Sie sind ein Schatz ungeahnten Ausmaßes, es werden täglich mehr, und sie wecken Begehrlichkeiten, die gezügelt werden müssen: Daten. Kundendaten. Mitarbeiterdaten. Daten über Telefonverbindungen, Kaufverhalten und Krankheiten. Soziale Netzwerke sammeln sie, auf dem neuen Personalausweis sind sie gespeichert, jede Firma pflegt penibel ihr Wissen über die Kunden. Zwar regelt das Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten, doch immer wieder erschüttern Skandale das Vertrauen in die Sicherheit des sensiblen Schatzes. Entsprechend gefragt sind Experten für Datenschutz und IT-Security.

Die Verantwortung ist groß. Als Datenschutzbeauftragte der Berliner Sparkasse sind Klaus Spicker und Oliver Meier dafür verantwortlich, dass die Daten von rund 1,9 Millionen Kunden und Mitarbeitern streng nach den geltenden Datenschutzvorschriften genutzt werden. "Unser Ziel ist es, dass jeder Mitarbeiter den Datenschutz immer im Hinterkopf hat", erklärt Spicker: "Das ist eine permanente Sensibilisierung." Denn "Datenschutz ist eben kein notwendiges Übel, sondern jeder profitiert davon", ergänzt Meier. Die beiden hauptamtlichen Datenschützer berichten direkt an den Vorstand und sind fachlich nicht weisungsgebunden.

Manipulation muss ausgeschlossen sein

Das Duo sorgt dafür, dass personenbezogene Daten nur so genutzt, verarbeitet und übermittelt werden, wie es das Gesetz erlaubt beziehungsweise wie die Betroffenen eingewilligt haben. Dazu schulen Spicker und Meier regelmäßig die Mitarbeiter, sie sind im Unternehmen unterwegs und kontrollieren die Kollegen, und sie kümmern sich um die Daten, die auf den IT-Systemen immer verfügbar sein müssen und nicht manipuliert werden dürfen. Zudem sind die beiden auch für Dienstleister zuständig, die mit Kundendaten der Berliner Sparkasse umgehen: "Wir müssen uns überzeugen, dass die Daten auch dort so sicher wie bei der Berliner Sparkasse sind", sagt Klaus Spicker, weshalb die Datenschutzbeauftragten auch häufig in ganz Deutschland unterwegs sind.

"Das Thema genießt eine hohe Priorität"

Denis Oehlert widmet immerhin ein Drittel seiner Arbeitszeit dem Thema Datenschutz. Der 31-Jährige ist Controller beim Onlineportal "ImmobilienScout24": "Gerade bei uns als Internetunternehmen genießt das Thema eine hohe Priorität", sagt Oehlert. Das notwendige Know-how habe er sich komplett im Job angeeignet. "Außerdem besuche ich regelmäßig Schulungen spezialisierter Beratungsfirmen zum Thema Datenschutz."

Als Datenschutzbeauftragter bearbeitet Oehlert Anfragen von Kunden zur Speicherung und Verwendung ihrer Daten und organisiert und koordiniert Informationsveranstaltungen, Diskussionsrunden und Workshops für die Mitarbeiter. Wird beispielsweise eine neue Software eingeführt, dann überprüft er, ob die Richtlinien zur Datensicherheit eingehalten werden: "Es gibt ständig neue Themen, und ständig werden die Gesetze überarbeitet", sagt Oehlert. "Dadurch bleibt mein Job spannend. Mir macht die Arbeit sehr viel Spaß."

Fatale Lücken in den Systemen

Wie wichtig der Job zudem ist, zeigen diverse Skandale aus den vergangenen Jahren. Schon häufig haben sich fatale Lücken in den Systemen gezeigt: Ob Kundendaten abgefangen werden, private Informationen im Netz auftauchen oder Unternehmen ihre Mitarbeiter ausspionieren, indem sie Telefonverbindungen überwachen oder heimlich die Vermögensverhältnisse der Angestellten kontrollieren: "Der Durchschnittsbürger kann die Gefahrenpotenziale, die sämtliche Arten der Datenverarbeitung mit sich bringen, weder erkennen noch einschätzen", sagt Gerhard Kongehl von der Ulmer Akademie für Datenschutz und IT-Sicherheit (UDIS). "In einer Gesellschaft, in der die Menschen zunehmend von einer funktionierenden Datenverarbeitung abhängig werden, sind Experten für Datensicherheit zunehmend gefragt."

Datenschutzbeauftragte sind Pflicht

Im Mittelpunkt steht die Privatsphäre der Menschen, deren Daten elektronisch verarbeitet werden. Deshalb müssen Unternehmen, aber auch Vereine, bei denen mehr als 20 Mitarbeiter mit personenbezogenen Daten beschäftigt sind, einen Datenschutzbeaufragten bestellen. Unter personenbezogenen Daten versteht der Gesetzgeber sämtliche Kunden- und Mitgliederdaten, aber auch die Arbeitnehmerakten der Personalabteilung, die elektronisch verarbeitet werden. Nach geltendem Recht müssen Datenschützer Zugriffe Unbefugter auf diese Daten verhindern. Außerdem müssen sie sicherstellen, dass personenbezogene Daten ausschließlich rechtmäßig erhoben, verarbeitet und genutzt werden. Und sie entscheiden, ob und wie Daten verschlüsselt werden.

Ein weiterer sensibler Bereich ist die elektronische Übermittlung von Daten. Online-Händler müssen beispielsweise dafür sorgen, dass niemand Kundeninformationen abgreifen kann. "Datenschutz ist ein enorm weites Feld, bei dem sich etliche juristische und technische Aspekte verquicken", erklärt Gerhard Kongehl, der zwanzig Jahre lang Datenschutzbeauftragter der Uni-Klinik Ulm war. "Früher wurde das Amt oft auf Mitarbeiter übertragen, für die man keine anderen Aufgaben gefunden hat. Langsam setzt sich aber das Bewusstsein durch, dass man, um den Job gerecht zu werden, fundiertes Wissen benötigt."

Juristischer Sachverstand ist gefragt

Viele Firmen und Vereine benennen einen Mitarbeiter aus den eigenen Reihen und schicken ihn zu einer mehrtägigen Weiterbildung. Andere Unternehmen holen sich einen externen Datenschutz-Berater ins Haus. Doch eine gesetzlich geregelte Ausbildung für Datenschutzbeauftragte existiert noch nicht, das Berufsbild ist nicht geschützt. "Leider gibt es eine Schwemme von selbsternannten Experten, die dem Kunden gerade mal die berühmte halbe Buchseite voraus sind", kritisiert Thomas Spaeing, Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) in Berlin: "Deshalb sollte man unterscheiden, ob wir von einem ernstzunehmenden Experten sprechen oder einem selbsternannten. Letzteres wird man durch den Besuch einer Kurzausbildung – oder, einfacher noch, durch den Druck einer Visitenkarte."

Datenschutz-Experten brauchen umfassende technische Kenntnisse, aber auch juristischen Sachverstand. Sie müssen mit Prozessabläufen vertraut sein und sich mit den gültigen Vorschriften auskennen. Wer in dem Beruf dauerhaft erfolgreich sein will und seriös arbeiten möchte, sollte nach Thomas Spaeings Erfahrung eine akademische Vorbildung haben – beispielsweise als Betriebswirt, Informatiker Ingenieur oder auch als Jurist. "Ein Datenschutzexperte wird man jedoch erst durch eine gute Zusatzausbildung, die verschiedene Bausteine beinhaltet und ihre Zeit dauert. Teuer muss diese nicht zwangsläufig sein", sagt Spaeing: "Damit ist man für eine Tätigkeit als interner Datenschutzbeauftragter fürs Erste gerüstet, der Rest kommt mit den Fortbildungen und der Praxis."

Datenschützer sind niemandem weisungsbefugt

Die Verdienstmöglichkeiten variieren stark nach Branche und Aufgabengebiet. Die Ernennung zum Datenschutzbeauftragten ist für die Mitarbeiter jedoch oft mit einer Beförderung verbunden. Die Tagessätze von professionellen externen Datenschützern liegen bei 900 Euro und höher. Betriebliche Datenschutzbeauftragte genießen außerdem Kündigungsschutz, egal ob sie sich hauptamtlich oder nebenamtlich um Datensicherheit kümmern. "Als Datenschutzbeauftragter ist man niemandem weisungsbefugt und kann selbstbestimmt arbeiten", erklärt Gerhard Kongehl: "Auch das macht diesen Beruf interessant und sehr attraktiv.“

Kampf gegen Computerviren

Auch Marco Preuß liebt die Abwechslung: "Bei mir gleicht kein Arbeitstag dem anderen", sagt der Senior Virus Analyst der Software-Firma Kaspersky. Preuß gehört zu einem Team von Software-Experten, die Schutzprogramme gegen Computerviren erarbeiten und weiterentwickeln. Ein klassischer Ausbildungsberuf ist das nicht: "Wie bei vielen anderen Tätigkeiten im diesen Bereich, sollte man eine gewisse Affinität zu dem Thema mitbringen", rät Preuß. "Man sollte Spaß an IT-Themen haben und flexibel sein."

Die Fähigkeit sich selbst weiterzubilden, Interesse an Technologien insbesondere im IT-Sicherheitsbereich sieht der Senior Virus Analyst als Grundvoraussetzungen, um in seinem Job zu bestehen – genau wie die Fähigkeit zu kreativem Denken. Noch immer halten sich die Gerüchte hartnäckig, dass vor allem ehemalige Hacker mit der Entwicklung von Sicherheitssystemen beschäftigt sind, doch die Grundlagen lassen sich durchaus akademisch erwerben, betont Preuß: "Ein Studium kann hilfreich sein, ist aber nicht zwingende Voraussetzung." Das Know-how erwerbe man vor allem durch berufliche Praxis. Mittlerweile haben allerdings viele Software-Spezialisten ein Informatikstudium abgeschlossen. In Berlin bieten Universitäten und Fachhochschulen wie die Hochschule für Technik und Wirtschaft auch spezielle Studiengänge wie "Computer Engineering" an, die wichtige Grundlagen im Bereich der IT-Sicherheit vermitteln. Masterstudiengänge in IT-Sicherheit können IT-Profis in spe an den Unis in Passau und Darmstadt belegen.

Kontakt zum Autor: Kirsten Schiekiera und Jens Kohrs

Zuletzt aktualisiert: 15.07.2011 · Fotos: Christoph Schieder (2)