Interviews

Eigentlich braucht man die „eierlegende Wollmichsau“

Interview mit Jutta Löwe, seit März 2018 Group Data Protection Officer bei Brenntag Holding GmbH

Frau Löwe, Sie sind letztes Jahr, passend zum Inkraftreten der DSGVO, zur Brenntag Holding GmbH gewechselt und nun Group Data Protection Officer. Glückwunsch erst einmal! Davor waren Sie bereits als Legal bzw. Corporate Counsel inhouse unterwegs. Da Sie auch zusätzlich fortwährend selbstständige Rechtsanwältin sind, haben Sie einen guten Einblick zur externen und internen Datenschutzberatung. Verraten Sie mir daher, was aus Ihrer Sicht der größte Unterschied zwischen der internen und externen Tätigkeit als Datenschützer ist? 

Danke erst einmal.

Ja, das ist richtig. Seit März 2018 bin ich bei Brenntag. Da ich einige Zeit auch als Rechtsanwältin und externe Datenschutzbeauftragte tätig war, kenne ich beide Seiten. Die Beauftragung eines externen Datenschutzbeauftragten kann für ein Unternehmen auch Vorteile haben. Die eigenen Mitarbeiter können sich auf ihre Kerntätigkeiten fokussieren. Besonders in kleineren Unternehmen kann es sich rechnen, einen externen Experten zu beauftragen.

Als interner DSB kann man aber einfacher sicherstellen, in die Prozesse auch wirklich eingebunden zu sein. Man lernt schneller, wie Prozesse in einem Unternehmen gelebt werden. Man ist näher dran am Geschehen und den Projekten, das hat ebenfalls Vorteile. Die DSGVO verlangt eine wirkliche Implementierung des Datenschutzes in jede Abteilung, jeden Mitarbeiter. Die zunehmende Digitalisierung führt zu einer Flut von neuen Projekten zur Datenverarbeitung, bei denen verstärkt immer auch der Datenschutz zu beachten ist. Da es im Moment besonders viele ungeklärte Rechtsfragen zur Auslegung und Anwendung der neuen Regelungen gibt, tauchen auch im Unternehmen jeden Tag neue Fragen auf. Ab einer gewissen Größe wäre ein externer DSB ohnehin rund um die Uhr im Unternehmen. Da lohnt es sich, die Position intern aufzubauen.

Immer wieder kommen Datenschutzbeauftragte eher aus den Bereichen Compliance oder Technik. Die meisten professionellen Datenschützer sind jedoch Rechtsanwältin. Meinen Sie, dass diese umfassende juristische Ausbildung für eine Tätigkeit als Datenschutzbeauftragter notwendig ist? 

Eigentlich braucht man die „eierlegende Wollmichsau“, also Jurist, Techniker, Diplomat, und Seelsorger auch manchmal… aber wo gibt es das schon. Mir ist ehrlich gesagt schleierhaft, wie ein Nichtjurist die vielen komplexen rechtlichen Fragen, die sich gerade in Zusammenhang mit der Auslegung und Anwendung der DSGVO im Moment stellen, lösen, geschweige denn ertragen kann. Wir erleben es bei uns im Team jeden Tag, dass wir komplexe Rechtsfragen diskutieren. Ich bewundere jeden Kollegen zutiefst, der das ohne juristische Grundausbildung durchmacht. Wir haben viele lokale Koordinatoren, die nur in Teilzeit Ansprechpartner sind und wir haben viel Arbeit damit, die Rechtslage zu erklären. Nehmen Sie den internationalen Datentransfer. Diese Standardvertragsklauseln kann man doch keinem normal Sterblichen noch sinnvoll erklären. Hier setze ich große Hoffnungen in das EDPB (European Data Protection Board). Datenschutzbeauftragte, die keine juristische Ausbildung haben, sollten hier eng mit der Rechtsabteilung oder externen Juristen zusammenarbeiten.

Juristen tun sich meiner Erfahrung nach oft nicht ganz leicht, technische Sachverhalte zu erfassen. Das ist bei einem Datenschutzbeauftragten jedoch essentiell. Wie nähern Sie sich technischen Sachverhalten und Fragen? 

Ich weiß, wo meine Grenzen sind. Abgesehen davon ist die IT ein sehr weites Feld. Wenn ich jemandem begegne, der behauptet, er kennt sich überall gut aus, dann werde ich misstrauisch. Also brauche ich ein fachlich gut aufgesetztes Team aus Experten (intern oder extern), die ich fragen kann. Man muss lernen, die richtigen Fragen zu stellen. Da ich schon immer gerne mit IT- Kollegen zusammengearbeitet habe, habe ich das ein oder andere schon mal gehört oder gesehen. Aber ohne IT Experten an meiner Seite wäre ich verloren. Bei Brenntag arbeiten wir eng mit den Experten aus der IT-Sicherheit zusammen.

Selbst wenn ein Datenschutzbeauftragter sich nun notwendiges Wissen aus anderen Fachgebieten aneignet, um eine Datenverarbeitung zu analysieren, muss er seine Ergebnisse doch verständlich an die zu beratenden Kollegen und Mandanten weitergeben. Welchen Rat würden Sie hier Kollegen geben, die stets das Gefühl haben, als Verhinderer und nicht als Partner wahrgenommen zu werden?

Man muss immer auch wirtschaftlich denken und pragmatisch bleiben. Wir müssen Lösungen finden, die die Vorgaben erfüllen und das Unternehmen nicht zu sehr behindern, im besten Fall fördern. Für mich ist Datenschutzcompliance ein Wettbewerbsvorteil. Datenschutz schafft Vertrauen. Reine Formalia werden dagegen häufig als störend empfunden. Hier muss man kreativ sein. Wenn ich eine Rechtsgrundlage für die Verarbeitung habe, ist eine Aufforderungen zu Einwilligungen beim Kunden unnötig. Er wird doch ohenhin mehr als ausreichend informiert.

An der Uni war ich Gasthörerin bei den Kommunikationswissenschaftlern und ich habe in Münster das Hochschulradio mit aufgebaut. Da habe ich gelernt: „Wenn der Leser den Text nicht versteht, ist der Text schlecht geschrieben.“ Ich versuche immer, die Rechtslage möglichst zielgruppenorientiert zu erklären. Das ist nicht immer leicht. Beispiele helfen natürlich. Wir haben in unseren Schulungen Kollegen aus allen Bereichen mit den unterschiedlichsten Lebensläufen. Das muss man im Blick haben.

Es besteht bei der DSGVO im Moment besonders die Gefahr, dass man sich in den Regelungen verliert. Hier rate ich jedem, dann gedanklich einen Schritt zurück zu treten und sich wieder bewusst zu machen, was der Sinn un Zweck des Gesetzes ist. Auch Juristen vergessen das gerne. Es geht um die informationelle Selbstbestimmung des Individuums, Grundrechte der Bürger sollen bewahrt werden. Das ist die Maxime, an der wir uns ausrichten sollten. Und schon bin ich wieder beim Volkszählungsurteil des BVerfG, in dem schon 1983 festgestellt wurde: Der Mensch soll jederzeit wissen, wer was wann über ihn erfährt, speichert und nutzt. Wenn man sich ständig beobachtet fühlt, kann man nicht frei leben.

Kommunikation von Datenschutz ist nach meiner Erfahrung fundamental wichtig, da man sonst nur Papiertiger schafft und Datenschutz nicht wirklich umgesetzt wird. Aus Ihrer praktischen Erfahrung als Group Data Protection Officer: Welche Herausforderungen gibt es vor allem bei größeren Unternehmen, wenn es um die Kommunikation der Relevanz und schließlich die Umsetzung von Datenschutz geht? 

PR, PR und noch mal PR. Wir müssen viel mehr Werbung für den Datenschutz machen. Damit die Awareness nicht wieder sinkt. In den letzten zwei Jahren, das Damoklesschwert der DSGVO über dem Kopf, war die Angst und damit auch die Bereitsschaft groß, das Thema anzugehen. Das hat viel Bewusstsein geschaffen. Aber mittlerweile erlebe ich, dass es den einen oder anderen gibt, der heimlich hofft, dass es wieder vorbei geht mit diesem Datenschutz.

Datenschutz muss in die DNA des Unternehmens implementiert werden, in die Köpfe jedes einzelnen. Brenntag hat dieses Prinzip in Bezug auf Safety, also Arbeitssicherheit, schon sehr gut umgesetzt. Als Unternehmen in der Chemiebranche haben wir eine große Verantwortung, da wir mit gefährlichen Stoffen handeln, bei denen die Sicherheit an erster Stelle steht. Es war ein langer Weg, dieses Sicherheitsbewusstsein im Unternehmen zu verankern. Davon können wir im Datenschutz profitieren. Besonders mit zunehmender Digitalisierung muss man die datenschutzrechtlichen Erfordernisse von Anfang an im Blick haben.

Einige große Unternehmen setzen zur Optimierung der Kommunikation mit dem betrieblichen Datenschutzbeauftragten auf „Koordinatoren“ oder „Datenschutzexperten“, die dann in Teilen des Unternehmens Wissen verteilen und Informationen sammeln. Kennen Sie dieses Konzept und was halten Sie davon?

Es ist essenziell, dass man die Arbeit aufteilt. Eine Person allein kann die ganze Flut an Kommunikation und Arbeit nicht allein bewältigen. Zusätzlich ist der DSB nach der DSGVO auch stärker verpflichtet, Rat, Strategien und Leitlinien zu geben und die Implementierung zu überwachen und zu kontrollieren. Ohne zusätzliche Mitarbeiter, die vor Ort in den Standorten und Ländern Ansprechpartner un Koordinatoren sind, wäre es nicht möglich, die Vorgaben umzusetzen. Wir haben in Europa ein Netz aus Koordinatoren, die vor Ort als Ansprechpartner in der jeweiligen Landessprache zur Verfügung stehen und die Umsetzung koordinieren. Herausfordeurng für uns ist dann natürlich der Wissenstransfer in die Region und die Harmonisierung, die wir uns zum Ziel gesetzt haben. Insofern geht es uns wie dem EDPB, wir wollen unternehmensweit den Datenschutz harmonisieren, die DSGVO hilft da nicht immer. Es gibt ja einige Öffnungsklauseln.

Was sollte Ihrer Meinung nach eine Person, die auf dem Gebiet des Datenschutzes beraten möchte oder sogar als Datenschutzbeauftragter bestellt werden soll, neben reinem Fachwissen noch mitbringen?

Diplomatisches Geschick und eine hohe Frustrationstoleranz sind äußerst hilfreich. Mir persönlich ist zusätzlich eine aufgeschlossene und positive Grundhaltung wichtig, sowie der unbedingte Wille, Lösungen zu finden, die die Grundrechte der Menschen wahren und dabei Innovationen unterstützen. Wir wollen doch den digitalen Wandel mitgestalten und nicht verhindern.

Häufig sind Budgets von Datenschutzbeauftragten, wenn sie überhaupt ein eigenes haben, besonders klein. Welche organisatorischen und finanziellen Ressourcen sollte ein Datenschutzexperte in einem Unternehmen auf alle Fälle einkalkulieren?

Organisatorisch ist natürlich die volle Rückendeckung des Vorstandes sowie der Geschäftsleitung unablässlich. Ohne Unterstützung von ganz oben, wird man dauerhaft wenig erreichen können. Das Unternehmen muss Datenschutz als Chance begreifen und nicht lediglich als leidige Vermeidung eines Bußgelds.

Ohne Budget geht es nicht, das ist klar. Und, ja, ich habe ein eigenes Budget. Das muss ich genauso verteidigen, wie andere Abteilungen. Letztlich muss man sehen, was im Einzelfall notwendig und angemessen ist. Zurzeit sind die Fortbildungskosten sicher höher, als üblich, da die Rechtslage noch neu ist und ein intensiver Austausch mit Aufsichtsbehörden und anderen Experten besonders wichtig ist. Insbesondere für Datenschutz-PR, also Awareness Aktionen, wird meist zu wenig eingeplant. Aber im Verbund mit Informations-Sicherheit kann man die Geschäftleitung leichter überzeugen, dass die Sensibilisierung der Mitarbeiter für Datenschutz und Datensicherheit auch dem Schutz der Geschäftsgeheimnisse dient.

Zu guter Letzt noch eine ganz persönliche Frage und Empfehlung: Welche/r Datenschützer/in, Datenschutzexperte bzw. Datenschutzbeauftragte/r hat bei Ihnen besonders Eindruck hinterlassen und warum?

Professor Alexander Roßnagel natürlich. Ich habe bei ihm in der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) an der Uni Kassel gearbeitet. Dort habe ich die Begeisterung für Datenschutz entdeckt und verstanden, wie fundamental wichtig die informationelle Selbstbestimmung für eine freie, demokratische Gesellschaft ist.

*Hinweis: Die Antworten stellen die persönlichen Erfahrungen und die Meinung von Frau Jutta Löwe dar.

Über DPO Insights: Ich habe das Format DPO Insights geschaffen, um die Datenschutzbeauftragten (DSB) zu Wort kommen zu lassen. Jeder braucht sie, aber kaum einer möchte ein DSB sein noch mit einem sprechen. Auf DPO Insights möchte ich deshalb DSB die Möglichkeit geben, Erfahrungen und Wissen über persönliche, organisatorische und ganz alltägliche Anforderungen und Herausforderungen zu erlangen und zu teilen. Ich freue mich über Feedback oder Interessenten für Interviews! Ihre, Jana Moser

5 Kommentare

  • Frank (Linuxkumpel)

    Vielen Dank für das Interview. Die Problematik scheint mehr oder weniger immer wieder die Gleiche zu sein. Egal, ob kleines, mittleres oder großes Unternehmen. Ich bin jetzt sozusagen „Datenschutzeinzelkämpfer“ in einer kleinen IT-Firma. Zuvor war ich unter anderem auch der Datenschutzbeauftragte in einer kleinen Kommunalverwaltung im Osten Brandenburgs und zugleich IT-Koordinator, Fachdienstleiter, Standesbeamter und zuständig für das Rats-Informationssystem und und … Die Behörde habe ich selbständig mit Generalvollmacht vor dem Verwaltungsgericht vertreten und mit Anwälten an Verhandlungen am Land- und Oberlandesgericht teilgenommen. Für die Kanzleien war ich in Schadenersatzprozessen sozusagen die juristische Hilfskraft, da ich auch die Schadenmeldungen für den Kommunalen Schadenausgleich aufnahm und bearbeitete. So erhielt ich meine juristische Grundausbildung ohne je Jura studiert zu haben. Lediglich Seminare, die ich an einer Hand abzählen kann und intensives Selbststudium in der Freizeit waren Grundlage für erfolgreiche Verhandlungen am Verwaltungsgericht. Kuriose Konstellationen, war jedoch so.
    Kurze Anmerkungen zum IT-Koordinator, der inoffizielle Administrator, offiziell gab es einen externen Dienstleister, dessen Tätigkeit ich koordinierte. IT-Onkel und Datenschützer hätte Probleme bereitet. Interessenkonflikte gab es so bereits genug. Z.B. bei Rechtevergaben für Nutzer war ich ja weisungsgebunden, auch wenn es gegen meine Auffassung als DSB war. In der Regel habe ich allerdings selbständig gehandelt, da ich die Aufbau- und Ablauforganisation genau kannte. Habe ja selbst die entsprechenden Dienstanweisungen geschrieben.
    So habe ich gelernt, Du brauchst ein breites Kreuz, musst Nerven wie Drahtseile haben und alles beamtensicher (höhere Form von idiotensicher) erklären können.
    Warum das alles? Ohne den kurz geschilderten beruflichen Werdegang, würde ich kein guter DSB sein.
    Der DSB braucht Rechtskenntnisse, IT-Kenntnisse, hohe soziale Kompetenz und gute Kommunikationsfähigkeiten. Die Struktur und die Abläufe im Unternehmen muss er kennen. Er sollte m.E. schon eine gestandene Persönlichkeit sein, eine Person die die Kolleginnen und Kollegen nicht enttäuschen möchten. Das muss hart erarbeitet werden. Nicht schlecht ist es, wenn man sich mit anderen DSB vernetzt. Erfahrungsaustausch ist immer noch die billigste Investition. Ohne Unterstützung der Führungsebene ist er allerdings ganz schön allein, eigentlich nichts.

    Bezüglich Datenschutz, ich pflege nicht mit Name, Vorname im Internet unterwegs zu sein; in der Regel bin ich als „Linuxkumpel“ bekannt, soll auch so bleiben.

    • Dr. Jana Moser

      Hallo Linuxkumpel,

      vielen Dank für deinen ausführlichen Kommentar und deine „Insights“!

      Dass man sich juristische Kenntnisse auch ohne ein langjähriges und zähes Jurstudium aneigenen kann, zeigt dein beruflicher Werdegang sehr gut. Und ich gebe dir insoweit auch total Recht! Allerdings zeigt es auch, wie viele Jahre, Aufgabengebiete und Erfahrung man „in echt“ auch braucht, um sich zu dem Wissensstand hinzuarbeiten. Ein Datenschutzbeauftragtenlehrgang reicht da nicht. Mehr noch: „Rechtskenntnisse, IT-Kenntnisse, hohe soziale Kompetenz und gute Kommunikationsfähigkeiten“ sind wichtig.

      Das braucht aber alles viel viel Zeit. Zudem: Soziale Kompetenz sowie Kommunikationsfähigkeit sind meines Wissens aktuell keine Inhalte von Zertifikatslehrgängen. Ich teile deine Meinung, wenn du sagst, dass sich Datenschutzexperten austauschen sollten. Und ich habe auch genau aus diesem Grund aus voller eigener Überzeugung diese Webseite aufgebaut. Ich hätte mir zu meinen Anfängen als Datenschutzexpertin damals gewünscht, es gäbe so eine Seite und Informationen darüber, was von mir als Person erwartet wird.

      Ich weiß aus eigener Erfahrung, dass es für DSB fundamental wichtig ist, dass sie sehr gut kommunizieren und überzeugen (lernen) sollten. Nur dann können sie auch ihr hart erlerntes Wissen in Recht, Technik und Wirtschaft in die Realität umsetzen und den Datenschutz aus der Theorie heben und zum gelebten, nachhaltigen Datenschutz wandeln.

  • Linuxkumpel

    Ein freundliches Hallo zurück!
    Dann hoffen wir mal, dass sich hier bald mehrere tummeln und sich austauschen. Twitter &Co. sind ja mehr oder weniger nur Stichwortgeber für eine schnelle Informationsbeschaffung.
    Volle Zustimmung bezüglich eines überzeugenden Agierens. Datenschutz ist .E. weniger eine technische, sondern mehr eine organisatorische Aufgabe, die oftmals tief in die geübten Geschäftsprozesse eingreift. Da ist es nicht immer einfach gegen das Totschlagargument „Das haben wir immer so gemacht“ anzukommen. Gute Erfahrungen habe ich mit der Methode „PuP“ gemacht. Positiv und Positiv, vereinfacht, lobe das bisher Gemachte und komme dann mit Vorschlägen zur gemeinsamen schrittweisen Verbesserung.
    Wobei ich nicht verschweigen möchte, dass neben der umfangreichen Berufs- und Lebenserfahrung ein Berufs- und mehrere Hochschulabschlüsse zu Buche stehen. Unter Anderem auch in Pädagogik und Psychologie.

  • Tim

    Ein sehr interessantes Interview mit einem äußerst aufschlussreichen Einblick in dieses so sehr unterschätze Berufsfeld!
    Man kann nur hoffen, dass sich die gesellschaftliche Wertschätzung für die eigenen Daten ändert, damit so auch die Akzeptanz aller Beteiligten steigt!
    Ich bin immer wieder erschüttert, wie wenig diese “Privatsphäre” manchen bedeutet…

    • Dr. Jana Moser

      Hallo! In der Tat liegt der Datenschutz in der Hand aller Beteiligter. Und da können sich auch Verbraucher manchmal ein wenig an die eigene Nase fassen. Aber im Ergebnis agieren wir immer mit anderen, sodass m.E. keinem alleine ein „schwarzer Peter“ zugeschoben werden kann. Dafür ist es notwendig, der zwischenmenschlichen Kommunikation wesentlich mehr Beachtung zu schenken. Immerhin geht es zwar um Daten. Hinter diesen sowie den verarbeitenden Systemen stehen jedoch MENSCHEN. Und wenn diese nicht mit Respekt miteinander interagieren, dann wird es auch mit dem Datenschutz nicht funktionieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Seite enthält Links zu Online Shops wie z.B. amazon.de. Die Anbieter dieser Shops sammeln über ihre Cookies direkt Informationen von Besuchern dieser Webseite, um sie wieder in ihren Shops und auf anderen Seiten zu erkennen und Informationen über diese Besucher für Werbeprogramme bereitzustellen. Mehr Informationen finden Sie in der Datenschutzinformation.