Selbstvermarktung für Datenschutzbeauftragte

Gelungenes Selbstmarketing

Ein Beispiel aus der Praxis, neulich bei einem Auftraggeberaudit. Der Auditor interviewt auch einige am Projekt beteiligte beschäftigte Personen, insgesamt etwa 200. Im „Tross“ der begleitenden Personen ist auch der Datenschutzbeauftragte. Allerdings während des Interviews in gebührendem Abstand. Ist ja vertraulich.
Später erfährt er, dass der Auditor unter anderem fragte, ob der Gesprächspartner den Datenschutzbeauftragten des Unternehmens kenne. Der sofort: „Aber sicher. Herr Häcker steht ja da hinten. Der kommt bei Begehungen immer wieder vorbei und erkundigt sich bei uns, ob alles in Ordnung ist.“ Im Auditbericht steht: „Datenschutzbeauftragter ist den Beschäftigten offenbar bestens bekannt.“ Ausdrücklich als Lob gemeint.

Durch Selbst­vermarktung für Bekanntheit sorgen

In Deutschland, so will es das Bundesdatenschutzgesetz, muss ein Datenschutzbeauftragter benannt werden, sobald mehr als 20 Beschäftigte mit Datenverarbeitung zugange sind.

„… benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

§ 38 BDSG

Um ihre Aufgaben erfüllen zu können, müssen Datenschutzbeauftragte bekannt sein. Beschäftigte Personen müssen also wissen, an wen sie sich bei Fragen und Anliegen rund um Datenschutz wenden können. Natürlich kann man die entsprechenden Kontaktdaten in Aushängen oder im Intranet veröffentlichen. Besser ist aber, wenn die beschäftigten Personen Datenschutzbeauftragte persönlich kennen oder direkt von ihnen angesprochen werden. Kein Problem mit dem richtigen Selbstmarketing.

Teure Datenschutz-Verstöße

Die Geldbußen bei Datenschutz-Verstößen steigen. Zwar sind die möglichen 20 Mio. Euro bzw. 4 % des Vorjahresumsatzes im Konzern noch nicht ausgesprochen worden. Aber: Die bisher höchste Geldbuße in Deutschland betrug 2020 immerhin 35,5 Mio. Euro. Möglicherweise hat der Datenschutzbeauftragte nichts von den dahinter stehenden Verstößen gewusst. So konnte er mutmaßlich auch nicht einschreiten. Offenbar sind die kompromittierenden Informationen auch gar nicht an die Vertreter des Datenschutzes, sondern direkt an die Öffentlichkeit gegeben worden. Der Datenschutzbeauftragte hätte die entsprechenden Vorfälle möglicherweise abstellen können, wenn er informiert gewesen wäre. Doch dazu muss er im Unternehmen bekannt sein.

Datenschutz­pannen vorbeugen dank Selbstmarketing

Wenn Datenschutzbeauftragte bei den beschäftigten Personen nicht bekannt sind, gelangen sie meist nur zufällig an wichtige Informationen für ihre tägliche Arbeit. Schließlich sind Datenschutzbeauftragte selbst nur selten direkt in die Verarbeitungen eingebunden, Datenschutzvorfälle oder Datenschutzpannen fallen immer zuerst beschäftigten oder betroffenen Personen auf. Ein wichtiger Grund für Datenschutzbeauftragte, Datenschutzmarketing zu betreiben. Das ist im Interesse des Datenschutzes und des Unternehmens – auch und vor allem vor dem Hintergrund, dass Datenschutzfehler immer teurer werden. Die einzige Chance, von etwaigen Problemen zu erfahren, sind (neben dem Zufall) gute persönliche Kontakte und Vertrauen. Beides muss man sich im Laufe der Zeit aufbauen. Gelingt es, lässt sich das Risiko nicht entdeckter Datenschutzvorfälle eindämmen.

Datenschutz­beauftragte einbinden

Die Aufgaben von Datenschutzbeauftragten sind ausdrücklich in Artikel 39 der DSGVO benannt. Aber schon Artikel 38 benennt wesentliche zu erfüllende Anforderungen im Zusammenhang mit Datenschutzbeauftragten.

„Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.“

Art. 38 Abs. 1 DSGVO

Noch wichtiger wird die Bekanntheit von Datenschutzbeauftragten, wenn man weiterliest:

„Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.“ Art. 38 Abs. 4 DSGVO
Angenommen, keiner kennt den Datenschutzbeauftragten oder die Datenschutzbeauftragte. Wie soll er oder sie dann frühzeitig in neue Prozesse eingebunden werden, wie soll man ihn bei Fragen zu Rate ziehen? Soll Datenschutz reibungslos klappen, müssen die Betroffenen Datenschutzbeauftragte kennen und Möglichkeiten haben, mit ihnen in Kontakt zu treten."

Art. 38 Abs. 1 DSGVO

Tipps für Ihre Selbstvermark­tung als Datenschutz­beauftragte

Wollen Datenschutzbeauftragte ihre Arbeit richtig machen, sind sie auf Informationen von Kolleginnen und Kollegen angewiesen. Diese Tipps können helfen:

• Datenschutzbeauftragte sollten mittels Aushang mit Namen und Kontaktdaten am Schwarzen Brett des Unternehmens zu finden sein.
• Kontaktdaten von Datenschutzbeauftragten müssen auf der Webseite des Unternehmens oder der Organisation aufgeführt sein. Empfehlung: Geben Sie hier nur E-Mail-Adressen an, da Telefonnummern erfahrungsgemäß oft missbraucht werden. Für veröffentlichte Mailadressen sollten Sie sicherstellen, dass auf Nachrichten kurzfristig reagiert wird.
• Kontaktdaten von Datenschutzbeauftragten müssen der Aufsichtsbehörde für den Datenschutz mitgeteilt werden.
• Datenschutzbeauftragte sollten für ihre eigene Bekanntheit sorgen. Empfehlung: Datenschutz als „Management by Walking Around“ praktizieren – regelmäßige Datenschutz-Begehungen sind empfehlenswert und bringen viele Vorteile. Wer Begehungen angemessen protokolliert, hat bereits einen wesentlichen Teil der Dokumentation erfüllt.
• Bei Begehungen sollten Datenschutzbeauftragte das Gespräch mit den Beschäftigten suchen.
• Regelmäßige Datenschutz-Tipps können ein Weg sein, die Bekanntheit als Datenschutzbeauftragte zu steigern, beispielsweise per Rundmail. Oder Sie richten im Intranet einen Bereich ein mit den jeweils neuesten Tipps zum Datenschutz.
• Marketing durch Schulungen: Datenschutzbeauftragte sollten Schulungen und Sensibilisierungsmaßnahmen allgemein so anschaulich und ansprechend wie möglich gestalten. Immer hilfreich: Geschichten, „die das Leben schreibt“.

Kleine Geschichten aus dem Alltag

Team-Datenschutz-Gründer Eberhard Häcker veröffentlicht seine liebsten Anekdoten aus dem Datenschutz-Alltag jeden Monat auf der letzten Seite der Fachzeitschrift „Datenschutz Praxis“ im bekannten „Daten-Schluss“. Klarer Lesetipp!  >>> zur Website der Datenschutz Praxis

• Wenn Datenschutzbeauftragte verkörpern, dass Datenschutz in Wirklichkeit nicht eintönig, sondern sehr ansprechend und interessant ist, haben sie die wichtigste Maßnahme zum Selbstmarketing als Datenschutzbeauftragte verinnerlicht.
• Bieten Sie in Pandemie-Zeiten auch regelmäßige Schulungen per Videokonferenz an und suchen Sie den Kontakt im direkten Austausch via Videokonferenz – ein gutes Mittel, mit beschäftigten Personen in Verbindung zu bleiben.

Und die Kernfrage: Ist das Selbstmarketing von Datenschutzbeauftragten so gut, dass sie bekannt sind und im Zweifelsfall bei Anliegen zum Datenschutz informiert und angesprochen werden?

Wir wünschen gelungene Selbstvermarktung!