Kenntnisse, aber kein Garant für Datenschutz in der harten Praxis.  

Ich selbst habe mich früh für die Zertifizierungen der IAPP entschieden, da sie m.E. als einzige Zertifizierung geeignet ist, den globalen Rahmen des Datenschutzschutzes abzudecken und mit der CIPM-Zertifizierung auch einen Nachweis für das (theoretische) Entwickeln und Führen eines Datenschutzmanagementsystems anbietet. Weiterhin ist die IAPP mit aktuell über 40.000 Mitgliedern auch mit Abstand die größte Organisation in diesem Bereich und bietet mit ihren internationalen Kongressen und Veranstaltungen ein hochwertiges Netzwerk an.  

Und generell: Welches Buch nehmen Sie am liebsten in die Hand, wenn Sie doch einmal etwas nachschlagen wollen?

Bei mir sind der Ehmann/Selmayr, Taeger und Gierschmann immer in Griffweite. Gleiches gilt auch für die Zeitschriften ZD und PinG. Natürlich gibt es daneben aber noch eine Vielzahl anderer hochwertiger Nachschlagewerke.

Und welche Literatur würden Sie Anfängern im Datenschutz empfehlen?

Ich würde zunächst den Gesetzestext der DSGVO samt Erwägungsgründen empfehlen und dies mit einem Kurzkommentar verbinden. Ein Lehrbuch, wie wir es aus der juristischen Ausbildung her kennen, ist mir so nicht bekannt bzw. aktuell noch nicht veröffentlicht.

Zu guter Letzt noch eine ganz persönliche Frage und Empfehlung: Welche/r Datenschützer/in, Datenschutzexperte bzw. Datenschutzbeauftragte/r hat bei Ihnen besonders Eindruck hinterlassen und warum?

Hier möchte ich (ohne Rangfolge) fünf Personen nennen, obwohl die Liste eigentlich länger sein müsste.:

  • Tim Wybitul: Für mich die Referenz an der Schnittstelle Datenschutz, Compliance- und Arbeitsrecht
  • Ulrich Baumgartner: Ein stets sehr verlässlicher Ansprechpartner im gesamten IT-Recht.
  • Michael Schmidl: Große Expertise im Bereich Datenschutz & Compliance.
  • Winfried Veil: Bewundernswert sind seine kritischen und stets fundierten Einwürfe zum Datenschutzrecht.
  • Anna Zeiter: eine sehr sympathische Kollegin, deren Vorträge ich stets sehr informativ und pragmatisch finde.

Vielen Dank Herr Hansch für Ihre Zeit und Ihre wertvollen Einblick! 

*Hinweis: Die Antworten stellen die persönlichen Erfahrungen und die Meinung von Herrn Hansch dar.

Über DPO Insights: Ich habe das Format DPO Insights geschaffen, um die Datenschutzbeauftragten (DSB) zu Wort kommen zu lassen. Jeder braucht sie, aber kaum einer möchte ein DSB sein noch mit einem sprechen. Auf DPO Insights möchte ich deshalb DSB die Möglichkeit geben, Erfahrungen und Wissen über persönliche, organisatorische und ganz alltägliche Anforderungen und Herausforderungen zu erlangen und zu teilen. Ich freue mich über Feedback oder Interessenten für Interviews! Ihre, Jana Moser

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Seite enthält Links zu Online Shops wie z.B. amazon.de. Die Anbieter dieser Shops sammeln über ihre Cookies direkt Informationen von Besuchern dieser Webseite, um sie wieder in ihren Shops und auf anderen Seiten zu erkennen und Informationen über diese Besucher für Werbeprogramme bereitzustellen. Mehr Informationen finden Sie in der Datenschutzinformation.