Inter­view: Daten­schutz­be­auf­trag­ter Klaus Foit­zick

„Beim Daten­schutz nach wie vor oft blank“

Weil die DSGVO für sie ein Buch mit sieben Siegeln ist, bauen viele Unternehmen auf externe Datenschutzbeauftragte wie Klaus Foitzick. Was ihn dort erwartet und warum gerade Europäer das Thema viel ernster nehmen sollten, erzählt er im Interview.

Herr Foitzick, erleben Sie noch Überraschungen, wenn Sie als externer Datenschützer in einen Betrieb kommen?
Foitzick:
Durchaus. Aussagen des Managements kleiner Gesellschaften wie „Personenbezogene Daten hat bei uns nur die Personalabteilung“ oder „Wir brauchen keinen Datenschutz bei uns, wir haben nur 18 Mitarbeiter“ kommen immer wieder.

Passiert ihnen so etwas öfter?
Foitzick:
Meist wissen wir vorab schon ungefähr, was uns erwartet. Etwa eine Woche, bevor wir in ein Unternehmen reingehen, fragen wir nach den organisatorischen Regelungen zu Datenschutz und Informationssicherheit, also nach einem Plan. Einige Unternehmen bewerfen uns dann mit einem 500-Seiten-Papier, andere sagen, so etwas haben wir nicht. Dann kommt der Check vor Ort. Besteht ein Datenschutzmanagementsystem? Wer ist als Datenschutzberauftragter bestellt? Liegt ein Verzeichnis der eingesetzten Verfahren vor? Sind die Rechner verschlüsselt? Welche Regelung gibt es für Homeoffice? Gibt es eine vollständige Datensicherung?

Was kann ein externer Datenschutzbeauftragter überhaupt ausrichten?
Foitzick:
Wenn er seine Kontrollfunktion wahrnimmt, trägt er auch zur Informationssicherheit bei. Das heißt, er führt ein ordentliches Datenschutzaudit durch, prüft auch die IT-Sicherheit, schaut sich den Serverraum an, kontrolliert Backup und Firewall. Ich schätze aber, dass höchstens 20 Prozent der Datenschutzbeauftragten all diesen Aufgaben nachkommen – aus Kapazitätsgründen. Wer einen Datenschutzbeauftragten für 100 Euro im Monat einkauft, muss wissen, dass er bei einer Überprüfung durch Datenschutzbehörden durchfallen wird.

Wie beurteilen Sie generell den Datenschutz in den Unternehmen? Sind größere Firmen besser gerüstet als kleinere?
Foitzick:
An sich ist das keine Frage der Größe. Es gibt kleine Unternehmen, die toll aufgestellt sind, und große, die gar nichts machen. In den meisten Fällen allerdings sind kleinere Unternehmen weder datenschutzrechtlich noch technisch ordentlich vorbereitet. Familienunternehmen haben oft eine gute Mentalität: Wir packen es gemeinsam an – die bekommen es deshalb besser hin. Bei Aktiengesellschaften ist oft zu beobachten, dass die Geschäftsführung alles im Blick hat, bei dem sie selbst angreifbar ist – und mehr auch nicht macht.

Gibt es auch Unterschiede zwischen den Branchen, was die Umsetzung der Datenschutzgrundverordnung (DSGVO) angeht?
Foitzick:
Das produzierende Gewerbe ist beim Datenschutz nach wie vor oft blank. Jetzt, verglichen mit vor einem Jahr, immerhin mit schlechtem Gewissen. Unternehmen aus dem Automobilbereich sind im Allgemeinen weiter. Bei Pharma sieht es besser aus.

Worauf führen Sie diese Unterschiede zurück?
Foitzick:
Bislang nutzen die Datenschutzbehörden ihre Sanktionsmöglichkeiten, die Strafen von bis zu 20 Millionen Euro vorsehen, nur zögerlich. Den Druck auf die Unternehmen erzeugen vorrangig ihre Kunden. Die Metzgerei, die Papierfabrik, der Produzent von Lampenschirmen – die verspüren keinen Druck. Kommen hingegen Patientendaten in einem Krankenhaus abhanden, verliert die Klinik so viele Privatpatienten, dass es für den Betreiber zum Desaster werden kann.

Zu Ihnen kommen also vorwiegend Unternehmen, die bei einem Datenleck viel zu verlieren haben?
Foitzick:
Wenn ich versuche, einen gemeinsamen Nenner zu finden, betreuen wir in der Tat Unternehmen, die primär Daten von anderen verarbeiten. Dabei reicht unser Kundenkreis von Pharma über Krankenhäuser, Cloud-Dienstleister, Start-ups bis hin zum produzierenden Gewerbe.

Im Mindset der meisten Unternehmen hat sich durch die DSGVO also wenig verändert?
Foitzick:
Ja. Warum Datenschutz wichtig ist, warum es die DSGVO gibt – das verstehen die meisten Unternehmen nicht. Dabei wäre das essenziell: Demokratie funktioniert nicht ohne Datenschutz. Wenn ich Angst haben muss, dass alles, was ich sage, aufgezeichnet wird, werde ich meine Meinung nicht mehr äußern. Wir haben heute tausendfach mehr Daten als in den Jahrzehnten zuvor. Die Frage, ob wir Informationsfreiheit sichern können, ist wichtiger als je zuvor. Aus meiner Sicht ist der Datenschutzbeauftragte der Greenpeace-Aktivist des 21. Jahrhunderts.

Welche Entwicklung erwarten Sie in den kommenden Jahren?
Foitzick: Wenn die Menschen in Sachen Datenschutz aufmerksamer werden – und diese Tendenz sehe ich durchaus –, wird Datenschutz zu einem Wettbewerbsfaktor. Unternehmen, die heute bereits datenschutzkonform arbeiten, werden das als wirtschaftlichen Vorteil deutlich nutzen können. Umgekehrt sind Geschäftsmodelle, die nur auf Kundendaten als Währung setzen – wie es heute noch große Plattformen tun –, so nicht zukunftsfähig. Ich sehe den Datenschutz als eine wesentliche Stärke Europas und als Chance für die hiesige Wirtschaft.

Die Fragen stellte Simon Frost

Zur Startseite
Auch inter­essant