Berufseinstieg im Datenschutz

Berufseinstieg und Arbeitgeberwahl im Datenschutz

Seitdem im Jahr 2018 die EU-Datenschutz-Grundverordnung (DSGVO) anwendbar wurde, ist der Markt für Dienstleistungen rund um das Datenschutzrecht förmlich explodiert. Es drängten massiv Anbieter auf den Markt, viele leider ohne die tatsächlich notwendigen Qualifikationen.

Für Absolventen eines juristischen Studiengangs ist eine Spezialisierung auf das Datenschutzrecht durchaus sinnvoll, die Jobaussichten sind äußerst gut. Doch worauf sollten zukünftige Datenschutzjuristen beim Berufseinstieg und insbesondere der Auswahl eines Arbeitgebers achten? Michael Plankemann, selbst seit zwei Jahrzehnten im Datenschutz tätig, hat einige wichtige Hinweise.

Berufseinstieg im Datenschutz

Das Datenschutzrecht ist immer noch oft ein Randbereich der juristischen Lehre und regelmäßig kein Pflichtfach. Darüber hinaus haben wir es beim Datenschutzrecht mit einer echten Besonderheit zu tun: das Gesetz fordert eine angemessene Umsetzung von Informationssicherheit. Ein Datenschutz-Consultant bzw. -Auditor muss damit über die juristischen Kenntnisse hinaus ein gutes Verständnis im Bereich der IT besitzen, um nicht nur eine Hälfte der Beratung erbringen zu können.

Sehr viele Juristen sind ab dem Moment, in dem es technisch wird, überfordert. Deshalb ist der Beruf des Datenschutzjuristen einer, der meist erst im Training on the Job wirklich erlernt werden kann. Eine Ausbildung zum Datenschutzbeauftragten (z. B. bei TÜV oder IHK) ist zwar grundsätzlich zu empfehlen, hilft aber nur einen kleinen Schritt weiter. Wer sich allein auf Basis dieser Qualifikation selbstständig machen will, wird im Berufsalltag schnell an seine Grenzen stoßen.

Umso wichtiger ist es für Absolventen, den richtigen Partner für den Berufseinstieg zu wählen. Aller Erfahrung nach sind Großkanzleien nicht dafür geeignet, sich als Berufsanfänger auf das Datenschutzrecht zu spezialisieren. Denn in Großkanzleien findet meist eine starke Arbeitsteilung bei der Betreuung von Kunden statt. Gerade der Datenschutz als Querschnittsmaterie verschiedener Rechtsgebiete erfordert jedoch umfassende juristische, organisatorische und technische Kenntnisse. Auch wird eine partnerschaftliche und kontinuierliche Zusammenarbeit mit dem Klienten erschwert.

Die Rechts- oder Compliance-Abteilung eines Konzerns ist ebenfalls nicht der ideale Ort, um eine Karriere als Datenschutzjurist zu beginnen. Denn auch hier ist schwer, das notwendige Fach- und Anwendungswissen auf einer breiten Basis zu erwerben.

Für den Berufseinstieg im Bereich des Datenschutzrechts bietet sich stattdessen eine Boutique-Kanzlei mit entsprechender Ausrichtung an. Als Alternative kommen zahlreiche spezialisierte Consultingunternehmen bzw. Unternehmensberatungen infrage. Hier sollten Bewerber jedoch darauf achten, dass dort zumindest überwiegend Juristen tätig sind, um in ein entsprechend qualifiziertes Umfeld zu gelangen.

Deutlich zu warnen ist vor sogenannten Datenschutz-Sweatshops, in denen Berufseinsteiger zum Callcenter-Agenten degradiert und auf die Entgegennahme von Anrufen sowie die Erteilung von vorformulierten Standardantworten beschränkt werden. Eigene Mandate sind nicht vorgesehen. Einsteiger sollten daher vorgewarnt sein: Für diese, auf einen möglichst profitablen aber wenig qualifizierten Massenmarkt ausgelegten Unternehmen ist es nicht wirtschaftlich, mittels Wissens und Verantwortung in die eigenen Mitarbeiter zu investieren.

Stattdessen bietet der Arbeitgeber im Idealfall ein Mentorenprogramm für Berufseinsteiger bzw. Junior Professionals an. Wer einem erfahrenen Kollegen über die Schulter schauen und seine Fragen sofort stellen kann, lernt einfach deutlich schneller. Fortbildungen – vor allem im Bereich der Informationssicherheit – sollten selbstverständlich dazu gehören. Auch eine große Branchenvielfalt der Klienten ist von Vorteil, weil Datenschutzjuristen nur so ein wirklich breites Anwendungswissen und Kenntnisse in angrenzenden Rechtsgebieten erwerben.

Mitarbeiter von activeMind bei einer internen Diskussionsrunde

Auswahl eines geeigneten Arbeitgebers im Bereich des Datenschutzrechts

Der durch die DSGVO stark aufgeblähte Markt im Bereich Datenschutz dürfte sich mittelfristig wieder konsolidieren. Es ist davon auszugehen, dass Anbieter ohne entsprechendes Anwendungswissen und ohne Mitarbeiter mit überzeugender Berufserfahrung sich nicht langfristig auf dem Markt halten können. Selbst wenn die voraussichtlich in den nächsten Jahren in Kraft tretende ePrivacy-Verordnung eine der DSGVO vergleichbare Panik bei den datenverarbeitenden Unternehmen auslöst, wird sich letzten Endes allein Qualität durchsetzen.

Für Juristen, die mit dem Datenschutzrecht auch langfristig Karriere machen wollen, lohnt es sich deshalb, auf den richtigen Arbeitgeber zu achten. Neben den oben diskutierten Bedingungen für Berufseinsteiger kann vor allem der Blick auf die Unternehmensstrategie helfen, einen potenziell erfolgreichen Arbeitgeber zu wählen.

Hier ist vor allem eine internationale Ausrichtung wichtig, weil das Datenschutzrecht überall an Bedeutung gewinnt. Und zwar nicht nur in der EU, sondern auch weltweit. Denn mit der DSGVO kommt datenschutzrechtlich das Marktortprinzip zum Tragen – das heißt: Auch Anbieter aus China, Indien oder den USA müssen Vorgaben der DSGVO beachten, wenn in der EU befindlichen Personen Waren oder Dienstleistungen angeboten oder deren Daten verarbeitet werden.

Darüber hinaus lohnt es sich für Berufseinsteiger, die technologischen Kompetenzen des zukünftigen Arbeitgebers im Auge zu behalten. Einerseits wird gerade im Bereich der Datenverarbeitung der Automatisierungsgrad weiter zunehmen. Dadurch treten immer wieder vom Gesetz nicht unmittelbar geregelte und im internationalen Kontext divers gehandhabte Datenschutzfragen auf. Hier kommt nur weiter, wer im Bereich der Informationssicherheit mitreden kann. Andererseits sehen sich Juristen der Herausforderung von Legal Tech ausgesetzt. Hier besteht die Kür darin, Standardprozesse zu automatisieren und zugleich individuelle Lösungen für Probleme zu finden, die der eine oder andere Klient garantiert mitbringt.

Zu guter Letzt sollten Absolventen bei der Arbeitgeberwahl darauf achten, dass im Unternehmen selbst die Werte und Vorgaben des Datenschutzes und auch der Informationssicherheit gelebt werden. Geht aus der Website des Arbeitgebers nicht hervor, wie das geschieht (z. B. durch eine Zertifizierung nach ISO 27001), macht es Sinn, im Bewerbungsgespräch danach zu fragen. Denn nur wer selbst praktiziert, was er seinen Klienten rät, wird authentisch und erfolgreich arbeiten.

Stellenangebote als externer Datenschutzbeauftragter

Die wichtigsten Infos zum Job des Datenschutzbeauftragten

Unternehmen, in denen mindestens zwanzig Mitarbeiter personenbezogene Daten verarbeiten, müssen in der Regel einen Datenschutzbeauftragten bestellen. Unabhängig von der Mitarbeiterzahl trifft diese Bestellpflicht auch Unternehmen, die besondere Arten personenbezogener Daten (z. B. Gesundheitsdaten) verarbeiten oder wenn die Kerntätigkeit des Unternehmens die Erhebung, Verarbeitung, Nutzung oder Übermittlung personenbezogener Daten ist.

Ein Mitarbeiter kann als interner bzw. betrieblicher Datenschutzbeauftragter bestellt werden. Die Person muss dafür zahlreiche Anforderungen wie Fachkunde und persönliche Eignung erfüllen.

Wer hingegen im Job als externer Datenschutzbeauftragter erfolgreich sein will, muss deutlich mehr beherrschen. Denn wer Unternehmen verschiedener Branchen und mit diversen Datenverarbeitungen beraten, schulen und prüfen soll, muss zahlreiche juristische, technologische und auch organisatorische Fragestellungen klären können.

Der Abschluss eines juristischen Studiums ist für die Tätigkeit als externer Datenschutzbeauftragter zwar nicht vorgeschrieben, im Prinzip aber notwendig. Denn die zu prüfenden Datenverarbeitungen müssen in Übereinstimmung mit der gesamten Rechtsordnung sein – und nicht nur mit der DSGVO, dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Relevant sind etwa das Wettbewerbsrecht und auch zivilrechtliche Fragen. Datenschutzbeauftragte ohne eine ausreichende juristische Qualifikation stoßen hier sehr schnell an ihre Grenzen oder machen fatale Fehler.

Der formale Universitätsabschluss ist dabei zweitrangig. Theoretisch qualifiziert auch ein Master in Rechtswissenschaften für eine Beratertätigkeit zum Datenschutzrecht. Volljuristen und zugelassene Rechtsanwälte haben allerdings in Kanzleien und im internationalen Kontext meist bessere Karrierechancen. Auch ein LL.M. kann sehr sinnvoll sein.

Die größere Herausforderung besteht darin, dass das Datenschutzrecht kein eigenständiger Lehrbereich an den juristischen Fakultäten ist. Die Erfahrung der letzten Jahrzehnte zeigt, dass deshalb kaum ein Absolvent die notwendigen Fachkenntnisse bereits mitbringt.

Sehr vorteilhaft ist es jedoch, wenn Absolventen der Rechtswissenschaften sich bereits während des Studiums theoretisch mit DSGVO, BDSG, TTDSG, Telemediengesetz (TMG) und Gesetz gegen den unlauteren Wettbewerb (UWG) befasst haben.

Wer darüber hinaus während des Studiums in einem Praktikum Zusatzqualifikationen bzw. Anwendungswissen zum Datenschutzrecht erworben hat, ist für einen Berufseinstieg als Datenschutzjurist schon sehr gut aufgestellt.

Datenverarbeitungen finden in aller Regel IT-basiert statt. Zumindest grundlegende IT-Kenntnisse und eine gewisse technische Affinität sind deshalb für werdende Datenschutzexperten ein Muss. Zwar können die allerwenigsten Juraabsolventen selbständig einen Windowsserver konfigurieren; für den Job als Datenschutzbeauftragter sollten sie aber wenigstens wissen, was eine Firewall von einem Feuerlöscher unterscheidet.

Angesichts internationaler Märkte und grenzüberschreitender Datenverarbeitungen ist es fast schon müßig darauf hinzuweisen, dass sehr gute Englischkenntnisse unabdingbar sind. Weitere Fremdsprachenkenntnisse und Auslandserfahrung bringen karrieretechnisch Vorteile mit sich.

Der Job des Datenschutzbeauftragten erfordert viel Mandantenkontakt und Kommunikation. Insbesondere als externer Datenschutzbeauftragter gehen Juristen eine meist langjährige Vertrauensbeziehung mit den Klienten ein. Gleichzeitig zu prüfen und zu beraten kann dabei eine mitunter schwer zu erfüllende Doppelrolle sein.

Wem es mehr liegt, allein am Schreibtisch komplexe juristische Abhandlungen in höchster Präzision zu verfassen, der sollte sich ggfs. ein anderes Rechtsgebiet suchen. Wer jedoch Spaß daran hat, direkt mit Menschen zu kommunizieren und in der Lage ist, rechtliche Sachverhalte verständlich zu erklären, verfügt bereits über eine wichtige Kernkompetenz für einen Job als Datenschutzconsultant.

Zu den gefragten persönlichen oder auch personalen Kompetenzen gehört insbesondere ein hoher Problemlösungswille. Denn selbst Datenschutzexperten mit vielen Jahren Berufserfahrung stehen immer wieder vor neuen Herausforderungen. Die digitale Transformation der Wirtschaft schreitet bekanntlich technologisch und auch organisatorisch schneller voran als die Gesetzgebung und auch die Rechtsprechung. Deshalb ist eine enorme Vielfalt an kreativen Speziallösungen für die verschiedensten Datenverarbeitungen bei Wertschöpfungsketten und Geschäftsmodellen gefragt.

Absolventen eines Jurastudiums, aber auch erfahrene Juristen oder Rechtsanwälte, die mit dem Datenschutzrecht Karriere machen wollen, sollten sich diesbezüglich wirklich selbstkritisch einschätzen: Wer sich selbst eher als „Bedenkenträger“ versteht, ist von den Herausforderungen als Datenschutzberater höchstwahrscheinlich überfordert. Juristen, die hingegen jeden Tag quer- und neudenken wollen und können, erwartet ein wirklich spannender Job, bei dem sie schnell Projektverantwortung übernehmen können.

Zu den aufgeführten berufsspezifischen Schlüsselkompetenzen kommen selbstverständlich Soft Skills, die für die Arbeit im Team selbst wichtig sind. Hierbei setzt jeder Arbeitgeber andere Schwerpunkte. Weil Datenschutzjuristen aber eher nicht in den sehr arbeitsteiligen Großkanzleien arbeiten, sind sowohl Teamfähigkeit als auch Durchsetzungsfähigkeit gefordert. Selbstständiges Arbeiten in ggfs. flachen Hierarchien oder sogar selbstorganisierten Teams ist für Juristen nicht unbedingt normal – sollte aber erlernt werden.

Der Berufsalltag eines externen Datenschutzbeauftragten wird vor allem eines nicht: langweilig. Denn wer diesen Job meistern will, bekommt schnell Projektverantwortung und eigene Mandanten. Die Beziehung zwischen externem Datenschutzbeauftragten und Mandanten ist meist eine langjährige und von intensiver Zusammenarbeit geprägt.

Zu den Aufgaben des externen Datenschutzbeauftragten gehört es, die Unternehmensleitung zu beraten, Mitarbeiter zu schulen und Datenverarbeitungen zu prüfen. Viele dieser Tätigkeiten lassen sich vom eigenen Büro aus durchführen (z. B. regelmäßige Statusgespräche mit den Mandanten), Vor-Ort-Prüfungen und Vor-Ort-Schulungen gehören aber auch zum Joballtag.

Auch die Kommunikation mit Aufsichtsbehörden und der direkte Umgang mit Betroffenen, also Menschen deren Daten durch die Mandanten verarbeitet werden, gehören zum Aufgabengebiet des Datenschutzbeauftragten.

Mittlerweile spielt auch die gerichtliche und außergerichtliche Rechtsvertretung im Beruf des Datenschutzbeauftragten eine Rolle – vor allem wenn es sich um zugelassene Rechtsanwälte handelt. Hierbei geht es vor allem um die Abwehr von Abmahnungen oder Schadensersatzforderungen und nicht zuletzt auch die Verteidigung gegen Bußgelder.