Datenschutzbeauftragter und Datenschutz-Umsetzung
Nachträge:
Suchbegriff ist "##1": > Nachtrag zu "Datenschutz"
Suchbegriff ist "##2": > Nachtrag zu "Datensicherheit"
Suchbegriff ist "##3": > Streichung
Suchbegriff ist "##4": > Nachtrag zu "Schulung"
Suchbegriff ist "##5": > Nachtrag zu "Öffentliches Verfahrensverzeichnis"
Inhalt:
Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)
Lektion 2: Die Bestellung des Datenschutzbeauftragten (geschrieben am 2007-03-25)
Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden (geschrieben am 2007-03-25)
Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben ab 2007-04-01 bis 2007-04-09)
Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)
Angeregt zu diesem Tutorial wurde ich durch die Frage eines Mitgliedes "Was macht ein Datenschutzbeauftragter?".
Dieses Tutorial behandelt zuerst einmal die Frage: Muss ein Datenschutzbeauftragter (DSB) bestellt werden und kann es ein IT-Leiter sein.
Ich möchte dieses Tutorial gerne fortführen, so dass es seinem Titel gerecht wird - da dies aber jede Menge Arbeit ist - möchte ich abwarten ob es von euch angenommen wird.
Zum Anfang kurze Antworten auf die Fragen:
a) müssen wir einen DSB haben?
b) darf ich Datenschutzbeauftragter sein, obwohl ich IT-Leiter bin (oder in der IT beschäftigt)?
Zu a: eine "Stelle" hat einen Datenschutzbeauftragten zu bestellen, wenn 10 Personen (ab der 10. Person, also 10, 11, 12,...) (Mitarbeiter) mit der personenbezogenen Datenverarbeitung beschäftigt sind! Hört sich gut an, aber was sind denn "Personen, die mit personenbezogener Datenverarbeitung beschäftigt sind". Dazu steht nichts im Gesetz - man geht davon aus, dass es die Personen sind, die <im Rahmen ihrer dienstlichen Tätigkeit und Aufgabenerfüllung oft, viel, primär, überwiegend mit personenbezogenen Daten zu tun haben>. Zähle jetzt mal alle zusammen: Mitarbeiter einschließlich Chef der Personalabteilung, des Vertriebes (auch Außendienst), des Einkaufes, der Revision, des Marketings und du und deine Mitstreiter - gibt es bei euch Externe - Aushilfskräfte im Vertrieb, usw. - zählst du diese bitte mit.
Bist du auf 10 und mehr, ist alles klar > DSB MUSS her.
Ein Problem hast du nur dann, wenn du unter 10 geblieben bist: laut Gesetz braucht ihr keinen DSB zu bestellen! Aber das ist nicht so! Übrigens ziehen sich solche Sachverhalte durchs ganze BDSG <nach Gesetz so oder so - in der Praxis gerade andersherum>. Was gilt denn jetzt? Es gilt: wird kein DSB bestellt, ist die Stelle für die Einhaltung der Gesetzesvorschriften verantwortlich !!! Also entweder macht es dein Geschäftsführer (GF) selbst oder er delegiert diese Verantwortung an einen Mitarbeiter den man dann als "Datenschutzzuständigen" bezeichnen könnte. Meinst du dein GF macht es? Nein, natürlich nicht - er wird delegieren.
Es gibt noch zwei Ausnahmen IN DENEN DIE STELLE IIIIIIIIIIIMMER EINEN DSB bestellen muss:
a.1: ihr habt Applikationen eingesetzt, die aufgrund ihrer Verarbeitung der persbez. Daten eine VORABKONTROLLE erzwingen würden.
a.2: ihr personenbez. Daten geschäftsmäßig übermittelt! Adresshändler, Auskunfteien,...
Klärung zu a1:
Zuerst einmal nennt man diese Programme mit denen personenbez. Daten verarbeitet werden >>> VERFAHREN <<<. Gut merken, ist das meist gebrauchte Wort im Datenschutzsprachschatz.
Verfahren unterliegen einer Vorabkontrolle, wenn DATEN verarbeitet werden, die Aufschluss zu:
1. rassische und ethnische Herkunft,
2. politische Meinungen,
3. religiöse oder philosophische Überzeugungen,
4. Gewerkschaftszugehörigkeit,
5. Gesundheit oder Sexualleben
geben!
Eher hat ein Produktionsbetrieb solche Verfahren nicht > aber schau mal genau im Vertrieb nach > die speichern ja alles was sie kriegen können.
Empfehlung: bestellt den DSB. Ist keiner für dieses Amt benannt, wird bei euch nie was im Datenschutz vernünftig laufen. Außerdem ist er bei ab ca. 100 Mitarbeitern gut zu vertreten.
Gut, wenden wir uns <b) darf ich das als IT-Leiter sein?> zu:
Der Gesetzgeber vermutet Interessenskonflikte (in der Person des DSBs) beim Erfüllen der beiden Aufgaben <Datenschutzbearbeitung / primären Aufgabe der regulären Stelle>. Und zwar bei Beschäftigten in der IT, der Personalwirtschaft (auf jeden Fall) und beim Vertriebsleiter, Finanzleiter usw. (von Fall zu Fall). Wer bleibt übrig? Zweie bleiben und denen könnte man von Fall zu Fall zu Fall auch Interessenskonflikte unterstellen, nämlich der Leiter Qualitätswesen und der Leiter Produktion.
So, jetzt kommt aber die berufliche Erfahrung und die Kenntnis der IT ins Spiel: vom DSB wird erwartet, dass er Kenntnisse in der IT hat. Gute Kenntnisse. Schluss, aus, keine Diskussion > er muss über IT-Erfahrung verfügen. Einer der Vorkommentatoren meinte, es reiche, wenn er Weisungen erteilen kann. Das ist schlichtweg unverantwortlich niedergeschrieben. Schlimm! Weißt du was passiert, wenn unqualifizierte Menschen anderen (erfahrenen) Menschen Weisungen erteilen? Im schlimmsten Fall Konkurs.
1. aus meiner Praxis heraus weiß ich, dass der best qualifizierte Mann für die Stelle des DSBs der IT-Mann ist! Er hat als einziger (neben dem GF) Einblick in alle Unternehmensbereiche, wie Einkauf, Vertrieb, Personal usw. weil der IT'ler ja ständig deren - auch fachliche - Probleme erzählt bekommt um dann Abhilfe mittels EDV-Unterstützung bringen soll. Er ist der, der alles im Betrieb weiß, kennt, hört und sieht. Tatsächlich ist er das Multitalent, das sich der Gesetzgeber vorstellt.
2. Dem IT-Mann wird ungerechtfertigterweise ein Interessenskonflikt unterstellt, weil die primäre Aufgabe des IT-Mannes falsch interpretiert wird: er ist ja gar nicht verantwortlich dafür, was die Personalabteilung mit den Daten anstellt. Das ist ihm doch piep schnurz egal. Er ist doch lediglich dafür verantwortlich, dass die IT-Infrastruktur läuft!!! und die Personalabteilung mit EDV-Unterstützung arbeiten kann. Wie die arbeiten verantwortet der Personalleiter! Das gilt natürlich auch für Vertrieb, Einkauf, Rechnungswesen usw.
Fazit: der IT-Mann hat keine Interessenskonflikte - weil er keine Stelle der wertschöpfenden Betriebsprozesse innehat. Er ist und bleibt der Berater - deshalb ist die IT ja auch - nur - Stabsstelle.
3. Dieser Argumentation muss und wird die Aufsichtsbehörde folgen, weil sie es nicht darauf anlegt sich mit deinem Betrieb vor Gericht zu streiten.
Empfehlung: Nicht nur <man darf als IT-Leiter durchaus DSB sein>, nein, gerade er muss es sein!. Und wenn du deine Aufgabe gut machst, wird diesen Sachverhalt niemand - wirklich - negativ und folgenschwer hervorheben.
Kommen wir zu den Aufgaben des DSB:
Tatsache ist: Datenschutz ist/kann eine LEBENSAUFGABE sein/werden! Lies den letzte Satz bitte nochmal und glaube das was da steht.
Drei Fragen solltest du am Anfang klären und beantworten - aber für dich selbst:
1. Möchte ich DSB werden?
Wenn du das nicht möchtest - sondern nur einer Verpflichtung als Angestellter nachkommen möchtest - lass es bleiben.
Eingestellt wurdest du ja als IT'ler und nicht als Datenschützer.
Wenn du es aber doch tust - obwohl du es als Zwang empfindest - wirst du einen sehr unbefriedigenden Job vorfinden.
2. Habe ich 15 % meiner Arbeitszeit für Datenschutz übrig?
Das ist so die - allgemein anerkannte - Anforderung an deine Arbeitsleistung in diesem Bereich.
Nicht, dass dir einer die Stunden nachzählt, aber wenn es einmal Probleme bei euch im Hause geben sollte, dann wird man dich schon fragen - wenn du weniger Zeit investiert hast - ob du alle deine Ämter so lapidar bekleidest. Und diese Frage IST beschämend.
Also: hast du keine 10 - 15 % Zeit > Finger weg vom DSB-Status.
3. Was will dein Unternehmen? Dein Geschäftsführer?
Wenn der einen Schein-Datenschutzbeauftragten haben will und einen Schein-Datenschutz realisieren möchte !!! Finger weg, Job nicht annehmen.
So, nur für den Fall, dass du jetzt aus dieser ganzen Angelegenheit raus (du kommst damit aber auch rein; Vorsicht) willst, wie geht es?
Exkurs:
Irgendwo in deinen Texten sprichst du von "rede ich mit meinem Vorgesetzten". Pass auf: du redest/verhandelst/empfiehlst/argumentierst als bestellter DSB definitiv nicht mehr mit irgendwelchen Vorgesetzten (kommt oft vor, dass der IT-Leiter dem Personalchef unterstellt ist) sondern nur noch mit dem GF. Du bist nach Gesetz niemanden unterstellt, außer dem GF. Das ist zwingende Voraussetzung für das Funktionieren deines Jobs. Und wenn dein GF dich trotz Hinweisen trotzdem dem Pers.-Leiter unterstellt, ist dies für dich der Grund zur Niederlage des DSB-Amtes.
Ende Exkurs.
Am besten redest du - an einem seiner guten Tage - mit deinem GF - und nur mit dem - und sagst, das du jetzt etwas mehr weißt als gestern:
Du kannst ruhig auf den netten Berater aus dem Internet hinweisen. Dann gibt es auch keine Probleme, das ist einfach gute und geschätzte Offenheit.
(Bau das nachher mit deinen eigenen Worten nochmals neu zusammen - ablesen wirst du es nicht können):
"Also Chef, man weiß (unsere Regierung weiß, unser Gesetzgeber weiß), dass du keine Zeit hast dich mit allem möglichen Kram zu befassen (die sind nämlich dran interessiert, dass du viel Kohle scheffelst, viele Steuern zahlst und vielen Menschen einen Job gibst) und deshalb stellen sie dir einen Berater zur Seite - und das ist dann in unserem Falle der Datenschutzbeauftragte (genauso verhält es sich mit dem Qualitätsbeauftragten, dem Umweltschutzbeauftragten, dem Brandschutzbeauftragten, dem IT-Sicherheitsbeauftragten, dem Sicherheitsbeauftragten, dem Frauenbeauftragten, dem Ausländerbeauftragten und allen betrieblichen Beauftragten die es sonst noch gibt). Die meinen es also gut mit dir, Chef, wollen deinen Kopf von solchen Dingen frei halten und stellen dir deshalb meinen Kopf - als externen Speicher - zur Verfügung. Die wollen also gar nicht, dass ich dir als Beauftragter irgendwas verbiete oder dir ans Bein trete - nein, die wollen dich entlasten - natürlich und gerade deshalb erwarten DIE (also "man") und DU eine gute Leistung von mir!!!
Ich als Datenschutzbeauftragter soll dich also beraten ... und deshalb muss - und ich will es auch selbst - diesen Job GUT MACHEN ... denn, wenn ich Mist baue, wirst du dafür zur Verantwortung gezogen - du musst die ganze Suppe auslöffeln, die ich dir durch Schlecht-Beratung eingebrockt habe - und dann bist du sauer und ich habe keine gute Zeit mehr im Unternehmen (... die Strafe zahlst immer du, nicht ich (später dazu mehr)).
Chef, damit das alles funktioniert brauche ich:
a) Budget von ... sagen wir die ersten drei Jahre ... pro Jahr 5000 Euro (nein, besser 6000 Euro - das ist bei eurem 30/80 Mann-Betrieb drin - dann kann er dich auf 5000 runterhandeln) in meiner Datenschutzkasse. Danach VIELLEICHT weniger - aber eher nicht. Ja, ein EXTERNER kostet weniger ... vordergründig - tatsächlich nicht -, weil der genau soviel regeln muss wie ich, aber den drei-/vierfachen Stundensatz hat (dieser Satz kann deinen Ausstieg bringen...).
b) Ich brauche Zeit - dass muss dir einfach klar sein - denn Nachdenken und beraten kostet nunmal Zeit. Ääääh in der Woche brauche ich etwa so 4 Stunden, das wären im Jahr so ungefähr 300h. Also zumindest mal in den beiden ersten Jahren - bis meine Datenschutz-Organisation steht.
c) und dann brauche ich Mutterwärme, viiiiiiel Nestwärme und ein Gefühl der Anerkennung - das heißt, ich muss wissen, dass du hinter und neben mir stehst, wenn ich versuche Dinge zu regeln usw. usw. (denn die anderen Abteilungsleiter werden gegen mich schießen, weil die das DS-Gesetz ja auch nicht richtig gelesen und verstanden haben - und genauso denken wie du vor noch 15 Minuten gedacht hast) - sonst wird meine ganze Arbeit nämlich nutzlos im Nichts versanden ...
So Chef, in 14 Tagen kann ich die notwendigen Vorbereitungen treffen, dass du mich offiziell bestellen kannst ... und jetzt brauche ich dein uneingeschränktes JA (oder dein endgültiges NEIN) um mich um die Bestellung zu kümmern - muss nochmals lesen und das Internet durchforsten. Was machen wir ... Chef? Machen wir weiter?"
Zu a): [Ich habe diesen Betrag geschätzt - hatte nie ein Budget - meine aber, dass es in der Größenordnung sein muss.] Du musst Kurse besuchen, Lehrgänge, Konferenzen, eventuell einem DS-Verein beitreten, Reisekosten fallen an - eventuell Hilfsmittel, wie Bücher, Zeitschriften (rechts auf der Schreibtischkante obenauf liegend - zeugt enorm von Fachkunde), Software brauchst du auf jeden Fall (Freeware gibt es (Googlesuche auf "Verfahrensverzeichnis + Datenschutz + Freeware"), andere kosten so ab 150 Euro aufwärts, gute ab 500 aufwärts, die wirklichen Knaller ab 900 Euro!)
So, das waren jetzt Hinweise zu den Einstiegsfragen.
Wenn du Interesse hast, kommt dann - wenn ich Zeit habe - die nächste Lektion, die ich mit "First Steps" umschreiben würde.
Also, gib mir Bescheid - auch, wenn sich die Sache erledigt hat.
Gruß CGLorenzo
Lektion 2: Die Bestellung des Datenschutzbeauftragten (geschrieben am 2007-03-25)
Die Bestellung des betrieblichen Datenschutzbeauftragten (bDSB, im Folgenden DSB genannt) ist in § 4f BDSG geregelt.
Die wirklich wichtigen (und für uns neuen) Festlegungen finden wir in den Absätzen 3, 4 und 5.
Dort steht:
a) der DSB ist dem Leiter der Stelle zu unterstellen,
b) der DSB ist bei der Ausübung seiner Fachkunde (das heißt bei seiner täglichen Arbeit im Datenschutz (DS)) weisungsfrei,
c) er darf nicht benachteiligt werden,
d) seine Bestellung zum DSB kann widerrufen werden. Dies geschieht in sinngemäßer Anwendung von § 626 Bürgerliches Gesetzbuch (BGB),
e) die Aufsichtsbehörde kann seine Abbestellung verlangen,
f) der DSB ist zur Verschwiegenheit verpflichtet,
g) der DSB hat ein Zeugnisverweigerungsrecht, wenn ein solches überhaupt anwendbar ist,
h) der DSB soll von der Stelle (Unternehmen) unterstützt werden.
Zu a: Der DSB ist dem Leiter der Stelle zu unterstellen. Das bedeutet, dass du als Vorgesetzten eigentlich nur noch den GF hast. Ich gebe dir ein Beispiel: Du bist Mitarbeiter in der IT und hast als direkten Vorgesetzten den IT-Leiter. Dann bedeutet (a) für dich: als DSB hast du nur noch dem GF zu berichten, das Verhältnis zum IT-Leiter ist in deiner Eigenschaft als DSB unrelevant geworden - trotzdem ist er noch dein Vorgesetzter, wenn es um deinen Job als IT-Mitarbeiter geht.
Zusammenfassung: du hast als DSB nur dem GF, dem Vorstand oder dem Inhaber des Unternehmens Rede und Antwort zu stehen.
Zu b: der DSB arbeitet weisungsfrei bedeutet, dass dir niemand (auch nicht der GF, der Vorstand, der Inhaber) irgendetwas bei der Ausübung deiner Datenschutzarbeit vorschreiben darf. Also: Absprachen oder Vorgaben (dies und jenes zu tun, dies und jenes zu unterlassen) darf es nicht geben. Das heißt natürlich nicht, dass du jetzt wie ein Wirbelsturm durch die Abteilungen fegst und die Sau raus lässt, nein nein, du musst ja noch mit den Menschen zusammenarbeiten - und du möchtest ja auch für deine Erfolge und gute Arbeit ein klein wenig Anerkennung haben.
Aber, wenn du feststellst, dass man dir trotzdem versucht die Richtung vorzugeben, dann solltest du darauf reagieren. Wie? Solche Dinge können sachlich und ruhig bei den festgelegten Berichtsterminen beim GF angesprochen werden - lass dir Zeit - warte auf den Termin und bringe das Problem unter den normalen Tagesordnungspunkten unter. Verabrede deshalb sofort am Anfang deiner DSB-Karriere zwei oder vier Berichtstermine pro Jahr (Zeit: je eine Stunde) mit dem GF - dann fällt dem ein Stein vom Herzen, dass du ihn nicht noch mehr mit dem Käse quälst - und er sagt zu.
Zu c: Der DSB darf nicht benachteiligt werden! Vergiss es! Dieses Recht kannst du dir nur vor Gericht einfordern, aber nicht im Unternehmen. Wenn du also so dumm warst und allen auf die Füße getreten bist - dir es bei allen versaut hast - dann wirst du gemobbt und aus der Gemeinschaft ausgeschlossen. Selbst dran schuld. Es geht ja auch anders: du musst nur deine Geisteshaltung ändern und zwar, indem du dir nochmals folgendes vor Augen führst: ich bin der Berater > ich soll also beraten > ich mache Vorschläge > und wenn die nicht akzeptiert oder angenommen werden, trägt doch der GF ab diesem Zeitpunkt die Verantwortung/das Risiko. Diesen geistigen Schritt musst du machen und du wirst sehen, damit kannst du herrlich leben! Gut ist es natürlich, wenn du dir deine Handlungen und Vorschläge (am besten zentral und mit einem Datenschutzwerkzeug) festhälst und dokumentierst.
Zu d: Der DSB kann abbestellt werden! Dieser Paragraph 626 im BGB regelt die fristlose Entlassung. Das ist nicht mein Thema - aber folgendes ist damit gemeint. Wenn diese fristlosen Entlassungsgründe vorliegen würden, kann man dich als DSB abberufen, aber nicht deine Stelle als IT-Mitarbeiter oder IT-Leiter oder sinngemäß deinen anderen Hauptjob kündigen. Du weißt jetzt: lieber DSB im Nebenjob - Vorsicht, wenn es ein Hauptjob wird. Ich selbst kenne solche Vorkommnisse gar nicht und ich kenne viele DSBs die sich mit wirklich jedem angelegt hatten.
Zu e: die Aufsichtsbehörde kann seine Abbestellung verlangen! Diese Aufsichtsbehörde ist ein Referat im Innenministerium deines Bundeslandes - also nicht der Bundesdatenschutzbeauftragte (ok, wenn du bei einer Bundesbehörde tätigt bist, ist er es doch). Wann könnte es zu dieser Blamage kommen? Wenn die Aufsichtsbehörde feststellt, dass du deinen Job schlecht erfüllst - lapidar gesprochen: nix gemacht hast. Also: wenn du deinen Job gemacht hast, wird niemand auf Abbestellung plädieren - selbst dann nicht, wenn kleinere Fehler passiert sind. Nur: Vorsatz und grobe Fahrlässigkeit dürfen nicht ins Spiel kommen.
Zu f: Verschwiegenheit. Ist klaro, brauchen wir nicht drüber zu diskutieren.
Zu g: Zeugnisverweigerungsrecht. Das ist neu im BDSG und musste eingeführt werden, damit Rechtsanwälte und Steuerberater (dort besteht nämlich das Zeugnisverweigerungsrecht) einen externen DSB anstellen können - vor dieser Regelung mit dem Zeugnisverweigerungsrecht ging das nämlich nicht.
Zu h: der DSB soll von der Stelle unterstützt werden. Ich denke, das haben wir schon in "Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen?" angesprochen - aber nochmals: wenn du NICHT unterstützt wirst, soll es doch ein anderer machen > Job abgeben.
EXKURS:
Nach dem Gesetzestext kannst du im Web mit "Gesetzestext + BDSG" suchen.
Ob du das neueste Gesetz gefunden hast, erkennst du daran, dass es in § 4f den Absatz (4a) "Soweit der Beauftragte für den Datenschutz bei ..." gibt.
Alternativ kannst du den Text als PDF-Datei bei mir anfordern.
EXKURS Ende.
Anlage Bestellungsurkunde für DSB und stellv. DSB
Bestellung zum betrieblichen Datenschutzbeauftragten
Die Firma...
bestellt hiermit mit Wirkung vom
Herrn/Frau
zum betrieblichen Datenschutzbeauftragten.
Ihre Aufgabe ist es, unbeschadet der eigenen datenschutzrechtlichen Verantwortlichkeit der jeweiligen Organisationseinheit, durch Beratung und jederzeitige auch unangemeldete Kontrollen auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Rechtsvorschriften über den Datenschutz hinzuwirken. Im Einzelnen ergibt sich die Aufgabe des betrieblichen Datenschutzbeauftragten aus §§ 4 f und 4 g Bundesdatenschutzgesetz. Sie sind bei der Erfüllung Ihrer Aufgabe von allen Mitarbeitern und Mitarbeiterinnen zu unterstützen.
Alle Mitarbeiter und Mitarbeiterinnen können sich in Angelegenheiten des Datenschutzes an Sie wenden.
Sie sind auf dem Gebiete des Datenschutzes weisungsfrei und der Geschäftsleitung direkt unterstellt.
Zuständig ist Geschäftsführer/Vorstandsmitglied ....
Ort, Datum Ort, Datum
______________________________ _____________________________
GL Herr/Frau
Bestellung zum/zur stellvertretenden betrieblichen Datenschutzbeauftragten
Die Firma...
bestellt hiermit mit Wirkung vom
Herrn/Frau
zum/zur stellvertretenden betrieblichen Datenschutzbeauftragten. Im Falle einer Vertretung entspricht Ihre Stellung der des/der betrieblichen Datenschutzbeauftragten.
Ihre Aufgabe ist es, im Vertretungsfall unbeschadet der eigenen datenschutzrechtlichen Verantwortlichkeit der jeweiligen Organisationseinheit, durch Beratung und jederzeitige auch unangemeldete Kontrollen auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Rechtsvorschriften über den Datenschutz hinzuwirken. Im Einzelnen ergibt sich die Aufgabe des betrieblichen Datenschutzbeauftragten aus §§ 4 f und 4 g Bundesdatenschutzgesetz. Sie sind bei der Erfüllung Ihrer Aufgabe von allen Mitarbeitern und Mitarbeiterinnen zu unterstützen.
Alle Mitarbeiter und Mitarbeiterinnen können sich in Angelegenheiten des Datenschutzes an Sie wenden.
Sie sind auf dem Gebiete des Datenschutzes weisungsfrei und der Geschäftsleitung direkt unterstellt. Zuständig ist Geschäftsführer/Vorstandsmitglied ....
Ort, Datum Ort, Datum
______________________________ _____________________________
GL Herr/Frau
Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden (geschrieben am 2007-03-25)
Frei nach dem Motto: Sage mir wie du heißt und ich sage dir wer du bist >>> ODER <<< je öfters du falsche Datenschutzbegriffe an falschen Stellen und umgekehrt und verkreuzt umgekehrt verwendest, desto schneller bist du als nicht-fachkundig entlarvt.
Mir ist doch regelmäßig der Tag versaut, wenn ich von der Telefonzentrale dieses höre: ...ich darf Sie aus Datenschutzgründen nicht zu Herrn XYZ durchstellen... > so ein Schwachsinn > da hat der DSB gepennt. Tatsächlich handelt es sich um eine interne Anweisung - nur, wie soll man die nach außen begründen?
Schauen wir uns einmal die Datenschutzgrundbegriffe an, damit wir bei anderen glänzen können.
Datenschutz
Mit Datenschutz werden Handlungen beschrieben, die rund um Menschen und deren personenbezogene Daten stattfinden.
Merke: "Datenschutz ist der Schutz des Menschen vor dem Computer."
Ziel des Datenschutzes ist es, die Beeinträchtigung schutzwürdiger Belange der Betroffenen, welche durch Informationsverarbeitung ausgehen kann, zu verhindern.
##1: Wir reden von Datenschutz, wenn wir etwas tun, wo der Mensch und seine Daten im Vordergrund stehen: wir unterweisen im Datenschutz; wir beantworten eine Anfrage aus der Abteilung X zum Datenschutz; wir führen das Verfahrensverzeichnis; wir verpflichten einen Mitarbeiter auf das BDSG; wir verfassen den Jahresbericht; wir setzen Datenschutz-Maßnahmen um;...
Datensicherheit
Mit Datensicherheit werden Handlungen beschrieben, die rund um die IT-Infrastruktur und alle Daten stattfinden.
Merke: "Datensicherheit ist der Schutz des Computers vor dem Menschen."
Also die Aussage darüber, wie und mit welchen Mitteln die Daten im Computer vor unberechtigtem Zugriff geschützt werden können. Dazu sind personelle, technische und organisatorische Voraussetzungen zu schaffen.
##2: Wir reden von Datensicherheit, wenn wir etwas tun, wo der Computer und seine Daten im Vordergrund stehen: wir führen ein Backup durch; wir retten verlorene Daten durch ein Restore; wir sichern ein Netzwerk ab; wir installieren einen Virenschutz; wir überprüfen die Zugriffsrechte auf den Server; wir erstellen ein IT-Sicherheits-Konzept; wir installieren an der Tür zum Rechnerraum einen Kartenleser;...
##3:
Wenn du das nächste Mal von Backup redest, dann verwendest du den Begriff Datensicherheit - nicht Datenschutz.
Datenverarbeitung
ist jeder Vorgang, bei dem der Bestand oder der örtliche, zeitliche oder logische Zusammenhang von Informationen eine Änderung erfahren. Dabei wird keine Rücksicht auf die Art der Verarbeitung, also manuell oder maschinell, genommen.
Die Phasen der Datenverarbeitung sind:
- erheben - speichern - verändern - sperren - löschen - übermitteln.
Gehe grundsätzlich davon aus, dass Datenverarbeitung nichts mit "EDV" zu tun haben muss!
Wenn du eine Rechnung oder eine Lohnsteuerkarte zerreißt, betreibst du Datenverarbeitung.
Wenn du eine Rechnung oder eine Lohnsteuerkarte in den Papierkorb wirfst, betreibst du Datenverarbeitung.
Wenn du eine CD (mit Daten!, nicht nur mit personenbez. Daten) an einen Mitarbeiter übergibst, betreibst du Datenverarbeitung.
Wenn du Daten sicherst (Backup) ist dies Datenverarbeitung.
Als du mit 120 km/h in der Autobahnbaustelle "geblitzt" wurdest, wurden deine Daten verarbeitet.
Wenn du eine Liste in den Papierkorb wirfst, hast du Daten verarbeitet.
Wenn du mit deiner Scheckkarte beim Lebensmittelgeschäft nebenan den Einkauf bezahlst, werden deine Daten verarbeitet.
Verstanden? Noch einmal: Datenverarbeitung ist alles ... wobei Daten (informationen) ... eine Änderung erfahren
Speichern
ist das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke Ihrer weiteren Verwendung.
Datenträger sind u.a.:
Disketten, Magnetplatten, Magnetbänder, Mikrofilme (Fiches) aber auch Karteikarten, Lohnsteuerkarten, Bilder, Filme...
Ist ein Notizblock ein Datenträger? Ja, wenn Informationen draufstehen.
Verändern
ist das inhaltliche Umgestalten gespeicherter Daten.
Wir ändern im PC die Lieferanschrift eines Alt-Kunden; er ist umgezogen.
Wir ändern im Telefon-Büchlein die Faxnummer von CGLorenzo von 1234 in 1235 indem wir die 4 ausradieren und dafür die 5 hinschreiben.
Sperren
ist das Kennzeichnen der Daten, um die weitere Nutzung der Daten einzuschränken.
Der Personalchef setzt ein "J" in die Abfrage seines Computer-Programms "Stammsatz sperren? (J/N) _". Das Personal-Informations-System wird diesen Stammsatz nicht mehr ohne weiteres anzeigen.
Wir führen unsere Klientendaten noch im Kartei-Kasten. Ich nehme die Karteikarte "Georg Meyer" mit den Anlage-Karten aus dem Kasten, lege ein festes Gummiband um diesen Karten-Pack ... unter das Gummiband schiebe ich einen kleinen Zettel mit der Aufschrift "GESPERRT !!! Bitte Rückfrage bei xyz".
Löschen
ist das Unkenntlichmachen gespeicherter Daten.
Bei manuellen Verfahren gilt ein Datum (Datenfeld) als gelöscht, wenn es durch Überschreiben unlesbar wird.
Bei maschinellen Löschverfahren wird häufig das betreffende Datenfeld oder der Datensatz als gelöscht gekennzeichnet. Bei diesem Verfahren bleibt also die Information tatsächlich voll erhalten.
Ich streiche in meinem Telefonbüchlein die Faxnummer von Hanna Schneider-Müller 12345 durch.
Ein Computer-Programm hinterlegt die Informationen mit einem Vorspann von "system-notwendigen" Erkennungsdaten. Ein Rechnungsdatensatz wird nicht nur mit den Rechnungsdaten
1000 Euro 4.9.06 59010066 24-5678
gespeichert, sondern (vereinfacht dargestellt) beispielsweise so
@06 1000 Euro 4.9.06 59010066 24-5678
Das Zeichen @ zeigt der Software an, dass dieser Datensatz gültig ist. 06, dass er in 2006 angelegt wurde.
Wird dieser Satz im Computer-Programm gelöscht, entfernt das Programm lediglich das @ und schreibt die verbleibenden Daten wieder auf den Datenträger. Nun ist folgendes gespeichert.
06 1000 Euro 4.9.06 59010066 24-5678
Beim nächsten Einlesen der Rechnungsdaten wird dieser Satz vom Programm wohl noch gelesen, aber nicht mehr bereitgestellt.
Übermitteln
ist das Bekanntgeben von Daten an Dritte.
Dies ist auch dann bereits der Fall, wenn die Daten zur Einsicht oder zum Abruf bereitgehalten werden.
Was ist bekanntgeben?
Beispiele:
Du richtest einem neuen Personalsachbearbeiter das Personalverwaltungsprogramm auf seinem Rechner ein und gibst ihm Zugriff auf die Personaldaten.
Du bist Vertriebsmitarbeiter und legst eine Liste (eine CD) mit personenbez. Daten auf deinen Schreibtisch! STOP: hast du was gemerkt? Da stand nicht, dass du die Liste irgendjemand übergeben hast ... aber durch das Hinlegen auf den Schreibtisch hast du die Daten zur Einsicht bereitgehalten und lt. Gesetz bekanntgeben!
Was/wer ist Dritter?
Dritter ist JEDER, JEDER, JEDER (Mensch) innerhalb und außerhalb der speichernden Stelle (aber nicht der Betroffene und ebenso nicht der Auftragsdatenverarbeiter).
Ein ganz wichtiger Begriff!
Beispiele:
Für die Meyer GmbH ist die Sparkasse Buxdehude Dritter,
ebenso das Finanzamt Buxdehude,
ebenso die Muttergesellschaft Meyer GmbH & Co.KG, die irgendwo anders ihren Standort hat,
für den Personalsachbearbeiter der Meyer GmbH ist der Vertriebssachbearbeiter der Meyer GmbH Dritter.
Speichernde Stelle
ist jede juristisch selbstständige Einheit (z.B.: GmbH, KG, AG usw.), also deine Firma ist eine speichernde Stelle.
Erheben
ist das Beschaffen von Daten über den Betroffenen.
Solche Datenerhebungen sind beim Betroffenen selbst durchzuführen - er soll dir seine Daten geben. Dem Betroffenen ist der Zweck der Erhebung anzugeben.
Personenbezogene Daten und Betroffener
Personenbezogene Daten sind Angaben über persönliche und sachliche Verhältnisse, die sich auf eine natürliche Person beziehen lassen. Diese Person wird Betroffener genannt.
Personenbezogene Daten sind nicht nur persönliche Daten, wie z.B.:
- Name - Beruf - Geburtsdatum - Schulbildung - Einkommen usw.
sondern auch Daten über:
- Lieferanten - Kunden - Mitarbeiter - Bewerber - Pensionäre - Patienten - Klienten usw., usw.
Personenbezogene Daten sind z.B:
Der Kreditrahmen, den man dir bei deinem Kreditinstitut eingeräumt hat.
Die auf deiner EC-Karte hinterlegte Geheimnummer.
Die Geschwindigkeit mit der du in der Autobahnbaustelle mit dem Fahrzeug XYZ gefahren bist, als du von der Polizei fotografiert wurdest.
Fingerabdrücke in der Verbrecher-Kartei.
Die Einkaufskonditionen des Malers Müller bei dem Malerei-Großhandel Schmitt, wenn Müller ein Gewerbebetrieb hat oder eingetragener Kaufmann ist - nicht wenn Müller eine GmbH/KG usw. hat.
Der Gesamtbetrag des Pfändungsbeschlusses gegen Herr X.
Die Fehltage die der Abteilungsleiter Fritz von seinen Mitarbeitern in einer Liste in seinem Schreibtisch einträgt.
Die Anzahl der Abmahnungen eines Mitarbeiters; die Krankengeschichte des Herrn Müller; usw.
Der Betroffene muss bestimmbar sein (ist er nicht bestimmbar, greift das BDSG nicht -warum auch-). Das "bestimmen" kann geschehen durch Identifikationsschlüssel wie:
- Personalnummer - Kundennummer - Lieferantennummer - Rentenversicherungsnummer - Krankenversicherungsnummer - laufende Zählnummer.
Der Begriff -bestimmbar- wird weit ausgelegt.
Beispiel: Der Gruppenleiter Müller führt auf seinem Arbeitsplatz-PC eine Krankenliste seiner Mitarbeiter. Er ist sich unsicher, ob dies alles so mit dem Datenschutz vereinbar ist und führt deshalb in der Liste keine Namen oder Personalnummern mit, sondern nur laufende Zählnummer. Er meint damit sei alles in Ordnung. Die Namen zu den einzelnen Nummern hat er getrennt von der Liste in einem Aktenordner im Schrank abgelegt.
Da die Nummern in der Liste denselben Nummern im Ordner zugeordnet werden können -und somit auch den Namen die dahinterstehen-, wurde der Betroffene bestimmbar. Das BDSG greift.
Datengeheimnis
Den Personen, die personenbezogene Daten maschinell verarbeiten oder die Daten in nicht automatisierten Verfahren verarbeiten und an Dritte übermitteln, ist untersagt, geschützte personenbezogene Daten zu verarbeiten, bekanntzugeben, zugänglich zu machen oder sonst zu nutzen. Befugnis besteht im Rahmen Ihrer rechtmäßigen Aufgabenerfüllung.
Datei
Personenbezogene Daten werden nur geschützt, soweit sie in Dateien gespeichert sind - aber Vorsicht: sie werden auch dann geschützt, wenn sie nicht in Dateien sind - aber aus Dateien stammen.
Den Dateibegriff erfüllt eine Sammlung von Daten, die
- gleichartig aufgebaut
- nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet
werden können.
Bei automatischer Datenverarbeitung treffen diese Kriterien immer zu.
Bei manueller Datenverarbeitung können diese Bedingungen zutreffen auf:
- Lohnkartei - Kundenkartei - Fehlzeitkartei - Patientenkartei usw.
Listen, die aus Dateien erstellt werden, sind selbst zwar keine Dateien, unterliegen aber dem Bundesdatenschutzgesetz (BDSG).
Lernkontrolle: du speicherst ja tägliche neue Infos zu Menschen in deinem Gehirn. Was meinst du - gilt für diese Daten in deinem Kopf das BDSG? Sind diese Daten geschützt? Antwort: JA, wenn die Daten auch in (Computer-)Dateien gespeichert sind und du sie dort her hattest.
Speicherstelle
Speicherstelle ist:
- jede Behörde
- jede öffentliche Stelle
- jede natürliche Person
- jede juristische Person, Gesellschaft und andere Personenvereinigung des privaten Rechts,
die Datenverarbeitung
- für eigene Zwecke oder
- geschäftsmäßig
betreibt.
Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben am 2007-04-01 bis 2007-04-09)
Die Aufgaben des Datenschutzbeauftragten (DSB)
Leider stoße ich gerade an die 64K-Grenze und muss nun splitten.
Wenn ich mal herausgefunden habe wie ein weiteres Tutorial angelegt wird, folgt dann Lektion 4 im zweiten Tutorial
"Datenschutzbeauftragter und Datenschutz-Umsetzung II"
...
Suchbegriff ist "##1": > Nachtrag zu "Datenschutz"
Suchbegriff ist "##2": > Nachtrag zu "Datensicherheit"
Suchbegriff ist "##3": > Streichung
Suchbegriff ist "##4": > Nachtrag zu "Schulung"
Suchbegriff ist "##5": > Nachtrag zu "Öffentliches Verfahrensverzeichnis"
Inhalt:
Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)
Lektion 2: Die Bestellung des Datenschutzbeauftragten (geschrieben am 2007-03-25)
Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden (geschrieben am 2007-03-25)
Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben ab 2007-04-01 bis 2007-04-09)
Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)
Angeregt zu diesem Tutorial wurde ich durch die Frage eines Mitgliedes "Was macht ein Datenschutzbeauftragter?".
Dieses Tutorial behandelt zuerst einmal die Frage: Muss ein Datenschutzbeauftragter (DSB) bestellt werden und kann es ein IT-Leiter sein.
Ich möchte dieses Tutorial gerne fortführen, so dass es seinem Titel gerecht wird - da dies aber jede Menge Arbeit ist - möchte ich abwarten ob es von euch angenommen wird.
Zum Anfang kurze Antworten auf die Fragen:
a) müssen wir einen DSB haben?
b) darf ich Datenschutzbeauftragter sein, obwohl ich IT-Leiter bin (oder in der IT beschäftigt)?
Zu a: eine "Stelle" hat einen Datenschutzbeauftragten zu bestellen, wenn 10 Personen (ab der 10. Person, also 10, 11, 12,...) (Mitarbeiter) mit der personenbezogenen Datenverarbeitung beschäftigt sind! Hört sich gut an, aber was sind denn "Personen, die mit personenbezogener Datenverarbeitung beschäftigt sind". Dazu steht nichts im Gesetz - man geht davon aus, dass es die Personen sind, die <im Rahmen ihrer dienstlichen Tätigkeit und Aufgabenerfüllung oft, viel, primär, überwiegend mit personenbezogenen Daten zu tun haben>. Zähle jetzt mal alle zusammen: Mitarbeiter einschließlich Chef der Personalabteilung, des Vertriebes (auch Außendienst), des Einkaufes, der Revision, des Marketings und du und deine Mitstreiter - gibt es bei euch Externe - Aushilfskräfte im Vertrieb, usw. - zählst du diese bitte mit.
Bist du auf 10 und mehr, ist alles klar > DSB MUSS her.
Ein Problem hast du nur dann, wenn du unter 10 geblieben bist: laut Gesetz braucht ihr keinen DSB zu bestellen! Aber das ist nicht so! Übrigens ziehen sich solche Sachverhalte durchs ganze BDSG <nach Gesetz so oder so - in der Praxis gerade andersherum>. Was gilt denn jetzt? Es gilt: wird kein DSB bestellt, ist die Stelle für die Einhaltung der Gesetzesvorschriften verantwortlich !!! Also entweder macht es dein Geschäftsführer (GF) selbst oder er delegiert diese Verantwortung an einen Mitarbeiter den man dann als "Datenschutzzuständigen" bezeichnen könnte. Meinst du dein GF macht es? Nein, natürlich nicht - er wird delegieren.
Es gibt noch zwei Ausnahmen IN DENEN DIE STELLE IIIIIIIIIIIMMER EINEN DSB bestellen muss:
a.1: ihr habt Applikationen eingesetzt, die aufgrund ihrer Verarbeitung der persbez. Daten eine VORABKONTROLLE erzwingen würden.
a.2: ihr personenbez. Daten geschäftsmäßig übermittelt! Adresshändler, Auskunfteien,...
Klärung zu a1:
Zuerst einmal nennt man diese Programme mit denen personenbez. Daten verarbeitet werden >>> VERFAHREN <<<. Gut merken, ist das meist gebrauchte Wort im Datenschutzsprachschatz.
Verfahren unterliegen einer Vorabkontrolle, wenn DATEN verarbeitet werden, die Aufschluss zu:
1. rassische und ethnische Herkunft,
2. politische Meinungen,
3. religiöse oder philosophische Überzeugungen,
4. Gewerkschaftszugehörigkeit,
5. Gesundheit oder Sexualleben
geben!
Eher hat ein Produktionsbetrieb solche Verfahren nicht > aber schau mal genau im Vertrieb nach > die speichern ja alles was sie kriegen können.
Empfehlung: bestellt den DSB. Ist keiner für dieses Amt benannt, wird bei euch nie was im Datenschutz vernünftig laufen. Außerdem ist er bei ab ca. 100 Mitarbeitern gut zu vertreten.
Gut, wenden wir uns <b) darf ich das als IT-Leiter sein?> zu:
Der Gesetzgeber vermutet Interessenskonflikte (in der Person des DSBs) beim Erfüllen der beiden Aufgaben <Datenschutzbearbeitung / primären Aufgabe der regulären Stelle>. Und zwar bei Beschäftigten in der IT, der Personalwirtschaft (auf jeden Fall) und beim Vertriebsleiter, Finanzleiter usw. (von Fall zu Fall). Wer bleibt übrig? Zweie bleiben und denen könnte man von Fall zu Fall zu Fall auch Interessenskonflikte unterstellen, nämlich der Leiter Qualitätswesen und der Leiter Produktion.
So, jetzt kommt aber die berufliche Erfahrung und die Kenntnis der IT ins Spiel: vom DSB wird erwartet, dass er Kenntnisse in der IT hat. Gute Kenntnisse. Schluss, aus, keine Diskussion > er muss über IT-Erfahrung verfügen. Einer der Vorkommentatoren meinte, es reiche, wenn er Weisungen erteilen kann. Das ist schlichtweg unverantwortlich niedergeschrieben. Schlimm! Weißt du was passiert, wenn unqualifizierte Menschen anderen (erfahrenen) Menschen Weisungen erteilen? Im schlimmsten Fall Konkurs.
1. aus meiner Praxis heraus weiß ich, dass der best qualifizierte Mann für die Stelle des DSBs der IT-Mann ist! Er hat als einziger (neben dem GF) Einblick in alle Unternehmensbereiche, wie Einkauf, Vertrieb, Personal usw. weil der IT'ler ja ständig deren - auch fachliche - Probleme erzählt bekommt um dann Abhilfe mittels EDV-Unterstützung bringen soll. Er ist der, der alles im Betrieb weiß, kennt, hört und sieht. Tatsächlich ist er das Multitalent, das sich der Gesetzgeber vorstellt.
2. Dem IT-Mann wird ungerechtfertigterweise ein Interessenskonflikt unterstellt, weil die primäre Aufgabe des IT-Mannes falsch interpretiert wird: er ist ja gar nicht verantwortlich dafür, was die Personalabteilung mit den Daten anstellt. Das ist ihm doch piep schnurz egal. Er ist doch lediglich dafür verantwortlich, dass die IT-Infrastruktur läuft!!! und die Personalabteilung mit EDV-Unterstützung arbeiten kann. Wie die arbeiten verantwortet der Personalleiter! Das gilt natürlich auch für Vertrieb, Einkauf, Rechnungswesen usw.
Fazit: der IT-Mann hat keine Interessenskonflikte - weil er keine Stelle der wertschöpfenden Betriebsprozesse innehat. Er ist und bleibt der Berater - deshalb ist die IT ja auch - nur - Stabsstelle.
3. Dieser Argumentation muss und wird die Aufsichtsbehörde folgen, weil sie es nicht darauf anlegt sich mit deinem Betrieb vor Gericht zu streiten.
Empfehlung: Nicht nur <man darf als IT-Leiter durchaus DSB sein>, nein, gerade er muss es sein!. Und wenn du deine Aufgabe gut machst, wird diesen Sachverhalt niemand - wirklich - negativ und folgenschwer hervorheben.
Kommen wir zu den Aufgaben des DSB:
Tatsache ist: Datenschutz ist/kann eine LEBENSAUFGABE sein/werden! Lies den letzte Satz bitte nochmal und glaube das was da steht.
Drei Fragen solltest du am Anfang klären und beantworten - aber für dich selbst:
1. Möchte ich DSB werden?
Wenn du das nicht möchtest - sondern nur einer Verpflichtung als Angestellter nachkommen möchtest - lass es bleiben.
Eingestellt wurdest du ja als IT'ler und nicht als Datenschützer.
Wenn du es aber doch tust - obwohl du es als Zwang empfindest - wirst du einen sehr unbefriedigenden Job vorfinden.
2. Habe ich 15 % meiner Arbeitszeit für Datenschutz übrig?
Das ist so die - allgemein anerkannte - Anforderung an deine Arbeitsleistung in diesem Bereich.
Nicht, dass dir einer die Stunden nachzählt, aber wenn es einmal Probleme bei euch im Hause geben sollte, dann wird man dich schon fragen - wenn du weniger Zeit investiert hast - ob du alle deine Ämter so lapidar bekleidest. Und diese Frage IST beschämend.
Also: hast du keine 10 - 15 % Zeit > Finger weg vom DSB-Status.
3. Was will dein Unternehmen? Dein Geschäftsführer?
Wenn der einen Schein-Datenschutzbeauftragten haben will und einen Schein-Datenschutz realisieren möchte !!! Finger weg, Job nicht annehmen.
So, nur für den Fall, dass du jetzt aus dieser ganzen Angelegenheit raus (du kommst damit aber auch rein; Vorsicht) willst, wie geht es?
Exkurs:
Irgendwo in deinen Texten sprichst du von "rede ich mit meinem Vorgesetzten". Pass auf: du redest/verhandelst/empfiehlst/argumentierst als bestellter DSB definitiv nicht mehr mit irgendwelchen Vorgesetzten (kommt oft vor, dass der IT-Leiter dem Personalchef unterstellt ist) sondern nur noch mit dem GF. Du bist nach Gesetz niemanden unterstellt, außer dem GF. Das ist zwingende Voraussetzung für das Funktionieren deines Jobs. Und wenn dein GF dich trotz Hinweisen trotzdem dem Pers.-Leiter unterstellt, ist dies für dich der Grund zur Niederlage des DSB-Amtes.
Ende Exkurs.
Am besten redest du - an einem seiner guten Tage - mit deinem GF - und nur mit dem - und sagst, das du jetzt etwas mehr weißt als gestern:
Du kannst ruhig auf den netten Berater aus dem Internet hinweisen. Dann gibt es auch keine Probleme, das ist einfach gute und geschätzte Offenheit.
(Bau das nachher mit deinen eigenen Worten nochmals neu zusammen - ablesen wirst du es nicht können):
"Also Chef, man weiß (unsere Regierung weiß, unser Gesetzgeber weiß), dass du keine Zeit hast dich mit allem möglichen Kram zu befassen (die sind nämlich dran interessiert, dass du viel Kohle scheffelst, viele Steuern zahlst und vielen Menschen einen Job gibst) und deshalb stellen sie dir einen Berater zur Seite - und das ist dann in unserem Falle der Datenschutzbeauftragte (genauso verhält es sich mit dem Qualitätsbeauftragten, dem Umweltschutzbeauftragten, dem Brandschutzbeauftragten, dem IT-Sicherheitsbeauftragten, dem Sicherheitsbeauftragten, dem Frauenbeauftragten, dem Ausländerbeauftragten und allen betrieblichen Beauftragten die es sonst noch gibt). Die meinen es also gut mit dir, Chef, wollen deinen Kopf von solchen Dingen frei halten und stellen dir deshalb meinen Kopf - als externen Speicher - zur Verfügung. Die wollen also gar nicht, dass ich dir als Beauftragter irgendwas verbiete oder dir ans Bein trete - nein, die wollen dich entlasten - natürlich und gerade deshalb erwarten DIE (also "man") und DU eine gute Leistung von mir!!!
Ich als Datenschutzbeauftragter soll dich also beraten ... und deshalb muss - und ich will es auch selbst - diesen Job GUT MACHEN ... denn, wenn ich Mist baue, wirst du dafür zur Verantwortung gezogen - du musst die ganze Suppe auslöffeln, die ich dir durch Schlecht-Beratung eingebrockt habe - und dann bist du sauer und ich habe keine gute Zeit mehr im Unternehmen (... die Strafe zahlst immer du, nicht ich (später dazu mehr)).
Chef, damit das alles funktioniert brauche ich:
a) Budget von ... sagen wir die ersten drei Jahre ... pro Jahr 5000 Euro (nein, besser 6000 Euro - das ist bei eurem 30/80 Mann-Betrieb drin - dann kann er dich auf 5000 runterhandeln) in meiner Datenschutzkasse. Danach VIELLEICHT weniger - aber eher nicht. Ja, ein EXTERNER kostet weniger ... vordergründig - tatsächlich nicht -, weil der genau soviel regeln muss wie ich, aber den drei-/vierfachen Stundensatz hat (dieser Satz kann deinen Ausstieg bringen...).
b) Ich brauche Zeit - dass muss dir einfach klar sein - denn Nachdenken und beraten kostet nunmal Zeit. Ääääh in der Woche brauche ich etwa so 4 Stunden, das wären im Jahr so ungefähr 300h. Also zumindest mal in den beiden ersten Jahren - bis meine Datenschutz-Organisation steht.
c) und dann brauche ich Mutterwärme, viiiiiiel Nestwärme und ein Gefühl der Anerkennung - das heißt, ich muss wissen, dass du hinter und neben mir stehst, wenn ich versuche Dinge zu regeln usw. usw. (denn die anderen Abteilungsleiter werden gegen mich schießen, weil die das DS-Gesetz ja auch nicht richtig gelesen und verstanden haben - und genauso denken wie du vor noch 15 Minuten gedacht hast) - sonst wird meine ganze Arbeit nämlich nutzlos im Nichts versanden ...
So Chef, in 14 Tagen kann ich die notwendigen Vorbereitungen treffen, dass du mich offiziell bestellen kannst ... und jetzt brauche ich dein uneingeschränktes JA (oder dein endgültiges NEIN) um mich um die Bestellung zu kümmern - muss nochmals lesen und das Internet durchforsten. Was machen wir ... Chef? Machen wir weiter?"
Zu a): [Ich habe diesen Betrag geschätzt - hatte nie ein Budget - meine aber, dass es in der Größenordnung sein muss.] Du musst Kurse besuchen, Lehrgänge, Konferenzen, eventuell einem DS-Verein beitreten, Reisekosten fallen an - eventuell Hilfsmittel, wie Bücher, Zeitschriften (rechts auf der Schreibtischkante obenauf liegend - zeugt enorm von Fachkunde), Software brauchst du auf jeden Fall (Freeware gibt es (Googlesuche auf "Verfahrensverzeichnis + Datenschutz + Freeware"), andere kosten so ab 150 Euro aufwärts, gute ab 500 aufwärts, die wirklichen Knaller ab 900 Euro!)
So, das waren jetzt Hinweise zu den Einstiegsfragen.
Wenn du Interesse hast, kommt dann - wenn ich Zeit habe - die nächste Lektion, die ich mit "First Steps" umschreiben würde.
Also, gib mir Bescheid - auch, wenn sich die Sache erledigt hat.
Gruß CGLorenzo
Lektion 2: Die Bestellung des Datenschutzbeauftragten (geschrieben am 2007-03-25)
Die Bestellung des betrieblichen Datenschutzbeauftragten (bDSB, im Folgenden DSB genannt) ist in § 4f BDSG geregelt.
Die wirklich wichtigen (und für uns neuen) Festlegungen finden wir in den Absätzen 3, 4 und 5.
Dort steht:
a) der DSB ist dem Leiter der Stelle zu unterstellen,
b) der DSB ist bei der Ausübung seiner Fachkunde (das heißt bei seiner täglichen Arbeit im Datenschutz (DS)) weisungsfrei,
c) er darf nicht benachteiligt werden,
d) seine Bestellung zum DSB kann widerrufen werden. Dies geschieht in sinngemäßer Anwendung von § 626 Bürgerliches Gesetzbuch (BGB),
e) die Aufsichtsbehörde kann seine Abbestellung verlangen,
f) der DSB ist zur Verschwiegenheit verpflichtet,
g) der DSB hat ein Zeugnisverweigerungsrecht, wenn ein solches überhaupt anwendbar ist,
h) der DSB soll von der Stelle (Unternehmen) unterstützt werden.
Zu a: Der DSB ist dem Leiter der Stelle zu unterstellen. Das bedeutet, dass du als Vorgesetzten eigentlich nur noch den GF hast. Ich gebe dir ein Beispiel: Du bist Mitarbeiter in der IT und hast als direkten Vorgesetzten den IT-Leiter. Dann bedeutet (a) für dich: als DSB hast du nur noch dem GF zu berichten, das Verhältnis zum IT-Leiter ist in deiner Eigenschaft als DSB unrelevant geworden - trotzdem ist er noch dein Vorgesetzter, wenn es um deinen Job als IT-Mitarbeiter geht.
Zusammenfassung: du hast als DSB nur dem GF, dem Vorstand oder dem Inhaber des Unternehmens Rede und Antwort zu stehen.
Zu b: der DSB arbeitet weisungsfrei bedeutet, dass dir niemand (auch nicht der GF, der Vorstand, der Inhaber) irgendetwas bei der Ausübung deiner Datenschutzarbeit vorschreiben darf. Also: Absprachen oder Vorgaben (dies und jenes zu tun, dies und jenes zu unterlassen) darf es nicht geben. Das heißt natürlich nicht, dass du jetzt wie ein Wirbelsturm durch die Abteilungen fegst und die Sau raus lässt, nein nein, du musst ja noch mit den Menschen zusammenarbeiten - und du möchtest ja auch für deine Erfolge und gute Arbeit ein klein wenig Anerkennung haben.
Aber, wenn du feststellst, dass man dir trotzdem versucht die Richtung vorzugeben, dann solltest du darauf reagieren. Wie? Solche Dinge können sachlich und ruhig bei den festgelegten Berichtsterminen beim GF angesprochen werden - lass dir Zeit - warte auf den Termin und bringe das Problem unter den normalen Tagesordnungspunkten unter. Verabrede deshalb sofort am Anfang deiner DSB-Karriere zwei oder vier Berichtstermine pro Jahr (Zeit: je eine Stunde) mit dem GF - dann fällt dem ein Stein vom Herzen, dass du ihn nicht noch mehr mit dem Käse quälst - und er sagt zu.
Zu c: Der DSB darf nicht benachteiligt werden! Vergiss es! Dieses Recht kannst du dir nur vor Gericht einfordern, aber nicht im Unternehmen. Wenn du also so dumm warst und allen auf die Füße getreten bist - dir es bei allen versaut hast - dann wirst du gemobbt und aus der Gemeinschaft ausgeschlossen. Selbst dran schuld. Es geht ja auch anders: du musst nur deine Geisteshaltung ändern und zwar, indem du dir nochmals folgendes vor Augen führst: ich bin der Berater > ich soll also beraten > ich mache Vorschläge > und wenn die nicht akzeptiert oder angenommen werden, trägt doch der GF ab diesem Zeitpunkt die Verantwortung/das Risiko. Diesen geistigen Schritt musst du machen und du wirst sehen, damit kannst du herrlich leben! Gut ist es natürlich, wenn du dir deine Handlungen und Vorschläge (am besten zentral und mit einem Datenschutzwerkzeug) festhälst und dokumentierst.
Zu d: Der DSB kann abbestellt werden! Dieser Paragraph 626 im BGB regelt die fristlose Entlassung. Das ist nicht mein Thema - aber folgendes ist damit gemeint. Wenn diese fristlosen Entlassungsgründe vorliegen würden, kann man dich als DSB abberufen, aber nicht deine Stelle als IT-Mitarbeiter oder IT-Leiter oder sinngemäß deinen anderen Hauptjob kündigen. Du weißt jetzt: lieber DSB im Nebenjob - Vorsicht, wenn es ein Hauptjob wird. Ich selbst kenne solche Vorkommnisse gar nicht und ich kenne viele DSBs die sich mit wirklich jedem angelegt hatten.
Zu e: die Aufsichtsbehörde kann seine Abbestellung verlangen! Diese Aufsichtsbehörde ist ein Referat im Innenministerium deines Bundeslandes - also nicht der Bundesdatenschutzbeauftragte (ok, wenn du bei einer Bundesbehörde tätigt bist, ist er es doch). Wann könnte es zu dieser Blamage kommen? Wenn die Aufsichtsbehörde feststellt, dass du deinen Job schlecht erfüllst - lapidar gesprochen: nix gemacht hast. Also: wenn du deinen Job gemacht hast, wird niemand auf Abbestellung plädieren - selbst dann nicht, wenn kleinere Fehler passiert sind. Nur: Vorsatz und grobe Fahrlässigkeit dürfen nicht ins Spiel kommen.
Zu f: Verschwiegenheit. Ist klaro, brauchen wir nicht drüber zu diskutieren.
Zu g: Zeugnisverweigerungsrecht. Das ist neu im BDSG und musste eingeführt werden, damit Rechtsanwälte und Steuerberater (dort besteht nämlich das Zeugnisverweigerungsrecht) einen externen DSB anstellen können - vor dieser Regelung mit dem Zeugnisverweigerungsrecht ging das nämlich nicht.
Zu h: der DSB soll von der Stelle unterstützt werden. Ich denke, das haben wir schon in "Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen?" angesprochen - aber nochmals: wenn du NICHT unterstützt wirst, soll es doch ein anderer machen > Job abgeben.
EXKURS:
Nach dem Gesetzestext kannst du im Web mit "Gesetzestext + BDSG" suchen.
Ob du das neueste Gesetz gefunden hast, erkennst du daran, dass es in § 4f den Absatz (4a) "Soweit der Beauftragte für den Datenschutz bei ..." gibt.
Alternativ kannst du den Text als PDF-Datei bei mir anfordern.
EXKURS Ende.
Anlage Bestellungsurkunde für DSB und stellv. DSB
Bestellung zum betrieblichen Datenschutzbeauftragten
Die Firma...
bestellt hiermit mit Wirkung vom
Herrn/Frau
zum betrieblichen Datenschutzbeauftragten.
Ihre Aufgabe ist es, unbeschadet der eigenen datenschutzrechtlichen Verantwortlichkeit der jeweiligen Organisationseinheit, durch Beratung und jederzeitige auch unangemeldete Kontrollen auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Rechtsvorschriften über den Datenschutz hinzuwirken. Im Einzelnen ergibt sich die Aufgabe des betrieblichen Datenschutzbeauftragten aus §§ 4 f und 4 g Bundesdatenschutzgesetz. Sie sind bei der Erfüllung Ihrer Aufgabe von allen Mitarbeitern und Mitarbeiterinnen zu unterstützen.
Alle Mitarbeiter und Mitarbeiterinnen können sich in Angelegenheiten des Datenschutzes an Sie wenden.
Sie sind auf dem Gebiete des Datenschutzes weisungsfrei und der Geschäftsleitung direkt unterstellt.
Zuständig ist Geschäftsführer/Vorstandsmitglied ....
Ort, Datum Ort, Datum
______________________________ _____________________________
GL Herr/Frau
Bestellung zum/zur stellvertretenden betrieblichen Datenschutzbeauftragten
Die Firma...
bestellt hiermit mit Wirkung vom
Herrn/Frau
zum/zur stellvertretenden betrieblichen Datenschutzbeauftragten. Im Falle einer Vertretung entspricht Ihre Stellung der des/der betrieblichen Datenschutzbeauftragten.
Ihre Aufgabe ist es, im Vertretungsfall unbeschadet der eigenen datenschutzrechtlichen Verantwortlichkeit der jeweiligen Organisationseinheit, durch Beratung und jederzeitige auch unangemeldete Kontrollen auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Rechtsvorschriften über den Datenschutz hinzuwirken. Im Einzelnen ergibt sich die Aufgabe des betrieblichen Datenschutzbeauftragten aus §§ 4 f und 4 g Bundesdatenschutzgesetz. Sie sind bei der Erfüllung Ihrer Aufgabe von allen Mitarbeitern und Mitarbeiterinnen zu unterstützen.
Alle Mitarbeiter und Mitarbeiterinnen können sich in Angelegenheiten des Datenschutzes an Sie wenden.
Sie sind auf dem Gebiete des Datenschutzes weisungsfrei und der Geschäftsleitung direkt unterstellt. Zuständig ist Geschäftsführer/Vorstandsmitglied ....
Ort, Datum Ort, Datum
______________________________ _____________________________
GL Herr/Frau
Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden (geschrieben am 2007-03-25)
Frei nach dem Motto: Sage mir wie du heißt und ich sage dir wer du bist >>> ODER <<< je öfters du falsche Datenschutzbegriffe an falschen Stellen und umgekehrt und verkreuzt umgekehrt verwendest, desto schneller bist du als nicht-fachkundig entlarvt.
Mir ist doch regelmäßig der Tag versaut, wenn ich von der Telefonzentrale dieses höre: ...ich darf Sie aus Datenschutzgründen nicht zu Herrn XYZ durchstellen... > so ein Schwachsinn > da hat der DSB gepennt. Tatsächlich handelt es sich um eine interne Anweisung - nur, wie soll man die nach außen begründen?
Schauen wir uns einmal die Datenschutzgrundbegriffe an, damit wir bei anderen glänzen können.
Datenschutz
Mit Datenschutz werden Handlungen beschrieben, die rund um Menschen und deren personenbezogene Daten stattfinden.
Merke: "Datenschutz ist der Schutz des Menschen vor dem Computer."
Ziel des Datenschutzes ist es, die Beeinträchtigung schutzwürdiger Belange der Betroffenen, welche durch Informationsverarbeitung ausgehen kann, zu verhindern.
##1: Wir reden von Datenschutz, wenn wir etwas tun, wo der Mensch und seine Daten im Vordergrund stehen: wir unterweisen im Datenschutz; wir beantworten eine Anfrage aus der Abteilung X zum Datenschutz; wir führen das Verfahrensverzeichnis; wir verpflichten einen Mitarbeiter auf das BDSG; wir verfassen den Jahresbericht; wir setzen Datenschutz-Maßnahmen um;...
Datensicherheit
Mit Datensicherheit werden Handlungen beschrieben, die rund um die IT-Infrastruktur und alle Daten stattfinden.
Merke: "Datensicherheit ist der Schutz des Computers vor dem Menschen."
Also die Aussage darüber, wie und mit welchen Mitteln die Daten im Computer vor unberechtigtem Zugriff geschützt werden können. Dazu sind personelle, technische und organisatorische Voraussetzungen zu schaffen.
##2: Wir reden von Datensicherheit, wenn wir etwas tun, wo der Computer und seine Daten im Vordergrund stehen: wir führen ein Backup durch; wir retten verlorene Daten durch ein Restore; wir sichern ein Netzwerk ab; wir installieren einen Virenschutz; wir überprüfen die Zugriffsrechte auf den Server; wir erstellen ein IT-Sicherheits-Konzept; wir installieren an der Tür zum Rechnerraum einen Kartenleser;...
##3:
Datenverarbeitung
ist jeder Vorgang, bei dem der Bestand oder der örtliche, zeitliche oder logische Zusammenhang von Informationen eine Änderung erfahren. Dabei wird keine Rücksicht auf die Art der Verarbeitung, also manuell oder maschinell, genommen.
Die Phasen der Datenverarbeitung sind:
- erheben - speichern - verändern - sperren - löschen - übermitteln.
Gehe grundsätzlich davon aus, dass Datenverarbeitung nichts mit "EDV" zu tun haben muss!
Wenn du eine Rechnung oder eine Lohnsteuerkarte zerreißt, betreibst du Datenverarbeitung.
Wenn du eine Rechnung oder eine Lohnsteuerkarte in den Papierkorb wirfst, betreibst du Datenverarbeitung.
Wenn du eine CD (mit Daten!, nicht nur mit personenbez. Daten) an einen Mitarbeiter übergibst, betreibst du Datenverarbeitung.
Wenn du Daten sicherst (Backup) ist dies Datenverarbeitung.
Als du mit 120 km/h in der Autobahnbaustelle "geblitzt" wurdest, wurden deine Daten verarbeitet.
Wenn du eine Liste in den Papierkorb wirfst, hast du Daten verarbeitet.
Wenn du mit deiner Scheckkarte beim Lebensmittelgeschäft nebenan den Einkauf bezahlst, werden deine Daten verarbeitet.
Verstanden? Noch einmal: Datenverarbeitung ist alles ... wobei Daten (informationen) ... eine Änderung erfahren
Speichern
ist das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke Ihrer weiteren Verwendung.
Datenträger sind u.a.:
Disketten, Magnetplatten, Magnetbänder, Mikrofilme (Fiches) aber auch Karteikarten, Lohnsteuerkarten, Bilder, Filme...
Ist ein Notizblock ein Datenträger? Ja, wenn Informationen draufstehen.
Verändern
ist das inhaltliche Umgestalten gespeicherter Daten.
Wir ändern im PC die Lieferanschrift eines Alt-Kunden; er ist umgezogen.
Wir ändern im Telefon-Büchlein die Faxnummer von CGLorenzo von 1234 in 1235 indem wir die 4 ausradieren und dafür die 5 hinschreiben.
Sperren
ist das Kennzeichnen der Daten, um die weitere Nutzung der Daten einzuschränken.
Der Personalchef setzt ein "J" in die Abfrage seines Computer-Programms "Stammsatz sperren? (J/N) _". Das Personal-Informations-System wird diesen Stammsatz nicht mehr ohne weiteres anzeigen.
Wir führen unsere Klientendaten noch im Kartei-Kasten. Ich nehme die Karteikarte "Georg Meyer" mit den Anlage-Karten aus dem Kasten, lege ein festes Gummiband um diesen Karten-Pack ... unter das Gummiband schiebe ich einen kleinen Zettel mit der Aufschrift "GESPERRT !!! Bitte Rückfrage bei xyz".
Löschen
ist das Unkenntlichmachen gespeicherter Daten.
Bei manuellen Verfahren gilt ein Datum (Datenfeld) als gelöscht, wenn es durch Überschreiben unlesbar wird.
Bei maschinellen Löschverfahren wird häufig das betreffende Datenfeld oder der Datensatz als gelöscht gekennzeichnet. Bei diesem Verfahren bleibt also die Information tatsächlich voll erhalten.
Ich streiche in meinem Telefonbüchlein die Faxnummer von Hanna Schneider-Müller 12345 durch.
Ein Computer-Programm hinterlegt die Informationen mit einem Vorspann von "system-notwendigen" Erkennungsdaten. Ein Rechnungsdatensatz wird nicht nur mit den Rechnungsdaten
1000 Euro 4.9.06 59010066 24-5678
gespeichert, sondern (vereinfacht dargestellt) beispielsweise so
@06 1000 Euro 4.9.06 59010066 24-5678
Das Zeichen @ zeigt der Software an, dass dieser Datensatz gültig ist. 06, dass er in 2006 angelegt wurde.
Wird dieser Satz im Computer-Programm gelöscht, entfernt das Programm lediglich das @ und schreibt die verbleibenden Daten wieder auf den Datenträger. Nun ist folgendes gespeichert.
06 1000 Euro 4.9.06 59010066 24-5678
Beim nächsten Einlesen der Rechnungsdaten wird dieser Satz vom Programm wohl noch gelesen, aber nicht mehr bereitgestellt.
Übermitteln
ist das Bekanntgeben von Daten an Dritte.
Dies ist auch dann bereits der Fall, wenn die Daten zur Einsicht oder zum Abruf bereitgehalten werden.
Was ist bekanntgeben?
Beispiele:
Du richtest einem neuen Personalsachbearbeiter das Personalverwaltungsprogramm auf seinem Rechner ein und gibst ihm Zugriff auf die Personaldaten.
Du bist Vertriebsmitarbeiter und legst eine Liste (eine CD) mit personenbez. Daten auf deinen Schreibtisch! STOP: hast du was gemerkt? Da stand nicht, dass du die Liste irgendjemand übergeben hast ... aber durch das Hinlegen auf den Schreibtisch hast du die Daten zur Einsicht bereitgehalten und lt. Gesetz bekanntgeben!
Was/wer ist Dritter?
Dritter ist JEDER, JEDER, JEDER (Mensch) innerhalb und außerhalb der speichernden Stelle (aber nicht der Betroffene und ebenso nicht der Auftragsdatenverarbeiter).
Ein ganz wichtiger Begriff!
Beispiele:
Für die Meyer GmbH ist die Sparkasse Buxdehude Dritter,
ebenso das Finanzamt Buxdehude,
ebenso die Muttergesellschaft Meyer GmbH & Co.KG, die irgendwo anders ihren Standort hat,
für den Personalsachbearbeiter der Meyer GmbH ist der Vertriebssachbearbeiter der Meyer GmbH Dritter.
Speichernde Stelle
ist jede juristisch selbstständige Einheit (z.B.: GmbH, KG, AG usw.), also deine Firma ist eine speichernde Stelle.
Erheben
ist das Beschaffen von Daten über den Betroffenen.
Solche Datenerhebungen sind beim Betroffenen selbst durchzuführen - er soll dir seine Daten geben. Dem Betroffenen ist der Zweck der Erhebung anzugeben.
Personenbezogene Daten und Betroffener
Personenbezogene Daten sind Angaben über persönliche und sachliche Verhältnisse, die sich auf eine natürliche Person beziehen lassen. Diese Person wird Betroffener genannt.
Personenbezogene Daten sind nicht nur persönliche Daten, wie z.B.:
- Name - Beruf - Geburtsdatum - Schulbildung - Einkommen usw.
sondern auch Daten über:
- Lieferanten - Kunden - Mitarbeiter - Bewerber - Pensionäre - Patienten - Klienten usw., usw.
Personenbezogene Daten sind z.B:
Der Kreditrahmen, den man dir bei deinem Kreditinstitut eingeräumt hat.
Die auf deiner EC-Karte hinterlegte Geheimnummer.
Die Geschwindigkeit mit der du in der Autobahnbaustelle mit dem Fahrzeug XYZ gefahren bist, als du von der Polizei fotografiert wurdest.
Fingerabdrücke in der Verbrecher-Kartei.
Die Einkaufskonditionen des Malers Müller bei dem Malerei-Großhandel Schmitt, wenn Müller ein Gewerbebetrieb hat oder eingetragener Kaufmann ist - nicht wenn Müller eine GmbH/KG usw. hat.
Der Gesamtbetrag des Pfändungsbeschlusses gegen Herr X.
Die Fehltage die der Abteilungsleiter Fritz von seinen Mitarbeitern in einer Liste in seinem Schreibtisch einträgt.
Die Anzahl der Abmahnungen eines Mitarbeiters; die Krankengeschichte des Herrn Müller; usw.
Der Betroffene muss bestimmbar sein (ist er nicht bestimmbar, greift das BDSG nicht -warum auch-). Das "bestimmen" kann geschehen durch Identifikationsschlüssel wie:
- Personalnummer - Kundennummer - Lieferantennummer - Rentenversicherungsnummer - Krankenversicherungsnummer - laufende Zählnummer.
Der Begriff -bestimmbar- wird weit ausgelegt.
Beispiel: Der Gruppenleiter Müller führt auf seinem Arbeitsplatz-PC eine Krankenliste seiner Mitarbeiter. Er ist sich unsicher, ob dies alles so mit dem Datenschutz vereinbar ist und führt deshalb in der Liste keine Namen oder Personalnummern mit, sondern nur laufende Zählnummer. Er meint damit sei alles in Ordnung. Die Namen zu den einzelnen Nummern hat er getrennt von der Liste in einem Aktenordner im Schrank abgelegt.
Da die Nummern in der Liste denselben Nummern im Ordner zugeordnet werden können -und somit auch den Namen die dahinterstehen-, wurde der Betroffene bestimmbar. Das BDSG greift.
Datengeheimnis
Den Personen, die personenbezogene Daten maschinell verarbeiten oder die Daten in nicht automatisierten Verfahren verarbeiten und an Dritte übermitteln, ist untersagt, geschützte personenbezogene Daten zu verarbeiten, bekanntzugeben, zugänglich zu machen oder sonst zu nutzen. Befugnis besteht im Rahmen Ihrer rechtmäßigen Aufgabenerfüllung.
Datei
Personenbezogene Daten werden nur geschützt, soweit sie in Dateien gespeichert sind - aber Vorsicht: sie werden auch dann geschützt, wenn sie nicht in Dateien sind - aber aus Dateien stammen.
Den Dateibegriff erfüllt eine Sammlung von Daten, die
- gleichartig aufgebaut
- nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet
werden können.
Bei automatischer Datenverarbeitung treffen diese Kriterien immer zu.
Bei manueller Datenverarbeitung können diese Bedingungen zutreffen auf:
- Lohnkartei - Kundenkartei - Fehlzeitkartei - Patientenkartei usw.
Listen, die aus Dateien erstellt werden, sind selbst zwar keine Dateien, unterliegen aber dem Bundesdatenschutzgesetz (BDSG).
Lernkontrolle: du speicherst ja tägliche neue Infos zu Menschen in deinem Gehirn. Was meinst du - gilt für diese Daten in deinem Kopf das BDSG? Sind diese Daten geschützt? Antwort: JA, wenn die Daten auch in (Computer-)Dateien gespeichert sind und du sie dort her hattest.
Speicherstelle
Speicherstelle ist:
- jede Behörde
- jede öffentliche Stelle
- jede natürliche Person
- jede juristische Person, Gesellschaft und andere Personenvereinigung des privaten Rechts,
die Datenverarbeitung
- für eigene Zwecke oder
- geschäftsmäßig
betreibt.
Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben am 2007-04-01 bis 2007-04-09)
Die Aufgaben des Datenschutzbeauftragten (DSB)
Leider stoße ich gerade an die 64K-Grenze und muss nun splitten.
Wenn ich mal herausgefunden habe wie ein weiteres Tutorial angelegt wird, folgt dann Lektion 4 im zweiten Tutorial
"Datenschutzbeauftragter und Datenschutz-Umsetzung II"
...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 54786
Url: https://administrator.de/tutorial/datenschutzbeauftragter-und-datenschutz-umsetzung-54786.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
17 Kommentare
Neuester Kommentar
WEITERMACHEN
Lonesome Walker
Lonesome Walker
Freue mich auf die First Steps
Es ist letztes jahr ein neuer Beschluss durchgesetzt worden:
Die Unternehmen haben einen betrieblichen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 5 Arbeitnehmer oder bei Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen.
Ich suche noch den Aktuellen Beschluss aus 2006 wo es hiess das bei mindestens 9 Personen die Vollautomatisiert mit erfassten Daten arbeiten einen DSB bestellen müssen.
http://datenschutz.peglow-visions.de/datenschutzbeauftragter.html
http://www.secutrends.com/de/service/download/corporation/publications/ ...
Aussdem kommt es darauf an, in welchem Land man zuhause ist. denn der Datenschutz ist von Land zu Land anders entschieden oder teilweise anders geregelt.
Hier der Beschluss der vor 2006 galt (denn die regel mit 10 Personen war mal 1990):
Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, sind verpflichtet, bei diesen Arbeiten die Ausführungen des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Der oder die Datenschutzbeauftragte ist Organ der Selbstkontrolle; sie unterstützen und beraten ihr Unternehmen. Die Unternehmen haben einen betrieblichen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 5 Arbeitnehmer oder bei Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen. Zu den Verpflichteten zählen
natürliche Person (Architekt, Anwalt, Steuerberater),
juristische Person (Telefondienste, Banken, Privatkliniken),
Personengesellschaft (GbR, GmbH, OHG Anwaltssozietät) und
nicht rechtsfähige Vereinigung (Gewerkschaften, politische Parteien, Berufsverbände)
Unabhängig von der Anzahl der Arbeitnehmer haben nicht öffentliche Stellen einen bDSB zu bestellen, soweit sie automatisierte Verarbeitungen vornehmen, die wegen besonderer Sensitivität vor Einsatz zu prüfen sind (Vorabkontrolle) oder die personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen. Mit der Aufgabe des bDSB kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. Der bDSB ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit der nicht öffentlichen Stelle zu bestellen. Wird der betriebliche Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann.
Einige Links:
http://www.datenschutz.de/suchen_stderw/?modus=Start&restrict=
http://www.datenschutz.de/recht/gesetze/
Ich suche und suche und finde den letzten beschluss leider nicht, jedoch waren es mal:
5 wer mit automatisierten Daten arbeitet muss einen DSB bestellen und letztes jahr wurde beschlossen 9 weil kleine Firmen sich keinen DSB leisten können wenn sie es Automatisiert verarbeiten. Da ist es: http://www.bfdi.bund.de/cln_029/nn_532042/SharedDocs/Publikationen/Gese ...
Letzte Änderung august 2006
§ 4f
Beauftragter für den Datenschutz
(1) Öffentliche und nicht-öffentliche Stellen,
die personenbezogene Daten automatisiert
verarbeiten, haben einen Beauftragten für
den Datenschutz schriftlich zu bestellen.
Nicht-öffentliche Stellen sind hierzu spätestens
innerhalb eines Monats nach Aufnahme
ihrer Tätigkeit verpflichtet. Das Gleiche gilt,
wenn personenbezogene Daten auf andere
Weise erhoben, verarbeitet oder genutzt
werden und damit in der Regel mindestens
20 Personen beschäftigt sind. Die Sätze 1
und 2 gelten nicht für die nicht-öffentlichen
Stellen, die in der Regel höchstens neun
Personen ständig mit der automatisierten
Verarbeitung personenbezogener Daten
beschäftigen.
BDSG vom 20. Dezember 1990 (BGBl. I S. 2954), neugefasst durch Bek. v. 14.1.2003 (BGBl. I S. 66), geändert durch § 13 Abs. 1 des Gesetzes v. 5. 9.2005 (BGBl. I S. 2722 sowie Artikel 1 des Gesetzes v. 22.8.2006 (BGBl. I S. 1970)
Also 100% - 9 Personen bei Automatisierten und nicht 10 Personen und bei nicht automatisierten Daten 20.
Die Unternehmen haben einen betrieblichen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 5 Arbeitnehmer oder bei Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen.
Ich suche noch den Aktuellen Beschluss aus 2006 wo es hiess das bei mindestens 9 Personen die Vollautomatisiert mit erfassten Daten arbeiten einen DSB bestellen müssen.
http://datenschutz.peglow-visions.de/datenschutzbeauftragter.html
http://www.secutrends.com/de/service/download/corporation/publications/ ...
Aussdem kommt es darauf an, in welchem Land man zuhause ist. denn der Datenschutz ist von Land zu Land anders entschieden oder teilweise anders geregelt.
Hier der Beschluss der vor 2006 galt (denn die regel mit 10 Personen war mal 1990):
Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, sind verpflichtet, bei diesen Arbeiten die Ausführungen des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Der oder die Datenschutzbeauftragte ist Organ der Selbstkontrolle; sie unterstützen und beraten ihr Unternehmen. Die Unternehmen haben einen betrieblichen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 5 Arbeitnehmer oder bei Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen. Zu den Verpflichteten zählen
natürliche Person (Architekt, Anwalt, Steuerberater),
juristische Person (Telefondienste, Banken, Privatkliniken),
Personengesellschaft (GbR, GmbH, OHG Anwaltssozietät) und
nicht rechtsfähige Vereinigung (Gewerkschaften, politische Parteien, Berufsverbände)
Unabhängig von der Anzahl der Arbeitnehmer haben nicht öffentliche Stellen einen bDSB zu bestellen, soweit sie automatisierte Verarbeitungen vornehmen, die wegen besonderer Sensitivität vor Einsatz zu prüfen sind (Vorabkontrolle) oder die personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen. Mit der Aufgabe des bDSB kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. Der bDSB ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit der nicht öffentlichen Stelle zu bestellen. Wird der betriebliche Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann.
Einige Links:
http://www.datenschutz.de/suchen_stderw/?modus=Start&restrict=
http://www.datenschutz.de/recht/gesetze/
Ich suche und suche und finde den letzten beschluss leider nicht, jedoch waren es mal:
5 wer mit automatisierten Daten arbeitet muss einen DSB bestellen und letztes jahr wurde beschlossen 9 weil kleine Firmen sich keinen DSB leisten können wenn sie es Automatisiert verarbeiten. Da ist es: http://www.bfdi.bund.de/cln_029/nn_532042/SharedDocs/Publikationen/Gese ...
Letzte Änderung august 2006
§ 4f
Beauftragter für den Datenschutz
(1) Öffentliche und nicht-öffentliche Stellen,
die personenbezogene Daten automatisiert
verarbeiten, haben einen Beauftragten für
den Datenschutz schriftlich zu bestellen.
Nicht-öffentliche Stellen sind hierzu spätestens
innerhalb eines Monats nach Aufnahme
ihrer Tätigkeit verpflichtet. Das Gleiche gilt,
wenn personenbezogene Daten auf andere
Weise erhoben, verarbeitet oder genutzt
werden und damit in der Regel mindestens
20 Personen beschäftigt sind. Die Sätze 1
und 2 gelten nicht für die nicht-öffentlichen
Stellen, die in der Regel höchstens neun
Personen ständig mit der automatisierten
Verarbeitung personenbezogener Daten
beschäftigen.
BDSG vom 20. Dezember 1990 (BGBl. I S. 2954), neugefasst durch Bek. v. 14.1.2003 (BGBl. I S. 66), geändert durch § 13 Abs. 1 des Gesetzes v. 5. 9.2005 (BGBl. I S. 2722 sowie Artikel 1 des Gesetzes v. 22.8.2006 (BGBl. I S. 1970)
Also 100% - 9 Personen bei Automatisierten und nicht 10 Personen und bei nicht automatisierten Daten 20.
Mitarbeiter einschließlich Chef der Personalabteilung, des Vertriebes (auch Außendienst), des Einkaufes, der Revision, des Marketings und du und deine Mitstreiter - gibt es bei euch Externe - Aushilfskräfte im Vertrieb, usw. - zählst du diese bitte mit.
Wie sieht es mit Azubis aus?
Wie sieht es mit einem externen Steuerbüro aus?
Wie sieht es mit Azubis aus?
Wie sieht es mit einem externen Steuerbüro aus?
@ iexplorer: Sag mal, liest du überhaupt was du postest?
> Also 100% - 9 Personen bei Automatisierten und nicht 10 Personen und bei nicht
> automatisierten Daten 20."
Du postest die letzte Fassung von August 2006, in der steht ganz deutlich:
"Die Sätze 1 und 2 [beziehen sich auf: automatisierte DV muss DSB bestellen] gelten nicht für die nicht-öffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten
beschäftigen".
Höchstens neun Personen bedeutet: zwischen Null und Neun in der automatisierten DV brauchen keinen, ab Zehn braucht man einen.
@verfasser des Tutorials:
Vielen Dank für dieses Tutorial. Ich bin sicher, dass uns das bei unserer Datenschutz-Bearbeitung weiterhilft.
> Also 100% - 9 Personen bei Automatisierten und nicht 10 Personen und bei nicht
> automatisierten Daten 20."
Du postest die letzte Fassung von August 2006, in der steht ganz deutlich:
"Die Sätze 1 und 2 [beziehen sich auf: automatisierte DV muss DSB bestellen] gelten nicht für die nicht-öffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten
beschäftigen".
Höchstens neun Personen bedeutet: zwischen Null und Neun in der automatisierten DV brauchen keinen, ab Zehn braucht man einen.
@verfasser des Tutorials:
Vielen Dank für dieses Tutorial. Ich bin sicher, dass uns das bei unserer Datenschutz-Bearbeitung weiterhilft.
Ist schon online. Vielen Dank. Hier der Link:
http://www.kronsoft.de/IT-Management/Datenschutz/DSUebersicht/CGLorenzo ...
http://www.kronsoft.de/IT-Management/Datenschutz/DSUebersicht/CGLorenzo ...
Hallo,
so gut und informativ das Tutorial ist, in einem Punkt ist es leider nicht richtig:
Zitat:
"1. aus meiner Praxis heraus weiß ich, dass der best qualifizierte Mann für die Stelle des DSBs der IT-Mann ist! ...
2. Dem IT-Mann wird ungerechtfertigterweise ein Interessenskonflikt unterstellt, weil die primäre Aufgabe des IT-Mannes falsch interpretiert wird: er ist ja gar nicht verantwortlich dafür, was die Personalabteilung mit den Daten anstellt.
...
Fazit: der IT-Mann hat keine Interessenskonflikte - weil er keine Stelle der wertschöpfenden Betriebsprozesse innehat. Er ist und bleibt der Berater - deshalb ist die IT ja auch - nur - Stabsstelle.
...
3. Dieser Argumentation muss und wird die Aufsichtsbehörde folgen, weil sie es nicht darauf anlegt sich mit deinem Betrieb vor Gericht zu streiten.
Empfehlung: Nicht nur <man darf als IT-Leiter durchaus DSB sein>, nein, gerade er muss es sein!. Und wenn du deine Aufgabe gut machst, wird diesen Sachverhalt niemand - wirklich - negativ und folgenschwer hervorheben. "
Es ist nunmal so, dass eine der häufigsten bei den Prüfungen der Aufsichtsbehörde festgestellten Mängel die Bestellung des Administrators / IT-Leiters als DSB ist (man lese hierzu die jährlichen Berichte der Aufsichtsbehörde).
Die Gründe sind relativ einfach:
Für den Datenschutz ist nicht nur wichtig, wie mit Daten umgegangen wird, sondern auch, ob gewisse Regeln, die in Anlage zu §9 Bundesdatenschutzgesetz festgelegt sind, richtig umgesetzt sind.
Beispielsweise: Zugriffskontrolle (z.B. durch ein Berechtigungskonzept, durch ausschließliche Nutzung des Administratoraccounts für administrative Aufgaben), Verfügbarkeitskontrolle (z.B. aktueller und funktionierender Virenscanner, funktionsfähiges Backup, funktionsfähige Spiegelung, ...)
Wie soll diese Kontrolle funktionieren, wenn derjenige, der die Einhaltung kontrollieren soll (der DSB) gleichzeitig derjenige ist, der sie umsetzt. Das würde den Bock zum Gärtner machen.
Unbestritten ist, dass die für den DSB notwendige Kompetenz oft in der IT-Abteilung liegt, und das es schwierig ist, außerhalb der IT-Abteilung einen kompetenten Menschen zu finden. Aus diesem Grund nutzen viele Unternehmen ja auch den externen DSB.
Also: vorsicht mit der Bestellung des IT-Leiters / (alleinigen) Admins als DSB.
so gut und informativ das Tutorial ist, in einem Punkt ist es leider nicht richtig:
Zitat:
"1. aus meiner Praxis heraus weiß ich, dass der best qualifizierte Mann für die Stelle des DSBs der IT-Mann ist! ...
2. Dem IT-Mann wird ungerechtfertigterweise ein Interessenskonflikt unterstellt, weil die primäre Aufgabe des IT-Mannes falsch interpretiert wird: er ist ja gar nicht verantwortlich dafür, was die Personalabteilung mit den Daten anstellt.
...
Fazit: der IT-Mann hat keine Interessenskonflikte - weil er keine Stelle der wertschöpfenden Betriebsprozesse innehat. Er ist und bleibt der Berater - deshalb ist die IT ja auch - nur - Stabsstelle.
...
3. Dieser Argumentation muss und wird die Aufsichtsbehörde folgen, weil sie es nicht darauf anlegt sich mit deinem Betrieb vor Gericht zu streiten.
Empfehlung: Nicht nur <man darf als IT-Leiter durchaus DSB sein>, nein, gerade er muss es sein!. Und wenn du deine Aufgabe gut machst, wird diesen Sachverhalt niemand - wirklich - negativ und folgenschwer hervorheben. "
Es ist nunmal so, dass eine der häufigsten bei den Prüfungen der Aufsichtsbehörde festgestellten Mängel die Bestellung des Administrators / IT-Leiters als DSB ist (man lese hierzu die jährlichen Berichte der Aufsichtsbehörde).
Die Gründe sind relativ einfach:
Für den Datenschutz ist nicht nur wichtig, wie mit Daten umgegangen wird, sondern auch, ob gewisse Regeln, die in Anlage zu §9 Bundesdatenschutzgesetz festgelegt sind, richtig umgesetzt sind.
Beispielsweise: Zugriffskontrolle (z.B. durch ein Berechtigungskonzept, durch ausschließliche Nutzung des Administratoraccounts für administrative Aufgaben), Verfügbarkeitskontrolle (z.B. aktueller und funktionierender Virenscanner, funktionsfähiges Backup, funktionsfähige Spiegelung, ...)
Wie soll diese Kontrolle funktionieren, wenn derjenige, der die Einhaltung kontrollieren soll (der DSB) gleichzeitig derjenige ist, der sie umsetzt. Das würde den Bock zum Gärtner machen.
Unbestritten ist, dass die für den DSB notwendige Kompetenz oft in der IT-Abteilung liegt, und das es schwierig ist, außerhalb der IT-Abteilung einen kompetenten Menschen zu finden. Aus diesem Grund nutzen viele Unternehmen ja auch den externen DSB.
Also: vorsicht mit der Bestellung des IT-Leiters / (alleinigen) Admins als DSB.
obiger Link funktioniert nicht mehr. Nehme diesen:
http://www.kronsoft.de/cglorenzo/cglorenzo.html
http://www.kronsoft.de/cglorenzo/cglorenzo.html