„Man kann sich an allen ein Beispiel nehmen, die auch die ethische Seite des Daten- bzw. Persönlichkeitsschutzes ernst nehmen und im Zweifelsfall über kurzfristig gedachte wirtschaftliche Interessen stellen.“
Chris Newiger ist seit fast zehn Jahren Konzerndatenschutzbeauftragte der Deutschen Bahn. An die oberste Datenschützerin eines Unternehmens mit derart vielen und sensiblen Kunden- und Mitarbeiterdaten hätten wir unzählige Fragen. Wir haben uns zunächst auf die mit dem höchsten Aktualitätsfaktor konzentriert, um uns dann von Frau Newiger in den Datenschutzkosmos der Bahn mitnehmen zu lassen.
Frau Newiger, die Deutsche Bahn hat sich mit ihrer neuen Dachstrategie „Starke Schiene“ viel vorgenommen. Bis 2030 sollen „für das Klima, für die Menschen, für die Wirtschaft und Europa“ u.a. die Passagierzahlen im Personenverkehr verdoppelt werden. Was bedeutet dies für Ihr Aufgabenfeld des Datenschutzes – wie können bzw. müssen Sie und Ihre Mitarbeiter da mit anpacken?
Der Datenschutz ordnet sich im Feld „Schlagkräftiger durch eine einfache Aufstellung, klare Abläufe und gemeinsames Anpacken“ ein. Hier geht es unter anderem um Prozessoptimierung, verbindliche Qualitätsvorgaben und gemeinsames Anpacken über Bereichsgrenzen hinweg für ein gemeinsames Ziel. Das bedeutet, dass wir konzernübergreifend noch stärker vor allem im Onboarding vertreten sein werden, um gerade unsere neuen Mitarbeiterinnen und Mitarbeiter von vornherein zu sensibilisieren. Natürlich bedeutet das auch eine stetige Weiterbildung und Weiterentwicklung unserer Datenschutzorganisation.
Sie erwähnen den einzelnen Bahn-Mitarbeiter als wichtiges Puzzlestück in Ihrem Konzept. Trotzdem kann es natürlich – wie zuletzt im Oktober in Düsseldorf, als Schichtpläne und Zahlungsaufforderungen in einem öffentlichen Papierkorb landeten – immer wieder zu Datenpannen aufgrund individueller Fehler kommen. Wie schaffen Sie und Ihr Team es, mit dem einzelnen Kollegen in Kontakt zu bleiben und den Datenschutz immer wieder auf die Tagesordnung zu bringen?
Die „Schwachstelle Mensch“ ist natürlich wie immer das größte Risiko, das man auch nie ganz auf Null bringen kann. Um unsere Mitarbeitenden in puncto Datenschutz zu sensibilisieren und up to date zu halten, setzen wir auf unsere Datenschutz-Community im Konzern.
Zentral unterstützt der Konzerndatenschutz mit knapp 40 Mitarbeitern die Konzernunternehmen bei der Einhaltung des Datenschutzes, um die persönlichen Daten unserer Kollegen und Kunden zu schützen. Die dezentrale Datenschutzorganisation sorgt mit rund 100 Kolleginnen und Kollegen vor Ort dafür, dass unsere Datenschutzpolitik in den einzelnen Konzernunternehmen umgesetzt und gelebt wird, ist also nah an jedem einzelnen dran.
Die Leitlinien entstehen in der Zentrale, wo beispielsweise auch Schulungsunterlagen und Handlungshilfen für die Beratung konzipiert werden. Zusätzlich sind wir in unserem Intranet mit einem gut besuchten Blog vertreten, mit dem wir uns direkt an unsere Mitarbeiterinnen und Mitarbeiter richten. Dort entsteht auch viel Austausch in den Kommentaren. Auch Awareness-Kampagnen an unterschiedlichen Standorten mit spielerischen Elementen sowie Give-Aways für die Kolleginnen und Kollegen fördern die positive Wahrnehmung des Datenschutzes. Wir sind durchaus weithin bekannt, das stelle ich immer wieder fest, wenn ich im Konzern unterwegs bin.
Man hört, dass Sie seit Ihrem Einstieg bei der Bahn ein für einen internationalen Konzern geradezu vorbildliches Datenschutz-Gebäude auch unter Einbezug anderer Governance- und Security-Einheiten errichtet hätten. Können Sie uns das große Ganze für Nicht-Konzernler herunterbrechen?
Wie schon skizziert haben wir vor rund 10 Jahren mit dem Aufbau der Datenschutzorganisation in ihrer heutigen Struktur begonnen. In diesem Jahr haben wir uns zu einer Neustrukturierung innerhalb des Konzerndatenschutzes entschieden, da die steigende Anzahl innovativer Geschäftsmodelle und intelligenter Datenverarbeitungen im Konzern eine schnelle, unkomplizierte datenschutzrechtliche Beratung erfordert. Deshalb haben wir innerhalb der Datenschutzorganisation ein Schnittstellenmanagement zwischen zentralem und dezentralem Datenschutz etabliert. Dies ermöglicht uns, konzernübergreifende Schwerpunktthemen gezielt zu identifizieren und die DB strategisch rechtssicher zu beraten.
Zusätzlich arbeiten wir natürlich bereichsübergreifend eng mit unseren themenverwandten Einheiten wie Compliance, Informationssicherheit/Cybersecurity, Konzernrevision und Konzernsicherheit zusammen. Aus der Zusammenarbeit mit Cybersecurity entstand bspw. die Awareness-Kampagne „Helden on Tour“. Hierfür gehen wir – tatsächlich verkleidet als Helden und mit unseren Maskottchen im Gepäck – auf Tournee an verschiedene DB-Standorte, um so die Mitarbeitenden auf das wichtige Thema aufmerksam und neugierig zu machen. Aus der Zusammenarbeit mit den vier Bereichen ist zudem ein gemeinsamer Auftritt im konzernweiten Onboarding für neue Mitarbeiter entstanden, die so direkt von Beginn an mit dem Thema Datenschutz vertraut werden sollen. In den neuen Willkommenspaketen sind wir mit einem Eintrag im digitalen Bahn-ABC unter „D wie Datenschutz“ sowie mit Webcam-Covern zum Abdecken der Laptop-Webcams vertreten.
Da Sie vom stetigen Wandel infolge technischer Entwicklungen sprechen: Wer oder was sind fachliche Vorreiter, an denen Sie sich orientieren? An welchen Nationen, Personen, Unternehmen oder Einrichtungen kann man sich in Sachen Datenschutz ein Beispiel nehmen?
Wir sind natürlich mit vielen anderen Playern im Austausch – ich persönlich sogar schon seit 1997 in diversen Arbeitskreisen der deutschlandweiten Datenschutz-Community. Damals habe ich vor allem die Deutsche Telekom für ihre Vorreiterrolle und organisierte Vorgehensweise bewundert. Die Datenschutzorganisationen von Deutscher Bahn und Deutscher Telekom arbeiten bis heute eng zusammen. Allerdings haben wir bei der DB auch eine vertrauensvolle Zusammenarbeit mit den jeweiligen Aufsichtsbehörden für den Datenschutz in den verschiedenen Bundesländern etabliert. Der Austausch inspiriert und hilft beiden Seiten, einander zu verstehen. Dabei sind wir immer im Bestreben, die besten Lösungen für die Betroffenen zu finden. Bei Konferenzen ergeben sich auch immer wieder interessante Gespräche und Einblick in die Erfahrungen anderer. Grundsätzlich kann man sich an allen ein Beispiel nehmen, die vor allem auch die ethische Seite des Datenschutzes bzw. des Persönlichkeitsschutzes ernst nehmen – und sie im Zweifelsfall dann eben auch über unmittelbare und kurzfristig gedachte wirtschaftliche Interessen stellen.
Und wie sieht es bei Ihnen ganz persönlich aus? was schätzen Sie besonders an Ihrem Arbeitsplatz, der Sie jetzt ja immerhin schon fast zehn Jahre halten konnte?
Im Grunde schätze ich immer noch das Gleiche, was mich vor zehn Jahren dazu bewogen hat, das Angebot der Deutschen Bahn anzunehmen – ich konnte und sollte von Grund auf eine neue Datenschutzorganisation und -kultur im Konzern gestalten. Das war von Anfang an eine sehr große Aufgabe, die ich auch nur mit vielen anderen gemeinsam stemmen konnte. Kolleginnen und Kollegen aus dem Konzern, aber auch viele, die von „draußen“ kamen. Es wurde weder mir noch sonst jemand in meinem großen Team an irgendeinem Tag langweilig. Irgendwas ist immer (lacht). Die Vielfalt der Anfragen und Aufgaben im Datenschutz in einem so breit aufgestellten und internationalen Konzern ist unbeschreiblich. Und die neuen Themen gehen uns auch nicht aus – Stichwort Digitalisierung. Einer meiner Kollegen im Team hat mal vor Jahren gesagt: Ich will immer vor der Welle sein. Das ist unser Motto geblieben. Das begeistert uns immer noch und – was vielleicht am Schönsten zu beobachten ist – auch all die jungen Kolleginnen und Kollegen, die immer wieder neu zu uns stoßen. Das macht mir einfach Freude.
Foto: Pablo Castagnola
Chris Newiger,
Konzerndatenschutzbeauftragte
der Deutschen Bahn
[advertorial]
