Juristerei auf Server-Ebene

Datenschutz ist in aller Munde – Google, Facebook und der Bundestrojaner lassen grüßen.  Der Staat hat ebenso großes Interesse an den Daten seiner Bürger, wie Unternehmen an denen ihrer Arbeitnehmer oder Kunden. Was erlaubt ist und was nicht – diese Fragen sind meist nicht einfach zu beantworten. Denn die datenschutzrechtlichen Regeln sind komplex und verstreut. Wer auf diesem Gebiet berät, muss sich in verschiedenen Bereichen des Unternehmensrechts auskennen, erklärt Rechtsanwalt Tim Wybitul. Wybitul ist Of Counsel der internationalen Großkanzlei Hogan Lovells, Mitherausgeber der Zeitschrift für Datenschutz (ZD) und Autor des "Handbuchs Datenschutz im Unternehmen". Grundlage seiner täglichen Arbeit sind neben dem Datenschutzrecht auch Arbeitsrecht, Telekommunikationsrecht, Ordnungswidrigkeitenrecht, Wirtschaftsstrafrecht und Gesellschaftsrecht. Für den Anwalt geht es beim Datenschutz darum, Lösungen für konkrete Probleme zu liefern – und nicht nur eine abstrakte Beschreibung gesetzlicher Anforderungen. Entscheidend sei, so Wybitul, dass man versteht, was genau für den Mandanten wichtig ist. Viele Ratsuchende fragten ihn nach der Rechtslage – dabei wollten sie eine Handlungsempfehlung. Dafür benötige man wirtschaftliches Hintergrundwissen. Der Berater müsse abschätzen können, was die finanziellen Auswirkungen eines konkreten Projekts seien. Zudem sollten Datenschutzanwälte dem Mandanten klar und verständlich vermitteln warum man ihm zu einem bestimmten Vorgehen rät.

Patchwork-Gesetz birgt erheblich Risiken für Unternehmen

Das erste bundesweit geltende Gesetz zum Datenschutz wurde 1977 in Form des Bundesdatenschutzgesetzes (BDSG) verkündet. Europarechtliche Vorgaben und das ständige Voranschreiten der technischen Entwicklungen machten viele Anpassungen notwendig. Wegen seiner uneinheitlichen und sichtbar von Novellen geprägten Struktur wird das BDSG heute gerne als "Patchwork-Gesetz" bezeichnet. Das Volkszählungsurteil des BVerfG aus dem Jahre 1983 und das Grundrecht auf informationelle Selbstbestimmung gelten ebenso als Meilensteine der Geschichte des Datenschutzrechtes in Deutschland. Heute bestimmt insbesondere der Fortschritt von Informationstechnologie und Internet den technischen Rahmen, in dem der Datenschutz für Unternehmen eine Rolle spielt. Der Bundestag berät derzeit über eine Überarbeitung des Beschäftigtendatenschutzes. Ein wesentliches Problem des BDSG ist die schlechte Lesbarkeit des Gesetzes, verursacht durch dessen uneinheitliche Struktur. Der neue Entwurf wird dies voraussichtlich nicht verbessern, sondern weiter verschlimmern, befürchtet Tim Wybitul. Das BDSG ist trotzdem alles andere als ein Papiertiger. Bei Missachtung drohen empfindliche Bußgelder, Gewinnabschöpfungen und erhebliche Rufschäden. Das birgt vor allem für die verantwortlichen Entscheidungsträger in Unternehmen erhebliche Risiken. Wybitul unterstreicht dies: "Die Datenschutzaffären der vergangenen Jahre haben gezeigt: Wer beim Datenschutz schwere Fehler macht, kann sich schnell dem freien Arbeitsmarkt zur Verfügung stellen."

Datenschutz ist teuer – kein Datenschutz noch teurer

Die ordnungsrechtlichen Sanktionen im Datenschutzrecht sind hart. Zunächst, erklärt Wybitul, haften die Handelnden selbst - also zum einen der Mitarbeiter, der eine Datenverarbeitung vornimmt. Aber auch dem Vorgesetzten, der ihn anweist, oder den Mitarbeitern, die bei einem verbotenen Umgang mit personenbezogenen Daten helfen, drohten empfindliche Bußgelder. Das Unternehmen selbst und die Unternehmensleitung könnten ebenfalls zur Rechenschaft gezogen werden. Geldbußen von bis zu 300.000 Euro pro Fall und die schmerzhafte Abschöpfung von Gewinnen entfalteten erhebliche Abschreckungswirkung. Früher hätten Unternehmen versucht, Bußgelder für Missachtungen von Datenschutzvorschriften "einzupreisen", erinnert sich Wybitul. Diesem Vorgehen werde mit der Gewinnabschöpfung ein Riegel vorgeschoben. Die harten Sanktionen und das verworrene Regelwerk im Datenschutz erzeugen hohen Beratungsbedarf. So können etwa langfristige und kostenintensive Investitionen eines Unternehmens durch Missachtung von Datenschutzvorschriften schnell aufgezehrt werden. Datenpannen sind nur ein Beispiel für solche Risiken. Aber auch interne Ermittlungen, bei denen Unternehmen ihre eigenen Mitarbeiter ins Visier nehmen, können schwere Folgen haben. Wybitul illustriert dies anhand eines aktuellen strafrechtlichen Falles, in dem ein Privatdetektiv am Auto einer Zielperson einen GPS-Sender angebracht hatte. Mit diesem Verstoß gegen datenschutzrechtliche Vorschriften hatte sich vor kurzem das Landgericht Lüneburg auseinanderzusetzen. Es bejahte sogar einen Anfangsverdacht wegen einer Straftat nach § 44 BDSG.

Spezialisten müssen Technik verstehen

Ob Datenbanken oder GPS -  das Datenschutzrecht ist stark von technischen Fragen geprägt. Berater brauchen technisches Verständnis und praktische Erfahrungen mit IT-Systemen, berichtet Wybitul. Für interne Ermittlungen sei es beispielsweise wichtig, dass man sich mit der Funktionsweise von Suchmaschinen auskennt. Nur dann könne man trotz der vorgeschriebenen Datensparsamkeit die richtigen Rückschlüsse ziehen. Man brauche gute Computerkenntnisse, um Server-Strukturen im Detail zu verstehen. Zudem seien Kenntnisse über Whistleblowing-Systeme ebenso wichtig wie Verständnis für Organisationsstrukturen in Unternehmen, um Datenströme effizient verfolgen zu können. Wybitul ist über seine Begeisterung für Computer zum Datenschutz gekommen. An der Universität arbeitete er zwar zunächst an einem Strafrechts-Lehrstuhl. Aber auch das IT-Recht faszinierte ihn bereits damals. In seiner anwaltlichen Laufbahn kam er zudem früh mit Arbeitsrecht, Compliance und internen Ermittlungen in Berührung. Mit dieser Kombination komme man schnell zum Datenschutzrecht, erinnert sich der Jurist. Juristisches Know-how, technisches und wirtschaftliches Verständnis erfordern viel Arbeit bei der Aus- und Weiterbildung. Es ist daher kaum verwunderlich, dass sich für datenschutzrechtlich beratende Rechtsanwälte wegen der vielfältigen geforderten Fähigkeiten heute viele interessante Berufsperspektiven ergeben. Diese bieten sich etwa in großen Wirtschaftskanzleien und spezialisierten Beratungs-Boutiquen. Nicht umsonst schreiben sich neuerdings auch viele Arbeitsrechtler, Gesellschaftsrechtler oder IT-Rechtler das Datenschutzrecht mit auf ihre Fahnen. Hat man sich erst einmal einen Namen im Datenschutzrecht erarbeitet, winken interessante Mandate. So ergeben sich hervorragende Kontakte zu Vorständen, Bereichsleitern, Datenschutzbeauftragten, Aufsichtsbehörden und Gerichten. Und das auch international. Die Begleitung umfassender interner Ermittlungen durch Unternehmen oder die datenschutzrechtliche Betreuung grenzüberschreitender Gerichtsverfahren gehören laut Wybitul zu den besonders spannenden Tätigkeitsfeldern. Denn nicht nur innerhalb der deutschen Grenzen ist das Datenschutzrecht auf dem Vormarsch. Auch international bieten sich weite Betätigungsfelder für deutsche und europäische Datenschutzjuristen. Solche internationalen Mandate sind naturgemäß umfangreicher und erfordern auch ein Gespür für das internationale Parkett. Jungen Juristen bieten sich hier interessante Berufsperspektiven in der anwaltlichen Beratung. Ob national oder international – wer die gefragten Fähigkeiten mitbringt, dem stehen viele Türen offen. Mehr auf LTO.de: Geofencing und Datenschutz: Big Mother is watching you Smart Metering und Datenschutz: Der Strom weiß, was Du letzte Nacht getan hast Berufsperspektive Energierecht: Wie verkauft man eigentlich ein Kraftwerk?