Ein völlig normal verrückter Tag im Leben einer Datenschutzbeauftragten

Fachbeitrag

Haben Sie sich schon einmal gefragt, was eine (externe) Datenschutzbeauftragte eigentlich den lieben langen Tag so macht? Und kommen Sie mir jetzt nicht mit: Datenschutz. Wir sind Paragrafenreiter, Krisenmanager, Händchenhalter und Krieger in einem. Wir sind die Ritter der DSGVO-Tafelrunde, das Giotto zum Kaffee, die Breze zur Weißwurst. Wir zeigen Wege auf und halten durch. Da kann kommen, wer will. Ein Kommentar.

Acht Stunden lang Datenschutzheldin

(Externe) Datenschutzbeauftragte zu sein hat mehr Ähnlichkeit mit Game of Thrones als mit My Little Pony. Ich meine, kämpfen wir nicht ständig um den eisernen Privacy-Thron, mit einem eisigen Hauch im Nacken? Unsere Wegbegleiter sind auch eher die drei feuerspeienden Drachen DSGVO, BDSG und TTDSG als kunterbunte, niedliche Pferdchen. Aber vielleicht irre ich mich auch und wir Datenschützer durchstreifen die Daten-Wälder in The Walking Dead, jeder Zombie ein neues fancy Tool, das der Kunde unbedingt einsetzen möchte.

Letztlich spielt es keine Rolle, denn Datenschutzbeauftragte (DSBs), egal ob intern oder extern, treten für eine gute Sache ein – mal mit vollem Eifer, mal weniger überzeugt, aber immer mit dem Wunsch, den Datenschutz im Unternehmen bzw. beim Kunden voranzubringen. Sie sind daher Alltagshelden, auch wenn sie weder Schwert noch Rüstung tragen noch sonst wie heroisch wirken. Und darum stelle ich unseren lieben Lesern nun die Bettina vor.

Bettina ist Anfang dreißig, trägt Brille und hat Grips. Sie steht stellvertretend für haufenweise (externe) Datenschutzbeauftragte, die sich im Kunden-Dschungel zurechtfinden müssen und Datensammel-Schlangen abwehren. So oder so ähnlich verlaufen die Arbeitstage vieler DSBs in ihren Büros oder im Homeoffice. Wie bei jedem Job ist auch hin und wieder eine Prise Langeweile dabei, doch vieles ist so verrückt, das glaubt kein Mensch. Über die Abenteuer von Datenschutzbeauftragten berichtet keiner. Dann wird es jetzt langsam Zeit, diese Bildungslücke zu schließen.

Marketing am Morgen? Ohne Kaffee geht nichts

Es ist 8:00 Uhr, als der Wecker klingelt. Bettina erwacht aus einem Albtraum. Im Gegensatz zu ihren Kunden war es nicht der Datenschutz, der sie nachts nicht ruhen ließ. Es waren die Kunden. Spaß beiseite. Es war ihr dicker Kater Pummel, der beflauscht werden wollte.

Das Postfach quillt über

Erstmal Kaffeemaschine einschalten, den Kater mit einem vollen Fressnapf zum Schweigen bringen. Im Schlafanzug zum Schreibtisch, Laptop an. Mails checken, während es in der Küche brummt. Newsletter, Newsletter, interne Nachricht, ah ein Kunde. Und noch einer. Noch einer. Stopp. Oh Gott, das hört ja nicht auf. Mal sehen, was die Kaffeemaschine macht. Die ruckelt weiterhin, also putzt sich Bettina zwischenzeitlich die Zähne und zieht sich Jogginghose sowie Bluse an. Homeoffice halt.

Endlich sitzt Bettina mit der Tasse in der Hand vor dem Bildschirm. Gibt es dringende Anfragen? Sie verdreht die Augen. Klar, für den Kunden ist alles dringend. Und wenn man das dann schnell beantwortet, weil der Kunde drängt und Panik schiebt, kommt die Abwesenheitsnotiz: Der Ansprechpartner ist für zwei Wochen im Urlaub. Aber sie hat Glück, keine Anfrage eilt, keine Fristsachen, alles was da liegt sind Auftragsverarbeitungsverträge, die geprüft werden sollen – Snacks sozusagen. Easy. Das wird ein guter Tag.

Aber andere machen das doch auch!

Pünktlich um 9:00 Uhr startet Bettina die Videokonferenz mit dem Kunden A. Genauer, mit deren Marketing-Abteilung. Zu sehen sind Candy, Mandy und Randy, Tick, Trick und Track oder Timon und Pumbaa – jedenfalls ein Dreamteam, das es sich zur Aufgabe gemacht hat, bestmöglichen Content für die Target Group zu createn und Leads zu generieren. Datenschutz ist da der Feind, der sämtliche Werbeträume wie Seifenblasen zerplatzen lässt. Entsprechend erfreulich gestaltet sich das Gespräch.

Siegfried und Roy berichten von einer geplanten Event-Einladung, per E-Mail natürlich und selbstverständlich via Mailchimp. Als Bettina den Wechsel des Newsletter-Dienstleisters empfiehlt, werden die Gesprächspartner unruhig. Sie schluckt, weiß sie doch, was kommt. Als sie auf das erforderliche Double-Opt-In für den Newsletter-Versand hinweist, bricht die Hölle los. Zumindest für das Marketing. Bettina blickt gelassen in weit aufgerissene Augen, ungläubig geöffnete Münder, erstarrte Gesichter. Die übliche Reaktion auf geforderte Datenschutzkonformität.

Stolz zeigen die Marketing-Profis der DSB das Anmeldeformular für das Event, auf das der Newsletter verlinkt. Sie haben sich sichtlich Mühe bei der Gestaltung gegeben. Nur nicht bei den Cookies. Da wird wild getrackt, einfach awesome, nur ohne Cookie Banner, ohne Einwilligung, ohne Ahnung. Auf Bettinas geäußerte Bedenken reagieren die Ansprechpartner skeptisch:

„Andere machen das doch auch! Da werden keine personenbezogenen Daten verarbeitet. Das trackt nur.“

Solche Phrasen kennt Bettina schon, das haut sie also nicht vom Hocker. Trotzdem zeigt sie Verständnis und beruhigt. Das gehört zu ihrem Job. Sie ist nicht nur Paragrafenreiter, sondern auch Menschenkenner. Sich stur zu stellen allein bringt nichts, Hilfe gilt es anzubieten, Beistand. Manchmal heißt Datenschutzberatung eben auch die Hand zu reichen. Gemeinsam kriegen wir das hin.

Nach dem Termin atmet Bettina durch. Wer die Wahrheit sagt, braucht ein schnelles Pferd. Und wer Datenschutz einfordert, Nerven.

Mittags gibt es Pizza … und einen Anruf

So einige dusslige Auftragsverarbeitungsverträge später macht Bettina Mittagspause. Sie hat keine Lust zu kochen und schmeißt eine Tiefkühlpizza in den Ofen. Bis diese fertig ist, will sie den Bauch ihres Katers kraulen und den Datenschutz für eine Weile vergessen. Ein Anruf macht ihr einen Strich durch die Rechnung. Mit einem Satz ist Pummel weg. Da die Pizza eh noch ein bisschen braucht, geht sie ran.

Kunde B hat da mal ne Frage. Na dann, schieß los.

„Naja … wir haben ein Schreiben bekommen, so ein Ding von der Behörde und die will was wissen.“

Worum es geht, damit will der Herr nicht so recht herausrücken. Warum er dann anruft, kein Plan. Doch Bettina kennt ihr Metier und weiß, wie man Kunden aus der Reserve lockt. Ähnlich wie Pummel. Mit Leckerli. Sie macht ihm klar, dass es weniger Arbeit für ihn bedeutet, wenn Sie ihn unterstützt. Und das kann sie nur mit mehr Infos. Schon hat sie ihn.

„Unsere Videoüberwachung, da gibt es eine Beschwerde zu! Es kann doch nicht sein, dass Datenschutz die Einbrecher schützt! Wir brauchen die Kameras. Den letzten Wisch von denen haben wir nicht beantwortet, aber jetzt schreiben die schon wieder.“

Ruhig, Bettina. Ruhig.

„Schicken Sie mir erstmal das Schreiben rüber, das guck ich mir an und dann helfe ich Ihnen weiter. Keine Sorge.“

Gesagt, getan. Die Pizza auf dem Teller neben Bettina ist längst kalt, ihr ist der Appetit vergangen. Ja, der Kunde hat Videoüberwachung und was für welche. Vor dem Klo, verdammt. Bettina fordert weitere Informationen vom Kunden an, Kamerapläne, eine Beschreibung der durchgeführten Videoüberwachung, alles was ihr einfällt und von der Aufsichtsbehörde gefragt wird. Die Frist ist kurz, der Kunde lahm. Ein Fall für Aktenzeichen DSB … ungelöst, wenn der Ansprechpartner nicht spurt. Bettina wird ihr Bestes tun. Der Drops ist dennoch längst gelutscht. Wen will der Kunde vor dem Klo überhaupt überwachen? Den Basilisken aus Harry Potter und die Kammer des Schreckens? Oder aus der Kanalisation hochkrabbelnde Ninja Turtles?

Zwischen Datenschutzunlust und Krisenmanagement am Nachmittag

Bettina hat sich noch nicht ganz vom Schrecken erholt, weshalb sie sich einer Datenschutzerklärung zuwendet, die seit Tagen in ihrem E-Mail-Postfach rumgammelt. Mal sehen, was sie so erwartet. Vielleicht ein No Brainer, den könnte sie jetzt gut gebrauchen. Eine 0815-Website, nichts Exotisches, Google Analytics, das wars. Kein Tool aus den USA, das kein Mensch kennt, keine drölfzig Tracking-Cookies.

Bettina hat Pech

Wer auch immer das Ding erstellt hat, hat keine Ahnung vom Datenschutz. Dass sich darin immer noch Verweise auf den EU-U.S. Privacy Shield finden lassen, geschenkt. Ist ja erst zwei Jahre her. In einer anderen Datenschutzerklärung hat Bettina kürzlich vom Safe Harbor-Abkommen gelesen, das seit fast sieben Jahren ungültig ist, das war eine Sensation. Viel merkwürdiger als der dämliche Privacy Shield-Verweis ist der sonstige Inhalt der Datenschutzerklärung:

  • Speichern bis in alle Ewigkeit, weil die Daten nun dem Unternehmen gehören würden,
  • sämtliche Verarbeitungen werden auf das berechtigte Interesse gestützt, denn warum sollte man sich auch über andere Rechtsgrundlagen Gedanken machen, wenn diesen Schmarrn eh keiner liest,
  • und am Ende, der Brüller, anstelle der Erläuterung des Widerspruchsrechts der Betroffenen steht fettgedruckt der Hinweis, dass der Websiteinhaber sämtlicher Werbung widerspreche und keine erhalten wolle.

Ein Dankeschön

Erneut geht ein Anruf ein. Bettina hebt dankbar ab. Am Apparat eine völlig aufgelöste Dame:

„Mir ist da was passiert.“

Bei Bettina klingeln die Alarmglocken. Ihr Verdacht bestätigt sich, ein Datenschutzvorfall. Die Dame hat eine E-Mail aus Versehen an den falschen Empfänger geschickt. Wie sich herausstellt, alles halb so schlimm, kaum Daten betroffen, nichts Sensibles, nicht meldepflichtig. Die Hauptaufgabe besteht diesmal darin, der Anruferin die Angst zu nehmen. Diese fürchtet um ihren Job, weil sie den Datenschutz missachtet habe. Dann müsste man ja 90 Prozent aus Deutschlands Unternehmen rauskicken. Am Ende des Gesprächs bedankt sich die Kundin. Sie könne nun sorgenfrei nach Hause gehen.

Bettina mag ihren Job. Umso mehr, wenn sie ein Dankeschön zu hören bekommt. Die Tätigkeit als Datenschutzbeauftragte ist nicht sonderlich prestigeträchtig, nicht cool und in den Augen so mancher lästig. Aber solche freundlichen Worte des Danks sind es, die Bettina zeigen, das was sie macht ist wichtig, ist gut und richtig.

Mit einem Lächeln fährt sie den Laptop herunter. Datenschutz muss sein, klar. Aber nun braucht Bettina dringend ihr Feierabendbier.


Dieser Beitrag ist ein Kommentar und spiegelt daher die persönliche Meinung der Autorin / des Autors wider. Diese muss nicht mit der Meinung des Herausgebers oder seiner Mitarbeitenden übereinstimmen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

17 Kommentare zu diesem Beitrag

  1. Klingt sogar viel weniger schlimm als ich erwartet habe, wenn ich so denke wie Leute immer reagieren wenn ich nur das böse Wort Datenschutz erwähne.

    Deutschland wäre ja so schlimm, kein anderes Land achtet so darauf; ich frag mich dann immer was daran schlimm ist?

    • Wie wahr.

      Was vielleicht noch fehlt, ist die Zusatzfunktion „Psychologe/in“ oder schlimmer „Psychotherapeut/in“ für Führungskräfte. Gerade bei Vor-Ort-Terminen haben mir Geschäftsführer oder Prokuristen (das waren tatsächlich immer Männer) gefühlt stundenlang erzählt, was es außer Datenschutz noch an Problemfeldern im Unternehmen gibt. Das ist manchmal sehr wertvolle Zusatzinfo, manchmal aber auch nur langweilig. Und da kommt das oben Gesagte zum Tragen: „…Sie ist nicht nur Paragrafenreiter, sondern auch Menschenkenner…“; d.h. psychlogisches Vorgehen und dabei dennoch Beraten und Unterstützen.

      Kompliment. In Summe eine sehr unterhaltsame Schilderung und doch so wahr.

  2. Das waren aber Aktionen für zwei Tage, oder eineinhalb. An einem wird auch Super-Bianca das nicht alles schaffen.

    Außerdem kommen Datenschutzvorfälle nur am Freitagnachmittag rein. Nachdem sie schon gut abgehangen sind.

    Sonst sehr realistisch. Marketing-Leute, die noch nie was vom UWG gehört haben. Immer wieder Newsletter über verschiedene Dienstleister; nicht dass es schon überall bekannt wäre, auf welches System man sich festgelegt hat. Einwilligungen in… „Datenschutz“. (Nur keine Zwecke erkennbar machen; so viel wie möglich reinpacken.) Auftragsverarbeitungsverträge, wo man jedesmal jedes Wort auf die Datenschutzwaage legen muss. Internetauftritte werden grundsätzlich an Agenturen vergeben, die nicht wissen, was sie ihren Kunden damit antun. Fast keine App, die für irgendwelche lustigen Lösungen angeschleppt wird ist in der Lage die Gnade des DSB zu finden. Auskunftsanträge usw. kommen fast täglich rein, werden aber nicht alle als solche erkannt und grundsätzlich „zum ersten Mal“ bearbeitet, weil es Jahre dauert, bis dieselbe Stelle wieder damit zu tun hat. Und die großen Amerikaner müssen unbedingt sein, weil ja alle…

    D., der das alles so unterschreiben kann.

  3. Kunde: „Sie müssen mir noch ein Datenschutz fertigmachen.“
    Ich: „Ein Datenschutz? Können Sie das präzisieren?“
    Kunde (lacht): „Na, wenn Sie das nicht selbst wissen als Datenschützer! Dafür haben wir Sie doch!“
    *seufz* Der Kunde brauchte übrigens eine Datenschutzerklärung für seine Webseite.

  4. „dusslige“ Auftragsverarbeitungsverträge, hat mir am Besten gefallen. Ach ja, und das man als DSB immer zuletzt erfährt das eine Videoüberwachung stattfindet, ist auch nichts Neues :-)…

  5. Witzig, das ist wirklich der idealisierte Tag.
    Wenn ich die häufigsten Vorfälle meines Alltags schildern würde, käme die gleiche Geschichte raus. Gefällt mir.

  6. Würde es einen Preis für eure Artikel geben…dieser würde ihn gewinnen! Respekt und Glückwunsch. Sehr, sehr gut, unterhaltsam, kreativ und lustig geschrieben. TOP (und ich schenk Dir noch ein „l“ „Breze“ zur Weißwurst. ;-) Freue mich schon auf den nächsten Artikel!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.