"Die Privatsphäre zu schützen, ist auch unsere Aufgabe".

Frau Schröder, Sie arbeiten im Konzerndatenschutz. Hat ihr Beruf einen Einfluss darauf, wie Sie sich privat im Internet bewegen?

Ja, das ist tatsächlich so. Ich lese zwar auch nicht immer alle Cookie- und Datenschutzhinweise im Detail, aber ich passe zum Beispiel bei der Auswahl der Anbieter etwas mehr auf. Wo möglich, nutze ich vor allem europäische Provider, die die Daten nach Rechtsvorgaben verarbeiten, die ich kenne. Oder ich habe Einstellungen so gewählt, sodass Cookies zeitnah wieder gelöscht werden. Den Einfluss meiner Arbeit merke ich aber auch, wenn ich mich mit Bekannten über das Thema Datenschutz unterhalte. Da werde ich schon mal emotional - insbesondere dann, wenn andere die Bedeutung von Datenverarbeitungen mit Sprüchen abtun wie: „Wen sollen meine Daten denn schon interessieren? Ich habe doch nichts zu verbergen.“

Warum?

Bei der Weitergabe persönlicher Daten empfiehlt es sich schon, etwas genauer hinzuschauen. Denn häufig wird dabei eine wichtige Tatsache ausgeblendet: Sicherlich geht es in vielen Fällen nicht um den einzelnen Datensatz. Allerdings werden heute ganz viele Daten verarbeitet, etwa bei der Nutzung von Suchmaschinen, aus denen beispielsweise Profile und Muster gebildet werden können, deren Nutzung durchaus kritische Fragen aufwerfen kann. Wenn ich dann bei der Suche etwa nur noch auf solche Ergebnisse treffe, die mich vermeintlich interessieren oder die ein von einem Algorithmus definiertes Bild unterstützen, dann kann das zum Beispiel die Meinungsbildung beeinflussen. Das ist für uns als Gesellschaft ein wichtiges Thema.

Bedeutet „Datenschutz“ wirklich, Daten zu schützen? Oder wen oder was schützen Sie wirklich?

Auch wenn der Begriff das nahelegt, bedeutet Datenschutz nicht den „Schutz der Daten“, sondern den Schutz der Persönlichkeitsrechte und der Privatsphäre der Personen, deren Daten verarbeitet werden.

Als Arbeitgeber dürfen wir laut dem Gesetzgeber nur jene Daten verarbeiten, die für das Arbeitsverhältnis notwendig sind. Unsere Aufgabe beim Konzerndatenschutz ist es, sicherzustellen, dass diese Verarbeitung ordnungsgemäß erfolgt. Die Beschäftigten haben für uns Datenschützer gewissermaßen mehrere Rollen: Bezüglich der Tätigkeit, die sie bei uns ausüben, muss der Arbeitgeber Daten verarbeiten – allein schon, damit sie ihr Entgelt erhalten. In diesem Zusammenhang müssen wir darauf achten, dass die notwendigen Daten in richtiger Art und Weise verarbeitet werden.

Viele verarbeiten aber auch die Daten ihrer Kolleginnen und Kollegen und unserer Kunden und Geschäftspartner. Es ist deshalb wichtig, dass unsere Beschäftigten gut geschult sind und die Grundsätze einer korrekten Datenverarbeitung kennen. Und natürlich sind wir alle zu einem ganz erheblichen Teil auch Privatperson. Informationen hierzu sind für das Unternehmen grundsätzlich tabu. Diese Privatsphäre zu schützen, ist auch unsere Aufgabe.

Welche Daten fallen im Laufe eines Berufslebens bei Beschäftigten an?

Das sind schon einige! Ab dem Moment, in dem sich jemand bei uns bewirbt, erhalten wir als Unternehmen Daten. Ab diesem Zeitpunkt gilt auch der Beschäftigtendatenschutz. Wird eine Bewerberin oder ein Bewerber eingestellt, werden zum Beispiel die Arbeitszeiten erfasst, Leistungen und Qualifikationen dokumentiert, Feedback gespeichert oder Abwesenheitsdaten hinterlegt. Viele Kolleginnen und Kollegen stellen im Social Intranet ein Profilbild ein oder sorgen für das Alter vor – bei all diesen Vorgängen und sogar über den Austritt hinaus geht es um die besagten Beschäftigtendaten. Wir sind dafür da, dass sich die Kolleginnen und Kollegen über die Verarbeitung dieser Daten keine Sorgen machen müssen. Denn wir gehen verantwortungsvoll mit ihren Daten um.

Wie sieht dieser Datenschutz bei fast 300.000 Mitarbeitern weltweit konkret aus?

Die Überprüfung einer Datenverarbeitung erfolgt systematisch, so dass wir möglichst alle Aspekte erfragen und bewerten können. So prüfen wir beispielsweise immer, ob für die Datenverarbeitung eine Rechtsgrundlage vorhanden ist. Bei der Übermittlung von Daten an das Finanzamt etwa ist dies recht eindeutig, da gibt es eine klare gesetzliche Vorgabe. Immer da, wo es einen Ermessensspielraum gibt, wägen wir gemeinsam mit dem Fachbereich ab: Welche Daten sind in welchem Umfang erforderlich? Für welche Zwecke dürfen sie genutzt werden und für welche Dauer werden die Daten aufbewahrt? Und nicht zuletzt: Wer benötigt Zugriff auf die Daten?

Natürlich sind wir auch mit an Bord, wenn intern neue Anwendungen eingeführt werden. Hier ist für uns entscheidend, dass diese datenschutzfreundlich konfiguriert sind und die Beschäftigten bei Interesse nachvollziehen können, welche Daten warum und durch wen genutzt werden. Daneben spielt für uns auch die Information über das Thema eine entscheidende Rolle. Das Unternehmen stellt den Beschäftigten im Intranet ausführliche Materialien bereit und bietet gezielte Schulungen an.

Im Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Hat sich Ihr Arbeitsalltag dadurch verändert?

Die DSGVO hat viele Aspekte aufgegriffen, die wir aus dem deutschen und europäischen Datenschutz schon kannten. Der größte Unterschied: Wir haben als Unternehmen deutlich erhöhte Dokumentationspflichten und deutlich höhere Bußgelder bei Fehlverhalten. Insgesamt ist im Unternehmen – und ich denke, in der Gesellschaft allgemein - das Bewusstsein für den Datenschutz gestiegen. Das merken wir auch am Beratungsaufkommen. Gemeinsam mit anderen Experten unterstützen wir die Fachbereiche, den gestiegenen Anforderungen gerecht zu werden, etwa wenn es darum geht, Datenverarbeitungen genau zu beschreiben, zu dokumentieren und sachgerechte Lösungen zu finden, die für die Fachbereiche gut umsetzbar sind.

Sprechen wir über konkrete Datenschutz-Themen: Ein Dauerbrenner ist die Löschung personenbezogener Daten. Warum ist die so wichtig?

Der Gesetzgeber sagt: Wenn Daten nicht mehr erforderlich sind, müssen sie gelöscht werden. Das geht Hand in Hand mit dem Grundsatz, dass der Arbeitgeber keine Daten verarbeiten soll, die er nicht benötigt. Das bedeutet: Wenn wir als Unternehmen die Daten der Beschäftigten nicht mehr brauchen, werden sie gelöscht. Natürlich gibt es zum Teil sehr lange Aufbewahrungsfristen, etwa, weil Daten der frühen beruflichen Laufbahn auch für die Betriebsrente noch relevant sein können. Grundsätzlich gilt aber: Je intensiver die Datenverarbeitung in die Persönlichkeitsrechte eingreift, desto kürzer sind die Löschfristen.

Ein Beispiel ist berufliches Fehlverhalten, das lange zurückliegt. Dies sollte Jahre später nicht immer noch in der Personalakte stehen, wenn man vielleicht auf dem Sprung zur Führungskraft ist. Hier muss der Arbeitgeber solche Einträge nach einer bestimmten Zeit auch wieder löschen.

Datenverantwortung ist eines der Handlungsfelder unserer nachhaltigen Geschäftsstrategie – wie hängen für Sie persönlich Datenschutz, Datenverantwortung und Nachhaltigkeit zusammen?

Datenschutz ist ein wichtiger Teil des verantwortungsvollen Umgangs mit Daten. Hier steht, wie schon beschrieben, der Schutz unserer Kunden und der Beschäftigten im Mittelpunkt.

Ein zweiter Teil ist das Thema Data Compliance. Hier steht der Schutz des Unternehmens im Mittelpunkt. Ziel ist es, Risiken vom Unternehmen abzuwenden, die sich aus der Datenverarbeitung insgesamt ergeben können. Wenn wir Daten ordnungsgemäß verarbeiten, schützen wir die Betroffenen – sowohl Beschäftigte als auch Kunden und Lieferanten – und damit auch das Unternehmen, zum Beispiel vor Bußgeldern. Beide Facetten gehören für mich zu einem nachhaltigen Umgang mit Daten dazu und bilden zusammen den Kern unseres Handlungsfeldes Datenverantwortung.

Die Verarbeitung von Daten kann dabei aus meiner Sicht nur auf Basis von Vertrauen funktionieren. Aus Sicht des Beschäftigtendatenschutzes müssen wir transparent sein, den Mehrwert unserer Datenverarbeitungen aufzeigen und für Verständnis werben. Und integer handeln - das bedeutet für mich mehr als „nur“ Gesetze einzuhalten. Das ist immanent wichtig, um nachhaltig zu sein.

Wie wird sich Ihre Arbeit in Zukunft verändern?

Datenschutz wird mit dem Fortschreiten der Digitalisierung sicherlich noch an Bedeutung gewinnen. Immer größere Datenmengen können immer schneller verarbeitet werden. Mit den zunehmenden Möglichkeiten, die die Digitalisierung bietet, nimmt aber auch unsere Verpflichtung zu, die anfallenden Daten verantwortungsvoll zu nutzen. Also die Verarbeitung der Daten transparent und sicher zu gestalten. Hier arbeiten wir schon heute eng mit den verschiedenen Fachbereichen zusammen, z. B. mit der Informationssicherheit, Cyber Security, den Personalbereichen, der Fahrzeugentwicklung und natürlich unseren Compliance-Kolleginnen und -Kollegen. All diese Entwicklungen werden unser Arbeitsgebiet zukünftig noch vielfältiger machen.

Für viele ist Datenschutz eher eine lästige Notwendigkeit. Bei ihnen spürt man, dass genau das Gegenteil der Fall ist – was fasziniert Sie so daran?

Nicht nur ich, sondern auch meine Kolleginnen und Kollegen machen ihre Arbeit aus einer inneren Überzeugung heraus. Zu sagen, das ist halt ein Job, ist uns zu wenig. Man muss sich dafür einsetzen wollen. Das, was Datenschutz bezweckt, ist die Rechte der Einzelnen zu schützen. Und das ist alles andere als lästig oder langweilig! Es ist ein super spannendes, hochaktuelles und ein enorm wichtiges Thema. Deshalb lohnt sich der Einsatz. Und es macht Spaß!

Datenschutz geht alle an, weil…
"...jede/jeder Einzelne jeden Tag vielfach von der Verarbeitung seiner Daten betroffen ist."

Nachhaltigkeit bedeutet für mich persönlich…
"…zu erleben, dass schon ganz kleine Kinder den Wunsch haben, anderen zu helfen. Indem sie ihren Besitz teilen – mit bedürftigen Kindern, die sie überhaupt nicht kennen."

Ich habe dann einen guten Job gemacht, wenn…
"...datenschutzrechtliche Anforderungen umgesetzt werden, weil ich überzeugen konnte, dass dies im Interesse der Beschäftigten richtig ist – und nicht aus Angst vor Sanktionen."