|
======================================================= ===
Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)
======================================================= ===
Angeregt zu diesem Tutorial wurde ich durch die Frage eines Mitgliedes "Was macht ein Datenschutzbeauftragter?".
Dieses Tutorial behandelt zuerst einmal die Frage: Muss ein Datenschutzbeauftragter (DSB) bestellt werden und kann es ein IT-Leiter sein.
Ich möchte dieses Tutorial gerne fortführen, so dass es seinem Titel gerecht wird - da dies aber jede Menge Arbeit ist - möchte ich abwarten ob es von euch angenommen wird.
Zum Anfang kurze Antworten auf die Fragen:
a) müssen wir einen DSB haben?
b) darf ich Datenschutzbeauftragter sein, obwohl ich IT-Leiter bin (oder in der IT beschäftigt)?
Zu a: eine "Stelle" hat einen Datenschutzbeauftragten zu bestellen, wenn 10 Personen (ab der 10. Person, also 10, 11, 12,...) (Mitarbeiter) mit der personenbezogenen Datenverarbeitung beschäftigt sind! Hört sich gut an, aber was sind denn "Personen, die mit personenbezogener Datenverarbeitung beschäftigt sind". Dazu steht nichts im Gesetz - man geht davon aus, dass es die Personen sind, die <im Rahmen ihrer dienstlichen Tätigkeit und Aufgabenerfüllung oft, viel, primär, überwiegend mit personenbezogenen Daten zu tun haben>. Zähle jetzt mal alle zusammen: Mitarbeiter einschließlich Chef der Personalabteilung, des Vertriebes (auch Außendienst), des Einkaufes, der Revision, des Marketings und du und deine Mitstreiter - gibt es bei euch Externe - Aushilfskräfte im Vertrieb, usw. - zählst du diese bitte mit.
Bist du auf 10 und mehr, ist alles klar > DSB MUSS her.
Ein Problem hast du nur dann, wenn du unter 10 geblieben bist: laut Gesetz braucht ihr keinen DSB zu bestellen! Aber das ist nicht so! Übrigens ziehen sich solche Sachverhalte durchs ganze BDSG <nach Gesetz so oder so - in der Praxis gerade andersherum>. Was gilt denn jetzt? Es gilt: wird kein DSB bestellt, ist die Stelle für die Einhaltung der Gesetzesvorschriften verantwortlich !!! Also entweder macht es dein Geschäftsführer (GF) selbst oder er delegiert diese Verantwortung an einen Mitarbeiter den man dann als "Datenschutzzuständigen" bezeichnen könnte. Meinst du dein GF macht es? Nein, natürlich nicht - er wird delegieren.
Es gibt noch zwei Ausnahmen IN DENEN DIE STELLE IIIIIIIIIIIMMER EINEN DSB bestellen muss:
a.1: ihr habt Applikationen eingesetzt, die aufgrund ihrer Verarbeitung der persbez. Daten eine VORABKONTROLLE erzwingen würden.
a.2: ihr personenbez. Daten geschäftsmäßig übermittelt! Adresshändler, Auskunfteien,...
Klärung zu a1:
Zuerst einmal nennt man diese Programme mit denen personenbez. Daten verarbeitet werden >>> VERFAHREN <<<. Gut merken, ist das meist gebrauchte Wort im Datenschutzsprachschatz.
Verfahren unterliegen einer Vorabkontrolle, wenn DATEN verarbeitet werden, die Aufschluss zu:
1. rassische und ethnische Herkunft,
2. politische Meinungen,
3. religiöse oder philosophische Überzeugungen,
4. Gewerkschaftszugehörigkeit,
5. Gesundheit oder Sexualleben
geben!
Eher hat ein Produktionsbetrieb solche Verfahren nicht > aber schau mal genau im Vertrieb nach > die speichern ja alles was sie kriegen können.
Empfehlung: bestellt den DSB. Ist keiner für dieses Amt benannt, wird bei euch nie was im Datenschutz vernünftig laufen. Außerdem ist er bei ab ca. 100 Mitarbeitern gut zu vertreten.
Gut, wenden wir uns <b) darf ich das als IT-Leiter sein?> zu:
Der Gesetzgeber vermutet Interessenskonflikte (in der Person des DSBs) beim Erfüllen der beiden Aufgaben <Datenschutzbearbeitung / primären Aufgabe der regulären Stelle>. Und zwar bei Beschäftigten in der IT, der Personalwirtschaft (auf jeden Fall) und beim Vertriebsleiter, Finanzleiter usw. (von Fall zu Fall). Wer bleibt übrig? Zweie bleiben und denen könnte man von Fall zu Fall zu Fall auch Interessenskonflikte unterstellen, nämlich der Leiter Qualitätswesen und der Leiter Produktion.
So, jetzt kommt aber die berufliche Erfahrung und die Kenntnis der IT ins Spiel: vom DSB wird erwartet, dass er Kenntnisse in der IT hat. Gute Kenntnisse. Schluss, aus, keine Diskussion > er muss über IT-Erfahrung verfügen. Einer der Vorkommentatoren meinte, es reiche, wenn er Weisungen erteilen kann. Das ist schlichtweg unverantwortlich niedergeschrieben. Schlimm! Weißt du was passiert, wenn unqualifizierte Menschen anderen (erfahrenen) Menschen Weisungen erteilen? Im schlimmsten Fall Konkurs.
1. aus meiner Praxis heraus weiß ich, dass der best qualifizierte Mann für die Stelle des DSBs der IT-Mann ist! Er hat als einziger (neben dem GF) Einblick in alle Unternehmensbereiche, wie Einkauf, Vertrieb, Personal usw. weil der IT'ler ja ständig deren - auch fachliche - Probleme erzählt bekommt um dann Abhilfe mittels EDV-Unterstützung bringen soll. Er ist der, der alles im Betrieb weiß, kennt, hört und sieht. Tatsächlich ist er das Multitalent, das sich der Gesetzgeber vorstellt.
2. Dem IT-Mann wird ungerechtfertigterweise ein Interessenskonflikt unterstellt, weil die primäre Aufgabe des IT-Mannes falsch interpretiert wird: er ist ja gar nicht verantwortlich dafür, was die Personalabteilung mit den Daten anstellt. Das ist ihm doch piep schnurz egal. Er ist doch lediglich dafür verantwortlich, dass die IT-Infrastruktur läuft!!! und die Personalabteilung mit EDV-Unterstützung arbeiten kann. Wie die arbeiten verantwortet der Personalleiter! Das gilt natürlich auch für Vertrieb, Einkauf, Rechnungswesen usw.
Fazit: der IT-Mann hat keine Interessenskonflikte - weil er keine Stelle der wertschöpfenden Betriebsprozesse innehat. Er ist und bleibt der Berater - deshalb ist die IT ja auch - nur - Stabsstelle.
3. Dieser Argumentation muss und wird die Aufsichtsbehörde folgen, weil sie es nicht darauf anlegt sich mit deinem Betrieb vor Gericht zu streiten.
Empfehlung: Nicht nur <man darf als IT-Leiter durchaus DSB sein>, nein, gerade er muss es sein!. Und wenn du deine Aufgabe gut machst, wird diesen Sachverhalt niemand - wirklich - negativ und folgenschwer hervorheben.
Kommen wir zu den Aufgaben des DSB:
Tatsache ist: Datenschutz ist/kann eine LEBENSAUFGABE sein/werden! Lies den letzte Satz bitte nochmal und glaube das was da steht.
Drei Fragen solltest du am Anfang klären und beantworten - aber für dich selbst:
1. Möchte ich DSB werden?
Wenn du das nicht möchtest - sondern nur einer Verpflichtung als Angestellter nachkommen möchtest - lass es bleiben.
Eingestellt wurdest du ja als IT'ler und nicht als Datenschützer.
Wenn du es aber doch tust - obwohl du es als Zwang empfindest - wirst du einen sehr unbefriedigenden Job vorfinden.
2. Habe ich 15 % meiner Arbeitszeit für Datenschutz übrig?
Das ist so die - allgemein anerkannte - Anforderung an deine Arbeitsleistung in diesem Bereich.
Nicht, dass dir einer die Stunden nachzählt, aber wenn es einmal Probleme bei euch im Hause geben sollte, dann wird man dich schon fragen - wenn du weniger Zeit investiert hast - ob du alle deine Ämter so lapidar bekleidest. Und diese Frage IST beschämend.
Also: hast du keine 10 - 15 % Zeit > Finger weg vom DSB-Status.
3. Was will dein Unternehmen? Dein Geschäftsführer?
Wenn der einen Schein-Datenschutzbeauftragten haben will und einen Schein-Datenschutz realisieren möchte !!! Finger weg, Job nicht annehmen.
So, nur für den Fall, dass du jetzt aus dieser ganzen Angelegenheit raus (du kommst damit aber auch rein; Vorsicht) willst, wie geht es?
Exkurs:
Irgendwo in deinen Texten sprichst du von "rede ich mit meinem Vorgesetzten". Pass auf: du redest/verhandelst/empfiehlst/argumentierst als bestellter DSB definitiv nicht mehr mit irgendwelchen Vorgesetzten (kommt oft vor, dass der IT-Leiter dem Personalchef unterstellt ist) sondern nur noch mit dem GF. Du bist nach Gesetz niemanden unterstellt, außer dem GF. Das ist zwingende Voraussetzung für das Funktionieren deines Jobs. Und wenn dein GF dich trotz Hinweisen trotzdem dem Pers.-Leiter unterstellt, ist dies für dich der Grund zur Niederlage des DSB-Amtes.
Ende Exkurs.
Am besten redest du - an einem seiner guten Tage - mit deinem GF - und nur mit dem - und sagst, das du jetzt etwas mehr weißt als gestern:
Du kannst ruhig auf den netten Berater aus dem Internet hinweisen. Dann gibt es auch keine Probleme, das ist einfach gute und geschätzte Offenheit.
(Bau das nachher mit deinen eigenen Worten nochmals neu zusammen - ablesen wirst du es nicht können):
"Also Chef, man weiß (unsere Regierung weiß, unser Gesetzgeber weiß), dass du keine Zeit hast dich mit allem möglichen Kram zu befassen (die sind nämlich dran interessiert, dass du viel Kohle scheffelst, viele Steuern zahlst und vielen Menschen einen Job gibst) und deshalb stellen sie dir einen Berater zur Seite - und das ist dann in unserem Falle der Datenschutzbeauftragte (genauso verhält es sich mit dem Qualitätsbeauftragten, dem Umweltschutzbeauftragten, dem Brandschutzbeauftragten, dem IT-Sicherheitsbeauftragten, dem Sicherheitsbeauftragten, dem Frauenbeauftragten, dem Ausländerbeauftragten und allen betrieblichen Beauftragten die es sonst noch gibt). Die meinen es also gut mit dir, Chef, wollen deinen Kopf von solchen Dingen frei halten und stellen dir deshalb meinen Kopf - als externen Speicher - zur Verfügung. Die wollen also gar nicht, dass ich dir als Beauftragter irgendwas verbiete oder dir ans Bein trete - nein, die wollen dich entlasten - natürlich und gerade deshalb erwarten DIE (also "man") und DU eine gute Leistung von mir!!!
Ich als Datenschutzbeauftragter soll dich also beraten ... und deshalb muss - und ich will es auch selbst - diesen Job GUT MACHEN ... denn, wenn ich Mist baue, wirst du dafür zur Verantwortung gezogen - du musst die ganze Suppe auslöffeln, die ich dir durch Schlecht-Beratung eingebrockt habe - und dann bist du sauer und ich habe keine gute Zeit mehr im Unternehmen (... die Strafe zahlst immer du, nicht ich (später dazu mehr)).
Chef, damit das alles funktioniert brauche ich:
a) Budget von ... sagen wir die ersten drei Jahre ... pro Jahr 5000 Euro (nein, besser 6000 Euro - das ist bei eurem 30/80 Mann-Betrieb drin - dann kann er dich auf 5000 runterhandeln) in meiner Datenschutzkasse. Danach VIELLEICHT weniger - aber eher nicht. Ja, ein EXTERNER kostet weniger ... vordergründig - tatsächlich nicht -, weil der genau soviel regeln muss wie ich, aber den drei-/vierfachen Stundensatz hat (dieser Satz kann deinen Ausstieg bringen...).
b) Ich brauche Zeit - dass muss dir einfach klar sein - denn Nachdenken und beraten kostet nunmal Zeit. Ääääh in der Woche brauche ich etwa so 4 Stunden, das wären im Jahr so ungefähr 300h. Also zumindest mal in den beiden ersten Jahren - bis meine Datenschutz-Organisation steht.
c) und dann brauche ich Mutterwärme, viiiiiiel Nestwärme und ein Gefühl der Anerkennung - das heißt, ich muss wissen, dass du hinter und neben mir stehst, wenn ich versuche Dinge zu regeln usw. usw. (denn die anderen Abteilungsleiter werden gegen mich schießen, weil die das DS-Gesetz ja auch nicht richtig gelesen und verstanden haben - und genauso denken wie du vor noch 15 Minuten gedacht hast) - sonst wird meine ganze Arbeit nämlich nutzlos im Nichts versanden ...
So Chef, in 14 Tagen kann ich die notwendigen Vorbereitungen treffen, dass du mich offiziell bestellen kannst ... und jetzt brauche ich dein uneingeschränktes JA (oder dein endgültiges NEIN) um mich um die Bestellung zu kümmern - muss nochmals lesen und das Internet durchforsten. Was machen wir ... Chef? Machen wir weiter?"
-----
Zu a): [Ich habe diesen Betrag geschätzt - hatte nie ein Budget - meine aber, dass es in der Größenordnung sein muss.] Du musst Kurse besuchen, Lehrgänge, Konferenzen, eventuell einem DS-Verein beitreten, Reisekosten fallen an - eventuell Hilfsmittel, wie Bücher, Zeitschriften (rechts auf der Schreibtischkante obenauf liegend - zeugt enorm von Fachkunde), Software brauchst du auf jeden Fall (Freeware gibt es (Googlesuche auf "Verfahrensverzeichnis + Datenschutz + Freeware"), andere kosten so ab 150 Euro aufwärts, gute ab 500 aufwärts, die wirklichen Knaller ab 900 Euro!)
-----
So, das waren jetzt Hinweise zu den Einstiegsfragen.
Wenn du Interesse hast, kommt dann - wenn ich Zeit habe - die nächste Lektion, die ich mit "First Steps" umschreiben würde.
Also, gib mir Bescheid - auch, wenn sich die Sache erledigt hat.
Gruß CGLorenzo
|
