Datenschutz? Nicht mein Problem!
Datenschutz ist mehr als ein juristisches Pflichtfeld, er ist ein strategisches Thema mit praktischen Auswirkungen auf jedes Unternehmen. Umso wichtiger ist es, die Realität nicht nur aus der Theorie, sondern aus der Praxis zu beleuchten.
Deshalb haben wir mit Andreas Rübsam gesprochen, einem der führenden Experten auf diesem Gebiet. Als Datenschutzberater mit IT-Hintergrund, geschäftsführender Gesellschafter der Condatis GmbH & Co. KG und mit über 10 Jahren Erfahrung als interner und externer Datenschutzbeauftragter kennt er den Markt wie kaum ein anderer, inklusive seiner Baustellen, Missverständnisse und Erfolgsfaktoren.
In vielen Unternehmen ist Datenschutz eine Art Wand: sichtbar, unverrückbar und wird links liegen gelassen. Warum das gefährlich ist und was dagegen hilft.
Der Satz fällt leise, meist zwischen Tür und Tischkante: „Ja, Datenschutz ist wichtig. Aber…“ Dann folgt eine Pause, ein schiefer Blick, ein Schulterzucken. Im Subtext: Lästig, Zeitfresser, Verhinderer. Und schon rollt das Projekt weiter, vorbei am Datenschutz, vorbei am Risiko, direkt in die Grauzone.
Wer sich in Unternehmen umsieht, erlebt es täglich: Datenschutz wird nicht gehasst, aber höflich umgangen. Er steht auf Folien, aber selten im Kalender. Er wird beauftragt, aber nicht eingebunden. Und das hat Folgen. Denn: Wer den Datenschutz ignoriert, spart heute vielleicht Zeit, aber zahlt morgen doppelt.
Der Datenschutzbeauftragte als Störfaktor
Andreas Rübsam kennt diese Dynamik aus nächster Nähe. Im Interview schildert er typische Szenen: Projekte starten ohne frühzeitige Einbindung des Datenschutzes, Tool-Auswahlprozesse laufen durch und der Datenschutzbeauftragte bekommt den Link zum Anbieter dann, wenn das Tool längst live ist.
„Ich bekomme ein TOM-Dokument mit 20 Seiten über Firewallkonzepte und Cloudanbindungen, aber kein Wort darüber, was das Unternehmen eigentlich mit den Daten macht“, sagt Rübsam. Sein Fazit:
„Viele betrachten Datenschutz nicht als integralen Teil des Projekts, sondern als Hürde, die man irgendwie überspringen muss.“
Die Folge: Verfahren werden falsch oder gar nicht dokumentiert, Informationspflichten reißen ab, Rechenschaftspflichten verkommen zur Illusion. Das Verzeichnis der Verarbeitungstätigkeiten, eigentlich der Dreh- und Angelpunkt, ist eine reine IT-Inventarliste. Ein System ohne System.
Das eigentliche Problem: kein Widerstand, sondern Desinteresse
Man könnte meinen, Datenschutz provoziere Widerstand. Das stimmt nicht. Es ist schlimmer: Er löst Gleichgültigkeit aus. Viele Fachbereiche haben kein Gespür dafür, dass Datenverarbeitung auch Verantwortung bedeutet. Man klickt, integriert und sammelt. Und wenn etwas schiefgeht, zeigt man auf die IT oder auf die Datenschutzbeauftragten, „die ja nichts gesagt haben“.
Doch Datenschutz ist kein Kontrollinstrument. Er ist ein Schutzsystem für Menschen, Prozesse und Unternehmen. Wer das versteht, erkennt: Der Datenschutzbeauftragte ist kein Bremser, sondern ein Lotse. Einer, der Projekte besser macht, nicht langsamer.
Fehlt das System, fehlt die Wirkung
Was fehlt, ist Struktur. Und zwar nicht nur im Sinne einer schönen Policy auf dem Sharepoint, sondern operativ: Wer ist verantwortlich? Welche Maßnahmen sind geplant? Wurden sie auch umgesetzt? Was ist dokumentiert, was nur gedacht? Wer so fragt, bekommt oft ein Schweigen zur Antwort.
„Ich sehe viele Unternehmen, die Datenschutz formal umsetzen, aber nicht leben“, sagt Rübsam.
„Dann steht in der Datenschutzdokumentation, dass Schulungen jährlich stattfinden, aber keiner weiß, ob das wirklich passiert. Fristen, Zuständigkeiten, Kontrollmechanismen? Fehlanzeige.“
Die Lösung? Ein Datenschutzmanagementsystem (DSMS), das nicht nur Dokumente verwaltet, sondern Maßnahmen, Fristen und Zuständigkeiten steuert. Kurz: ein System, das dem Thema Struktur verleiht und dem Unternehmen Kontrolle.
Die Realität: Ignoranz kostet mehr als Struktur
Viele reden über Bußgelder. Doch die wahren Kosten lauern im Alltag: Eine betroffene Person stellt eine Auskunftsanfrage nach Art. 15 DSGVO und das Unternehmen irrt durch vier Abteilungen, um halbwegs belastbare Antworten zu finden. Oder es kommt heraus, dass ein Tool Daten auf US-Servern speichert und niemand davon wusst. Oder: Die Kundeninformation nach Art. 13 wurde vergessen und plötzlich steht die eigene Organisation als Schludrigkeitsfall im Branchenblatt.
Guter Datenschutz kostet Zeit, ja. Aber Ignoranz kostet Vertrauen, Ressourcen und Reputation. Und sie bringt genau das, was niemand will: Feuerwehreinsätze. Hektik. Schuldfragen.
Was hilft? Frühzeitig einbinden. Und ernst nehmen.
Datenschutz funktioniert nur, wenn er strukturell verankert ist, nicht als Kontrollinstanz am Ende, sondern als Partner am Anfang. Dazu gehört: Frühzeitige Einbindung. Klare Rollen. Gemeinsame Sprache zwischen Recht und Technik. Und Systeme, die nicht auf Papier existieren, sondern im Prozess.
„Alle lieben den Feuerwehrmann, aber keiner den Brandschutzbeauftragten“, sagt Rübsam.
Und er hat recht: Datenschutz hat kein gutes Image. Aber ein umso größeres Potenzial. Wer das Thema nicht verwaltet, sondern gestaltet, hat die besseren Karten bei Prüfungen, bei Krisen und bei den Kunden.
Und jetzt?
Datenschutz ist kein juristisches Ornament. Er ist Teil unternehmerischer Verantwortung. Wer das versteht, bindet ihn ein. Nicht aus Pflicht, sondern aus Vernunft. Wer ihn weiter umgeht, riskiert mehr, als er glaubt. Und wer ihn systematisch steuert, ist nicht nur sicherer, sondern schlicht besser aufgestellt.
Also: weniger Fluchtreflex, sondern mehr Struktur. Und bitte etwas mehr Respekt für ein Thema, das zwar unbequem wirkt, aber im Ernstfall rettet, was andere vergessen haben: die Übersicht.
