Interviews

Datenschutz auf Japanisch – wenn die Personalabteilung deine Blutwerte kennt

Interview mit Robert Buschmann, externer Datenschutzbeauftragter und Auditor bei der Enobyte GmbH in München.

Lieber Herr Buschmann, ich freue mich sehr, dass ich Sie auf der Datenschutzkonferenz 2019 des Datenschutzberaters in Düsseldorf kennen gelernt habe. Was hat Sie eigentlich zu der Konferenz geführt?

Die Freude war ganz meinerseits.
Gekommen bin ich zur Konferenz hauptsächlich aus beruflichen Gründen aber natürlich auch aufgrund persönlichen Interesses. Aufgrund des hohen Arbeitsaufkommens erlaubt mir mein Terminkalender leider zu selten, auf Konferenzen zu fahren. Wenn ich dann die Möglichkeit sehe mir ein paar Tage freizuschaufeln, will ich das natürlich sofort nutzen und bin auf der Suche nach interessanten Veranstaltungen.
Die Datenschutzkonferenz war ja im Vorfeld breit angekündigt und hat mich mit ihren Speakern und aktuellen Inhalten interessiert.

Es waren gut 260 Teilnehmer dort. Eine ganz schön große Anzahl an Datenschutzexperten! Da muss man sich auf dem Markt schon von anderen Datenschützern abgrenzen, wenn man Leistungen als externer Datenschutzbeauftragter anbietet. Nun haben Sie mir verraten, dass Sie fließend japanisch Sprechen. Japanisch und Datenschutz – das nenne ich mal einen wirklichen USP (Unique Selling Point)! Absicht oder Zufall?

Der Markt ist letztes Jahr sowohl auf der Seite der Nachfrage als auch des Angebots förmlich explodiert. Dennoch gibt es sogar noch zu wenige Datenschutzbeauftragte, um die Nachfrage kompetent zu decken.

Es gibt nun zwar sehr viele externe Beauftragte, die ja eigentlich alle miteinander konkurrieren, aber jeder hat so sein eigenes Spezialgebiet und seine eigenen Interessen. Mir hilft natürlich meine Zusatzqualifikation erheblich. Dass ich Japanisch kann ist aber mehr Zufall.
Ich habe in der Universität sehr viel über die Sprache, Wirtschaft und Politik Japans lernen dürfen und konnte auch ein Jahr in Kagoshima, einer Stadt ganz im Süden der Hauptinseln Japans, studieren. Aber zu diesem Zeitpunkt wusste ich noch nicht, dass ich im Datenschutz landen würde.
Ich würde aber nichts ändern, wenn ich könnte – außer vielleicht früher anzufangen. Der Job macht mir unglaublich viel Spaß und durch unseren Fokus auf japanische Unternehmen in Europa kann ich sehr viel über interkulturelle Kommunikation und internationalen Datenschutz lernen.

Spannend! Aber das bringt sicherlich auch einige besondere Herausforderungen bei der Beratung mit sich, oder?

Eine Herausforderung ist es, zu verstehen, was in japanischen Unternehmen als normal erachtet wird, und zu vermitteln welche Erwartungen in Europa gelten.

Regelmäßig begegnet einem im außereuropäischen Umfeld die Feststellung, dass unsere Konzepte des Arbeitsumfeldes, des Datenschutzes oder der Gesellschaft im Ganzen in keiner Hinsicht selbstverständlich sind. Nehmen wir als Beispiel den Beschäftigtendatenschutz. Es ist in einem Konzern meist üblich, dass Mitarbeiterdaten an die Konzernmutter geschickt werden. Das ist für Datenschützer unter bestimmten Rahmenbedingungen akzeptabel, kommt aber schon mit gewissen Problemen. Welche Daten sind wirklich notwendig, für welche Daten brauchen wir welche Erlaubnisnorm?

In Japan ist es selbstverständlich, dass es einen Betriebsarzt gibt, nicht nur bei der Einstellung eines Mitarbeiters, sondern auch bei allen Mitarbeitern jedes Jahr einen ausführlichen Gesundheitscheck vornimmt. Hier wird ein vollständiger Rundum-Check vorgenommen. Von Stethoskop über Blutgruppe bis zur Urinprobe. Die Ergebnisse werden dann von der HR-Abteilung gesichtet und abgeheftet.

Für japanische Unternehmen ist dieser Vorgang so normal, dass sie sich doch sehr wundern, wenn sie das hier in Deutschland nicht so machen können. Darum muss ich dann manchmal den Miesepeter machen und klar aufzeigen, wo die Grenzen sind. Mal ganz abgesehen von Art. 9 DSGVO, frage ich dann immer, warum die japanische HR denn bitte auch die Gesundheitsdaten von deutschen Mitarbeitern braucht. Die Antwort „Naja, wir machen das in Japan auch so.“ ist mir dann oft Beweis genug, dass der Transfer gestoppt werden muss.

Solche Situationen aufzuklären, den europäischen Ansatz nahezubringen, das ist gerade am Anfang einer Beratung immer am wichtigsten. Die Unternehmen, die ich berate, sollen genau wissen, was sie tun und warum sie es tun sollten. Dabei verweise ich nicht auf Strafen, Abmahnungen oder Gesetze, sondern versuche ein grundlegendes Verständnis für die gesellschaftlichen Unterschiede zu schaffen.

Eine ganz andere Herausforderung besteht natürlich auch im Sprachlichen. Auch wenn ich des Japanischen mächtig sein mag, sollten wir das von Aufsichtsbehörden wohl nicht erwarten. Wir erstellen daher die meisten Dokumente auf Deutsch, Englisch und Japanisch, damit alle japanischen Mitarbeiter verstehen worauf es ankommt, das Ganze aber auch durch Aufsichtsbehörden überprüfbar bleibt.

Gute Vorlagen – es gibt ja eigene Handbücher dafür – helfen jedem Datenschutzberater ungemein, aber im internationalen Kontext werden diese in Anbetracht möglicher Übersetzungskosten noch wichtiger.

Und was könnten sich deutsche Datenschützer von Japanern abschauen?

In Japan gibt es das Konzept eines Datenschutzbeauftragten nicht. Sehr wenige Firmen haben einen „Chief Privacy Officer“ oder eine vergleichbare Rolle. Das Thema Datenschutz ist ja auch relativ jung dort, das könnte sich also noch ändern.

Japaner haben aber ein unglaubliches Talent dafür, Arbeitsabläufe zu erarbeiten. Auch wenn die Frage nach einem Rechtemanagement erst verneint wird, stellt sich oft später heraus, dass jede Änderung an den Zugriffsrechten von mindestens 3 Stellen geprüft wird. Hier zeigt sich auch die sorgfältigere Detailplanung im Vergleich zu Deutschland. Kaum eine potenzielle Frage wird unbeantwortet gelassen.
Gerade bei der Planung von Arbeitsabläufen sollte früh evaluiert werden, wie die Melde- und Prüfketten sind. Eine gute und klare Organisation hier zahlt sich langfristig aus.

Allgemein kann sich aber der deutsche Datenschützer eine Scheibe der japanischen Kultur abschneiden. Und damit meine ich nicht Anime und Manga, sondern das freundliche und aktive Zuhören, das Bestätigen des Gegenübers. Das sorgt für eine weniger angespannte, aber produktive Arbeitsumgebung. Natürlich kann der Datenschutzberater nicht alles abnicken, was dem Kunden so vorschwebt, aber er muss sich in jedem Fall verstanden fühlen.

In Deutschland wird man als externer Datenschutzbeauftragter nicht immer mit offenen Armen empfangen und oft als Verhinderer wahrgenommen. Sie hatten mich in Düsseldorf auch direkt nach meiner Meinung zur Erst-Akquise gefragt, da viele Unternehmen es am liebsten vermeiden, einen Datenschutzbeauftragten zu bestellen. Welche Erfahrungen haben Sie hier gemacht und wie sind Sie damit umgegangen?

Die meisten Unternehmen haben letztes Jahr einen riesigen Schock bekommen, als sie von 20 Mio. € Strafen gehört haben und das Thema Datenschutz plötzlich um sie herum aufgekocht ist. Die Hauptmotivation für viele Unternehmen war also Anfangs „Strafen vermeiden“. Damit einhergehend fragen viele sehr genau nach, was minimal zu tun sei und nach den gesetzlichen Anforderungen notwendig ist, und was „nur“ ein Fleißaufgabe wäre. Hier merkt man als Berater immer, wo die Hauptaugenmerke eines Unternehmens sind. In ersten Gesprächen erklären wir daher zunächst unseren Leistungskatalog und wie Datenschutz im Unternehmen auch zur Wertschöpfung beitragen kann.

Natürlich sind wir im Beratungsumfang flexibel, aber wenn ein Unternehmen nur die Fassade aufhübschen will und wir merken, dass keiner unserer Gesprächspartner Interesse am Thema oder möglichen Änderungen hat, dann sehen wir uns manchmal leider gezwungen, Aufträge abzulehnen.

Herausforderungen gibt es immer wieder. Wären es zu viele, wären Sie sicherlich kein externer Datenschutzbeauftragter. Was begeistert Sie also so an Ihrem Job?

Ich liebe Herausforderungen und Neues. Und im Bereich Datenschutz – besonders im letzten Jahr – sieht man sich mit vielen verschiedenen und spannenden Problemstellungen von Kunden konfrontiert.

Ich sehe natürlich auch, was in Unternehmen alles schief laufen kann und helfe gerne dabei, die Abläufe und Prozesse zu verbessern und für alle Mitarbeiter transparenter zu gestalten. Der Großteil der Arbeit eines Datenschutzbeauftragten bekommt der Besucher einer Webseite gar nicht mit, nach außen zeigen oftmals nur eine regelmäßig veränderte Datenschutzerklärung und neuerdings auch besonders aufwendig zu umgehende Einwilligungsaufforderungen.

Es ist aber für mich immer sehr schön zu wissen, dass ein Unternehmen wirklich den Umgang mit den Daten seiner Besucher, Kunden und Mitarbeitern verbessert hat, und weiter verbessern wird.

Wenn ich mir die Angebotspalette von Enobyte ansehe, dann machen Sie sich doch als menschlicher Berater zunehmend entbehrlich: Sie bieten nämlich nicht nur bloße Datenschutzberatung, sondern auch eine DSGVO Toolbox an, mit der online eine Datenschutzbewertung, ein DSB Ticketing System, eLearning und ein Dokumentenmanagement möglich ist. Ein schönes Beispiel von Legal Tech, die ja zunehmend die Sorgen von Experten füttert, dass Ihre Leistungen entbehrlich werden. Oder wie sehen Sie das?

Auch wenn Technik den Berater unterstützt, es bleibt doch nur eine Unterstützung. Ohne gute Software-Tools ist es heute fast unmöglich, den Überblick zu bewahren, wenn man 20, 30 oder gar 50 Unternehmen zuverlässig und kompetent betreuen will. Gerade ein gutes digitales Dokumentenmanagement ist zunehmend unentbehrlich.

Unsere softwaregestützte Datenschutzbewertung muss auch als Einstieg verstanden werden. Über einen Fragenkatalog wird man nie alle Aspekte aller möglichen Unternehmen abfangen können. Gerade bei einem sensiblen und komplexen Thema wie dem Datenschutz ist eine menschliche Beurteilung unerlässlich. Wir erhalten also zunächst einen Einblick und können anhand dessen sehr viel gezielter mit dem Kunden sprechen.
Unsere eLearning Plattform ist auch ein gutes Beispiel dafür, wie sich Legal Tech und traditionelle Arbeit ergänzen können. Nach einer guten Grundlagenschulung ergeben sich für Teilnehmer immer weiterführende Fragen. Teilweise schon nach 5 Minuten, oft aber auch erst nach einer Nacht Schlaf.

Diese Fragen sind oft essenziell, weil sie ein verstecktes Wissen im Unternehmen offenbaren, einen Prozess, den nur eine Mitarbeiterin kennt und verwaltet, oder eine weitere Speicherstelle, die keinem anderen aufgefallen ist. 

Wenn Berater also eine Präsenzschulung halten, sollten sie nach der Schulung eine kurze Pause machen, die Informationen sacken lassen und dann Fragen annehmen, es wird aber in keinem Fall alles herauskommen und oft hat man dann doch Zeitbegrenzungen. Mit einem eLearning-System können die Mitarbeiter in Ruhe über das Gehörte nachdenken, und dann ganz gezielt Fragen stellen. Diese kommen bei uns dann im Ticket System an, und ich beantworte die Fragen gesammelt, damit das ganze Unternehmen davon lernen kann.

Der Mensch bleibt wahrscheinlich im Ergebnis unentbehrlich. Was sollte nach Ihrer Meinung ein guter Datenschutzbeauftragter also sowohl fachlich als auch als Softskills mitbringen? 

Natürlich muss ein tiefes Verständnis der Rechtslage vorhanden sein. Auch für nicht-juristische DSB bleibt es Pflicht, die im Unternehmen anzuwendenden Gesetze zu kennen. Man kann sich zwar immer Hilfe von Juristen einkaufen, doch zumindest die Basics sollten bombenfest sitzen. Und wer im Falle des Falles die eigenen Fragen nicht richtig versteht, wird auch mit der Antwort nichts anfangen können. 

Was IT betrifft sollte sich ein Datenschutzbeauftragter heutzutage intensiv mit dem Stand der Technik auseinandersetzen. Vieles was heute in Unternehmen und Behörden gelebt wird, ist längst veraltet und kann besser gelöst werden. Das kann und sollte der Datenschutzbeauftragte dann auch ansprechen.

Hier kommen wir aber direkt an die Softskills. Welcher Entscheider hört schon gerne, dass alles geändert werden muss. Empathie für Problemsituationen und eine Kompromissbereitschaft sind unabdingbar. Gleichzeitig muss der Datenschutzbeauftragte aber auch klare Grenzen zeigen können. Wir schützen nun mal ein europäisches Grundrecht, und nicht das Unternehmen. An bestimmten Punkten muss also deutlich gesagt werden, was nicht verhandelbar ist.

Der Datenschutzbeauftragte sollte im Idealfall also die eierlegende Wollmilchsau sein. Ein technischer Profi, der sich von IT nichts erzählen lässt; ein juristisches Ass, der souverän mit rechtlichen Fragestellungen umgeht; ein Politiker der auch mal Kompromisse eingehen kann; ein Philosoph, der auch ethisch und moralisch argumentiert; und zu guter Letzt ein Fels in der Brandung, der Standpunkte auch bei heftigen Gegenwind zu verteidigen bereit ist.

Nun ist auch die Werbung und die Online Präsenz von Datenschutzbeauftragten sehr wichtig. Sie haben jedoch weder ein Profil bei LinkedIN noch bei Xing. Auch sonst habe ich kaum etwas über Sie gefunden. Bin ich in meiner Suchblase von Google gefangen oder was ist der Grund, dass Sie online quasi gar nicht existent sind?

Stimmt, unter meinem Namen findet man mich kaum online. Das ist eine aktive Entscheidung gewesen. Ich denke, dass ich diese Freiheit auch habe, da ich ja bei einer Firma angestellt bin, die sich um die Akquise kümmert. 

Schon immer habe ich meine eigene Privatsphäre geschätzt und daher meine Informationen nur vorsichtig herausgegeben. Vermutlich erfülle ich ein Klischee des paranoiden Datenschutzbeauftragten, der selbst niemandem traut.

Vor einiger Zeit habe ich festgestellt, dass ich mit Xing und LinkedIn nicht wirklich warm werde, und mir ein Fakeprofil ausreicht, um aktuelle Entwicklungen zu beobachten.

Ein sehr gutes Netzwerk zu haben, ist auch für Datenschützer essenziell. Wenn Sie keine Online Plattformen dafür nutzen, wie pflegen Sie dann Ihre Kontakte? 

Ich lerne gerne Leute persönlich kennen, um so ins Gespräch zu kommen und zu sehen wie man sich gegenseitig unterstützen kann. In dieser Hinsicht bin ich wohl eher der traditionelle Netzwerker. Gerade in Japan wird auf persönliche Treffen „offline“ viel Wert gelegt. Beispielsweise engagiere ich mich in den verschiedenen japanischen Gemeinschaften Deutschlands, vom monatlichen Get-Together bis zum Deutsch Japanischen Wirtschaftskreis. Andererseits benutze ich durchaus Twitter zur Informationsgewinnung (#Teamdatenschutz #TeamNoBindestrich). Dort bin ich aber auch nur unter einem Fakeprofil und schreibe allerhöchstens persönliche Nachrichten, wenn ich etwas mitzuteilen habe. Online bin ich ein ziemlicher introvertierter Mensch.

Und wer aus Ihrem Netzwerk hat Sie in Ihrer beruflichen Laufbahn als Datenschutzbeauftragter am meisten geprägt?

Mein Vater. Er kann die DSGVO und den ganzen Wirbel darum nicht ab und ich habe schon oft ausführliche Einschätzungen, Diskussionen und Sticheleien abzugeben. Das hat mich und meine Herangehensweise sicher nachhaltig geprägt. Wichtig ist immer: Gesetze zu befolgen macht keiner gern, daher ist es hilfreich andere Gründe aufführen zu können.

Vielen Dank Herr Buschmann für das spannende Interview und Ihre offenen Worte!

*Hinweis: Die Antworten stellen die persönlichen Erfahrungen und die Meinung von Herrn Robert Buschmann dar.

  • Bearbeiten
 
 

Über DPO Insights: Ich habe das Format DPO Insights geschaffen, um die Datenschutzbeauftragten (DSB) zu Wort kommen zu lassen. Jeder braucht sie, aber kaum einer möchte ein DSB sein noch mit einem sprechen. Auf DPO Insights möchte ich deshalb DSB die Möglichkeit geben, Erfahrungen und Wissen über persönliche, organisatorische und ganz alltägliche Anforderungen und Herausforderungen zu erlangen und zu teilen. Ich freue mich über Feedback oder Interessenten für Interviews! Ihre, Jana Moser

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Seite enthält Links zu Online Shops wie z.B. amazon.de. Die Anbieter dieser Shops sammeln über ihre Cookies direkt Informationen von Besuchern dieser Webseite, um sie wieder in ihren Shops und auf anderen Seiten zu erkennen und Informationen über diese Besucher für Werbeprogramme bereitzustellen. Mehr Informationen finden Sie in der Datenschutzinformation.