Sie arbeiten nun schon einige Jahre als Konzerndatenschutzbeauftragte. Was hat sich seit Beginn Ihrer Tätigkeit am Berufsbild des Datenschutzbeauftragten am meisten geändert?
Ich denke zwei Dinge sind hier ganz wesentlich: Zum einen die zunehmende technische Komplexität, die uns alle mit dem Internet und der Nutzung von smart devices jeder Art umgibt. Zum anderen – und das steht mit dem zuerst genannten in enger Beziehung – die öffentliche Wahrnehmung des Themas Datenschutz in allen Facetten, d.h. für Bürger, Verbraucher und Beschäftigte. Seit dem Bekanntwerden der ersten großen Datenschutzskandale in Deutschland in 2008 gibt es eine immer stärker werdende Debatte um die Frage der Umsetzung der Rechte der von der Datenverarbeitung Betroffenen. Spätestens mit den Veröffentlichungen von Edward Snowden und der NSA-Krise ist klar: Datenschutz geht jeden an.
Aus der Sicht der für die Datenverarbeitung verantwortlichen Stellen, egal ob öffentlich oder privat, bedeutet dies eine klare Verantwortung zu übernehmen und die Erhebung und Verarbeitung personenbezogener Daten mit umfassenden Konzepten so zu gestalten, dass insgesamt accountability , d.h. wirksame Mechanismen zur Umsetzung datenschutzrechtlicher Anforderungen, nachgewiesen werden können. Für das Berufsbild des Datenschutzbeauftragten bedeutet dies Chancen, aber auch Herausforderung. So kann er sich heute nicht mehr nur auf rechtliche oder technische Bewertungen in Einzelfällen beschränken, sondern muss die Komplexität der Anforderungen über Prozessgestaltungen bewältigen. Er wird damit – und das gilt auch für den mittelständischen Bereich – zunehmend an den Qualitäten eines Managers gemessen.
Wir wissen, dass die Europäische Datenschutzreform zwar aufgeschoben, aber nicht aufgehoben ist. Hätten die derzeitigen Reformvorhaben konkrete Auswirkungen auf die Tätigkeit eines Datenschutzbeauftragten hier in Deutschland?
Ja, das ist klar erkennbar. Die kontroverse Diskussion um die Reform beginnt schon bei der zentralen Frage, ob es – wie dies derzeit in Deutschland gesetzlich verankert ist – eine Bestellpflicht für Datenschutzbeauftragte geben soll. Die Positionen der Mitgliedsstaaten liegen hier zum Teil weit auseinander. Aus der Sicht von CEDPO, einem Zusammenschluss von Datenschutzverbänden aus Frankreich (AFCDP), Spanien (APEP), Österreich ARGE), Irland (ADPO), Deutschland (GDD), den Niederlanden (NGFG) und Polen (SABI), bewerten wir die Tätigkeit und Funktion des Datenschutzbeauftragten als großen Vorteil für Betroffene, verantwortliche Stellen und Datenschutzaufsichtsbehörden.
CEDPO fordert daher, die Bestellung von Datenschutzbeauftragten dadurch zu fördern, dass Meldepflichten gegenüber Aufsichtsbehörden entfallen bzw. stark reduziert werden. Ein weiteres Thema, worin sich das europäische Reformvorhaben stark auf die Tätigkeit des Datenschutzbeauftragten auswirkt, ist die erheblich höhere Anforderung an Dokumentationspflichten. Der Datenschutzbeauftragte würde diese entweder selbst erfüllen müssen oder aber zumindest erhebliche Verantwortung für die Umsetzung der hierzu erforderlichen Prozesse tragen, was zu steigendem zeitlichen und personellen Ressourcenbedarf beiträgt. Entscheidend ist es hier im Endergebnis zu einer angemessenen Abwägung zu gelangen, die eine effiziente Umsetzung ermöglicht. Und was die Stellung und Funktion des Datenschutzbeauftragten in Deutschland betrifft, sollte meines Erachtens der durch die langjährige Praxis bewiesene Vorteil und ggf. auch Vorsprung nicht aufgegeben werden.
Wie ist Ihre Prognose für 2030: Wird das Ansehen des Datenschutzbeauftragten weiter steigen oder sinken?
Das Ansehen des Datenschutzbeauftragten wird meiner Meinung nach durch zwei Dinge geprägt: rechtliche und persönliche Handlungsfähigkeit. Im Bereich der rechtlichen Handlungsfähigkeit ist klar der dann geltende gesetzliche Rahmen maßgeblich. Ich würde mir wünschen, dass die heute noch geführten Debatten um Funktion und Stellung des Datenschutzbeauftragten beendet sind und sich eine klare Rolle etabliert hat, die weit über Europa hinaus Bedeutung erlangt hat. Über die persönliche Handlungsfähigkeit des Datenschutzbeauftragten entscheiden schon heute und werden zukünftig noch zunehmend seine persönlichen und fachlichen Skills entscheiden. Aus- und Fortbildung auf Veranstaltungen wie dieser sind daher essentiell. Insgesamt gehe ich davon aus, dass der Datenschutzbeauftragte zukünftig nicht nur weiter einen wichtigen Beitrag zum Schutz der Betroffenenrechte leistet, sondern auch eine wichtige Rolle bei der Debatte um datenschutzkonforme Prozesse an der Basis unserer Demokratien einnehmen kann und muss. Ich persönlich werde allerdings im Jahre 2030 voraussichtlich meinen Ruhestand genießen (lacht).
Hat die Verzögerung der europäischen Datenschutz-Reform Folgen für die Tätigkeit des Gesetzgebers in Deutschland?
Wenn man den Koalitionsvertrag der Regierungsparteien analysiert, so erkennt man eine ganze Reihe von Vorhaben, die sich auf nationale Datenschutzreformen beziehen. Teilweise, wie z.B. beim Beschäftigtendatenschutz ist explizit darauf verwiesen, dass eine eigene Regelung in Deutschland angestrebt werden soll, wenn die europäische Datenschutz-Grundverordnung nicht in „angemessener“ Zeit verabschiedet wird. Dies beinhaltet das Risiko, dass wiederum Regelungen entstehen, welche dann mit einer späteren Regelung auf europäischer Ebene nicht kompatibel wären, d.h. erneuter Anpassungsbedarf wäre absehbar. Solche Entwicklungen sollten vermieden werden. Im Hinblick auf eine möglichst weitreichende Umsetzbarkeit und Rechtssicherheit von Datenschutzvorgaben halte ich es für wesentlich, dass wir in Europa aber – soweit möglich - auch global über harmonisierte Ansätze verfügen.
Vielen herzlichen Dank für das Interview, Frau Krader!
Lesen Sie hier mehr über Gabriele Krader zum Thema Datenschutz und ihren Vortrag Best Practice - Standardisierte Verfahrensmeldung und Datenschutzfolgeabschätzung bei global eingesetzten IT-Applikationen auf dem Datenschutzkongress in Berlin.
Das Interview mit Gabriela Krader LL.M, Representative of CEDPO (Confederation of European Data Protection Organisations), Konzerndatenschutzbeauftragte, Deutsche Post DHL Bonn, führte Bettina Karen Cebulla, RA und Conference Director, EUROFORUM
