Datenschutzbeauftragter – Experte mit Doppelfunktion aus Beratung und Kontrolle
21. November 2017
Das Thema Datenschutz gewinnt immer mehr an Bedeutung, auch wenn – oder gerade weil – immer mehr Menschen persönliche Daten im Internet preisgeben. Markus Frowein ist seit 2014 Datenschutzbeauftragter von Telefónica in Deutschland. Der Volljurist arbeitet seit 2006 im Unternehmen und beschäftigt sich bereits lange mit dem Thema. Im Interview erklärt er seine Aufgabe mit den verbundenen Pflichten, erläutert, wie er Datenschutz nicht nur als rechtlich verpflichtende Aufgabe, sondern als Anliegen des Unternehmens implementiert und darin die Basis für das Vertrauen der Kunden sieht.
Redaktion: Was machen Sie als Datenschutzbeauftragter?
Frowein: Meine Rolle ist gesetzlich definiert. Meine Aufgaben als Datenschutzbeauftragter lassen sich mit den Wörtern Beratung und Kontrolle beschreiben: Zum einen berate ich Kollegen und das gesamte Unternehmen in Sachen Datenschutz. Und zum anderen kontrolliere ich auch, ob sich alle an die gesetzlichen Vorschriften zum Datenschutz halten und diese korrekt umgesetzt sind. Mit meinen Kollegen im Bereich Datenschutz bilde ich eine Art Aufsichtsinstanz im Unternehmen. Wir nehmen eine Zwischenstellung zwischen externer Aufsicht und unserem Unternehmen ein.
Redaktion: Wie viele Mitarbeiter gibt es bei Telefónica in Deutschland im Bereich Datenschutz?
Frowein: Außer mir arbeiten noch zahlreiche Juristen und Datenschutzexperten an dem Thema. Dazu kommen noch die Verantwortlichen in verschiedenen Unternehmensbereichen und bei Tochtergesellschaften sowie externe Berater.
Redaktion: Was ist das Besondere an Ihrer Aufgabe?
Frowein: Wir müssen Dinge durchsetzen, die nicht immer dem entsprechen, was sich die Kollegen vorgestellt haben. Dabei treten wir hin und wieder jemandem auf die Füße, weil er vielleicht etwas nicht so machen darf wie zunächst geplant. Wenn wir ihm dann aber eine Alternative, einen datenschutzkonformen Weg aufzeigen, dann funktioniert die Zusammenarbeit sehr gut. Wir verstehen uns als Partner der Fachabteilungen.
Redaktion: Wäre es nicht besser, gleich einen externen Datenschutzbeauftragten zu beschäftigen?
Frowein: Nein. Es hilft uns sehr, dass wir als Interne das Unternehmen mit all seinen Abläufen besser kennen. Die möglichen Interessenskonflikte halten sich in Grenzen, weil der Datenschutzbeauftragte weisungsfrei arbeitet und direkt an den Vorstand berichtet.
Meine Erfahrung hat mich gelehrt, dass wir durch den ständigen Kontakt mit den Kollegen immer eine passende Unternehmenslösung finden, die Datenschutzbestimmungen berücksichtigt. Eine externe Kraft könnte das in dieser Form nur mit unverhältnismäßig hohem Aufwand.
Redaktion: Wie überzeugen Sie Ihre Kollegen, sensibel mit dem Thema Datenschutz umzugehen?
Frowein: Das ist vor allem eine Frage der Kommunikation. Gerade als interner Datenschutzbeauftragter weiß man, wie ein Unternehmen tickt, wie man die Kollegen am besten erreicht – ob man beispielsweise per Newsletter informiert oder besser individuell im direkten Gespräch. Das kommt auf immer auf den Anlass an.
Redaktion: Können Sie uns ein Beispiel geben, was Sie sich in Ihrer Arbeit anschauen?
Frowein: Nehmen wir zum Beispiel den Geschäftsprozess der Kundenabrechnung. Ein komplizierter Prozess, der von unserem Netzwerk mit Verbindungsdaten über verschiedene IT-Systeme, Tarif-Abgleich, Nachberechnung und Kontrolle bis hin zur Datenübermittlung an den Druckdienstleister für die Papierrechnung viele Schritte umfasst. Wir müssen sicherstellen, dass nicht nur jeder Schritt rechtskonform abläuft, sondern auch alle notwendigen Verträge mit Dienstleistern richtig und vollständig abgeschlossen werden.
Redaktion: Datenschutz ist nicht allein ein rechtliches, sondern auch ein sehr stark technisches Thema. Wie bringen Sie das zusammen?
Frowein: Wir arbeiten zweifellos an der Schnittstelle von Recht und Technik. Deshalb benötigen wir neben unserem juristischen auch ein gutes technisches Know-how. Dabei hilft es, wenn sich ein Datenschutzverantwortlicher auch privat dafür interessiert, wie etwas funktioniert, einen Zugang zur Technik hat. Ich habe früher im Bereich Regulierung gearbeitet. Da musste ich auch schon mal mit der Bundesnetzagentur über die unterschiedlichen Schichten von Netzwerkprotokollen diskutieren.
Mich fasziniert die digitale Technik sehr. Neben dem eigenen Interesse sind natürlich auch Kollegen hilfreich, die die Technik verständlich erklären können.
Redaktion: Von welchen Daten sprechen wir denn eigentlich, wenn es um den Datenschutz geht?
Frowein: Es geht immer um personenbezogene Daten, also Daten, die auf eine natürliche Person zurückgeführt werden können. Das sind bei uns Mitarbeiter, aber auch Partner und Lieferanten und natürlich Kunden und Nutzer. Im Umgang mit deren Daten unterliegen wir als Telekommunikationsunternehmen noch höheren Anforderung als andere, weil für uns auch das Telekommunikations- und das Telemediengesetz gelten. Die Inhalte der Kommunikation unserer Kunden und Nutzer unterliegen besonderer Vertraulichkeit, ähnlich dem Briefgeheimnis. Das gilt sowohl für die Telefonie als auch für SMS. Die Vertraulichkeit müssen wir sicherstellen.
Konkret gehören zu den Daten, die direkt auf den Nutzer zurückgeführt werden können, beispielsweise Verkehrsdaten aus unserem Netzwerk, also wer wann mit wem wie lange telefoniert hat. Bei Mitarbeitern gehören dazu aber natürlich auch Gehaltsdaten, bei Surfern auf unserer Webseite auch die Nutzungsprofile auf o2.de.
Redaktion: Wie gewährleisten Sie, dass sich Telefónica in Deutschland an die Datenschutzbestimmungen hält?
Frowein: Wir haben ein Datenschutzmanagementsystem aufgebaut, in dem Regeln und Prozesse festgelegt sind. Heute gibt es in unserem Unternehmen keine eigene Entwicklung mehr ohne Datenschutz-Relevanzprüfung. Da haben wir schon viel erreicht.
Redaktion: Viele Unternehmen wollen aus den Daten lernen, die sie erheben und verarbeiten, Stichwort Big Data. Mit Telefónica Next bietet Ihr Unternehmen selbst Analysen von großen Datenmengen an. Wie passt das zum Datenschutz?
Frowein: Anonymisierung ist hier für uns der zentrale Punkt. Wir haben in drei bis fünf Jahren Entwicklungsarbeit ein Verfahren entwickelt, mit dem wir die Daten anonymisieren, bevor wir sie analysieren. Ein Zurückverfolgen der Daten auf einen individuellen Nutzer ist nicht möglich. Dieses Verfahren haben wir mit großem Aufwand technisch und organisatorisch hier in Deutschland entwickelt und auch von der Bundesdatenschutzbeauftragten begleiten lassen. Die Behörde ist zufrieden mit unserer Entwicklung. Sie hat bestätigt, dass unser Anonymisierungsverfahren die datenschutzrechtlichen Anforderungen erfüllt.
Redaktion: Was hat der Kunde von den Anstrengungen, die Telefónica in Sachen Datenschutz betreibt?
Frowein: Unsere Kunden haben die Sicherheit, dass wir Datenschutz aktiv betreiben. Wir arbeiten daran, dass unsere Kunden die Kontrolle über ihre Daten behalten. Diese Datensouveränität halten wir für sehr wichtig. Als Unternehmen wollen wir das Bewusstsein für den sensiblen Umgang mit Daten auch gesellschaftlich fördern. Wir brauchen eine ethische Diskussion, welche wir in Berlin mit den Data Debates aktiv fördern. Kundenvertrauen in die erbrachten Dienste wird immer wichtiger in der digitalen Welt.
Redaktion: Können Sie kleinen und mittleren Unternehmen einen Tipp geben, wie sie am besten an das Thema Datenschutz herangehen?
Frowein: Das ist individuell sehr verschieden. Die wichtigste Frage, die sich Unternehmen im Zusammenhang mit dem Datenschutz stellen müssen: Wo sind unsere Kronjuwelen? Was sind die wichtigsten und sensibelsten Daten in unserem Unternehmen, für die der höchste Schutz erforderlich ist? Wenn das klar ist, dann lassen sich entsprechende organisatorische und technische Maßnahmen dazu ableiten. In großen Unternehmen kommt ein schlankes und effizientes Management des Datenschutzes hinzu sowie die Unterstützung durch den Vorstand oder die Geschäftsführung.
Redaktion: Im Mai kommenden Jahres tritt die neue Datenschutz-Grundverordnung, kurz DSGVO, in Kraft. Wie müssen sich Unternehmen darauf vorbereiten?
Frowein: Das Wichtigste hierbei ist es, wirklich alle Bereiche im Unternehmen ins Boot zu holen und mit ihnen die Vorbereitungen zu treffen. Die Geschäftsführung muss diese Vorbereitungen unterstützen. Alle Bereiche sind betroffen – von der Personalabteilung über Marketing und Vertrieb bis zu Finanzen.
Bei Telefónica haben wir uns schon 2016 Gedanken darüber gemacht, wie wir die Anforderungen der DSGVO erfüllen. Im Herbst 2016 gab es dann das Kick-off für das entsprechende Projekt. Wir sind gut in der Vorbereitung – aber nach hinten heraus wird es doch ambitioniert, alles rechtzeitig umzusetzen. Man darf dabei nicht vergessen, dass manche Abläufe einfach lange brauchen. Entwicklungszyklen dauern bei uns schon mal ein Jahr. Die dann rechtskonform anzupassen, erfordert auch Zeit. Hinzu kommt die erhebliche Rechtsunsicherheit über die konkrete Ausgestaltung neuer Vorschriften, zum Beispiel der Datenportabilität.
Redaktion: Welche Vorteile bringt die DSGVO?
Frowein: Für Unternehmen bedeutet die neue Verordnung erst einmal Aufwand. Da werden sehr hohe Anforderungen an den Schutz von Daten gestellt. Es steigen auch die unternehmerischen Risiken. Bußgelder können beispielsweise deutlich höher ausfallen, wenn man gegen die Auflagen verstößt. Auch der Dokumentationsaufwand steigt. Wir müssen intern nachweisen, was wer mit welchen Daten machen darf und macht.
Für den Kunden bringt die neue Regelung eine Verbesserung seiner Rechtesituation. Für ihn muss beispielsweise die Portabilität der Daten möglich sein, das heißt, er muss seine Daten von einem Anbieter zu einem anderen mitnehmen können.
Gut für Unternehmen ist, dass wir jetzt endlich ein EU-weit einheitliches Recht haben. Wir können uns konkreter mit unseren Kollegen in anderen Ländern austauschen, voneinander lernen, gemeinsam Best-Practices entwickeln.
Redaktion: Noch eine praktische Frage zum Schluss: Wo informieren Sie sich über das Thema Datenschutz?
Frowein: Als Jurist lese ich natürlich die juristischen Fachmedien. Aber es lohnt immer, sich auf den Seiten der Aufsichtsbehörden zu informieren, also bei den Landesdatenschutzbeauftragten oder der Bundesdatenschutzbeauftragten. Auch die Branchenverbände Bitkom und VATM bieten viele sehr praxisorientierte Informationen. Und nicht zuletzt lohnt natürlich ein Blick in die Gesetzestexte.