Interviews

Warum der „Datenschutz Guru“ kein Datenschutzbeauftragter ist

Interview mit Stephan Hansen-Oest, Rechtsanwalt und Fachanwalt für IT-Recht, sowie Anbieter der Webseite datenschutz-guru.de.

Stephan, wir sind uns bereits beruflich einige Male über den Weg gelaufen, sodass ich gleich beim Du bleibe. Und ich muss vorab gestehen, dass ich den Aufbau deiner Marke „Datenschutz-Guru“ und den Slogan „Aus Flensburg für die Welt. Mit Liebe und von Hand geschrieben.“ sehr originell finde. Wie bist du darauf gekommen?  

Die Marke „Datenschutz-Guru“ ist tatsächlich und sprichwörtlich in einer „Schnapslaune“ entstanden. Die Domain habe ich vor etlichen Jahren etwas alkoholisiert registriert. In dem Gedanken, wie bescheuert es eigentlich wäre, mit so einer Domain als Anwalt aufzutreten. Habe dann „kichernd“ auf den Button „Domain jetzt registrieren“ geklickt…

Entsprechend ist die Domain nach dem Ausnüchtern bei mir in Vergessenheit geraten. Aber ich habe sie behalten. Ich habe dann irgendwann nach einem „Vehikel“ gesucht, um Beiträge zum Datenschutz und Datenschutzrecht zu veröffentlichen. Und dann dachte ich: Warum nicht einfach die Domain „Datenschutz-Guru“ nutzen?

Dabei habe ich mich selbst nie als „Guru“ betrachtet und tue das auch immer noch nicht. Ich bin einfach nur ein Mensch wie jeder andere auch, der allerdings davon überzeugt ist, dass jeder mit Interesse sich ein Wissen im Datenschutzbereich aneignen kann. Und wenn sie oder er dann vielleicht im eigenen Unternehmen als „Datenschutz-Guru“ betrachtet oder bezeichnet wird, dann ist das Ziel erreicht. Und genau das war und ist die Idee der Marke „Datenschutz-Guru“: Sie soll ein Weg sein, vielleicht selbst zu der Person zu werden, die von anderen als „Datenschutz-Guru“ gesehen wird. Also der Person, zu der man geht, wenn man eine Antwort zu einer Datenschutz-Frage sucht.

Tja, und der Slogan „Aus Flensburg für die Welt. Mit Liebe und von Hand geschrieben“ ist einer, der von Herzen kommt. Ich bin „Flensburger“. Ich bin in Flensburg geboren, in einem Dorf in der Nähe aufgewachsen, bin in Flensburg zur Schule gegangen, habe in Flensburg die Liebe meines Lebens gefunden, bin zum Studium dann nach Niedersachsen und dann nach dem Studium wieder zurück nach Flensburg (mit der Liebe meines Lebens). Flensburg ist einfach eine schöne und besondere Stadt, die einen skandinavischen Flair hat, direkt an der Ostsee bzw. der Flensburger Förde liegt und wer schon einmal hier war, wird bestätigen können, dass die Menschen, die hier wohnen meist sehr nett und freundlich sind.

Allerdings ist Flensburg natürlich nicht der Nabel der Welt. Ich bin hier zwar nicht mehr der einzige Datenschutzrechtler in der Stadt, aber hier ist natürlich nicht Hamburg, Berlin, Frankfurt, Köln oder München. Ich war aber schon Ende der 90er Jahre der Überzeugung, dass auch die Zukunft der anwaltlichen Tätigkeit „remote work“ sein kann oder sogar vornehmlich sein wird. Und so ist auch schon immer meine Tätigkeit ausgerichtet überregional gewesen. Daher „Aus Flensburg für die Welt“. Und warum nicht aus einer kleineren Stadt mit knapp 100.000 Einwohnern ein etwas größeres Rad drehen…

Und der Teil „Mit Liebe und von Hand geschrieben“ hat etwas mit „Handwerk“ zu tun. In Amerika nennt man es „Craftsmanship“. In Deutschland könnten wir es mit einer Liebe für das Handwerk vergleichen. Ich glaube, dass gute anwaltliche Arbeit viel mit gutem Handwerk zu tun hat. Und wir Anwälte sind letztlich „Textproduzenten“. Wir produzieren aber nicht nur Wörter, sondern wählen und ordnen sie in einer Reihenfolge und Struktur, damit sie bestmögliche Wirkung entfalten – für die Mandantinnen und Mandanten. Gutes Handwerk eben. Über Jahre geübt und verfeinert. Ich mag diesen Gedanken einfach.

Und die Texte auf der Website „Datenschutz-Guru“ sind eben nicht auf SEO-getrimmte Texte oder juristisch trockene Wortaneinandereihungen. Sie sollen „Herz“ haben und „Charakter“, authentisch sein. Und ich schreibe sie alle selbst. Es gibt keine Gastautoren, Redakteure, Lektoren…es ist alles „roh“, von Herzen und eben auch mit „Liebe“ und mit meinen eigenen Fingern geschrieben – besser gesagt: getippt.

Als Rechtsanwalt bietest du zwar Datenschutzberatung an, nicht jedoch die Tätigkeit als externer Datenschutzbeauftragter. Magst du mir die Gründe verraten?

Ich bin aus Überzeugung Anwalt. Anwälte beraten jedoch nicht nur, sie vertreten Interessen. Und zwar Interessen der Mandantinnen und Mandanten. Betriebliche (oder behördliche) Datenschutzbeauftragte sind nicht zuletzt durch die DSGVO aber verpflichtet, nicht nur Interessen der Mandantinnen und Mandanten zu vertreten. Art. 39 DSGVO sieht z.B. auch eine „Zusammenarbeit mit der Aufsichtsbehörde“ vor. Auch wenn ich hier keine komplette Unvereinbarkeit mit der Anwaltstätigkeit als Interessenvertreter sehe, stecken hier Ansätze für künftige potentielle Interessenskonflikte.

Ich habe hier gerne „klare Kante“. Daher habe ich mich für eine reine anwaltliche Tätigkeit entschieden und alle vorherigen DSB-Mandate niedergelegt.

Ich freue mich aber, dass ich wiederum als Anwalt sehr viele Datenschutzbeauftragte coachen und beraten darf. Ich kann mich immer noch sehr gut in diese Rolle versetzen und helfe hier gerne mit Erfahrung und auch Kreativität weiter.

Auch wenn du selbst nicht mehr als Datenschutzbeauftragter tätig bist. Wie wichtig ist deiner Meinung nach Self-Marketing gerade für Datenschutzbeauftragte?

Für externe Datenschutzbeauftragte ist das sicher ein sehr wichtiger Faktor. Aber auch interne Datenschutzbeauftragte tun gut daran, an ihrem eigenen „Aufritt“ zu arbeiten. Es gibt einen Referenten eines DSB-Lehrgangs, der den Teilnehmern gerne gesagt hatte, dass du erst dann ein guter Datenschutzbeauftragter bist, wenn du mittags alleine in der Kantine sitzt. Und genau dieser „Old School“-Ansatz ist heute komplett falsch.

Egal, ob extern oder intern – Datenschutzbeauftragte sollten heute vor allem gut zuhören und die richtigen Fragen stellen können. Wer die richtigen Fragen stellt, erhält nämlich nicht nur für sich selbst die besten Antworten. Viel entscheidender ist häufig, dass auch die Kommunikationspartner bei den richtigen Fragen merken, wo denn bei einem Thema vielleicht ein Datenschutzproblem liegt und wie es gelöst werden kann.

Wer diesen offenen Ansatz nach außen kommuniziert, wird auch sein Self-Marketing positiv nach vorne bringen können. Das ist zumindest meine Überzeugung.

Du bist ja auch in den sozialen Medien sehr präsent. Auf Twitter hast du knapp 2.600 Follower. Hast du eine besondere Social Media Strategie?

Ehrlich gesagt überhaupt keine. Je älter ich werde, um so mehr merke ich, wie mich soziale Medien eher nerven. Viel Rauschen wenig Signal. Es wird also mehr und mehr eine „Nicht-Social-Media-Strategie“.

Und ich erwische mich immer mehr dabei, dass ich z.B. einen Tweet doch nicht absende, weil ich nicht im Anschluss 10 Replies „wahrnehmen“ bzw. mich emotional damit beschäftigen muss. Der Welt in den sozialen Medien kann vielleicht auch völlig egal sein, was ausgerechnet ich nun zu einem bestimmten Thema meine. Robert Habeck hat viel Kritik einstecken müssen, als er seinen Rückzug von sozialen Medien bekanntgegeben hat. Ich habe dafür volles Verständnis und das nicht, weil Robert Habeck auch „Flensburger“ ist.

Ich tobe mich viel lieber mit Beiträgen in meinem Newsletter aus. Für mich die Möglichkeit, einer größeren Leserschaft etwas intimere und längere Gedanken mitteilen zu können.

Die sozialen Medien sind hervorragend dazu geeignet, sich über neue Themen und Trends im Datenschutz zu informieren. Gleichzeitig sind viele Medienangebote datenschutzrechtlich problematisch, weshalb sich einige Datenschutzexperten schwertun, sich hier offen zu präsentieren oder gar aktiv zu partizipieren. Wie siehst du das?

Auch wenn ich selbst weniger auf Twitter „poste“, ist es für mich das Medium, um im Bereich Datenschutz auf dem Laufenden zu bleiben. Ich liebe das #teamdatenschutz und freue mich über viele, wirklich großartige User bei Twitter, die relevante Dinge zu Datenschutzthemen dort veröffentlichen und diskutieren.

Wer hier datenschutzrechtliche Bedenken hat, soll diese behalten. Letztlich geht es hier aber auch um Meinungsfreiheit und Informationsfreiheit. Und die darf und soll ausgeübt werden. Letztlich muss jeder die ihm wichtigen Interessen und Werte miteinander abwägen. Ich bin ein freiheitsliebender Mensch. Wenn sich jemand dazu entscheidet, seine Meinungen in vermeintlich datenschutzrechtlich problematischen Medien zu äußern, kann ich daran nichts Schlimmes finden.

Letztlich muss hier jeder seinen Weg für sich finden.

Und abgesehen von online Medien: Anhand welcher Bücher, Zeitschriften oder anderer offline Medien hältst du dein Datenschutzwissen aufrecht?

In der Kanzlei sind die Bücherregale voll mit Literatur zum Datenschutzrecht. Und dann kommen noch die Online-Datenbanken von Beck und Juris hinzu. Neben allen derzeit in Deutschland veröffentlichen Kommentaren zur DSGVO, habe ich auch alle einschlägigen datenschutzrechtlichen Fachzeitschriften abonniert. Ehrlicherweise muss ich gestehen, dass es schon zeitlich nicht möglich ist, alles zu lesen. Ich markiere mir in den Zeitschriften die Beiträge, die mich interessieren. In den Lesestunden in der Kanzlei, die ich mir regelmäßig erlaube, schaue ich mir dann diese Artikel an.

Und wo holst du dein technisches Wissen her?

Ich bin als Jugendlicher mit einem C64 aufgewachsen, habe erst in Basic und später in Assembler programmiert. Von den Programmierkenntnissen ist nicht viel übrig geblieben, aber auch heute betreue ich meine nicht mehr ganz so kleine Internetseite technisch zu 99% alleine. Ist also eine Art Hobby von mir. Und wenn ich mir anschaue, wie viele Angriffe allein auf meine Internetseite stattfinden, muss ich mich notgedrungen damit beschäftigen, wie z.B. gute Datensicherheit praktisch gehandhabt werden kann. „Eat your own dogfood“, sage ich gerne zu Mandanten. Und das gilt in gleicher Weise natürlich für mich selbst.

Was würdest du Kollegen, die gerade als Datenschutzbeauftragter bestellt wurden, als Einstiegslektüre empfehlen?

Meine Standard-Empfehlung ist hier das Werk von Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis“, das sowohl als Lern- als auch als Nachschlagewerk gut geeignet ist. Ich finde aber auch Dein Werk „Das Geheimnis guter Datenschutzberatung: 52 Tipps für erfolgreiche Datenschützer“ als zusätzliche Wahl gut. Warum? Weil es tatsächlich mal einen anderen, wirklich praktischen Blick auf die täglichen Herausforderungen dieser Arbeit wirft.

Bei der Empfehlung von Veranstaltungen für Anfänger im Datenschutz habe ich mich immer schwergetan. Ich finde, sie werden dort häufig mit vielen Details überfordert und es fehlt oft am Praxisbezug und echten Alltagstipps. Wie siehst du das?

Ich bin überzeugt, dass das herkömmliche Schulungsmodell für Datenschutzbeauftragte komplett „broken“ ist. Es ist kaputt. Die Leute gehen 3-5 Tage auf eine Schulung, dann kommen Sie mit vermeintlichem Wissen, das eher Halbwissen ist, zurück in das Unternehmen. Und schon nach den ersten Tagen merken sie eigentlich, wie „verloren“ sie sind. Ich glaube daran, dass der Weg für Datenschutzbeauftragte eher ein langsameres, kontinuierlicheres Heranführen sein muss. Ich versuche diesen Weg, über mein Datenschutz-Coaching für bereits benannte Datenschutzbeauftragte zu erbringen. In diesem Jahr gibt es dann aber auch neu konzipierte DSB-Kurse von mir, die z.T. auch einen Präsenzseminar-Teil haben. Sie sind aber im Wesentlichen ein 6-Wochen-Kurs, bei denen ich die Teilnehmer „online“ an die Hand nehme, um ihnen Stück für Stück Datenschutz und die Aufgaben von Datenschutzbeauftragten näher bringe.

Herr Neuhaus, betrieblicher Datenschutzbeauftragter der cv cryptovision GmbH, hat im letzten Interview gesagt, man müsse als Datenschutzbeauftragter „Durchsetzungsfähigkeit, Frust-Toleranz und teilweise auch Verhandlungsgeschick bei der Umsetzung von Richtlinien“ mitbringen. Teilst du die Meinung?

Frustrations-Toleranz halte ich auch für wichtig. Ansonsten halte ich die Fähigkeit zu „kommunizieren“ für die mit Abstand wichtigste Kernkompetenz von Datenschutzbeauftragten. Kommunikation beinhaltet am Rande auch ein Verhandlungsgeschick und Durchsetzungsfähigkeit. Es geht aber vor allem darum, die richtigen Fragen zu stellen, um in einem Diskurs zu kommunizieren und zu tragfähigen, überzeugenden Lösungen zu kommen. Die eigenen Lösungen werden sich sicher nicht immer umsetzen lassen. Aber es hilft schon viel, wenn eine Stärke darin besteht, die Argumente im Rahmen einer guten Kommunikation auszutauschen.

Du bist ja schon länger in der Datenschutzberatung unterwegs: Hast du einen Geheimtip für interne und externe Datenschutzbeauftragte, damit DSB mehr Sichtbarkeit erlangen und etwaige Herausforderungen besser meistern?

Mein Tipp wäre, hier „selbstbewusst“ zu sein. Und war im eigentlichen Sinne sich seiner bzw. seines „Selbst“ bewusst zu sein. Was meine ich damit? Für Unternehmer gibt es diesen richtigen Spruch, dass es wichtiger ist, „am Unternehmen“ zu arbeiten statt „im Unternehmen“. Damit ist gemeint, dass man nicht nur diesen „daily hassle“, das tägliche Hamsterrad erlebt, sondern sich bewusst die Zeit freischaufelt, um nachzudenken, strategische Entscheidungen zu treffen und die Stellschrauben des Unternehmens zu drehen.

Das gilt aber genauso auch für die Datenschutzbeauftragten als Person. Auch hier muss man es schaffen, sich nicht nur Zeit für die fachliche Fortbildung, sondern vor allem auch für die Persönlichkeitsentwicklung freizuschaufeln. Sonst drohen irgendwann Burn-Out, Unzufriedenheit und Unausgeglichenheit. Ein Teufelskreis entsteht. Nur ist dieses „Zeit freischaufeln“ für die meisten Datenschutzbeauftragten ein echtes Problem. Sowohl intern als auch extern. Eine Lösung habe ich für dieses Dilemma leider nicht. Ich kann nur aus eigener Erfahrung sagen, wie immens wichtig es ist, sich diese Zeit zu nehmen.

Nun genug von den Herausforderungen: Du scheinst dich gerne mit dem Thema Datenschutz zu beschäftigen. Warum?

Ich bin zum Datenschutz über mein Technik-Interesse und eine Affinität zu Bürgerrechten gekommen. Außerdem ist es ein sehr schönes Rechtsgebiet. Es ist halt eine Querschnitts-Materie, die zudem die Möglichkeit bietet, neu zu argumentieren und damit auch moderne Entwicklungen in der Gesellschaft juristisch zu begleiten.

Da die DSGVO nun auch ausdrücklich für internationale Unternehmungen zu beachten ist, interessiert mich, ob die Anzahl deiner internationalen Datenschutzmandate gestiegen ist.

Die Anzahl von internationalen Anfragen ist deutlich gestiegen. Allerdings bin ich hier sicher kein Gradmesser. Ich habe mich schon vor einigen Jahren entschieden, nur eine kleine Anzahl von Mandanten zu betreuen. Diese aber dauerhaft und intensiv. Freie Plätze gibt es da nicht. Nur wenn ein Mandant „aussteigt“, wird ein Platz frei. Daher nehme ich nur selten Mandatsanfragen an. Nur bei Projekten, die ich selbst spannend und interessant finde, mache ich Ausnahmen.

Internationalität, Recht, Technik, Self-Marketing, wirtschaftliche Kenntnisse… das alles soll ein Datenschutzbeauftragter abdecken. Es gibt meines Erachtens nicht viele Personen, die diese Anforderungen abdecken können, obwohl nach der DSGVO sehr häufig ein Datenschutzbeauftragter bestellt werden müsste. Wie können Unternehmen, die einen DSB suchen, deiner Meinung nach mit diesem Dilemma umgehen?

Die meisten Unternehmen richten sich m.E. zurecht immer noch nach Empfehlungen von anderen. Auch international bekannte Zertifizierungen wie z.B. CIPP/E werden wichtiger. Nachdem der Markt von fähigen DSB letztes Jahr komplett abgegrast war, werden jetzt bei guten DSB auch wieder Ressourcen frei. Aber ich glaube, es bleibt dabei: Am besten scheint mir, sich in seinem Umfeld nach Empfehlungen umzuhören. Auch für Datenschutzbeauftragte wird die Spezialisierung auf Nischen immer wichtiger. Niemand kann Experte für alles sein. Unternehmen sollten daher m.E. auch gezielt Datenschutzbeauftragte suchen, die Experten für ihre Branche sind oder dort zumindest eine Expertise haben.

Und zu guter Letzt: Verrätst du mir noch, welche/r Datenschutzexperte/in dich in deiner Laufbahn nachhaltig beeindruckt hat und warum?

Ja, da gibt es jemanden. Ich bin Ende der 90er Jahre von der jetzigen Landesdatenschutzbeauftragten für Schleswig-Holstein (Marit Hansen) gefragt worden, ob ich nicht Lust hätte, bei der Aufsichtsbehörde in Kiel als freier Mitarbeiter auszuhelfen. Das habe ich gerne getan. Damals war Dr. Helmut Bäumler der Landesdatenschutzbeauftragte für Schleswig-Holstein. Und er ist die Person, die mich nachhaltig beeindruckt hat. Es gibt nur wenige Menschen, die einen Raum mit ihrer Aura füllen, wenn sie ihn betreten. Helmut Bäumler war so ein Mensch – ein ganz besonderer Mensch und für mich einer der Köpfe eines modernen Datenschutzes.

Vielen Dank Stephan für die offenen Worte und interessanten Antworten!

*Hinweis: Die Antworten stellen die persönlichen Erfahrungen und die Meinung von Herrn Hansen-Oest dar.

Über DPO Insights: Ich habe das Format DPO Insights geschaffen, um die Datenschutzbeauftragten (DSB) zu Wort kommen zu lassen. Jeder braucht sie, aber kaum einer möchte ein DSB sein noch mit einem sprechen. Auf DPO Insights möchte ich deshalb DSB die Möglichkeit geben, Erfahrungen und Wissen über persönliche, organisatorische und ganz alltägliche Anforderungen und Herausforderungen zu erlangen und zu teilen. Ich freue mich über Feedback oder Interessenten für Interviews! Ihre, Jana Moser

2 Kommentare

  • Frank

    Vielen Dank Euch Beiden für das interessante Interview! Soziale Netzwerke hatte ich eher gemieden, muss Stephan allerdings Recht geben. Über den Austausch auf Twitter bekommt man viele Anregungen und Informationen. Zudem sollten sich Datenschutzbeauftragte einer Region oder Branche auch mehr untereinander vernetzen. Als Datenschutzbeauftragter eines kleinen IT-Unternehmens bin ich mit vielen IT-Spezialisten konfrontiert, die mit Wartungs- und Installationsaufgaben bei Kunden beschäftigt sind. Ebenfalls werden Produkte für die Zeiterfassung und das Aufgabenmanagement per Smartphone und Cloudanbindung (ServiceFlexx) entwickelt und angeboten. Betriebliches Datenschutzmanagement, Auftragsverarbeitung, Datenaustausch zwischen den Unternehmensteilen und Kundenanfragen sind Schwerpunkte meiner Arbeit. Auch wenn ich nicht ganz frisch in den Datenschutz eingestiegen bin, vorher neben z.B. Fachdienstleiter, IT-Koordinator, Standesbeamter u.a.m. (ehrenamtlicher) DSB in einer kleinen Kommunalverwaltung, war es doch eine Herausforderung. Kleine Behörden im Osten sind oft noch streng hierarchisch strukturiert. Die Entgeltgruppe bestimmt das Maß der Eigenständigkeit und das Maß der Verantwortung. Das weisungfreie agieren des DSB trifft da nicht immer auf Verständnis. Jeder Voll-, Halb-, Viertel und Achtelchef will nämlich seine Zuständigkeit und Verantwortung auf den DSB abschieben – der ist ja für den Datenschutz verantwortich. Breite Schultern, cool, überzeugend und selbstbewusst mit entsprechender sozialer Kompetenz argumentieren und überzeugen habe ich jedenfalls gelernt. Und das braucht man als DSB. Selbsbewusst heißt für mich, setze deinen eigenen gesunden Menschenverstand ein, warte nicht was irgendwann mal die Aufsichtsbehörde oder andere sagen. Fachliche Entscheidungen treffen, nimmt einem niemand ab. Nicht zu schnell zu viel fordern, wäre m.E. auch zu beachten. Abschließend, auch als eingefleischter Linux-Nutzer, die Regeln der Datensicherheit und des Datenschutzes machen vor GNU/Linux nicht Halt.

  • Steffen

    Guten Tag, so wie ich Stephan in den letzten 7 Monaten „kennengelernt“, wahrgenommen bzw. verstanden habe, ist das Interview zu +100% authentisch. Sein Einsatz/ Aufwand über diverse Kanäle/ Medien den DSBs zu helfen ist unvergleichbar. Auch muss Stephan damit leben, dass er bei mir aus beruflicher Sicht und „… als einer der Köpfe des lebendigen Datenschutzes…“ eine ähnliche Position wie für Ihn Helmut Bäumler bereits eingenommen hat und dies ohne ein einziges, direktes Treffen. Dies sagt sicherlich schon viel über seinen sehr kreativen, praxisorientierten und somit nützlichen DS Support aus. Trockenes „Paragraphen-Gedöns“ und „anwaltliches Kauderwelsch“ sind bei Ihm zum Glück Fehlanzeige. Auch seine Aussagen abseits der klassischen DS Thematik wie Netzwerken, Präsenz/ Auftreten und Persönlichkeitsentwicklung kann ich ohne Einschränkungen unterstützen. Das einzige Manko welches ich bisher erfahren habe, ist die „überdimensionale“ Sprechgeschwindigkeit in seinen Podcast`s. Zeitweise der Wahnsinn oder auch seine Strategie, dem „Guru“ mehrfach zuhören zu dürfen/ „müssen“…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Seite enthält Links zu Online Shops wie z.B. amazon.de. Die Anbieter dieser Shops sammeln über ihre Cookies direkt Informationen von Besuchern dieser Webseite, um sie wieder in ihren Shops und auf anderen Seiten zu erkennen und Informationen über diese Besucher für Werbeprogramme bereitzustellen. Mehr Informationen finden Sie in der Datenschutzinformation.