Muss ein DSB eigentlich auch mal vor Ort sein?

Ich erledige alles remote! Total günstig! Mit ein paar Checklisten, einem intelligenten Tool und ein paar Telefonaten könnt Ihr sofort datenschutzkonform arbeiten! Really? Was wie ein traumhaftes Versprechen daherkommt, muss man doch noch einmal genau hinterfragen.  Die primäre Aufgabe eines DSB ist in Art 39(1) DSGVO geregelt. Hiernach besteht seine Pflicht in der Unterrichtung und Information des Verantwortlichen (auch in seiner Funktion als Auftragsverarbeiter) und seiner Beschäftigten über die Pflichten nach der DSGVO.

Daneben hat er die Einhaltung der einschlägigen Datenschutzregeln nach der DSGVO und nationalen Gesetzen beim Verantwortlichen/Auftragsverarbeiter zu überwachen. Diese Überwachungsfunktion ist nicht damit erfüllt, dass man von seinem Kunden ein paar Checklisten ausfüllen lässt, deren Inhalt bewertet und anschließend ein paar gute Ratschläge verteilt. Was damit vollkommen unbeleuchtet bleibt, ist, welche Kultur im Umgang mit Daten im Unternehmen herrscht.

Natürlich ist auf der Checkliste alles Grün, wenn sensible Unterlagen abends im Schrank verschlossen werden. Dass das Büro aber tagsüber stundenlang verwaist ist und die Schränke offenstehen, steht dann nicht mehr so präzise in der Checkliste. Auch davon, dass der Bildschirm des Sachbearbeiters im Erdgeschoss von der Strasse aus einsehbar ist. Insbesondere wenn der Kollege ohne Sperrung des Bildschirms aus dem Raum rennt und der Bildschirmschoner erst Minuten später anspringt.

Niemand würde freiwillig zugeben, die Kennwörter mit der Kollegin zu teilen, damit die Urlaubsvertretung funktioniert. Natürlich nicht.

Die Kontrollaufgabe kann somit nur zu einem Teil remote ausgeführt werden. Beim anderen Teil geht es auch darum, den Menschen vor Ort auf die Finger zu schauen, um mit geschultem Auge auch die Themen zu identifizieren, die nicht in Ordnung sind und niemals Eingang in einen Fragebogen finden würden. Schon alleine deshalb, weil der Fragenbogenausfüllende von diesen Dingen oft gar nichts weiß.  An dieser Stelle scheiden sich die Geister zwischen denjenigen, die Datenschutz nur auf eine möglichst einfache Weise formal erledigen wollen, ohne ein echtes inneres Interessen am ethischen Umgang mit Daten zu haben und denjenigen, denen es darum geht, das Thema ganzheitlich abzubilden.

Es wundert nicht, wenn ich letzteres für den nachhaltigeren und vernünftigeren Ansatz halte, aber es gibt auch objektive Gründe dafür:

Ein rein virtueller DSB
🔥 erfährt in der Regel zu wenig, um seine Kontrollaufgabe rechtskonform zu erfüllen
🔥 verfügt über zu wenig Präsenz, um die notwendige Vertrauensbasis auch zu Mitarbeitenden zu schaffen.
🔥 wird die Kultur des Datenumgangs im Unternehmen nicht verstehen.
🔥 wird regelmäßig nicht eingebunden, da er nicht proaktiv auf eine Einbindung in wichtige Prozesse hinwirken kann, wenn er davon nichts erfährt.

Wer einen externen DSB beauftragen möchte, sollte sich fragen, ob die billige reine Remote-Lösung wirklich das Richtige ist.