Im Interview mit Ralf Kamnitzer, einem sehr erfahrenen Datenschützer im Rhein-Main-Gebiet.
Seit 25.05.2018, dem Einführungsdatum der neuen EU-Datenschutz-Grundverordnung (DSGVO), ist eine Menge passiert. Während viele Unternehmen mit diesem Thema noch hadern und es als die größte Wirtschaftsbremse oder Verhinderer von Innovationen ansehen, preisen andere den Datenschutz in Deutschland als die einzige richtige Lösung und Entscheidung. Die FürsprecherInnen fordern von der heimischen Wirtschaft und ihren Teilhabern, sich daran vollumfänglich zu beteiligen, sämtliche Geschäftsprozesse daraufhin zu überprüfen und den Datenschutz somit vollständig in das Unternehmen zu integrieren. Um einen besseren Überblick zur Diskussion und interessierten EntscheiderInnen Handlungsempfehlungen für eine konforme Sicherung ihres betriebseigenen Know-hows zu geben, sprechen wir heute mit dem langjährigen Datenschutz-Experten Ralf Kamnitzer.
DIGITAL FUTUREmag: Herr Kamnitzer, seit der europaweiten Einführung der Datenschutz- Grundverordnung vor drei Jahren ist viel passiert. Warum ist Datenschutz überhaupt so wichtig geworden?
Ralf Kamnitzer: Das Interesse an persönlichen Informationen über das Leben und Wirken der Nachbarn ist für viele nach wie vor sehr interessant und erstrebenswert. Dies beweisen polizeilich registrierte Straftaten-Zahlen im Umfeld von Cyberkriminalität hierzulande. Die neueste BKA-Statistik (aus 2023 für 2022) dokumentiert mit 136.865 Cyberangriffen einen weiteren Höhepunkt. Der vom Digitalverband BITKOM erstellte Wirtschaftsschutzbericht weist einen fast doppelt so hohen monetären Schaden aus gegenüber 2019, nämlich 203 Milliarden EURO. Datenschutz ist keine neumodische Erfindung, sondern ein altes und heute noch praktiziertes Recht. Wir respektieren und halten uns an diese Rechte, ohne zu wissen, wieso und warum. Hier einige bekannte Klassiker: Der Eid des Hippokrates (Arztgeheimnis), Beichtgeheimnis (Kirche), Brief- und Postgeheimnis, teilweise noch das Bankengeheimnis. Diese gesetzlichen Datenschutznormen sind strafbewehrt. Ein Verstoß gegen diese Normen bewerten und ahnden die Gerichte unterschiedlich stark. Unser natürliches Leben wird bewusst oder unbewusst von diesen (Verhaltens-)Regeln beeinflusst.
Am 13. Oktober 1970 trat das Hessische Datenschutzgesetz als erstes und ältestes Datenschutzgesetz der Welt für die öffentliche Verwaltung in Kraft. Darin wurde festgelegt, wie, wann und warum personenbezogene Daten verarbeitet werden. Dessen Ziel ist auch gegenwärtig noch, das Recht auf informationelle Selbstbestimmung (Urteil des BVerfG vom 15.12.1983) nicht zu verletzen. Das spätere Bundesdatenschutzgesetz (BDSG), seit Januar 1978 aktiv, stellt die Grundlage für das aktuelle Recht, die Europäische Datenschutz-Grundverordnung von 2018 dar. Damit schuf man eine rechtliche Basis, nicht nur für die Bundesrepublik Deutschland, sondern europaweit.
DIGITAL FUTUREmag: Viele Unternehmen wissen nicht genau, wie sie den Datenschutz intern integrieren sollen. Welchen fachlichen Rat können Sie Firmen geben?
Ralf Kamnitzer: Der Datenschutz auf Basis der europäischen Datenschutz-Grundverordnung (DSGVO) gehört bei allen Unternehmen in den Bereich der Unternehmens-Compliance. Praktizierter Datenschutz ist für sämtliche Firmenverantwortliche zwingend. Heute werden die unterschiedlichsten Daten von Kunden, Mitarbeitenden, Praktikanten, Lieferanten und Dienstleistern erfasst, gespeichert und verarbeitet. Egal ob Solo-UnternehmerIn, KMU oder Konzern: Jeder ist verpflichtet, Rechenschaft abzulegen, wie er die gewonnenen bzw. überlassenen Informationen erfasst, speichert oder verarbeitet. Damit dieser Prozess einer einheitlichen Form genügt, bietet derzeit die gesetzliche Norm (DSGVO) die notwendige Vorgabe. Datenschutz ist kein Einmalprodukt, sondern lebt, wie alle anderen Compliance-Vorschriften, für das Unternehmen. Es gilt, die vorhandenen Arbeitsabläufe (Prozesse) Erfassen, Speichern und Verarbeiten von personenbezogenen Daten fortzuschreiben und den Realitäten anzupassen. Entsprechend der gesetzlichen Norm müssen die einzelnen Arbeitsabläufe (Prozesse) in einer geregelten und dokumentierten Form festgehalten werden. Nachfolgend einige Beispiele: Erfassung von MitarbeiterInnen bei der Einstellung, Erfassung von Fehlzeiten, Durchführung von Weiterbildungsmaßnahmen, Umgang mit gegebenenfalls Videoüberwachung, Behandlung von Kundendaten, Geheimhaltungsverpflichtung von Mitarbeitenden und Dienstleistern.
Diese Arbeitsabläufe (Prozesse) sind überall bekannt. Nur durch die rechtliche Verpflichtung, Rechenschaft über das geschäftliche Treiben abzulegen, wird eine Dokumentation notwendig. Deshalb sollte man bei der Existenzgründung genauso viel Wert darauflegen wie bei der Erstellung des Business- oder Finanzplans. Je früher der Datenschutz mit einbezogen wird, desto leichter lässt sich die rechtliche Norm umsetzen. Die gemachte Erfahrung zeigt aber, dass langjährige MitarbeiterInnen ungern an neue Themen, wie Datenschutz im Unternehmen, heran gehen. Nach dem Motto: „Wir kennen doch unseren Laden...“. Datenschutz verstehen mittlerweile schon viele Unternehmen als Marketing-Projekt und nutzen ihn. Denn: Viele KundInnen schauen bewusst nach, ob ein Anbieter oder Hersteller Datenschutz aktiv betreibt und vergeben entsprechend Aufträge.
DIGITAL FUTUREmag: Die Reglementierungen und Auflagen im Bereich Datenschutz sind für viele Unternehmen eine Bürde - andere wiederum sehen die Vorteile darin. Welchen weiteren Nutzen kann ein Unternehmen aus dem Projekt Datenschutz ziehen?
Ralf Kamnitzer: Der Nutzen eines aktiven Datenschutzes bietet vielseitige Vorteile. Die Auswirkungen sind sowohl im Innen- wie Außenverhältnis zu sehen und zu erkennen. Durch die Sensibilität der einzelnen Mitarbeitenden für diesen Aspekt lässt sich die Sicherheit im Unternehmen einerseits im Umgang untereinander und andererseits auch mit KundInnen/ Lieferanten neu definieren. Der aktive Datenschutz wird von jedem einzelnen MitarbeiterIn am Arbeitsplatz und für den Arbeitsplatz genutzt. Der aktive Datenschutz hilft, die Sicherheit in der Kommunikation und im jeweiligen Arbeitsablauf zu festigen. Die Anwesenheit einer/eines Datenschutzbeauftragten kann hilfreich sein, um Spannungen zwischen Geschäftsführung, Belegschaft und Betriebsrat abzubauen. Die Aufgabe der Datenschutzbeauftragten besteht darin, das Unternehmen bei der Anwendung der datenschutzrechtlichen Normen zu beraten und zu unterstützen. Etwa bei der Nutzung von Internet und E-Mail-Verkehr oder der Ausgewogenheit bei der Aufgabenverteilung der Mitarbeitenden. Dabei ist nicht nur die Datenschutz-Grundverordnung zu beachten, sondern auch noch eine Vielzahl anderer Vorschriften, wie das Sozialgesetzbuch, das Grundgesetz, Abgabenordnung oder Luftverkehrsgesetz.
Die vorgeschriebene Dokumentation der einzelnen Arbeitsabläufe (Prozesse) kann dazu führen, eine Strukturveränderung sichtbar zu machen. Dadurch kann ein wirtschaftlicher Gewinn für das Unternehmen herausspringen (Kosteneinsparung). Hier sind die Datenschutzbeauftragten gleich noch UnternehmensberaterInnen. Ähnlich wie bei der Optimierung der Fertigungsprozesse in den letzten Jahrzehnten. Die gewachsenen Arbeitsabläufe werden jetzt auf den Prüfstand gestellt. Ein weiteres großes Potenzial ergibt sich bei der Analyse der Arbeitsabläufe. Hier wird hinterfragt, wieso, weshalb und warum der Arbeitsprozess so läuft, wie er läuft. Gleichzeitig ist dadurch unter anderem zusätzlich überprüfbar, ob die Verteilung der Verantwortlichkeit der einzelnen MitarbeiterInnen noch mit der im Arbeitsvertrag beschriebenen übereinstimmt. Ganz wichtig für das Unternehmen ist die Realisierung der Betroffenenrechte. Hier bedarf es oft, so die gemachte Erfahrung, der Mithilfe durch die Beauftragten für den Datenschutz. Denn damit kann das Unternehmen einen positiven Eindruck hinterlassen. Ich denke in diesem Zusammenhang etwa an entsprechende Marketing-Maßnahmen.
Lassen Sie mich dies am Ende vielleicht noch kurz bemerken: Praktizierter Datenschutz und funktionierende IT-Sicherheit sind in meinen Augen integrale Bestandteile des Qualitätsmanagements. Außerdem hilft der Datenschutz bei der Optimierung der Geschäftsprozesse und ist zudem ein Schutzwall bzw. -schirm für das eigene Business. Denn abhanden gekommene Unternehmensinterna sind weder ersetzbar noch wiederzubeschaffen!
DIGITAL FUTUREmag: Vielen lieben Dank für Ihre transparenten Einblicke und Erläuterungen zu essentiellen betriebsrelevanten Security-Maßnahmen, die EntscheiderInnen dabei unterstützen, ihre geschäftlichen Ressourcen erfolgversprechend zu nutzen.