Was macht eigentlich ein Syndikusrechtsanwalt und Datenschutzberater bei d.vinci?

Warum uns jede einzelne Position so wichtig ist und warum jeder zum Gesamterfolg der Firma beiträgt, klären wir in diesen Interviews. Heute stellen wir unseren Syndikusrechtsanwalt & Datenschutzberater Matthias Blenski vor.

Hallo Matthias! Schön, dass du dir die Zeit nimmst! Stell dich doch mal kurz vor.

Hey Lara, bei d.vinci arbeite ich seit über fünf Jahren. Da wir eine so hohe Mitarbeiterbindung haben, bin ich im d.vinci Kosmos somit quasi noch ein Rookie. Tatsächlich hat mich ein glücklicher Zufall, sprich ganz klassisch StepStone, zu d.vinci geführt. Das gesamte Team ist super, meine Aufgaben sind spannend und es macht riesen Spaß gemeinsam im Team Neues zu entwickeln. Meine Kids fanden es auch immer klasse, mich im Büro mal zu besuchen. Sie spielen dann Kicker, schaukeln oder genießen es, sich eine Bionade aus unserem Kühlschrank nehmen zu dürfen. Meine Töchter haben auch begeistert am GirlsDay bei d.vinci teilgenommen und mit unserem Agile Coach coole Ideen zum Thema Digitalisierung im Alltag entwickelt. Bei d.vinci betreue ich das Partnermanagement und bin unser Syndikusrechtsanwalt. Da ich selber bereits früher als Talent Acquisition Manager gearbeitet habe, habe ich ein gutes Gefühl für die Bedürfnisse des Marktes, unserer Kund:innen, der Bewerber:innen und unseres Teams. Meine Aufgabe ist dann, alles in unsere Verträge, in interne Schulungen und in die Beantwortung von den Anfragen unserer Kund:innen einfließen zu lassen.

Du bist ja schon ein paar Jahre in der Rolle des Syndikusrechtsanwalts & Datenschutzberaters bei d.vinci. Warum wolltest du diese Rolle gerne einnehmen? Was schätzt du besonders?

Vielleicht sollte ich kurz erklären, was ein Syndikusrechtsanwalt ist. Bei einem Syndikusrechtsanwalt handelt es sich um einen Rechtsanwalt, der nicht für eine Anwaltskanzlei arbeitet, sondern als Rechtsberater für ein Unternehmen tätig ist. Wobei ich dann ausschließlich d.vinci berate. Eine Rechtsberatung unserer Kund:innen verbietet das Rechtsberatungsgesetz. Tatsächlich finde ich das Thema IT-Recht sehr spannend. Beispielsweise das auf den ersten Blick eher sperrige Thema Datenschutz, bietet mir viele Möglichkeiten, rechtliche Dinge neu zu entwickeln, innovativ und kreativ zu sein. Die DSGVO ist ja ein relativ frisches Gesetz. Hier hat zwar jeder schnell eine eigene Meinung, aber es gibt wenig höchstrichterliche Rechtsprechung – sprich vieles ist noch im Fluss. Und auch die Landesdatenschutzbehörden stochern am Ende im Nebel, jede Behörde hat oft eine eigene Rechtsauffassung, die auch immer wieder mal von den Gerichten gekippt wird. Z.B. wurden in letzter Zeit einige Bußgeldbescheide der Landesdatenschutzbehörden von den Gerichten wieder aufgehoben. Auch das neue EU-U.S. Data Privacy Framework (Nachfolger des EU-U.S. Privacy Shields),sprich  das neue Datenschutzabkommen zwischen der EU und den USA sorgt bei den Landesdatenschutzbehörden und bei fast allen größeren Firmen in Europa für viele Meetings, wie man damit nun praktisch umgehen soll. Bei d.vinci bin ich u.a. für alle operativen Dinge des Datenschutzes zuständig. Auch in unserer Softwareentwicklung werde ich im Preplanning regelmäßig eingebunden – Stichwort: „privacy by design“ und „privacy be default“. Hierbei handelt es sich um Datenschutz durch Technikgestaltung (privacy by design) und Datenschutz durch datenschutzfreundliche Voreinstellungen (privacy by default). Unsere Kunden schätzen es besonders, wie sehr wir auf die unterschiedlichsten Belange des Datenschutzes auf diversen Ebenen unserer Softwarelösungen eingehen.

Was machst du in deiner Position als Datenschutzberater und Syndikusrechtsanwalt? Worum kümmerst du dich hauptsächlich?

Als Syndikusrechtsanwalt mit Schwerpunkt IT-Recht beantworte ich alle Fragen unserer Kund:innen und Mitarbeiter rund um das Thema Datenschutz in unserem d.vinci Bewerbermanagement und unserem d.vinci Onboarding. So bin ich beispielsweise für die Ausgestaltung unserer Auftragsdatenverarbeitungsverträge, für NDAs (Geheimhaltungsvereinbarungen) und unsere Nutzungsbedingungen verantwortlich. Ich bin allerdings nicht unser Datenschutzbeauftragter. Ein:e Datenschutzbeauftragte:r ist eine echte Kontrollinstanz, sprich der verlängerte Arm der Landesdatenschutzbehörde. Unser externer Datenschutzbeauftragter berät, kontrolliert und auditiert uns regelmäßig. Als Syndikusrechtsanwalt, der unsere Verträge entwickelt, würde ich mich am Ende sonst selbst kontrollieren. Das geht natürlich nicht.

Gibt es auch mal Herausforderungen oder Situationen, die dich länger beschäftigen?

Oft werden unser Informationssicherheitsbeauftragter Ralf und ich bei Ausschreibungen involviert. Der bislang krasseste Fall war ein Fragebogen eines potentiellen Neukunden mit über 300 Fragen zum Thema Datenschutz und Informationssicherheit, den wir auf Englisch beantworten durften. Hier haben wir dann als Team, gemeinsam mit dem Leiter der Entwicklungsabteilung Gregor und dem Leiter der IT-Administration Holger den riesigen Fragenkatalog abgearbeitet. Zum Glück hat es sich gelohnt und wir konnten den Kunden am Ende gewinnen. Oft hilft es dabei, dass wir offen und ehrlich sagen, was wir können und was nicht. Wir gehen mit allen Partner:innen und Kund:innen auf Augenhöhe um. Das kommt meist bei den Datenschützer:innen und Informationssicherheitsbeauftragten unserer Kund:innen sehr gut an.

Warum ist die Position des Datenschutzberaters so wichtig? 

Das Thema Datenschutz liegt mir wirklich persönlich am Herzen. Frei nach dem Motto: „Wenn Daten das neue Öl sind, ist Datenschutz der neue Umweltschutz.“. Auch der CEO von Apple, Tim Cook, ist übrigens der Meinung: „Datenschutz ist genauso wichtig wie Klimaschutz.“ Ich glaube fest daran, dass jede:r Bürger:in, jeder Kunde und jede:r Bewerbende Herrscher:in über seine/ihre Daten sein sollte und dass jeder selbst entscheiden soll, was mit seinen Daten geschieht. Übrigens wird Folgendes oft verwechselt: Das Schutzziel des Datenschutzes ist in erster Linie die Privatsphäre, nicht die Integrität, Verfügbarkeit und Vertraulichkeit der Daten. Die Integrität, die Verfügbarkeit und die Vertraulichkeit der Daten sind Schutzziele der Informationssicherheit. Letztlich sind natürlich Datenschutz und Informationssicherheit zwei Seiten einer Medaille, deren Schnittmenge z.B. in den Technisch-Organisatorischen Maßnahmen der Auftragverarbeitungsverträge zu finden ist. Tatsächlich verstehe ich ein hohes Datenschutzniveau auch als Wettbewerbsvorteil gegenüber unseren Mitbewerbern. Je besser unsere Mitarbeiter:innen sensibilisiert sind, je besser gehen sie mit ihren eigenen Daten und mit den Daten unserer Kund:innen und Bewerber:innen um. In unseren jährlichen Achtsamkeitsschulungen („Bleib achtsam, d.vinci!“) versuchen wir auch immer, die Themen Datenschutz und Informationssicherheit so interessant, erfrischend und praxisnah wie möglich zu gestalten. Am Ende funktioniert guter Datenschutz nur, wenn man die Mitarbeiter:innen mitnimmt. Zum Glück stehen unsere beiden Geschäftsführer Nina & Tobias auch voll hinter dem Thema und betonen gegenüber unseren Mitarbeiter:innen stets, wie wichtig es ist, dass Datenschutz bei uns wirklich gelebt wird.

Wie profitieren unsere Kund:innen und auch Kolleg:innen von deiner Rolle als Datenschutzberater?

Unsere Kund:innen schätzen es, dass wir schnell und unbürokratisch helfen. Wir unterstützen sie bei allen Fragen rund um das Thema Löschen von Bewerbungen, bei Fragen zu den Auftragsdatenverarbeitungsverträgen, zu unseren Technisch-Organisatorischen Maßnahmen, bei Audits etc. Oft hilft es, wenn wir erklären, dass nicht wir die Datenschutzeinstellungen im System machen, sondern dass unsere Kund:innen sich unser System so datenschutzkonform konfigurieren können, wie sie es sich wünschen. Frei nach dem Motto: „Zwei Juristen, drei Meinungen!“ lässt unser System viele unterschiedliche Ausgestaltungsmöglichkeiten zu. Dies hilft ungemein, weil natürlich auch jede:r Kund:in anders ist.

• Der:die erste hat eine weltweite Filialstruktur
• der:die zweite besteht nur aus einem Firmensitz in Deutschland
• der:die dritte hat eine geteilte HR und Recruitingabteilung mit unterschiedlichen Rechten und Pflichten
• der:die vierte besteht aus einer Holding mit streng getrennten Tochterunternehmen.

Unser ausgefeiltes Rechte und Rollensystem hilft in all solchen Fällen dabei, aus unserer Standardsoftware einen datenschutzrechtlichen Maßanzug zu machen.

Erzähl mal: Wie sieht ein klassischer Arbeitsalltag als Datenschutzberater und Syndikusrechtsanwalt bei dir aus? Gibt es Dinge, die sich wiederholen oder ist jeder Tag anders?

Tja, zum Glück gibt es den klassischen Arbeitstag nicht bei mir. Jeder Tag ist anders. Aber natürlich gibt es Aufgaben, die sich wiederholen. So werde ich oft im Rahmen des Preplannings und des Sprintreviews in unsere Softwareentwicklung eingebunden. Des Weiteren verhandele ich mit unseren Kund:innen und unseren Partner:innen Auftragsverarbeitungsverträge, Nutzungsbedingungen, NDAs, Tippgeberverträge etc. aus. Unser Vertrieb kommt regelmäßig auf mich zu, damit ich bei Ausschreibungen unterstützen kann, da unsere Neukund:innen sehr interessiert daran sind, welches Datenschutz- und Informationssicherheitsniveau wir haben.

Des Weiteren sensibilisiere ich im Rahmen unseres Onboardings unsere eigenen neuen Mitarbeiter:innen für das Thema Datenschutz, mache gemeinsam mit unserem Informationssicherheitsbeauftragten Ralf jährliche Schulungen aller Mitarbeiter:innen, entwickele unser Datenschutzmanagementsystem weiter, passe unsere Datenschutzerklärung an neueste rechtliche und tatsächliche Entwicklungen an, auditiere unsere Subunternehmer, unterstütze unsere Kund:innen und unsere Auditor:innen (aktuell der TÜV Rheinland) dabei uns z.B. in Sachen ISO 27001 zu auditieren. Hier kann man wirklich Sepp Herbergers Spruch: „Nach dem Spiel ist vor dem Spiel.“ abwandeln in: „Nach dem Audit ist vor dem Audit ;-)“.

Wie du siehst Lara, es gibt viel zu tun, aber es macht auch riesigen Spaß, Teil unseres d.vinci Teams zu sein.

Danke Matthias für das tolle Interview und vor allem, für den praktischen Einblick in deinen Arbeitstalltag als Datenschutzberater, den du gegeben hast. Ich glaube, jeder kann sich jetzt viel besser vorstellen, was du im Alltag machst und warum das Thema Datenschutz eine Herzensangelegenheit für uns ist!

Wenn Sie wissen möchten, was ein Software-Consultant bei d.vinci macht, geht’s hier zum Interview: Interview Software-Consultant