DSGVO Einführung neue Mitarbeiter - Haftung
Hallo zusammen,
mir ist natürlich bewusst, dass dieses Forum keine Rechtsberatung ersetzen kann. Aber ich möchte gerne mal eure Meinung zu folgendem hören.
Vielleicht kann mir da jemand ja weiterhelfen.
Ich bin die einzige IT Fachkraft in einem KMU und hier quasi in der IT das Mädchen für alles.
Zum Thema DSGVO haben wir einen externen Datenschutzbeauftragen.
Dieser hat unter anderem die TOM erstellt die ich umzusetzen hatte und hat für alle Mitarbeiter 2018 eine Schulung zur DSGVO gegeben die Jährlich wiederholt werden soll.
Nun wurde kürzlich in der Firma beschlossen, dass ich im Rahmen der Einführung von neuen Mitarbeitern (Erklärung wie der Terminalserver funktioniert, Standardpasswort zusammen abändern, Programme erklären (außer Warenwirtschaftssystem) Systemtelefon erklären usw.) auch die DSGVO dem neuen Mitarbeiter näher bringen soll.
An der Zeitvorgabe die ich für diese Aufgabe habe hat sich nichts geändert. Dafür sind 30 Minuten veranschlagt.
Für DSGVO bleiben dann Effektiv vielleicht 5 Minuten davon übrig.
Nun mache ich mir ein wenig Sorgen wie es hier mit der Haftung aussieht wenn der Mitarbeiter nun hier Mist baut, und er dann der Meinung ist er wurde nicht gut genug geschult.
Ich möchte hier nicht den schwarzen Peter zugeschoben bekommen.
Ich bin weder selbst ja weder Jurist, dass ich mich mit der DSGVO in allen Einzelheiten befassen kann (natürlich muss man als IT Admin hier trotzdem gewisse Dinge wissen) noch scheint es mir Möglich in der Zeit das nötige Wissen zu vermitteln.
Was meint ihr, mache ich mir hier grundlos wegen der Haftung sorgen, oder sollte ich das Thema mit der GL ansprechen.
mir ist natürlich bewusst, dass dieses Forum keine Rechtsberatung ersetzen kann. Aber ich möchte gerne mal eure Meinung zu folgendem hören.
Vielleicht kann mir da jemand ja weiterhelfen.
Ich bin die einzige IT Fachkraft in einem KMU und hier quasi in der IT das Mädchen für alles.
Zum Thema DSGVO haben wir einen externen Datenschutzbeauftragen.
Dieser hat unter anderem die TOM erstellt die ich umzusetzen hatte und hat für alle Mitarbeiter 2018 eine Schulung zur DSGVO gegeben die Jährlich wiederholt werden soll.
Nun wurde kürzlich in der Firma beschlossen, dass ich im Rahmen der Einführung von neuen Mitarbeitern (Erklärung wie der Terminalserver funktioniert, Standardpasswort zusammen abändern, Programme erklären (außer Warenwirtschaftssystem) Systemtelefon erklären usw.) auch die DSGVO dem neuen Mitarbeiter näher bringen soll.
An der Zeitvorgabe die ich für diese Aufgabe habe hat sich nichts geändert. Dafür sind 30 Minuten veranschlagt.
Für DSGVO bleiben dann Effektiv vielleicht 5 Minuten davon übrig.
Nun mache ich mir ein wenig Sorgen wie es hier mit der Haftung aussieht wenn der Mitarbeiter nun hier Mist baut, und er dann der Meinung ist er wurde nicht gut genug geschult.
Ich möchte hier nicht den schwarzen Peter zugeschoben bekommen.
Ich bin weder selbst ja weder Jurist, dass ich mich mit der DSGVO in allen Einzelheiten befassen kann (natürlich muss man als IT Admin hier trotzdem gewisse Dinge wissen) noch scheint es mir Möglich in der Zeit das nötige Wissen zu vermitteln.
Was meint ihr, mache ich mir hier grundlos wegen der Haftung sorgen, oder sollte ich das Thema mit der GL ansprechen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 445905
Url: https://administrator.de/contentid/445905
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
da auch ich kein Jurist bin, aber gleiche Rolle wie du habe (Mädsche für alles), habe ich es wie folgt umgesetzt und auch seitens des ext. DSB OK ist:
Ich habe ein allgemeines Dokument (wegen meiner die PowerPoint der Schulung) als PDF zentral abgelegt. Dieses Dokument soll sich der neue Mitarbeiter (es sind bei uns recht wenige p.a.) in Ruhe durchlesen, unterschreiben und dann mir/ dem Personalwesen geben. Somit ist schon mal sichergestellt, dass er das Dokument empfangen und im Idealfall auch mit Verstand gelesen hat. Durch die Unterschrift ist das immer entsprechend verbindlicher (so meine Erfahrung).
Und von da an nimmt er halt an den zyklischen Schulungen zum Thema Datenschutz und Informationssicherheit teil.
Würde ich auch mal so bei euch abklären.
Für den Fall, dass ihr nach irgendeiner Norm zertifiziert seid (ISO 9001, IATF 16949, ...) könnt ihr das Dokument dann auch noch als Grundlage für eine Wirksamkeitskontrolle verwenden.
Gruß
em-pie
Edit: ein wenig Typo
da auch ich kein Jurist bin, aber gleiche Rolle wie du habe (Mädsche für alles), habe ich es wie folgt umgesetzt und auch seitens des ext. DSB OK ist:
Ich habe ein allgemeines Dokument (wegen meiner die PowerPoint der Schulung) als PDF zentral abgelegt. Dieses Dokument soll sich der neue Mitarbeiter (es sind bei uns recht wenige p.a.) in Ruhe durchlesen, unterschreiben und dann mir/ dem Personalwesen geben. Somit ist schon mal sichergestellt, dass er das Dokument empfangen und im Idealfall auch mit Verstand gelesen hat. Durch die Unterschrift ist das immer entsprechend verbindlicher (so meine Erfahrung).
Und von da an nimmt er halt an den zyklischen Schulungen zum Thema Datenschutz und Informationssicherheit teil.
Würde ich auch mal so bei euch abklären.
Für den Fall, dass ihr nach irgendeiner Norm zertifiziert seid (ISO 9001, IATF 16949, ...) könnt ihr das Dokument dann auch noch als Grundlage für eine Wirksamkeitskontrolle verwenden.
Gruß
em-pie
Edit: ein wenig Typo
Moin,
Gruß
PS: Meine Meinung <> Rechtsberatung
Zitat von @Bem0815:
An der Zeitvorgabe die ich für diese Aufgabe habe hat sich nichts geändert. Dafür sind 30 Minuten veranschlagt.
warum nicht? Ist doch klar, dass das muss. Allerdings kann nur sprechenden Menschen geholfen werden.An der Zeitvorgabe die ich für diese Aufgabe habe hat sich nichts geändert. Dafür sind 30 Minuten veranschlagt.
Ich möchte hier nicht den schwarzen Peter zugeschoben bekommen.
da mach dir mal keine Sorgen. Das bekommst du so oder so.Was meint ihr, mache ich mir hier grundlos wegen der Haftung sorgen
du arbeitest im Auftrag / in Vertretung als Angestellter - haftest also nur bei grober Fahrlässigkeit (und auch das ist nicht einmal sicher)Gruß
PS: Meine Meinung <> Rechtsberatung
Meine kleine Meinung: Das Vermitteln der DSGVO in rechtlich verbindlicher Form kann keinesfalls durch einen Nicht-Juristen durchgeführt werden. Denn das ist in D verboten, da Rechtsberatung eine Ausbildung zum Juristen voraussetzt. Nächstes Problem: Juristische Texte sind häufig kompliziert. Die DSGVO muss aber verständlich vermittelt werden und das notfalls in sogenannter einfacher Sprache. Diese Texte müssen wiederum fachlich geprüft sein, was in diesem Fall wieder nur ein Jurist kann.
Du bist, meiner Meinung nach, aus der Sache raus, wenn Du der GF mitteilst, das Du lediglich technische Anweisungen umsetzt, die Du verbindlich bekommen hast. Bsp: Die DSGVO verlangt auf Anfrage die Übermittlung aller gespeicherten Daten zu einer Person und die Löschung derer auf Wunsch. Diese Verfahren sollen von Dir sicher gestellt werden, wenn es verlangt wird. Also, der Jurist sagt, dass ist so und so rechtlich notwendig, setze das technisch um! Der Jurist verlässt sich darauf, dass Du das korrekt tust, Du verlässt Dich darauf, das der Jurist das Richtige von Die verlangt.
Du bist der Techniker, juristische Dienste darfst und MUSST Du ablehnen! Du darfst juristisch NICHT tätig sein! Uwe
Nachtrag: Das obig aufgeführte Dokument muss auch wieder von einem Juristen sein, keinesfalls kann ein ITler solch Ding basteln. Ob ein Nichtjurist rechtlich verbindlich ein Dokument eines Juristen als Schulung nutzen darf um damit Rechtsverbindlichkeit in der Beratung zu bekommen, bezweifel ich. Denn sobald der zu Schulende eine juristische Frage stellt, wäre die Antwort eine (verbotene) Rechtsberatung.
Du bist, meiner Meinung nach, aus der Sache raus, wenn Du der GF mitteilst, das Du lediglich technische Anweisungen umsetzt, die Du verbindlich bekommen hast. Bsp: Die DSGVO verlangt auf Anfrage die Übermittlung aller gespeicherten Daten zu einer Person und die Löschung derer auf Wunsch. Diese Verfahren sollen von Dir sicher gestellt werden, wenn es verlangt wird. Also, der Jurist sagt, dass ist so und so rechtlich notwendig, setze das technisch um! Der Jurist verlässt sich darauf, dass Du das korrekt tust, Du verlässt Dich darauf, das der Jurist das Richtige von Die verlangt.
Du bist der Techniker, juristische Dienste darfst und MUSST Du ablehnen! Du darfst juristisch NICHT tätig sein! Uwe
Nachtrag: Das obig aufgeführte Dokument muss auch wieder von einem Juristen sein, keinesfalls kann ein ITler solch Ding basteln. Ob ein Nichtjurist rechtlich verbindlich ein Dokument eines Juristen als Schulung nutzen darf um damit Rechtsverbindlichkeit in der Beratung zu bekommen, bezweifel ich. Denn sobald der zu Schulende eine juristische Frage stellt, wäre die Antwort eine (verbotene) Rechtsberatung.
Moin Uwe,
Ich denke, dass es in der Schulung, wie sie oben skizziert würde, nicht um eine Rechtsauskunft gegenüber dem neuen MA geht, sondern darum, wie er sich zu verhalten hat, damit seine Arbeiten Datenschutzkonform sind.
Hierbei handelt es sich also in meinen Augen um die Vermittlung der TOMs, welche im Vorfeld mit dem DSB besprochen wurden. Und ja, ich weiß, dass der DSB nicht zwingend ein Jurist ist (wie bei uns z.B.) aber auch er hat gewisse Befugnisse, aufgrund seiner Qualifikation. Wenn es um konkrete Rechtsberatung geht, verweist er auch auf einen entsprechenden Fachanwalt. Was aber die Umsetzung von Gesetzen angeht, ist das durchaus legitim.
Ist - wie ich finde - wie mit Polizisten: die setzen auch nur Gesetze um, geben aber keine Beratung, da keine Juristen
Gruß
em-pie
Ich denke, dass es in der Schulung, wie sie oben skizziert würde, nicht um eine Rechtsauskunft gegenüber dem neuen MA geht, sondern darum, wie er sich zu verhalten hat, damit seine Arbeiten Datenschutzkonform sind.
Hierbei handelt es sich also in meinen Augen um die Vermittlung der TOMs, welche im Vorfeld mit dem DSB besprochen wurden. Und ja, ich weiß, dass der DSB nicht zwingend ein Jurist ist (wie bei uns z.B.) aber auch er hat gewisse Befugnisse, aufgrund seiner Qualifikation. Wenn es um konkrete Rechtsberatung geht, verweist er auch auf einen entsprechenden Fachanwalt. Was aber die Umsetzung von Gesetzen angeht, ist das durchaus legitim.
Ist - wie ich finde - wie mit Polizisten: die setzen auch nur Gesetze um, geben aber keine Beratung, da keine Juristen
Gruß
em-pie
Moin,
stimmt. Mehr ist es auch nicht. Dein Text ist voll mit hanebüchenen Fehlern, falschen Vermutungen und einer großen Portion "Fachwissen" aus amerikanischen Filmen.
Gruß
stimmt. Mehr ist es auch nicht. Dein Text ist voll mit hanebüchenen Fehlern, falschen Vermutungen und einer großen Portion "Fachwissen" aus amerikanischen Filmen.
Gruß
Hallo Bem0815,
ich beschäftige mich mit der Thematik "Datenschutz" schon länger und maße mir an, auch schon länger etwas Ahnung zu haben. Oder Ahnung zu haben vorgeben zu können
Grundsätzlich bleiben die Verantwortlichen im Sinne der DSGVO immer verantwortlich. Das Unternehmen bei Dir kann zwar Aufgaben delegieren, nicht aber die Verantwortlichkeit. Als Angestellter des Unternehmens gilt für dich ein sog. Haftungsprivileg. Das bedeutet, dass Du immer "im Auftrag" Deines Unternehmens handelst. Du bist an die Weisungen deiner Vorgesetzten bzw. des Unternehmens gebunden. Dementsprechend kann man Dich nur in besonderen Fällen persönlich in die Haftung nehmen. Das ist meist "grobe Fahrlässigkeit" oder "Vorsatz" oder im Rahmen von Straftaten. Dann könnte Dich auch ein Bußgeld, das wegen eines Verstoßes gegen die DSGVO ausgesprochen wurde, treffen. Dazu müsste man Dir aber erst einmal eine so grobe Verfehlung nachgewiesen werden. Und ein Bußgeld, was gegen das Unternehmen ausgesprochen wurde, darf auch nicht an Dich "weitergeleitet" werden (u.a. wegen Haftungsprivileg). Selbst als betrieblicher Datenschutzbeauftragter, wenn Du einer wärest, würde das Haftungsprivileg gelten. Nur wenn Du gegen Prüfpflichten verstösst, die die DSGVO oder das BDSG-neu vorsieht, dann könnte man dich lang machen. Aber wohl eher arbeitsrechtlich.
Bußgelder von Seiten der Behörden könnten eher den externen DSB treffen - das aber eine andere Geschichte.
Du bist ja noch nicht einmal Datenschutzbeauftragter - also würde ich sagen: bleib locker.
Es gibt - anders als in der Meinung eines Mit-Kommentators dargestellt - auch keine Verpflichtung, dass nur jemand, der vom Datenschutzrecht Ahnung hat, auch DSB sein muss oder sein sollte. Juristerei hilft, um das Recht-Sprech der DSGVO, dem BDSG-neu und den damit verbundenen Verquickungen zu anderen Rechtsnormen zu verstehen. Es gibt aber keine Rechtsnorm, die eine juristische Ausbildung für DSB oder ähnliche Rollen verlangt. Im Gegenteil: ich sehe hier schlicht Geldmacherei von einigen, wenigen Beratungs- und Anwaltsbüros, die ein Geschäftsmodell damit entwickelt haben, dass sie Kunden vorgaukeln, dass ein Jurist automatisch Ahnung vom Datenschutz hat.
Ich weiß aus Erfahrung, u.a. auch durch die Teilnehmer von Datenschutzschulungen, dass deren Wissen über komplexe IT-Vorgänge gegen Null geht und die meisten einen Datenschutzverstoß nicht sehen würden, wenn man ihnen den unter die Nase legen würde
(Sorry, Ihr Juristen: Ihr habt meine Schelte nicht anders verdient ;)).
Was DU tun solltest: sprich zuerst mit dem externen DSB. Der ist nämlich für die Prüfung der datenschutzrelevanten Prozesse im Unternehmen verantwortlich. Wenn die Mitarbeiter nicht ausreichend über "den Datenschutz" informiert werden (30 Minuten reichen meiner Erfahrung nach nicht aus), muss der DSB das gegenüber der Geschäftsführung anmäkeln. Die Geschäftsführung bzw. das Unternehmen ist dann dafür verantwortlich, den Makel abzustellen. Allerdings darf das Unternehmen auch den DSB ignorieren und damit Gefahr laufen, ein Bußgeld verordnet zu bekommen. Es ist weder Deine Aufgabe noch die des DSB, dafür selber zu sorgen. Der DSB könnte der Geschäftsführung z.B. vorschlagen, eine umfangreichere Schulung durchzuführen, an der Du teilnimmst und die Du dann anstelle des DSB in Zukunft weiter führst.
Wenn Du den DSB informierst, dann brauchst Du auch nicht Deine Cheffinnen und Chefs selber mit dem Thema konfrontieren. Der DSB ist im Übrigen selber an so etwas wie eine "Schweigepflicht" gebunden.
Also: sag's dem DSB. Der soll gucken, was er daraus macht. Du bist dann aus allen Haftungsfragen raus.
Übrigens kann der DSB dem Unternehmen gleich mitteilen, dass es riskant wäre, dich anstelle seiner zum (betrieblichen) DSB zu machen: als IT-Admin kommst Du schnell in Interessenkonflikte, die nur schwer oder gar nicht zu lösen sind. Dann würde eine Aufsichtsbehörde von Amts wegen Deine Bestellung zum DSB widerrufen und das Unternehmen hätte die Chance auf den Bußgeldjackpot.
ich beschäftige mich mit der Thematik "Datenschutz" schon länger und maße mir an, auch schon länger etwas Ahnung zu haben. Oder Ahnung zu haben vorgeben zu können
Grundsätzlich bleiben die Verantwortlichen im Sinne der DSGVO immer verantwortlich. Das Unternehmen bei Dir kann zwar Aufgaben delegieren, nicht aber die Verantwortlichkeit. Als Angestellter des Unternehmens gilt für dich ein sog. Haftungsprivileg. Das bedeutet, dass Du immer "im Auftrag" Deines Unternehmens handelst. Du bist an die Weisungen deiner Vorgesetzten bzw. des Unternehmens gebunden. Dementsprechend kann man Dich nur in besonderen Fällen persönlich in die Haftung nehmen. Das ist meist "grobe Fahrlässigkeit" oder "Vorsatz" oder im Rahmen von Straftaten. Dann könnte Dich auch ein Bußgeld, das wegen eines Verstoßes gegen die DSGVO ausgesprochen wurde, treffen. Dazu müsste man Dir aber erst einmal eine so grobe Verfehlung nachgewiesen werden. Und ein Bußgeld, was gegen das Unternehmen ausgesprochen wurde, darf auch nicht an Dich "weitergeleitet" werden (u.a. wegen Haftungsprivileg). Selbst als betrieblicher Datenschutzbeauftragter, wenn Du einer wärest, würde das Haftungsprivileg gelten. Nur wenn Du gegen Prüfpflichten verstösst, die die DSGVO oder das BDSG-neu vorsieht, dann könnte man dich lang machen. Aber wohl eher arbeitsrechtlich.
Bußgelder von Seiten der Behörden könnten eher den externen DSB treffen - das aber eine andere Geschichte.
Du bist ja noch nicht einmal Datenschutzbeauftragter - also würde ich sagen: bleib locker.
Es gibt - anders als in der Meinung eines Mit-Kommentators dargestellt - auch keine Verpflichtung, dass nur jemand, der vom Datenschutzrecht Ahnung hat, auch DSB sein muss oder sein sollte. Juristerei hilft, um das Recht-Sprech der DSGVO, dem BDSG-neu und den damit verbundenen Verquickungen zu anderen Rechtsnormen zu verstehen. Es gibt aber keine Rechtsnorm, die eine juristische Ausbildung für DSB oder ähnliche Rollen verlangt. Im Gegenteil: ich sehe hier schlicht Geldmacherei von einigen, wenigen Beratungs- und Anwaltsbüros, die ein Geschäftsmodell damit entwickelt haben, dass sie Kunden vorgaukeln, dass ein Jurist automatisch Ahnung vom Datenschutz hat.
Ich weiß aus Erfahrung, u.a. auch durch die Teilnehmer von Datenschutzschulungen, dass deren Wissen über komplexe IT-Vorgänge gegen Null geht und die meisten einen Datenschutzverstoß nicht sehen würden, wenn man ihnen den unter die Nase legen würde
(Sorry, Ihr Juristen: Ihr habt meine Schelte nicht anders verdient ;)).
Was DU tun solltest: sprich zuerst mit dem externen DSB. Der ist nämlich für die Prüfung der datenschutzrelevanten Prozesse im Unternehmen verantwortlich. Wenn die Mitarbeiter nicht ausreichend über "den Datenschutz" informiert werden (30 Minuten reichen meiner Erfahrung nach nicht aus), muss der DSB das gegenüber der Geschäftsführung anmäkeln. Die Geschäftsführung bzw. das Unternehmen ist dann dafür verantwortlich, den Makel abzustellen. Allerdings darf das Unternehmen auch den DSB ignorieren und damit Gefahr laufen, ein Bußgeld verordnet zu bekommen. Es ist weder Deine Aufgabe noch die des DSB, dafür selber zu sorgen. Der DSB könnte der Geschäftsführung z.B. vorschlagen, eine umfangreichere Schulung durchzuführen, an der Du teilnimmst und die Du dann anstelle des DSB in Zukunft weiter führst.
Wenn Du den DSB informierst, dann brauchst Du auch nicht Deine Cheffinnen und Chefs selber mit dem Thema konfrontieren. Der DSB ist im Übrigen selber an so etwas wie eine "Schweigepflicht" gebunden.
Also: sag's dem DSB. Der soll gucken, was er daraus macht. Du bist dann aus allen Haftungsfragen raus.
Übrigens kann der DSB dem Unternehmen gleich mitteilen, dass es riskant wäre, dich anstelle seiner zum (betrieblichen) DSB zu machen: als IT-Admin kommst Du schnell in Interessenkonflikte, die nur schwer oder gar nicht zu lösen sind. Dann würde eine Aufsichtsbehörde von Amts wegen Deine Bestellung zum DSB widerrufen und das Unternehmen hätte die Chance auf den Bußgeldjackpot.
Ich gucke keine Ami Filme!
Zur Sache: Habe ich in einem Verein (gemeinnützig anerkannt) zur Hilfe für Arbeitslose mitgewirkt: Bewerbungen schreiben, Widersprüche schreiben. Da kam dann sehr unverhofft eine Abmahnung, wir würden Rechtsauskunft erteilen, weil in solch Widerspruch auf Gesetze verwiesen wurde. Aus der Sache kamen wir wieder raus, mussten aber ab sofort am Türschild hinweisen, das wir keine Rechtsberatung durchführen. Ausschlaggebend für den guten Ausgang war, wir konnten einen befreundeten Anwalt (der NICHT Mitglied des Vereins war) angeben, auf den wir verweise würden, könnten … Das Ding kam fast noch härter: Wir, die Guten, wollten armen H4 Leuten extrem preiswerte Reparaturen derer PC anbieten. Da haben wir aber so was von schnell gelassen, denn das wäre nach Rechtsauskunft Schwarzarbeit gewesen. Was zu DDR Zeiten Hilfe unter Freunden und Feierabendarbeit war, ist heute eine Straftat!
Zur Sache: Habe ich in einem Verein (gemeinnützig anerkannt) zur Hilfe für Arbeitslose mitgewirkt: Bewerbungen schreiben, Widersprüche schreiben. Da kam dann sehr unverhofft eine Abmahnung, wir würden Rechtsauskunft erteilen, weil in solch Widerspruch auf Gesetze verwiesen wurde. Aus der Sache kamen wir wieder raus, mussten aber ab sofort am Türschild hinweisen, das wir keine Rechtsberatung durchführen. Ausschlaggebend für den guten Ausgang war, wir konnten einen befreundeten Anwalt (der NICHT Mitglied des Vereins war) angeben, auf den wir verweise würden, könnten … Das Ding kam fast noch härter: Wir, die Guten, wollten armen H4 Leuten extrem preiswerte Reparaturen derer PC anbieten. Da haben wir aber so was von schnell gelassen, denn das wäre nach Rechtsauskunft Schwarzarbeit gewesen. Was zu DDR Zeiten Hilfe unter Freunden und Feierabendarbeit war, ist heute eine Straftat!
Ich kann sagen dass es bei meinen Nebenjob so gehandhabt wird, dass jeder per E-Mail ein Dokument zugesandt bekommt welches unterschrieben abgegeben werden muss. Schulungen gibt es keine und auch keine Unterschrift der Gegenstelle (Arbeitgeber)...was mich stört. Denn eigentlich sollte DSGVO nicht nur zusätzlich Arbeit machen sondern mich als Mitarbeiter/Angestellter stärken (auch wenn nicht wirklich umsetzbar).
Ok, UweGri, so etwas ähnliches dachte ich mir schon, weshalb Du eindringlich vor einer Rechtsberatung warnst, die man nicht anbieten darf. Aus Deiner Sicht hast Du natürlich Recht. Das betrifft auch alle Vereine, mitunter auch viele Selbstständige im IT-Bereich. In bestimmten, aber sehr engen Grenzen ist so etwas wie eine Rechtsberatung erlaubt.
"Schwarzarbeit" kann die gegen Entgeld durchfgeführte Reparatur nur sein, wenn das nicht gegenüber den Behörden angezeigt wird - also mindestens das Finanzamt sollte davon wissen. Und wenn man einen Verein führt, der die Mitarbeiter eventuell noch dafür bezahlt, dass preisgünstige Reparaturen durchgeführt werden, dann muss fast immer eine Anmeldung bei den Sozialversicherungen durchgeführt werden. Da die "ideellen Vereine" quasi keinen Gewinn erwirtschaften dürfen, würde ich bei solchen Konstellationen IMMER darauf achten, dass man von einem Anwalt mit entsprechender Fach-Ahnung beraten wird. Dort ist meine Erfahrung, dass Steuerberater, die sich mit (Sport-)Vereinen gut auskennen, entsprechend mehr Ahnung haben als Anwälte. Letztendlich kommt es auf die Gestaltung der Vereinsstruktur an, ob man z.B. Gewerbesteuer zahlen muss oder ob man Gehälter bis zu 720 Euro (pro Jahr, gelle! ) als Aufwandsentschädigung für eine ehrenamtliche Tätigkeit einstufen darf oder ob man sogar bis zu 2400,- Euro zahlen darf, wenn es sich um Übungsleiterpauschalen handelt. Das ist aber mitunter so komplex, dass man da besser vorher einen Steuerberater fragt, bevor man hinterher z.B. die Gemeinnützigkeit nicht mehr anerkennt bekommt.
Lange Rede, kurzer Sinn:
Ein betrieblicher Datenschutzbeauftragter ist ein Angestellter des für den Datenschutz verantwortlichen Unternehmens (meistens jedenfalls). Der hat ein Haftungsprivileg (siehe meine Ausführungen vorher/weiter oben). Der Verantwortliche muss ggfs. gegenüber einer Aufsichtsbehörde nachweisen, dass der DSB über die notwendigen Fachkenntnisse verfügt. Wenn das nicht der Fall ist, wird der DSB von Amts wegen abberufen und das Unternehmen steht ohne DSB da (was auch ein Bußgeld bedeuten kann, wenn ein DSB gem. § 38 BDSG-neu Pflicht ist). Das ist in den wenigsten Fällen die "Schuld" des DSB - wie schon einmal erwähnt, bleiben die Verantwortlichen auch verantwortlich. Wenn der DSB "nix taugt", dann muss die Geschäftsführung des Unternehmens reagieren und den DSB tauglich machen oder für Ersatz sorgen.
Auch bei fahrlässigen Fehlberatungen eines betrieblichen DSB ist das Unternehmen Schuld. Nur wenn der DSB wissentlich, mit Vorsatz oder grob fahrlässig Quark erzählt, kann man ihm/ihr einen Strick draus drehen.
Voraussetzung ist aber, dass es sich um einen DSB handelt. Es ist die Meinung vieler Profis in dem Bereich, dass ein DSB in einem Betrieb nicht durch Anordnung ernannt werden kann, d.h. die Chefs können nicht mit dem Finger auf den neuen Azubi zeigen und verlangen, dass er/sie jetzt sofort der/die DSB ist. Datenschutzbeauftragter im Betrieb wird man dementsprechend nur, wenn man eine Vereinbarung mit dem Arbeitgeber unterschrieben hat. Ist für den Betrieb ein DSB Pflicht, dann hätte man außerdem den Vorteil einer gewissen Unkündbarkeit. Denn aus dem BDSG-neu ergibt sich die Konsequenz, dass ein betrieblicher DSB nach seiner Ernennung nicht "normal" kündbar ist. Einziger Weg wäre eine Kündigung, die vom Arbeitgeber "fristlos" ausgesprochen wird, weil es sich um grobe Pflichtverletzungen handelte. Ansonsten wird man den DSB erst einmal nicht mehr los ;)
@Reflexiony:
Bis jetzt gibt es keine Urteile darüber, wie genau und umfangreich die Mitarbeiter von Unternehmen in Bezug auf den Datenschutz zu unterrichten sind. Es kann sein, dass es ausreicht, wenn neue Mitarbeiter ihre Kenntnissnahme der Datenschutzregeln im Unternehmen per Unterschrift bestätigen. Allerdings gebe ich zu Bedenken, dass mit der DSGVO das Unternehmen verpflichtet ist, sich quasi zu vergewissern, dass die Mitarbeiter den Krempel auch verstanden haben. Die für den Datenschutz Verantwortlichen sind in der Beweispflicht und der Bringschuld. Wenn z.B. der Wisch, den man als "Frischling" unterschreibt, nicht eindeutig oder zu komplex formuliert ist oder vielleicht gar nicht zum Betrieb passt (weil aus dem Internet kopiert und leider noch auf dem Stand des alten BDSG), dann gilt das in den Augen der Aufsichtsbehörden als "un-informierte, nicht geschulte Mitarbeiter". Das Unternehmen lässt erkennen, dass es ihm mit dem Datenschutz egal ist und schon hat man eine nette, intensivere Fragerunde mit den Beamten der Aufsichtsbehörde.
Außerdem gebe ich Dir Recht, wenn Du erwartest, dass die DSGVO Dich als Mitarbeiter stärkt - die Rechtsnormen sahen auch beim alten BDSG schon vor, dass Mitarbeiter geschult werden müssen. Nur kann es jetzt die Unternehmen wesentlich mehr kosten, wenn sie darauf verzichten. Zudem gibt es im BDSG-neu auch extra Abschnitte mit einem "Beschäftigtendatenschutz" (§26 BDSG-neu). So kann es jetzt sehr, sehr teuer werden, wenn rauskommt, dass der Arbeitgeber, bei dem man sich bewirbt, einfach mal so hinter Deinem Rücken den alten Arbeitgeber anruft. Mit der neuen Rechtslage kannst Du dann auch erstmalig einen Schadenersatz mit einer fiktiven Schadenhöhe geltend machen - also sowas wie Schmerzensgeld. Das kann sowohl alten als auch nicht-mehr-neuen Arbeitgeber mal eben ein paar Tausend Euro kosten - abgesehen von den Bußgeldern, die die Aufsichtsbehörde verhängen werden. Denn das ist ein Bereich, wo die (berechtigterweise) richtig fies werden können. Und aus meiner Sicht auch sollen und müssen.
Zum Thema "meine Mudda macht die Datenschutzsdingens...wie hiess das nochmal?":
DSB kann nach neuer Rechtslage nur eine Nase werden, also keine GmbH. Ein DSB muss eine natürliche Person sein (die aber durchaus aus einem anderen Unternehmen stammen darf).
Verwandte von Geschäftsführern sollten nicht zu DSB bestellt werden, weil die eine größere Nähe zur Unternehmensleitung inne haben und damit einem Interessenkonflikt unterliegen. Platt gesprochen ist ein DSB ein "Anwalt der betroffenen Personen" (im Sinne des Datenschutzes). Das beisst sich eigentlich immer, wenn man Eheleute, enge Verwandte oder Freunde zu DSBen macht.
"Schwarzarbeit" kann die gegen Entgeld durchfgeführte Reparatur nur sein, wenn das nicht gegenüber den Behörden angezeigt wird - also mindestens das Finanzamt sollte davon wissen. Und wenn man einen Verein führt, der die Mitarbeiter eventuell noch dafür bezahlt, dass preisgünstige Reparaturen durchgeführt werden, dann muss fast immer eine Anmeldung bei den Sozialversicherungen durchgeführt werden. Da die "ideellen Vereine" quasi keinen Gewinn erwirtschaften dürfen, würde ich bei solchen Konstellationen IMMER darauf achten, dass man von einem Anwalt mit entsprechender Fach-Ahnung beraten wird. Dort ist meine Erfahrung, dass Steuerberater, die sich mit (Sport-)Vereinen gut auskennen, entsprechend mehr Ahnung haben als Anwälte. Letztendlich kommt es auf die Gestaltung der Vereinsstruktur an, ob man z.B. Gewerbesteuer zahlen muss oder ob man Gehälter bis zu 720 Euro (pro Jahr, gelle! ) als Aufwandsentschädigung für eine ehrenamtliche Tätigkeit einstufen darf oder ob man sogar bis zu 2400,- Euro zahlen darf, wenn es sich um Übungsleiterpauschalen handelt. Das ist aber mitunter so komplex, dass man da besser vorher einen Steuerberater fragt, bevor man hinterher z.B. die Gemeinnützigkeit nicht mehr anerkennt bekommt.
Lange Rede, kurzer Sinn:
Ein betrieblicher Datenschutzbeauftragter ist ein Angestellter des für den Datenschutz verantwortlichen Unternehmens (meistens jedenfalls). Der hat ein Haftungsprivileg (siehe meine Ausführungen vorher/weiter oben). Der Verantwortliche muss ggfs. gegenüber einer Aufsichtsbehörde nachweisen, dass der DSB über die notwendigen Fachkenntnisse verfügt. Wenn das nicht der Fall ist, wird der DSB von Amts wegen abberufen und das Unternehmen steht ohne DSB da (was auch ein Bußgeld bedeuten kann, wenn ein DSB gem. § 38 BDSG-neu Pflicht ist). Das ist in den wenigsten Fällen die "Schuld" des DSB - wie schon einmal erwähnt, bleiben die Verantwortlichen auch verantwortlich. Wenn der DSB "nix taugt", dann muss die Geschäftsführung des Unternehmens reagieren und den DSB tauglich machen oder für Ersatz sorgen.
Auch bei fahrlässigen Fehlberatungen eines betrieblichen DSB ist das Unternehmen Schuld. Nur wenn der DSB wissentlich, mit Vorsatz oder grob fahrlässig Quark erzählt, kann man ihm/ihr einen Strick draus drehen.
Voraussetzung ist aber, dass es sich um einen DSB handelt. Es ist die Meinung vieler Profis in dem Bereich, dass ein DSB in einem Betrieb nicht durch Anordnung ernannt werden kann, d.h. die Chefs können nicht mit dem Finger auf den neuen Azubi zeigen und verlangen, dass er/sie jetzt sofort der/die DSB ist. Datenschutzbeauftragter im Betrieb wird man dementsprechend nur, wenn man eine Vereinbarung mit dem Arbeitgeber unterschrieben hat. Ist für den Betrieb ein DSB Pflicht, dann hätte man außerdem den Vorteil einer gewissen Unkündbarkeit. Denn aus dem BDSG-neu ergibt sich die Konsequenz, dass ein betrieblicher DSB nach seiner Ernennung nicht "normal" kündbar ist. Einziger Weg wäre eine Kündigung, die vom Arbeitgeber "fristlos" ausgesprochen wird, weil es sich um grobe Pflichtverletzungen handelte. Ansonsten wird man den DSB erst einmal nicht mehr los ;)
@Reflexiony:
Bis jetzt gibt es keine Urteile darüber, wie genau und umfangreich die Mitarbeiter von Unternehmen in Bezug auf den Datenschutz zu unterrichten sind. Es kann sein, dass es ausreicht, wenn neue Mitarbeiter ihre Kenntnissnahme der Datenschutzregeln im Unternehmen per Unterschrift bestätigen. Allerdings gebe ich zu Bedenken, dass mit der DSGVO das Unternehmen verpflichtet ist, sich quasi zu vergewissern, dass die Mitarbeiter den Krempel auch verstanden haben. Die für den Datenschutz Verantwortlichen sind in der Beweispflicht und der Bringschuld. Wenn z.B. der Wisch, den man als "Frischling" unterschreibt, nicht eindeutig oder zu komplex formuliert ist oder vielleicht gar nicht zum Betrieb passt (weil aus dem Internet kopiert und leider noch auf dem Stand des alten BDSG), dann gilt das in den Augen der Aufsichtsbehörden als "un-informierte, nicht geschulte Mitarbeiter". Das Unternehmen lässt erkennen, dass es ihm mit dem Datenschutz egal ist und schon hat man eine nette, intensivere Fragerunde mit den Beamten der Aufsichtsbehörde.
Außerdem gebe ich Dir Recht, wenn Du erwartest, dass die DSGVO Dich als Mitarbeiter stärkt - die Rechtsnormen sahen auch beim alten BDSG schon vor, dass Mitarbeiter geschult werden müssen. Nur kann es jetzt die Unternehmen wesentlich mehr kosten, wenn sie darauf verzichten. Zudem gibt es im BDSG-neu auch extra Abschnitte mit einem "Beschäftigtendatenschutz" (§26 BDSG-neu). So kann es jetzt sehr, sehr teuer werden, wenn rauskommt, dass der Arbeitgeber, bei dem man sich bewirbt, einfach mal so hinter Deinem Rücken den alten Arbeitgeber anruft. Mit der neuen Rechtslage kannst Du dann auch erstmalig einen Schadenersatz mit einer fiktiven Schadenhöhe geltend machen - also sowas wie Schmerzensgeld. Das kann sowohl alten als auch nicht-mehr-neuen Arbeitgeber mal eben ein paar Tausend Euro kosten - abgesehen von den Bußgeldern, die die Aufsichtsbehörde verhängen werden. Denn das ist ein Bereich, wo die (berechtigterweise) richtig fies werden können. Und aus meiner Sicht auch sollen und müssen.
Zum Thema "meine Mudda macht die Datenschutzsdingens...wie hiess das nochmal?":
DSB kann nach neuer Rechtslage nur eine Nase werden, also keine GmbH. Ein DSB muss eine natürliche Person sein (die aber durchaus aus einem anderen Unternehmen stammen darf).
Verwandte von Geschäftsführern sollten nicht zu DSB bestellt werden, weil die eine größere Nähe zur Unternehmensleitung inne haben und damit einem Interessenkonflikt unterliegen. Platt gesprochen ist ein DSB ein "Anwalt der betroffenen Personen" (im Sinne des Datenschutzes). Das beisst sich eigentlich immer, wenn man Eheleute, enge Verwandte oder Freunde zu DSBen macht.
Nuja. Der DSB ist dann halt ein externer DSB. Das ist erlaubt. Allerdings könnte eine Aufsichtsbehörde die Frage an den DSB stellen, zu welchen Gunsten er/sie entscheiden würde, wenn es z.B. eine datenschutzrechliche Kollisionen zwischen Beschäftigteninteressen und Unternehmensinteressen kommt. Wen will er/sie dann z.B. vor Gericht vertreten?
Anwälte zu externen DSB zu machen, ist üblich, weil man glaubt, die hätten Ahnung vom Datenschutz und weil es meist preiswerter ist als einen internen DSB anzustellen. In den meisten Fällen umgeht man dann auch interne Interessenkonflikte. Wenn aber der DSB als Anwalt gleichzeitig auch Firmeninteressen vertrat oder vertritt, ist das ein Interessenkonflikt, den wohl auch eine Aufsichtsbehörde nicht so einfach akzeptieren werden würde.
Theoretisch hat man, wenn man als Unternehmen einen DSB bestellen muss, damit auch das Recht zur Beratung durch die Aufsichtsbehörde und könnte die Aufsichtsbehörde fragen, wie die es sehen - würde ich aber gerade in diesem Fall nicht machen, um keine schlafenden Hunde zu wecken. Es gibt in dem Bereich noch keine Gerichtsurteile, an die man sich hängen könnte - und ich rate keinem, das erste Unternehmen sein zu wollen, was für ein solches Urteil sorgt ;)
Wichtiger ist aus meiner Sicht, dass das Unternehmen und Verantwortlichen nach Außen zeigen und belegen können, dass sie es mit dem Datenschutz ernst meinen. Wenn die Mitarbeiter hinreichend geschult sind, wenn ein Verzeichnis der Verarbeitungstätigkeiten vorliegt, wenn man seine Auftragsverarbeitungsverträge sortiert hat und die IT gesichert ist, dann liegt die Vermutung nahe, dass man es ernst meint. Da könnte eine Aufsichtsbehörde bei einem externen DSB mit Verwandtschaftsverhältnis auch ein Auge zudrücken oder einfach nur den Rat aussprechen, dass man das ändern möge. Dass das so ist, sieht man an den wenigen Bußgeldern und offiziellen Verfahren, die öffentlich bekannt sind. Die Aufsichtsbehörden veröffentlichen ja spätestens alle 2 Jahre einen Tätigkeitsbericht, wo sie ihre "Lieblinge" beschreiben.
Was die garantiert nicht mögen, ist, wenn die den Eindruck haben, dass einem der Datenschutz furzegal ist und man sie veräppeln will. Bei einer Datenschutzpanne führt sowas unweigerlich zu einem Bußgeld.
Anwälte zu externen DSB zu machen, ist üblich, weil man glaubt, die hätten Ahnung vom Datenschutz und weil es meist preiswerter ist als einen internen DSB anzustellen. In den meisten Fällen umgeht man dann auch interne Interessenkonflikte. Wenn aber der DSB als Anwalt gleichzeitig auch Firmeninteressen vertrat oder vertritt, ist das ein Interessenkonflikt, den wohl auch eine Aufsichtsbehörde nicht so einfach akzeptieren werden würde.
Theoretisch hat man, wenn man als Unternehmen einen DSB bestellen muss, damit auch das Recht zur Beratung durch die Aufsichtsbehörde und könnte die Aufsichtsbehörde fragen, wie die es sehen - würde ich aber gerade in diesem Fall nicht machen, um keine schlafenden Hunde zu wecken. Es gibt in dem Bereich noch keine Gerichtsurteile, an die man sich hängen könnte - und ich rate keinem, das erste Unternehmen sein zu wollen, was für ein solches Urteil sorgt ;)
Wichtiger ist aus meiner Sicht, dass das Unternehmen und Verantwortlichen nach Außen zeigen und belegen können, dass sie es mit dem Datenschutz ernst meinen. Wenn die Mitarbeiter hinreichend geschult sind, wenn ein Verzeichnis der Verarbeitungstätigkeiten vorliegt, wenn man seine Auftragsverarbeitungsverträge sortiert hat und die IT gesichert ist, dann liegt die Vermutung nahe, dass man es ernst meint. Da könnte eine Aufsichtsbehörde bei einem externen DSB mit Verwandtschaftsverhältnis auch ein Auge zudrücken oder einfach nur den Rat aussprechen, dass man das ändern möge. Dass das so ist, sieht man an den wenigen Bußgeldern und offiziellen Verfahren, die öffentlich bekannt sind. Die Aufsichtsbehörden veröffentlichen ja spätestens alle 2 Jahre einen Tätigkeitsbericht, wo sie ihre "Lieblinge" beschreiben.
Was die garantiert nicht mögen, ist, wenn die den Eindruck haben, dass einem der Datenschutz furzegal ist und man sie veräppeln will. Bei einer Datenschutzpanne führt sowas unweigerlich zu einem Bußgeld.
Zum Thema "Schweigepflicht":
Der Datenschutzbeauftragte ist der Anwalt der betroffenen Personen (im Sinne der Datenschutzgrundverordnung). Zusätzlich nimmt der Beschäftigten-Datenschutz in Deutschland eine Sonderrolle ein, die durch viele "Extragesetze" und einem Paragraphen im BDSG-neu ausgestaltet wird.
Da es z.B. als Beschäftigter möglich sein muss, ohne persönliche Nachteile auf datenschutzrechtliche Probleme im Unternehmen hinweisen zu können, muss der Datenschutzbeauftragte in der Lage sein, den Namen des Melders verschweigen zu können. Der DSB hat sowieso eine besondere Form der Schweigepflicht, da er z.B. auch Prozesse oder Dokumente prüfen muss, die andere Mitarbeiter niemals zu sehen bekommen.
Der Datenschutzbeauftragte ist der Anwalt der betroffenen Personen (im Sinne der Datenschutzgrundverordnung). Zusätzlich nimmt der Beschäftigten-Datenschutz in Deutschland eine Sonderrolle ein, die durch viele "Extragesetze" und einem Paragraphen im BDSG-neu ausgestaltet wird.
Da es z.B. als Beschäftigter möglich sein muss, ohne persönliche Nachteile auf datenschutzrechtliche Probleme im Unternehmen hinweisen zu können, muss der Datenschutzbeauftragte in der Lage sein, den Namen des Melders verschweigen zu können. Der DSB hat sowieso eine besondere Form der Schweigepflicht, da er z.B. auch Prozesse oder Dokumente prüfen muss, die andere Mitarbeiter niemals zu sehen bekommen.
Was ist, hast Du nen Troll verschluckt?
Kannst Du auch mehr als destruktives Rumgegrunze? Wenn Du mehr drauf hast als "Äpfel vs. Birnen", "Dein Text ist voller Fehler" und "Unfug", dann lass uns an Deiner großen Weisheit teilhaben. Ansonsten besser die Füße still halten, wenn man es nicht besser weiß oder einfach nur selber Unfug vermutet.
Kannst Du auch mehr als destruktives Rumgegrunze? Wenn Du mehr drauf hast als "Äpfel vs. Birnen", "Dein Text ist voller Fehler" und "Unfug", dann lass uns an Deiner großen Weisheit teilhaben. Ansonsten besser die Füße still halten, wenn man es nicht besser weiß oder einfach nur selber Unfug vermutet.
Zitat von @137960:
dann lass uns an Deiner großen Weisheit teilhaben.
kein Problem! Guckst du da: https://dejure.org/gesetze/DSGVOdann lass uns an Deiner großen Weisheit teilhaben.