Hast du dich jemals gefragt, wie ein Tag als Consultant für Datenschutz und Datensicherheit ist? Was macht man da den ganzen Tag genau und vor allem, macht mir das Spaß?
Start in den Tag: Tagesplanung und frisch gebrühter Kaffee
Zu Beginn des Arbeitstags verschaffe ich mir einen kurzen Überblick über den Tag und welche Termine und Aufgaben auf mich warten. Gerade als ich meine Tagesplanung abschließe, ruft der Chef durchs Büro, dass der frisch gebrühte Filterkaffee fertig ist. Dankend nehme ich den morgendlichen Gruß aus der Kaffeeküche an und schon geht es in ein kurzes Teammeeting.
Gemeinsamer Ständerling: Kurzer Austausch mit den Kollegen
Im morgendlichen Teamständerling treffen sich alle, die Lust und Zeit haben, sich kurz auszutauschen. Auch die Kollegen, die mobil arbeiten, sind dabei. Ich komme als erster an die Reihe und frage in die Runde, ob jemand die Softwarelösung „Magischer Newsletterversand SaaS“ kennt. Ich habe Glück – ein Kollege hat die Datenschutzunterlagen und die Software bereits geprüft und kann mir dazu Tipps geben – wir werden direkt im Anschluss miteinander sprechen. Jemand anderes fragt, ob Schulen mit dem neuen Data Privacy Framework nun echte statt bislang pseudonymisierte E-Mail-Adressen der Schülerinnen und Schüler in Schulsoftware von US-Anbietern verwenden dürfen. Eine spannende Frage, über die ich noch nicht nachgedacht habe. Ein Kollege kann helfen, der neue Angemessenheitsbeschluss bestätigt ein angemessenes Datenschutzniveau. Damit dürfen Schulen auch echte E-Mail-Adressen verwenden.
Präsentation eines Tätigkeitsberichts: Fortschritt und Lob
Nachdem ich mich mit meinem Kollegen zu der Newslettersoftware ausgetauscht habe, geht es wenige Minuten später in die erste Videokonferenz mit einem Kunden. Ich stelle der Geschäftsleitung die Ergebnisse meines Tätigkeitsberichts als Datenschutzbeauftragter vor. Durch zwei Datenschutzschulungen, der Dokumentation von Prozessen im Verarbeitungsverzeichnis sowie der neuen Richtlinien zum Umgang mit (potentiellen) Datenschutzverletzungen ist es gelungen das Datenschutzniveau zu steigern. Ich freue mich über ein Lob des Kunden. Er schätzt die Zusammenarbeit mit mir in diesem für ihn „lästigen Thema J“, wie er mir verschmitzt, grinsend mitteilt. Gerade da beim Kunden kein Expertenwissen vorhanden ist, ist er für meine Anleitung und Beratung dankbar. Es ist schön, dass wir gute Fortschritte erzielt haben und die Geschäftsleitung diese ebenfalls anstrebt.
Aufgabenbearbeitung: Dürfen virtuelle Schulungen verpflichtend aufgezeichnet werden?
Nun starte ich mit einer Aufgabe, für die ich mir geschützte Zeit eingeplant habe. Ein Kunde bietet kostenlose Schulungen per Videokonferenz zu seinem Produkt an und möchte diese aufzeichnen, um sie später den Teilnehmern zugänglich zu machen. Die Herausforderung: Mit der Aufzeichnung werden auch alle Teilnehmerinnen und Teilnehmer erfasst, wenn sie z.B. eine Frage stellen oder ihre Kamera aktivieren. Wie lässt sich das datenschutzkonform lösen? Ich grübele darüber, ob es dafür eine Rechtsgrundlage gibt:
- Lässt sich das mit einer Interessensabwägung begründen?
- Gibt es eine vertragliche Regelung?
- Was ist, wenn jemand teilnehmen möchte, er oder sie jedoch nicht aufgezeichnet werden möchte?
- Macht es einen Unterschied, wenn es sich um ein kostenloses Angebot handelt?
Ich stöbere in der Datenschutz-Grundverordnung zu den Rechtsgrundlagen und recherchiere zusätzlich in zwei Gesetzeskommentaren. Außerdem suche ich online nach weiteren hilfreichen Artikeln. Nach und nach zeichnet sich eine Lösung ab.
Mittagspause: Stärkung und Spaß mit den Kollegen
Die Mittagspause ist nah und andere Kollegen fragen mich, ob wir gemeinsam etwas essen möchten. Mir gefällt die Idee und wir verabreden uns dazu, dass sich jeder sein Lieblingsessen holt und wir uns dann wieder im Büro treffen, um dort gemeinsam zu essen. Die Stärkung tut gut und es macht Spaß mit den Kollegen Quatsch zu machen und auf andere Gedanken zu kommen.
Aufgabenbearbeitung: Kaffee zu diversen Aufgabenhäppchen
Nach der Mittagspause wiederholt sich das morgendliche Ritual. Es folgt die zweite Runde mit frisch gebrühtem Filterkaffee. Warum betone ich das? Weil er einfach so viel besser schmeckt als aus der normalen Kaffeemaschine!
Ich tauche wieder in meine vorherige Aufgabe ab und kann an meine vorherigen Gedanken anknüpfen. Es dauert etwas, doch nach einiger Zeit habe ich eine Datenschutzregelung sowie eine Vorgehensweise erarbeitet, mit der der Kunde dir Schulungen aufzeichnen kann. Ich freue mich, dass ich die Herausforderung gelöst habe.
Bislang war es ein ruhiger Tag und nun wird es Zeit verschiedene Kundenanfragen zu bearbeiten. Mittlerweile ist die eine oder andere Frage per E-Mail eingetrudelt:
- Ein Kunde informiert mich, dass nun die Pilotphase für die digitale Personalakte starten soll. Auweia, da hatte ich doch vor einiger Zeit schon erinnert, dass unbedingt eine Datenschutz-Folgenabschätzung durchzuführen ist. Damit soll sichergestellt werden, dass z.B. Berechtigungen so restriktiv gesetzt sind, dass Inhalte nicht umfassender zugänglich werden, als dies bei den physischen Akten bislang der Fall war. Vermutlich hat man meinen Hinweis vergessen. Ich erinnere besser noch einmal.
- Ein anderer Kunde hat eine Auftragsverarbeitung von einem Auftraggeber erhalten und bittet mich, diese für ihn zu prüfen und die vorhandenen Schutzmaßnahmen einzutragen. Die Anfrage ist nicht dringend, daher stelle ich sie vorerst zurück – morgen Nachmittag werde ich die Vereinbarung darauf prüfen, ob sie den gesetzlichen Regelungen entspricht und werde dann im Anhang die Schutzmaßnahmen eintragen, die mir beim Kunden bekannt sind.
- Ein weiterer Kunde hat auf meine Empfehlung Google Analytics zur Analyse des Verhaltens von Webseitenbesuchern durch Matomo ersetzt. Die Webagentur hat ihn informiert, dass sie den Datenschutztext für die Datenschutzerklärung der Webseite benötigt. Ich prüfe mit zwei Softwaretools die Webseite und stelle fest, dass die Agentur Matomo korrekt eingebunden hat. Anschließend erstelle ich den Text für die Datenschutzerklärung und schicke diesen an den Kunden.
Regelabstimmung mit einem Kunden: Löschkonzept zu einer Software
Es geht weiter mit der nächsten Videokonferenz. Ich treffe einen Ansprechpartner mit dem ich einmal im Monat einen festen Regeltermin habe. Der Kunde wird demnächst intern von einer anderen Konzerngesellschaft auditiert und hat im Vorfeld festgestellt, dass ein Löschkonzept zu einer neuen Software fehlt. Da ich die Software noch nicht kenne, vereinbaren wir einen Termin mit der Ansprechpartnerin des Fachbereichs. Sie soll uns die wesentlichen Funktionen zeigen, damit wir dann den Dienstleister fragen können, welche Möglichkeiten es gibt, um personenbezogenen Daten zu löschen. Zur Vorbereitung des Termins formuliere ich Fragen zu vorhandenen Löschmechanismen, hinterlegbaren Löschfristen und welche Protokollierungen es geben könnte.
Zum Abschluss noch eine Datenschutzschulung
Als letzte Aufgabe des Tages bereite ich mich auf eine morgige Datenschutzschulung vor. Die Inhalte kenne ich mittlerweile gut, dennoch überlege ich, an welchen Stellen ich vielleicht noch das eine oder andere aktuelle Beispiel einfließen lassen kann, damit die Schulung noch lebendiger wird. Vor allem bei Betroffenenanfragen und Löschen von Daten helfen gute Beispiele. Ich erinnere mich an ein witziges Erlebnis eines guten Bekannten zum Löschen:
Er berichtete davon, dass sich bei Ihnen jemand meldete, der darum bat, seine Daten zu löschen. Das Team prüfte sorgfältig die Anfrage und löschte alle vorhandenen Daten. Abschließend bestätigte es der Person die Löschung per E-Mail. Darauf antworte die Person und bedankte sich glücklich über die schnelle Umsetzung. Dummerweise floss diese E-Mail automatisch in das interne Ticketsystem, es waren wieder neue Daten da und das Löschen ging von vorne los. J Dieses Beispiel werde ich verwenden, das wird die Teilnehmerinnen und Teilnehmern bestimmt zum Nachdenken anregen.
Ende gut – Datenschutztag gut
Was für ein Tag! Ein Tag als Consultant für Datenschutz und Datensicherheit ist nie langweilig. Die Aufgabe erfordert Wissen, Engagement und Leidenschaft für den Schutz von personenbezogenen Daten. Ich trage großer Verantwortung, da ich dazu beitrage, die Privatsphäre und die Sicherheit der Menschen zu schützen. Was wohl morgen so passiert?
Wenn du dich für Datenschutz und Datensicherheit interessierst und die Fähigkeiten und Qualifikationen dafür mitbringst, könnte dies die richtige Aufgabe für dich sein. Die Nachfrage nach Datenschutzexperten steigt ständig, und die Arbeit ist sowohl finanziell als auch intellektuell lohnend.
Wenn du bereit bist, in die Welt des Datenschutzes und der Datensicherheit einzutauchen, könnte ein Tag als Consultant für Datenschutz und Datensicherheit der Beginn einer aufregenden und erfüllenden Karriere sein. Deine Expertise wird gebraucht, und du kannst einen echten Unterschied in der digitalen Welt machen. Werde Teil unseres Teams, werde Wächter für Datenschutz und schütze mit uns Daten und wache über die Privatsphäre!
Interesse, als Consultant für Datenschutz und Datensicherheit (m/w/d) bei ENSECUR zu arbeiten. Bewirb dich noch heute!
von Julian Häcker
Bildquelle: 85076953 auf iStock
Sie interessieren sich für weitere unserer Blogbeiträge? Abonnieren Sie unseren Newsletter, dann informieren wir Sie automatisch über neue Beiträge.
*Pflichtangabe