cglorenzo
Goto Top

Datenschutzbeauftragter und Datenschutz-Umsetzung II

Nachträge:

Suchbegriff ist "##1": > Nachtrag zu "Datenschutz"
Suchbegriff ist "##2": > Nachtrag zu "Datensicherheit"
Suchbegriff ist "##3": > Streichung
Suchbegriff ist "##4": > Nachtrag zu "Schulung"
Suchbegriff ist "##5": > Nachtrag zu "Öffentliches Verfahrensverzeichnis"


Inhalt:
Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)

Lektion 2: Die Bestellung des Datenschutzbeauftragten (geschrieben am 2007-03-25)

Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden (geschrieben am 2007-03-25)


Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben ab 2007-04-01 bis 2007-04-09)


Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben am 2007-04-01 bis 2007-04-09)

Die Aufgaben des Datenschutzbeauftragten (DSB)

sind vollständig in § 4g des Bundesdatenschutzgesetzes aufgeschrieben. Den reinen Gesetzestext werde ich natürlich nicht abschreiben - den solltest du dir dort einmal anschauen - aber ich kann dir eine Zusammenfassung geben:

1. Der DSB hat auf die Einhaltung und Umsetzung der Gesetzesvorschriften hinzuwirken.
2. Er hat die korrekte (der Gesetzgeber spricht von ordnungsgemäß) Benutzung (Anwendung) der Programme sicherzustellen, mit denen personenbez. Daten verarbeitet werden.
3. Er hat die mit der personenbez. Datenverarbeitung betrauten Mitarbeiter in geeigneter Weise mit den Gesetzesvorschriften vertraut zu machen.
4. Er hat das "öffentliche Verfahrensverzeichnis" auf Antrag jedermann zur Verfügung zu stellen.

So, das sind die Aufgaben des DSBs. Ist ja nicht so schlimm, oder?

Die Aufgaben 4., 3., und 2. sind überschaubar und mit gutem Willen relativ schnell umgesetzt.

Die böse Falle ist der erste Satz, also (1.).

Unser lieber Gesetzgeber greift immer zu solchen allumfassenden Beschreibungen, wenn er selbst nicht so genau weiß, was alles treffend wäre.
Durch die nette Umschreibung "auf die Umsetzung der Gesetzesvorschriften hinzuwirken" hat er nämlich die General/Pauschal-Aufgaben-Definition an dich übergeben. Auf gut Deutsch heißt das nämlich: alles andere!
Schauen wir uns die Aufgaben so an, wie es sinnvoll ist sie anzugehen und umzusetzen:


Step 1:

Zu 3.: Er hat die Mitarbeiter mit dem Gesetz vertraut zu machen

Ich beginne ausdrücklich mit diesem Punkt, weil dir deine Folge-Arbeiten viel leichter von der Hand gehen, wenn die Anderen wissen, dass und warum du dies und jenes zu tun hast.
Wirst du mit einer anderen Aufgabe beginnen, kannst du schnell feststellen, dass gemauert, blockiert und abgewehrt wird - insbesondere durch die Leitenden - ich hatte diese Erfahrung ja bereits oben angesprochen.

"Mit dem Gesetz vertraut machen" ist dehn- und auslegefähig und kann darauf hinauslaufen:

3a: schulen der Mitarbeiter durch Frontalunterricht oder
3b: schulen der Mitarbeiter durch Selbstunterricht (Lernsoftware) oder
3c: "schulen" der Mitarbeiter, indem man ihnen so ein Stückchen Papier in die Hand drückt, auf dem schnell hingeworfene Floskeln stehen - in der Hoffnung, dass diese so intelligent sind und ab jetzt alles wissen und können und verstehen.

A, B oder C sind laut Gesetzestext zulässig. Wichtig ist: du kannst entweder (a) oder (b) oder (c) wählen. Vielleicht fällt dir jetzt auch noch ein mögliches D und E ein. Aber Tatsache ist:
"C" funktioniert nicht. Nicht, weil die Mitarbeiter zu dumm wären, nein, es fehlt Ihnen die notwendige Motivation - denn sie müssten sich jetzt ja abends auf der Couch mit dem BDSG beschäftigen, um auch nur andeutungsweise verstehen zu können, was da auf dem Stückchen Papier steht.
Zu "B" habe ich wenig Vertrauen, ich habe so etwas auch schon selbst ausprobiert - der Erfolg war leider nicht gegeben, da mittendrin abgebrochen! Wenn du deinen "Schutzbefohlenen" so etwas zumutest, werden sie es eventuell tun, aber nur deshalb, weil sie glauben es tun zu müssen ... und dies ist immer schlecht und bringt die schlechteste Ernte.
Es bleibt noch "A" übrig. Du wirst sehen, dass auch du dazu die Fähigkeiten besitzt - wenn du dir nicht zuviel vornimmst - am Anfang. Übrigens: auch in der Schule wird bis zur letzten Klasse Frontalunterricht gehalten.
Diese Art der Unterweisung ist in jedem Falle zu vertreten; leider höre ich oft das Gegenteil - Betrieb zu groß, zu viele, die geschult werden müssten, zuviel Zeitaufwand, und so weiter und so weiter ... tatsächlich sind dies Ausreden!

Schauen wir uns einmal den Sachverhalt an:

Ein Betrieb mit 100 Arbeitnehmern > für die Unterweisung kommen vielleicht 20, 30, 40 oder vielleicht mehr Arbeitnehmer in Betracht. Du bildest Gruppen mit 6 oder 7 Schülern dann bist du mit 3 (20), 4-5 (30) oder 6(40) Schulungen durch. Meine Gedanken gehen dahin: niemand verbietet dir diese Schulungen auf 3, 4-5 oder 6 Wochen zu verteilen - du kannst dir auch 3 Monate Zeit geben - es gibt keine Vorgaben zu diesem Thema - wichtig ist, dass es gemacht wird.
Deine Schulung besteht aus zwei Schulungen: erstens die Pflichtschulung, an der jeder teilnehmen muss, der zur Schulung eingeladen wird und zweitens einer Folgeschulung - die freiwillig ist. Die Folgeschulung gibst du acht Wochen nach der Pflichtschulung. Die Pflichtschulung enthält die Grundlagen, die Folgeschulung geht tiefer.
Setze die Pflichtschulung auf zwei Stunden an! Nein, nicht lachen - es funktioniert. Du packst in diese Schulung nur das Notwendigste hinein - auf jeden Fall nicht soviel, dass die Teilnehmer überfordert werden - sie sollen neugierig werden und mehr erfahren wollen - und kommen dann auch zur zweiten Schulung.
Die zweite Schulung kannst du auf vier Stunden ansetzen, von 8-12 Uhr oder von 9-13 Uhr.

Du schulst niemals nachmittags! sonst "schlafen dir die Teilnehmer ein".


Ein Betrieb mit 500 Arbeitnehmern und mehr > meinst du nicht auch, dass dieser Betrieb sich einen Vollzeit-DSB (und mehrere Datenschutzhelfer) leisten kann? Ich meine JA. Ob der dann doppelt oder dreimal soviel Mitarbeiter schulen muss ist egal, er wird es locker schaffen. Nur, er darf nicht mit einer 8 oder 16 Stunden-Schulung aufwartet, mit/in der er die Mitarbeiter langweilt und ermüdet.

Wichtig ist:

a) Neugier wecken und
b) das Wichtige in die erste Schulung.

Bevor du mit den Grundschulungen beginnst, schulst du die Abteilungsleiter - aber benutze bloß nicht das Wort Schulung - sage, es sei eine Info-Veranstaltung. Zeitdauer: 1 Stunde. Die müssen nicht alles wissen, nur das Notwendige - und überhaupt informierst du die nur aus dem einen Grunde, dass sie später nicht querschießen und ihre Leute nicht zu deinen Schulungen gehen lassen.

Was kommt in die Grundschulung hinein?

1. Der Sinn und Zweck des Gesetzes
2. Datenvermeidung und Sparsamkeit (§ 3a)
3. Die Zulässigkeit der DV (§§ 4 und 28)
4. Die Grundbegriffe des Datenschutzes (siehe oben. Zerreiße eine alte Rechnung, werfe eine CD in den Papierkorb und frage, was du gerade getan hast ... dann wird verstanden, was Datenverarbeitung ist ... die meinen ja bis jetzt DV sei alles was am Bildschirm passiert)
5. Die Rechte des Betroffenen (§§ 6 und 34)

Was kommt in die Folgeschulung hinein?

Orientiere dich hier an der Schulung von kronsoft, die dort heruntergeladen werden kann.

Zu den Punkten 2 - 5 brauchst du keine Unterstützung von mir, die kannst du aus dem BDSG entnehmen.

Aber der Punkt 1 muss gut rüberkommen ... etwa so:

Sinn und Zweck des Gesetzes
Datenschutz gibt es schon immer - nur früher hatte Datenschutz einen anderen Namen, nämlich Vertraulichkeit, Schweigepflicht, Vertrauen, Ehre, usw.. Früher war auch kein Gesetz notwendig, da eine Information, bis sie von München nach Hamburg gelangte 3 Jahre (ok, gut, übertrieben ... aber du weißt was ich meine). Das Gesetz wurde notwendig, weil heute die Computer in wenigen Sekunden soviel Schaden anrichten können, wie dies ein Mensch ohne Technik in seinem ganzen Leben nicht tun kann.
Im Datenschutzgesetz werden deshalb primär ihre (mit dem Finger auf den und den und den Teilnehmer zeigen) Rechte sichergestellt und alle Anstrengungen unternommen, dass ihre (mit dem Finger...) geheimen und vertraulichen Informationen keinem anderen bekannt werden und sind.

So in der Art. OK?

Merke zum Abschluss: die Zeit, die du in die Unterweisungen und Schulungen investierst, bekommst du später hundermal zurück.

##4:
Wer wird geschult?

Für die Grund- und Folgeschulung sollten eingeladen werden:

- die Mitarbeiter der EDV,
- die Mitarbeiter der Personalabteilung,
- die Mitarbeiter der Einkaufsabteilung,
- die Mitarbeiter der Vertriebsabteilung,
- die Mitarbeiter der Revision,
- die Mitarbeiter der Qualitätssicherung,
- grundsätzlich gilt die Faustregel: in die Schulungen sollen die Mitarbeiter eingeladen werden, die viel und/oder ständig mit personenbez. Daten zu tun haben.

Woran viele nicht sofort denken, sind:

- die Sekretärinnen,
- die Telefonistinnen aus der Telefon-Zentrale,
- falls ein Werkschutz existiert - und dieser vor oder nach Dienst den Dienst in der Telefonzentrale übernimmt - auch diese Mitarbeiter.

Warum sollen auch die Letztgenannten unterwiesen werden?

Damit diese Mitarbeiter IHREN Datenschutzbeauftragten KENNEN !!!

Wenn jemand bei euch anruft und den Datenschutzbeauftragten sprechen möchte und von der Dame (von dem Herr) in der Telefonzentrale ein unverständliche "äääh ... wie bitte ... wen möchten Sie sprechen ... einen was (HiHi) ... einen Datenschutzbeauftragten ... äääh ääh helfen Sie mir mal ... ääh wo könnte ich den finden" hören, weiß der Anrufer sofort, was bei euch im Datenschutz läuft - nix.
Nicht lachen - genau dies habe ich schon öfters erlebt. In der Regel lande ich dann beim EDV-Leiter.

Also: wenn solch ein Anruf bei euch eingeht muss die Antwort aus der Telefonzentrale "wie aus der Pistole geschossen" kommen: ich stelle Sie zu unserem Herr/Frau ... durch. Das macht einen guten Eindruck.
##4 Ende.


Step 2:

Damit du Punkt 1, 2 und 4 bearbeiten und realisieren kannst, musst du dir zuerst

a) das Verfahrensverzeichnis ÜBERGEBEN lassen (oder, da dies nie geschieht)
b) dieses Verfahrensverzeichnis selbst aufbauen.

Das Verfahrensverzeichnis Ist deine wichtigste Arbeitsgrundlage - darauf bauen alle deine weiteren Aufgaben und Folgeschritte auf.
Das Verfahrensverzeichnis soll dir laut § 4g Absatz 2 BDSG übergeben werden - leider geschieht dies soweit ich weiß nie - denn man braucht fachkundliches Wissen um es aufzubauen und siehe ... schon hast du die Aufgabe auf deinem Schreibtisch.
Das Verfahrensverzeichnis ist deine Datenschutzbuchhaltung. Je besser diese ist, desto besser ist deine Datenschutz-Realisierung.
Die Wichtigkeit des Verfahrensverzeichnis und deiner Datenschutzbuchhaltung wird sogar heute noch von vielen prof. Datenschutzbeauftragten heruntergespielt, links liegen gelassen und als unwichtig abgetan. Mich beschleicht hier allerdings der Eindruck, dass dies so ist, weil er seine Kosten nicht weitergeben konnte.

Übrigens: die Prüfung des Verfahrensverzeichnisses ist der zweitwichtigste Punkt bei Prüfungen durch die Aufsichtsbehörden.

Mit folgenden Vergleichen möchte ich die Wichtigkeit des Verfahrensverzeichnis hervorheben:

- Verlange von deinem Geschäftsführer, dass er das Unternehmen gut leitet, ohne dass er Bilanzzahlen hat,
- verlange von deinem Personalleiter, dass er eine gute Personalpolitik betreibt und die Gehälter pünktlich zahlt - nehme ihm aber seine Personalanwendung und alle Stechuhren weg,
- verlange von der Fertigung, dass sie pünktlich liefert - nehme ihr aber die Lagerbuchhaltungsdaten und die Planungssysteme weg,
- verlange von deinem Einkauf, dass er zu den besten Konditionen und zu den besten Terminen Material einkauft - lege aber seine Einkaufsanwendung lahm...

(gut, das sollte alles hypothetisch sein, tu es bloß nicht wirklich)


Das Verfahrensverzeichnis


1. das INTERNE Verfahrensverzeichnis

Das Verfahrensverzeichnis ist das Steuerungs- und Planungs-Instrument für den Datenschutzbeauftragten, genau so wie die fachspezifischen Systeme der oben genannten Stellen für diese ihr Steuerungs-Instrument sind. Je besser und flexibler dein Verfahrensverzeichnis ist oder sein wird, desto besser kann deine Arbeit sein.

In dieses Verfahrensverzeichnis sollen all die Anwendungsprogramme aufgenommen werden, mit denen personenbez. Daten bei euch verarbeitet werden. Aus dem Zusammenwirken von 1. Anwendungsprogramm und 2. Verarbeitung personenbez. Daten wird dann laut Definition ein "Vefahren" - ein Ablauf nach einem bestimmten festgelegten Schema. Deshalb heißt dieses Verzeichnis dann Verfahrensverzeichnis.

Du denkst jetzt sofort an das Personalsystem, richtig; an das Programm, das im Einkauf eingesetzt wird, richtig; an das im Vertrieb, auch richtig; das im Rechnungswesen, richtig - aber es gibt noch hunderte anderer Verfahren, an die man zuerst einmal gar nicht denkt.
Damit du bei deinen Recherchen "nach Verfahren" gute und richtige Fragen stellen kannst, gebe ich dir ein paar Beispiele, die vielleicht in dir selbst Ideen und weiterführende Fragen wachrufen, was solche Verfahren sein und wo wir sie finden könnten:

Beitragsverwaltungen, Geschäftskontakte, Schulungsverzeichnisse, VIP-Adressen (Weihnachten,...), Zeiterfassung, Qualitätsstatistiken, Geburtstagslisten, Fehlzeitenlisten, Mandantenaufstellungen, Mahnverzeichnisse, schwarze Listen, Arbeitssicherheitsdinge, Reisekosten, Zutrittskontrollen, Videoaufzeichnungen, Kundenabrechnungen, Telefon-/Adressbuch, Dienstwagenverwaltung, Vorsorgeuntersuchungen beim Betriebsarzt, Fahr- und Parkverzeichnisse, Tankstellenbenutzung, Besucherverzeichnisse, Verbesserungsvorschlagswesen, Betriebsunfälle, Jubiläenlisten, Telefongesprächsauswertungen, Mitarbeitereinkauf, Handy-Verwaltung, Mitarbeiter-/Personalgespräche, Schichtpläne, Einsatzpläne, Handelsvertreterverwaltung, Außendienstverzeichnisse, Vertragsverwaltungen, Patente, Abrechnung Rundfunkgeb., Abwicklung Bewerber, Abwicklung Kantinenessen, Administration CTI-Anlage, Adressbuch, Altersteilzeit-Abwicklung, Arbeits- u. Aufenthaltserlaubnisse, Arbeitsplatzanalyse bei Arbeitsunfällen, Arbeitszeiterfassung/ Fehlzeiten, Leistungserfassung, Aufzeichnung Notrufe, Beihilfeabrechnung, Benutzeradministration, Benutzerauthentifikation, Datenbank der Grundlagendokumente, Dial-In via ISDN/analog, Erfass. u. Verarb. von Kundenanliegen, Ernährungsberatung, Exchange (EMail, Terminkalender), Faxservice, Flugkartenbestandslisten, Geschäftspartnerverzeichnisse, Internetzugang, Kundendaten der Auftraggeber, Kundenkarten Freie Mitarbeiter, Mietverträge, monatliches Coaching, Office-Anwendungen (Texte, Tabellen), Online-Kunden, Praktikumsverzeichnisse, Präsentationsdurchführung, Produktionsinformationssystem, Provision, Prozessverfolgung/Qualitätssich/ Controlling, Rentnerbetreuung, Schlüsselverwaltung, Schuldnerlisten, TK-Vermittlung und Abrechnung, Unternehmensberateraufstellungen, Verwaltung Werbepartner, Verschlusssachen-Ermächtigung, Zeitschriftenempfänger, zentrale Dokumentenverwaltung, und und und und. Diese Aufzählung habe ich aus meiner eigenen Praxis und aus einem Tutorial zu einer Datenschutz-Software, welches ich im Internet gefunden hatte, entnommen.

Du wirst in deinem Unternehmen nicht unbedingt alle dieser Verfahren vorfinden, aber bestimmt einige davon und dann noch andere, die jetzt nicht als Beispiele aufgeführt wurden.

Große Anwendungssysteme, die viele Arbeitsbereiche enthalten, kannst du in sachlogische Teilbereiche zergliedern und diese Teilbereiche dann vielleicht nochmals in Tätigkeits-/Gruppenbereiche und diese Blöcke dann als einzelne Verfahren aufnehmen. So wird zum Beispiel ein übergreifend eingesetztes SAP-System schnell zu 50 oder 100 oder mehr Verfahren.

In das Verfahrensverzeichnis ist jedes Verfahren wie folgt aufzunehmen:

- Bezeichnung des Verfahrens
- der Zweck, warum man es braucht,
- eine Umschreibung der Personen, deren Daten darin verwaltet werden (Mitarbeiter, Patient, Kunde, ...)
- die Personen(gruppen), die daraus Daten erhalten oder einsehen (Personalsachbearbeitung, GL, Einkäufergruppe XYZ, ...),
- die Fristen zur Löschung der Daten, wenn diese nicht mehr gebraucht werden,
- eine geplante Datenübermittlung in Drittstaaten (das ist ein eigenes Thema für sich...),
- die Datenschutz- und IT-Sicherheitsmaßnahmen, die von eurer Stelle getroffen wurden, damit mit den in diesen Verfahren verarbeiteten personenbez. Daten kein Unfug getrieben wird und dem Betroffenen kein Schaden entstehen kann.

Soweit die Forderungen des Gesetzes (§ 4e BDSG).
Aber, das kannst du gerade wieder vergessen, denn im Falle des Falles - wenn eine Betriebsprüfung kommt - wird man viel tiefer gehende Infos von dir abfragen, denn man muss noch etwas mehr wissen, um ein Verfahren bewerten zu können:

Exkurs:
"Abfragen" bedeutet bei Revisoren und Prüfern: du musst es irgendwo niedergeschrieben haben und zeigen können !!!!! Worte sind Schall und Rauch! Zeigen musst du es können, am besten mit gelinkten Dokumenten, Vereinbarungen, Vorschriften, Policies, Betriebsvereinbarungen,...
Exkurs Ende.

- mit wem hast du über das Verfahren gesprochen, wen hast du befragt, hast du dieses Verfahren und seinen Zweck verstanden?
- wann war die Befragung?
- wurden Absprachen getroffen, wann, mit wem, eingehalten?, offene Punkte?, Änderungswünsche deinerseits?, neue und bessere Maßnahmen? ...)
- hat sich mittlerweile was geändert an diesem Verfahren? Wann war die letzte Modifikation? Wann war die letzte Prüfung?
- sind die Anwender dieses Verfahrens geschult, wann, wie tief, wie, durch wen?
- auf welcher Hardware läuft das Verfahren? Gibt es Schnittstellen zu anderen Verfahren (Dateninput/-output)?
- wo werden die Daten dieses Verfahrens gespeichert?
- wo werden die Daten gesichert? Wird überhaupt was gesichert? Wurde das Rücksichern der Daten einmal getestet - oder ist es reine Theorie?
- wurde geprüft, ob dieses Verfahren der Vorabkontrolle unterliegt? Ergebnis? Durchgeführt? Für wann geplant?
- liegt hier eine Benachrichtigungspflicht vor? Durchgeführt? Wann? Wie?
- wurde geprüft, was der Empfänger der Daten (interne Personen und Abteilungen; externe, wie Kreditinstituten usw.) mit diesen Daten anfangen? Brauchen die diese Daten überhaupt? ...)

Diese Aufzählung ist nicht vollständig. Prüfungs- und Dokumentationsumfang (zu einem Verfahren) richten sich letztendlich an der Sensibilität des Verfahrens aus.
Je problematischer das Verfahren - aus Sicht des Betroffenen - ist, desto perfekter und tiefgehender müssen deine Aktivitäten und Nachfragen und Aufzeichnungen sein.

Merke: es gibt zwar einige Vorschläge, was ins Verfahrensverzeichnis rein muss aber leider eben nichts rechtsverbindliches. Auch variieren die Vorschläge und Anforderungen je Bundesland.


Ja, das ist jetzt sehr viel gewesen, aber tatsächlich ist es so, dass du NICHT 200 Verfahren auf den Tisch bekommst und morgen fertig sein musst.
Denke immer daran: wenn man dir vier Stunden pro Woche zugestanden hat, dann machst du auch nur die vier Stunden.

Wie gehst du jetzt weiter vor?

Ich würde vorschlagen, dass du dir einmal ein Stück Papier nimmst und obige "Erfassungsfelder" auf dem Papier aufnimmst. Das fängt bei "Bezeichnung des Verfahrens" an. Dazu kommen die von mir genannten (nach dem Exkurs "Abfragen") weiteren notwendigen Informationen wie "wer wurde zum Verfahren befragt", "Datum der Befragung" usw.
Jetzt nimmst du Probeweise ein, zwei oder drei Verfahren aus deiner eigenen Abteilung auf. Da kennst du die Mitarbeiter sehr gut und kannst dich locker und frei mit Ihnen unterhalten. Wenn ihr über ein Verfahren spricht, wird man folgendes erkennen: a) die ein oder andere Information muss noch dazu, die Reihenfolge der Abfragen ändert sich usw. und b) du wirst erkennen, dass - selbst die, die für das Verfahren verantwortlich sind - erhebliche Probleme haben auf deine Abfragen Antworten zu geben. Dramatisch wird es bei "Löschfristen", die sind nämlich nicht bekannt, selbst beim Verfahrensanwender nicht, obwohl er dafür verantwortlich ist. Schulter dir dieses Problem ("ich mach das Schon, ich suche die ...") bloß nicht selbst auf. Diese Informationen hat der Verantwortliche für dieses Verfahren schon selbst zu liefern. Verfahren, dei denen noch Infos nachzutragen sind, setzt du dir mit Termin auf Wiedervorlage (später mit deinem Tool).

Hast du dies einmal durchgespielt, solltest du dir ein Tool zulegen, mit dem du diese Angaben zum Verfahren ordentlich und wirtschaftlich handhaben kannst. Natürlich ist es wichtig, dass du auch alle deine Anforderungen zum Verzeichnis abbilden kannst. Bei der Toolauswahl solltest du noch darauf achten, dass du auch die anderen Datenschutz- und IT-Sicherheitsaufgaben damit erledigen kannst. Tools gibt es als Freeware oder ab ca. 150 Euro netto. Du kannst in Google auf "Verfahrensverzeichnis + Tool" suchen und wirst ca. fünf bis zehn Tools finden. Relevant für dich können BDAdmin, BDSGBasics, DProReg und PrivacyGuard sein. Referenzen werden zu BDAdmin, BDSGBasics und PrivacyGuard genannt (Stand April 2007).

Steht deine Erfassungsliste - so wie du sie brauchst -, kannst du dir diese im Tool abbilden (Inhalt, Reihenfolge) und dann ausdrucken und an die Fachabteilungen geben, damit die dir ihre Verfahren melden. Die zurücklaufenden Listen werden erfasst und dienen dir jetzt als Kontaktbasis um weiterführende Gespräche in den Abteilungen zu führen - um dann im persönlichen Gespräch die Verfahren herauszufinden, die man nicht gemeldet hat. Dieses "Nichtmelden" geschieht nicht mit Absicht, sondern aus Unkenntnis.

Das Verfahrensverzeichnis ist, wenn es aufgebaut und später ausgebaut wird, dein grundlegendes Informationssystem zum Datenschutz, mit dem du deine weiteren Tätigkeiten Schritt für Schritt angehst und umsetzt.


2. das ÖFFENTLICHE Verfahrensverzeichnis

Der Gesetzgeber verfügt in § 4g Absatz 2 BDSG, dass diese Angaben zu den Verfahren auf ANTRAG JEDERMANN in GEEIGNETER Weise VERFÜGBAR gemacht werden.
Dieser Sachverhalt wird "öffentliches Verfahrensverzeichnis" genannt. Der Gesetzgeber beschreibt nicht, wie dies bewerkstelligt oder aussehen soll.

Manche Firmen haben ihr Verzeichnis online gestellt und haben somit ein für alle mal diesen Punkt abgehakt (Googlesuche: "öffentliches Verfahrensverzeichnis").
Andere Firmen warten, bis diese(r) Jedermann kommt und diesen Antrag auf Einsicht stellt.

Wer ist "Jederman"? Jeder. Herr Meyer von Nebenan, eure Mitarbeiter, eure MITBEWERBER, die Bild-Zeitungs-Redakteure, eben Jeder.

Das öffentliche Verfahrensverzeichnis entsteht immer aus dem Internen - ist allerdings so stark zusammengefasst, dass das veröffentlichende Unternehmen keine Nachteile aus der Veröffentlichung erhalten kann.

Kurz mit meinen Worten: das öffentliche Verfahrensverzeichnis ist aussage- und nutzlos.

Mehr noch, ich ärgere mich auch über die Dreistigkeit, mit der Unternehmen in das Verzeichnis die zu beachtenden Löschfristen aufnehmen:

"Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig gelöscht, ...". Bei solchen Formulierungen muss ich davon ausgehen, dass dieses Unternehmen die Löschfristen nicht kennt, sonst hätte es sie nämlich hingeschrieben - Rückschlüsse zur betrieblichen DV sind über Löschfristen nämlich nicht möglich.

##5: Nachtrag zum öffentlichen Verfahrensverzeichnis:
Unnötige Arbeit, die nicht getan wird, hilft dir Zeit sparen. Wenn du mit der Erstellung des öffentlichen Verfahrensverzeichnisses wartest, bist dieser "Antrag auf Einsicht" kommt, wird dir niemand böse sein. Ich persönlich würde es nicht - auf der eigenen WEB-Seite - ins Internet stellen.
##5 Ende.


Step 3:

Der DSB soll die ordnungsgemäße Anwendung der Programme sicherstellen

Entsprechend dieser gesetzlichen Vorgabe sollst du sicherstellen, dass die Programme (Anwendungsprogramme), mit denen personenbezogene Daten verarbeitet werden, ordnungsgemäß angewendet werden.

Wie geht das? Gesagt ist es relativ einfach ... GESCHICKT realisiert etwas schwieriger: du schaust dir diese Programme und ihre Anwendung bei einem Sachbearbeiter(in) an! Du schaust nach, wie das in der Praxis läuft.

Diese Aufgabe beinhaltet dreierlei Punkte, die Sprengstoff enthalten könnten - aber die hast du ja bereits im Vorfeld durch deine Infostunde mit den Abteilungsleitern und deine Datenschutzgrundlagen-Unterweisung bei den Mitarbeitern neutralisiert - achte aber trotzdem auf Anzeichen:
a) die Abteilungsleiter könnten dich als Störfaktor sehen,
b) die Sachbearbeiter könnte das Gefühl beschleichen, dass du Ihnen irgendwann sagen wirst, wie sie ihre Arbeit zu machen hätten und
c) du mit absolut - aus Datenschutzsicht untauglichen - Office-Anwendungen (ich meine Text- und Tabellenanwendungen, nicht unbedingt MS-Anwendungen) zu tun haben wirst.

Exkurs:
Folgendes sollte dir NICHT mehr passieren:
Es gibt die "echten Datenschützer, die harten, die ganzen Männer" (die Verstockten, die Enttäuschten, die privatkriegführenden, die seelisch Verletzten,...) in der Stellung des DSBs, die nicht merken, dass ihre ständigen Ermahnungen, Verbote und Forderungen sie bisher nur dem Herzinfarkt einen Schritt näher - aber nicht dem Ziel Datenschutz sicherzustellen - gebracht haben.
Achte darauf, dass dir dies nicht passiert: du berätst ... du machst Vorschläge ... und das war es. Nimm es nicht persönlich, wenn deine Vorschläge nicht immer berücksichtigt werden. Der Erfolg des Unternehmens ist aus der Sicht der anderen immer das Wichtigste. Für dich ist das Wichtige, dass du a) ein Problem erkennst, b) auf das Problem hinweist, c) EINE LÖSUNG ANBIETEST mit der alle leben können d) dies alles sauber dokumentierst und e) deiner Geschäftsleitung zur Kenntnis bringst - spätestens im Jahresbericht. Damit hast du die Initiative und Verantwortung dorthin abgegeben.
Exkurs Ende.

Wie und wann werden Anwendungsprogramme ordnungsgemäß nach Datenschutzgesetz angewendet?

Es ist eine Fülle von Anforderungen, die sichergestellt werden sollten:

1. Die Anwender sollen nur entsprechend ihrer Aufgabe Zugriff auf die Anwendung und die Daten haben,
2. ist der Zugriff zu dem System (überhaupt) geregelt?
3. Gibt es eine Vertretungsregelung? Stellenbeschreibungen wären zu 1. und 3. sehr hilfreich.
4. Wie ist die Sachlage, wenn keine reguläre Arbeitszeit ist? Nach Feierabend? Frühmorgens vor dem allg. Dienstbeginn? Kann ein anderer sich an dem System anmelden?
5. Werden zum Einloggen in die Anwendung Username und Kennwort vorgeschrieben? Ist der Kennwortwechsel periodisch vorgeschrieben?
6. Wird der Zugriff auf die Daten der Anwendung protokolliert? Worauf wird protokolliert? Auf Datenfeld-, Datensatz-, Datei-Ebene?
6.1 Kann dargelegt werden, dass diese Protokolle auch von Zeit zu Zeit eingesehen werden?
7. Ist geregelt, wie bei Testläufen mit den Daten umgegangen wird? Sind die Daten hierzu anonymisiert (Erkennungszeichen weggenommen? Personalnummer, Lieferantennummer,...)
8. Wie sehen die Arbeitsplätze aus? Liegen auf den Schreibtischen - nach Dienst - Listen mit personenbez. Daten? Andere Datenträger?
9. Gibt es Externe, die in die Systeme und an die Daten herankommen? Fernwartung? Wartungsverträge?

Wie geht man es an?

All diese Dinge werden im Gespräch mit den Sachbearbeitern - die diese Anwendungssysteme bedienen - versucht herauszufinden.

Aufgrund des erstellten Verfahrensverzeichnisses pickst du dir nacheinander die sensibelsten Verfahren heraus und prüfst sie. Auch hier solltest du an ein oder zwei Verfahren - die in deiner Abteilung geführt werden - das Handling üben und ein Feeling für die Vorgehensweise bekommen.
Die Ergebnisse werden - soweit man sie allgemein zeigen kann - direkt beim Verfahren hinterlegt.
Die festgestellten Unterlassungen und Probleme, gehören nicht in die Öffentlichkeit. Dokumentiere diese in deiner "Aktivitäten-Datenbank", die bei einem guten Datenschutz-Werkzeug vorhanden ist.

Es nützt rein gar nichts, wenn du nur Probleme aufzeigst - aber keine Lösungen anbietest. Formuliere deine Lösungsvorschläge immer aus betrieblicher Perspektive - vermeide Formulierungen wie: "nach §XYZ Bundesdatenschutzgesetz ist dies nicht zulässig..." ... du würdest automatisch einen Widerstand provozieren. Es könnte doch auch so gehen: "die Listen mit den Einkaufsdaten gehören nach Feierabend in den verschlossenen Schrank. Sie müssen vom Schreibtisch runter (...die kann man ja im Vorbeigehen einstecken...). Da steckt soviel betriebliches Know-how drin ... das geht wirklich nicht jeden etwas an."

In deinem Verfahrens-Prüfbericht zeigst du Probleme auf und machst Vorschläge, wie diese abgestellt werden können. Die Prüfungsergebnisse werden IMMER ZUERST mit den verantwortlichen Abteilungsleitern besprochen. Für die allermeisten Probleme werden Lösungen gefunden werden. Wichtig für deine Arbeit ist, dass ihr Termine fixiert und du von vorneherein darauf hinweist, dass du dir dies alles nochmals nach diesem Termin anschauen wirst.

Dinge, die partout nicht realisiert werden, kommen dann - mit Nennung deines Lösungsvorschlages - in den Jahresbericht an die Geschäftsleitung. Füge einfach den Absatz "Offene Punkte" am Ende des Berichtes ein und schreibe ihn fort. Durch Aufzeigen des Problems hast du die Verantwortung ausdrücklich an die Geschäftsleitung weitergegeben.


Step 4:

Der DSB soll auf die Einhaltung der Gesetzesvorschriften hinwirken

Mit dieser General-Vorschrift deckt der Gesetzgeber all das ab, was nicht ausdrücklich im Gesetz als deine Aufgabe geregelt ist - aber irgend jemand muss ja die Aufgabe und damit die Verantwortung übernehmen.

Hierzu kann ich dir nur eine grobe Hilfestellung anbieten:

1. Sorge dafür, dass man weiß, dass du den Datenschutz im Unternehmen machst.

2. Sorge dafür, dass man dich sofort zu allen "Datenschutzdingen, Anfragen von außen, interne Dinge" hinzuzieht. Sofort. Keiner außer dir gibt Auskunft nach außen. Nur du hast das Fachwissen um solche Dinge aus Betroffenen- und Betriebssicht richtig beurteilen zu können und richtig zu handeln. Wenn ein Personalsachbearbeiter von der "Polizei Immenhof" angerufen wird und treu und brav Fragen beantwortet - ohne zu wissen, wer da wirklich anruft, ohne dort zurückzurufen, ohne die Rechtsgrundlage für den Anruf zu hinterfragen - dann ist das Kind eigentlich schon in den Brunnen gefallen.

3. Bewahre Ruhe. Die allermeisten Datenschutzprobleme müssen nicht in den nächsten fünf Minuten gelöst werden. Hinterfrage das Problem, suche nach Lösungsansätzen im Internet und wenn dort nichts brauchbares steht, wende dich mit diesem Problem an die für dich zuständige Aufsichtsbehörde für den Datenschutz. Du hast nach §38 Absatz 1 Satz 2 das Recht die Aufsichtsbehörde zur Beratung zu kontaktieren. Welche Aufsichtsbehörde für dich zuständig ist, kannst du hier nachschlagen: suche mit diesem Suchbegriff in einer Suchmaschine:
"Aufsichtsbehörde für den Datenschutz in der Privatwirtschaft".
Wenn du deine Problemstellungen an die Aufsichtsbehörden zur Beratung und Lösungsfindung weitergibst, solltest du einmal ausprobieren, ob man dir auf eine imaginäre E-Mail-Adresse (Erwin.Schmitt-Meyer@WEB.de) antwortet. Wenn nicht, solltest du vorsichtig vorgehen oder eventuell auf diese Beratungshilfe ganz verzichten.

4. Vertrete einen gesunden und machbaren Datenschutz. Werde nicht zum Datenschutz-Fanatiker.


Abschluss:

Und nun bist du soweit um dein erstes Datenschutz-Seminar zu besuchen.

Toi, toi, toi auf deinem Weg.

...

Content-ID: 54791

Url: https://administrator.de/tutorial/datenschutzbeauftragter-und-datenschutz-umsetzung-ii-54791.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

CeMeNt
CeMeNt 10.04.2007 um 16:04:05 Uhr
Goto Top
Perfekt!

Danke für so gute und umfangreiche Informationen!!!

Das wird uns sicherlich in unserer Entscheidung weiterhelfen, wie wir mit dem DSB fortfahren!

Gruß CeMeNt
iexplorer
iexplorer 19.04.2007, aktualisiert am 18.10.2012 um 18:31:52 Uhr
Goto Top
Datenschutzbeauftragter und Datenschutz-Umsetzung

letzte Beitrag wäre wichtig zu ergänzen

ansonsten Top Tutorial
iexplorer
iexplorer 19.04.2007 um 19:52:49 Uhr
Goto Top