cement
Goto Top

Was macht ein Datenschutzbeauftragter?

Moin Leute,

ich wurde gerade gefragt, ob ich zukümftig nicht als "Datenschutzbeauftragter" fungieren will.
Wir haben so ca. 30 Büro-Angestellte und ca. 50 in der Fertigung.

Was macht denn so ein "Datenschutzbeauftragter"?
Bzw. was sind seine Rechte und Pflichten?
Und wofür wird er zur Rechenschaft gezogen, wenn irgendwas nicht klappt?
Oder weiß jemand, wo man noch offizielle Infos bekommt (bei irgendeiner Bundesbehörde, oder der BG oder was weiß ich...)?

Vielleicht kennt sich ja jemand darüber aus?

Gruß

CeMeNt

Content-ID: 51738

Url: https://administrator.de/contentid/51738

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

Garfieldt
Garfieldt 15.02.2007 um 10:02:58 Uhr
Goto Top
Frag doch mal den Bundesbeauftragten für Datenschutz und Informationsfreiheit.

http://www.bfdi.bund.de/
cykes
cykes 15.02.2007 um 10:03:42 Uhr
Goto Top
Hi,

findest Du hier recht ordentlich erklärt und auch die nötigen Links:
http://de.wikipedia.org/wiki/Datenschutzbeauftragter

Gruß

cykes
npadmin
npadmin 15.02.2007 um 10:11:41 Uhr
Goto Top
Hallo CeMeNt,

ein DSB überprüft im Hause ob jeder der mit personenbezogenen Daten arbeitet dies unter Einhaltung des BDSG macht und ob auch die IT-Infrakstruktur damit übereistimmt (wie steht es um die IT-Sicheheit etc.). Er erstellt die Verfahrensanweisungen und meldepflichtig gegenüber der entsprechenden Behörde, er führt Schulungen der MA bzgl des BDSG durch. Wir sind gerade dabei einen DSB zu bestellen. Wir (20 MA Büro und 25 MA Produktion) bestellen einen externen DSB. Die Ausbildung zum DSB und der benötigte Zeitaufwand ist so groß, das es sich bei uns nicht rechnet diesen intern zu bestellen. Zusätzlich hat der interne DSB besonderen Kündigungsschutz.

Es kann auch nicht jeder zum DSB bestellt werden. Es geht z.B. nicht der Geschäftsführer, IT-Leiter, Personalleiter und er muss aber trotzdem eine fachliche Kenntnis in der IT aufweisen.

Ich hoffe das hat dir geholfen.
CeMeNt
CeMeNt 15.02.2007 um 10:17:53 Uhr
Goto Top
Ja, danke für die Info.

Ich denke, dass sich dann das Thema DSB für mich erledigt hat, da ich der Leiter der IT in unserer Firma bin.

Das werde ich dann wohl mal mit meinem Vorgesetzen besprechen müssen...

Aber nichtsdestotrotz:
Wenn jemand zum DSB "ernannt" wird, sollte er (muß er?) vorher noch eine Fortbildung machen, damit er weiß, was überhaupt zu tun ist, richtig?
Es langt also nicht, sich 'n Buch zu kaufen, oder mal zu gucken, "Wer verschickt was und wie", und dann mit dem "gesunden Meschenverstand" zu überlegen ob das alles so Sinn macht...?

Gruß
CeMeNt
Garfieldt
Garfieldt 15.02.2007 um 10:18:20 Uhr
Goto Top
... er muss aber trotzdem eine
fachliche Kenntnis in der IT aufweisen.

Muss er gerade nicht!
Es reicht vollkommen aus, wenn der Datenschutzbeauftragte der IT Weisungen geben kann, wie sie mit bestimmten Daten zu verfahren hat.
Garfieldt
Garfieldt 15.02.2007 um 10:33:10 Uhr
Goto Top
Es ist keine besondere Qualifikation vorgeschrieben, da der DSB haftet, sollte er in seinem eigenen Interesse sowas vorher gemacht haben.
npadmin
npadmin 15.02.2007 um 10:35:26 Uhr
Goto Top
Um sein Amt sauber ausführen zu können ist eine fachliche Kenntnis unumgänglich.
Er muss neben den allgemeinen, rechtlichen Vorschriften auch die branchenspezifischen Vorschriften kennen und anwenden können. Desweiteren muss er in der Lage sein zu diesen Punkten technische und organisatiorische Maßnahmen zu entwickeln, kontrollieren und bewerten . Hierfür ist eine fachliche Kennntis von Nöten, sonst mache ich als IT-Leiter im irgendwas vor und er merkt es nicht mal!!
Garfieldt
Garfieldt 15.02.2007 um 10:47:09 Uhr
Goto Top
Wenn du ihm was vormachst, du aber eine Weisung von ihm hattest haftest du, da du gegen die Vorschriften verstoßen hast, das stellt einen außerordentlichen Kündigungsgrund dar!
Brandse
Brandse 15.02.2007 um 11:20:47 Uhr
Goto Top
> ... er muss aber trotzdem eine
> fachliche Kenntnis in der IT
aufweisen.

Muss er gerade nicht!
Es reicht vollkommen aus, wenn der
Datenschutzbeauftragte der IT Weisungen geben
kann, wie sie mit bestimmten Daten zu
verfahren hat.

???
Ein DSB hat keinerlei Weisungsbefugniss! Wäre ja noch schöner!!!
Ein DSB ist normalerweise eine Stabsstelle, und nickt u.a. ab, wie mit welchen Daten warum wie verfahren wird. Schwachstellen kann der DSB dann (der GL) mitteilen.

Wer steht denn über dem IT Leiter? Der DSB??? Neeee....

Der DSB haftet für Dinge, die er gegenüber der IT abgenickt hat.
Hat aber aber nix zu melden, kann nur Vorschläge einbringen, wenn er Sicherheitsbedenken hat, die er der GL mitteilt.

Gruß,
Brandse
cykes
cykes 15.02.2007 um 11:53:52 Uhr
Goto Top
Wenn du ihm was vormachst, du aber eine
Weisung von ihm hattest [...]

Also in privaten Betrieben (sprich nicht öffentlichen Organisationen) hat der Datenschutzbeauftragte - soweit ich weiss - kein Weisungsrecht.
Er darf den Betreffenden auf Fehlverhalten aufmerksam machen, aber keine Weisung erteilen.
coxsrcrub
coxsrcrub 16.02.2007 um 10:01:04 Uhr
Goto Top
Die Geschäftsführung haftet, nicht der DSB ... wenn der DSB alles richtig protokolliert hat und Maßnahmen zum Datenschutz nicht eingehalten werden. Daher sollte der DSB sehr sorgfälltig arbeiten.

Ansonsten

Ein externe betriebliche Datenschutzbeauftragte haftet im Gegensatz zu einem internen Beauftragten auch bei Schäden, die durch leichte Fahrlässigkeit entstanden sind, eine Berufung auf die Grundsätze der betrieblich veranlaßten Tätigkeit kann nicht stattfinden.

Gruß
Dr. Cox
coxsrcrub
coxsrcrub 16.02.2007 um 10:15:46 Uhr
Goto Top
und nun noch einmal genauer.

Für einen innerbetrieblichen Datenschutzbeauftragten gelten die Regeln des innerbetrieblichen Schadensausgleichs, wonach ein Arbeitnehmer grundsätzlich nicht für leichte Fahrlässigkeit, sondern nur für Vorsatz und grobe Fahrlässigkeit haftet.

Ich denke das trifft sowieso auf jeden Angestellten zu.

Gruß
Dr. Cox
CGLorenzo
CGLorenzo 21.03.2007 um 11:30:35 Uhr
Goto Top
Wie bereits angedeutet möchte ich der Welt das Feeling Datenschutz vermitteln.
Natürlich könnte ich auch irgendwelche Paragrafen zitieren, aber das bringt ja nichts - noch nicht, vielleicht später.

Kurz zu meiner Person: ich bin quasi mit dem Datenschutz groß geworden und heute noch damit, neben IT-Sicherheit, beschäftigt.


Zum Anfang kurze Antworten auf deine dringendsten Fragen:
a) müssen wir einen DSB haben?
b) darf ich Datenschutzbeauftragter sein, obwohl ich IT-Leiter bin (oder in der IT beschäftigt)?

Zu a: eine "Stelle" hat einen Datenschutzbeauftragten zu bestellen, wenn 10 Personen (ab der 10. Person, also 10, 11, 12,...) (Mitarbeiter) mit der personenbezogenen Datenverarbeitung beschäftigt sind! Hört sich gut an, aber was sind denn "Personen, die mit personenbezogener Datenverarbeitung beschäftigt sind". Dazu steht nichts im Gesetz - man geht davon aus, dass es die Personen sind, die <im Rahmen ihrer dienstlichen Tätigkeit und Aufgabenerfüllung oft, viel, primär, überwiegend mit personenbezogenen Daten zu tun haben>. Zähle jetzt mal alle zusammen: Mitarbeiter einschließlich Chef der Personalabteilung, des Vertriebes (auch Außendienst), des Einkaufes, der Revision, des Marketings und du und deine Mitstreiter - gibt es bei euch Externe - Aushilfskräfte im Vertrieb, usw. - zählst du diese bitte mit.

Bist du auf 10 und mehr, ist alles klar > DSB MUSS her.

Ein Problem hast du nur dann, wenn du unter 10 geblieben bist: laut Gesetz braucht ihr keinen DSB zu bestellen! Aber das ist nicht so! Übrigens ziehen sich solche Sachverhalte durchs ganze BDSG <nach Gesetz so oder so - in der Praxis gerade andersherum>. Was gilt denn jetzt? Es gilt: wird kein DSB bestellt, ist die Stelle für die Einhaltung der Gesetzesvorschriften verantwortlich !!! Also entweder macht es dein Geschäftsführer (GF) selbst oder er delegiert diese Verantwortung an einen Mitarbeiter den man dann als "Datenschutzzuständigen" bezeichnen könnte. Meinst du dein GF macht es? Nein, natürlich nicht - er wird delegieren.

Es gibt noch zwei Ausnahmen IN DENEN DIE STELLE IIIIIIIIIIIMMER EINEN DSB bestellen muss:
a.1: ihr habt Applikationen eingesetzt, die aufgrund ihrer Verarbeitung der persbez. Daten eine VORABKONTROLLE erzwingen würden.
a.2: ihr personenbez. Daten geschäftsmäßig übermittelt! Adresshändler, Auskunftteien,...

Klärung zu a1:
Zuersteinmal nennt man diese Programme mit denen personenbez. Daten verarbeitet werden >>> VERFAHREN <<<. Gut merken, ist das meist gebrauchte Wort im Datenschutzsprachschatz.
Verfahren unterliegen einer Vorabkontrolle, wenn DATEN verarbeitet werden, die Aufschluss zu:
1. rassische und ethnische Herkunft,
2. politische Meinungen,
3. religiöse oder philosophische Überzeugungen,
4. Gewerkschaftszugehörigkeit,
5. Gesundheit oder Sexualleben
geben!
Eher habt ihr als Produktionsbetrieb solche Verfahren nicht > aber schau mal genau im Vertrieb nach > die speichern ja alles was sie kriegen können.

Ist dir jetzt alles klar zu <a) müssen wir einen DSB haben?>

Empfehlung: bestellt den DSB. Ist keiner für dieses Amt benannt, wird bei euch nie was im Datenschutz vernünftig laufen. Außerdem ist es bei 30/80 Mitarbeitern gut zu vertreten.


Gut, wenden wir uns <b) darf ich das als IT-Leiter sein?> zu:

Der Gesetzgeber vermutet Interessenskonflikte (in der Person des DSBs) beim Erfüllen der beiden Aufgaben <Datenschutzbearbeitung / primären Aufgabe der regulären Stelle>. Und zwar bei Beschäftigten in der IT, der Personalwirtschaft (auf jeden Fall) und beim Vertriebsleiter, Finanzleiter usw. (von Fall zu Fall). Wer bleibt übrig? Zweie bleiben und denen könnte man von Fall zu Fall zu Fall auch Interessenskonflikte unterstellen, nämlich der Leiter Qualitätswesen und der Leiter Produktion.

So, jetzt kommt aber die berufliche Erfahrung und die Kenntnis der IT ins Spiel: vom DSB wird erwartet, dass er Kenntnisse in der IT hat. Gute Kenntnisse. Schluss, aus, keine Diskussion > er muss über IT-Erfahrung verfügen. Einer der Vorkommentatoren meinte, es reiche, wenn er Weisungen erteilen kann. Das ist schlichtweg unverantwortlich niedergeschrieben. Schlimm! Weißt du was passiert, wenn unqualifizierte Menschen anderen (erfahrenen) Menschen Weisungen erteilen? Im schlimmsten Fall Konkurs.

1. aus meiner Praxis heraus weiß ich, dass der best qualifizierte Mann für die Stelle des DSBs der IT-Mann ist! Er hat als einziger (neben dem GF) Einblick in alle Unternehmensbereiche, wie Einkauf, Vertrieb, Personal usw. weil der IT'ler ja ständig deren - auch fachliche - Probleme erzählt bekommt um dann Abhilfe mittels EDV-Unterstützung bringen soll. Er ist der, der alles im Betrieb weiß, kennt, hört und sieht. Tatsächlich ist er das Multitalent, das sich der Gesetzgeber vorstellt.
2. Dem IT-Mann wird ungerechtfertigterweise ein Interessenskonflikt unterstellt, weil die primäre Aufgabe des IT-Mannes falsch interpretiert wird: er ist ja gar nicht verantwortlich dafür, was die Personalabteilung mit den Daten anstellt. Das ist ihm doch piep schnurz egal. Er ist doch lediglich dafür verantwortlich,dass die IT-Infrastruktur läuft!!! und die Personalabteilung mit EDV-Unterstützung arbeiten kann. Wie die arbeiten verantwortet der Personalleiter! Das gilt natürlich auch für Vertrieb, Einkauf, Rechnungswesen usw.
Fazit: der IT-Mann hat keine Interessenskonflikte - weil er keine Stelle der wertschöpfenden Betriebsprozesse innehat. Er ist und bleibt der Berater - deshalb ist die IT ja auch - nur - Stabsstelle.
3. Dieser Argumentation muss und wird die Aufsichtsbehörde folgen, weil sie es nicht darauf anlegt sich mit deinem Betrieb vor Gericht zu streiten.

Empfehlung: Nicht nur <man darf als IT-Leiter durchaus DSB sein>, nein, gerade er muss es sein!. Und wenn du deine Aufgabe gut machst, wird diesen Sachverhalt niemand - wirklich - negativ und folgenschwer hervorheben.


Kommen wir zu den Aufgaben des DSB:

Tatsache ist: Datenschutz ist/kann eine LEBENSAUFGABE sein/werden! Lies den letzte Satz bitte nochmal und glaube das was da steht.


Drei Fragen solltest du am Anfang klären und beantworten - aber für dich selbst:

1. Möchte ich DSB werden?
Wenn du das nicht möchtest - sondern nur einer Verpflichtung als Angestellter nachkommen möchtest - lass es bleiben.
Eingestellt wurdest du ja als IT'ler und nicht als Datenschützer.
Wenn du es aber doch tust - obwohl du es als Zwang empfindest - wirst du einen sehr unbefriedigenden Job vorfinden.

2. Habe ich 15 % meiner Arbeitszeit für Datenschutz übrig?
Das ist so die - allgemein anerkannte - Anforderung an deine Arbeitsleistung in diesem Bereich.
Nicht, dass dir einer die Stunden nachzählt, aber wenn es einmal Probleme bei euch im Hause geben sollte, dann wird man dich schon fragen - wenn du weniger Zeit investiert hast - ob du alle deine Ämter so lapidar bekleidest. Und diese Frage IST beschämend.
Also: hast du keine 10 - 15 % Zeit > Finger weg vom DSB-Status.

3. Was will dein Unternehmen? Dein Geschäftsführer?
Wenn der einen Schein-Datenschutzbeauftragten haben will und einen Schein-Datenschutz realisieren möchte !!! Finger weg, Job nicht annehmen.


So, nur für den Fall, dass du jetzt aus dieser ganzen Angelegenheit raus (du kommst damit aber auch rein; Vorsicht) willst, wie geht es?


Exkurs:
Irgendwo in deinen Texten sprichst du von "rede ich mit meinem Vorgesetzten". Pass auf: du redest/verhandelst/empfiehlst/argumentierst als bestellter DSB definitiv nicht mehr mit irgendwelchen Vorgesetzten (kommt oft vor, dass der IT-Leiter dem Personalchef unterstellt ist) sondern nur noch mit dem GF. Du bist nach Gesetz niemanden unterstellt, außer dem GF. Das ist zwingende Voraussetzung für das Funktionieren deines Jobs. Und wenn dein GF dich trotz Hinweisen trotzdem dem Pers.-Leiter unterstellt, ist dies für dich der Grund zur Niederlage des DSB-Amtes.
Ende Exkurs.


Am besten redest du - an einem seiner guten Tage - mit deinem GF - und nur mit dem - und sagst, das du jetzt etwas mehr weißt als gestern:

Du kannst ruhig auf den netten Berater aus dem Internet hinweisen. Dann gibt es auch keine Probleme, das ist einfach gute und geschätzte Offenheit.

(Bau das nachher mit deinen eigenen Worten nochmals neu zusammen - ablesen wirst du es nicht können):

"Also Chef, man weiß (unsere Regierung weiß, unser Gesetzgeber weiß), dass du keine Zeit hast dich mit allem möglichen Kram zu befassen (die sind nämlich dran interessiert, dass du viel Kohle scheffelst, viele Steuern zahlst und vielen Menschen einen Job gibst) und deshalb stellen sie dir einen Berater zur Seite - und das ist dann in unserem Falle der Datenschutzbeauftragte (genauso verhält es sich mit dem Qualitätsbeauftragten, dem Umweltschutzbeauftragten, dem Brandschutzbeauftragten, dem IT-Sicherheitsbeauftragten, dem Sicherheitsbeauftragten, dem Frauenbeauftragten, dem Ausländerbeauftragten und allen betrieblichen Beauftragten die es sonst noch gibt). Die meinen es also gut mit dir, Chef, wollen deinen Kopf von solchen Dingen frei halten und stellen dir deshalb meinen Kopf - als externen Speicher - zur Verfügung. Die wollen also gar nicht, dass ich dir als Beauftragter irgendwas verbiete oder dir ans Bein trete - nein, die wollen dich entlasten - natürlich und gerade deshalb erwarten DIE (also "man") und DU eine gute Leistung von mir!!!

Ich als Datenschutzbeauftragter soll dich also beraten ... und deshalb muss - und ich will es auch selbst - diesen Job GUT MACHEN ... denn, wenn ich Mist baue, wirst du dafür zur Verantwortung gezogen - du musst die ganze Suppe auslöffeln, die ich dir durch Schlecht-Beratung eingebrockt habe - und dann bist du sauer und ich habe keine gute Zeit mehr im Unternehmen (... die Strafe zahlst immer du, nicht ich (später dazu mehr)).

Chef, damit das alles funktioniert brauche ich:

a) Budget von ... sagen wir die ersten drei Jahre ... pro Jahr 5000 Euro (nein, besser 6000 Euro - das ist bei eurem 30/80 Mann-Betrieb drin - dann kann er dich auf 5000 runterhandeln) in meiner Datenschutzkasse. Danach VIELLEICHT weniger - aber eher nicht. Ja, ein EXTERNER kostet weniger ... vordergründig - tatsächlich nicht -, weil der genausoviel regeln muss wie ich, aber den drei-/vierfachen Stundensatz hat (dieser Satz kann deinen Ausstieg bringen...).

b) Ich brauche Zeit - dass muss dir einfach klar sein - denn Nachdenken und beraten kostet nunmal Zeit. Ääääh in der Woche brauche ich etwa so 4 Stunden, das wären im Jahr so ungefähr 300h. Also zumindest mal in den beiden ersten Jahren - bis meine Datenschutz-Organisation steht.

c) und dann brauche ich Mutterwärme, viiiiiiel Nestwärme und ein Gefühl der Anerkennung - das heißt, ich muss wissen, dass du hinter und neben mir stehst, wenn ich versuche Dinge zu regeln usw. usw. (denn die anderen Abteilungsleiter werden gegen mich schießen, weil die das DS-Gesetz ja auch nicht richtig gelesen und verstanden haben - und genauso denken wie du vor noch 15 Minuten gedacht hast) - sonst wird meine ganze Arbeit nämlich nutzlos im Nichts versanden ...

So Chef, in 14 Tagen kann ich die notwendigen Vorbereitungen treffen, dass du mich offiziel bestellen kannst ... und jetzt brauche ich dein uneingeschränktest JA (oder dein entgültiges NEIN) um mich um die Bestellung zu kümmern - muss nochmals lesen und das Internet durchforsten. Was machen wir ... Chef? Machen wir weiter?"

Zu a): [Ich habe diesen Betrag geschätzt - hatte nie ein Budget - meine aber, dass es in der Größenordnung sein muss.] Du musst Kurse besuchen, Lehrgänge, Konferenzen, eventuell einem DS-Verein beitreten, Reisekoste fallen an - eventuell Hilfsmittel, wie Bücher, Zeitschriften (rechts auf der Schreibtischkante obenauf liegend - zeugt enorm von Fachkunde), Software brauchst du auf jeden Fall (Freeware gibt es (Googlesuche auf "Verfahrensverzeichnis + Datenschutz + Freeware"), andere kosten so ab 150 Euro aufwärts, gute ab 500 aufwärts, die wirklichen Knaller ab 900 Euro!)



So, das waren jetzt Hinweise zu den Einstiegsfragen.
Wenn du Interesse hast, kommt dann - wenn ich Zeit habe - die nächste Lektion, die ich mit "First Steps" umschreiben würde.
Also, gib mir Bescheid - auch, wenn sich die Sache erledigt hat.
Gruß CGLorenzo
coxsrcrub
coxsrcrub 21.03.2007 um 11:51:52 Uhr
Goto Top
Nur mal so als Einwand gegen den IT-Leiter.

http://www.lfd.niedersachsen.de/master/C291134_N13163_L20_D0_I560.html

Ich bin selber langjähriger BDSB und laut dieser Empfehlung stellv. IT-Leiter.

Dies ist kein genereller Einwand gegen den IT Leiter sondern "nur" eine Empfehlung des DSB Niedersachsen. Ich persönlich halte Kenntnisse in der IT für sehr wichtig, aber Datenschutz beinhaltet ja nicht nur die EDV, das bitte nicht vergessen.

Es gehören genauso teile aus dem Objektschutz, Brandschutz und der Umgang mit den althergebrachten Akten in Papierform dazu. Weiter kommen noch die vielen Sonderbestimmungen der Unterschiedlichen Berufsgruppen dazu bezüglich Auskunftsersuchen etc pp....

Gruß Coxsrcrub