Artikel freundlicherweise zur Verf√ľgung gestellt von CGLorenzo.
Dieser Beitrag wurde im “IT-Administrator-Portal” bisher 11641 mal aufgerufen (Juli 2008) und gelesen.
Geschrieben von CGLorenzo am 22.03.2007 um 13:04:17 Uhr.

Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)

Lektion 2: Die Bestellung des Datenschutzbeauftragten (geschrieben am 2007-03-25)

Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden (geschrieben am 2007-03-25)

Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben ab 2007-04-01 bis 2007-04-09)

=================================================

Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen?

(geschrieben am 2007-03-22)
=================================================
Angeregt zu diesem Tutorial wurde ich durch die Frage eines Mitgliedes "Was macht ein Datenschutzbeauftragter?".
Dieses Tutorial behandelt zuerst einmal die Frage: Muss ein Datenschutzbeauftragter (DSB) bestellt werden und kann es ein IT-Leiter sein.

Ich m√∂chte dieses Tutorial gerne fortf√ľhren, so dass es seinem Titel gerecht wird - da dies aber jede Menge Arbeit ist - m√∂chte ich abwarten ob es von euch angenommen wird.


Zum Anfang kurze Antworten auf die Fragen:
a) m√ľssen wir einen DSB haben?
b) darf ich Datenschutzbeauftragter sein, obwohl ich IT-Leiter bin (oder in der IT beschäftigt)?


Zu a: eine "Stelle" hat einen Datenschutzbeauftragten zu bestellen, wenn 10 Personen (ab der 10. Person, also 10, 11, 12,...) (Mitarbeiter) mit der personenbezogenen Datenverarbeitung besch√§ftigt sind! H√∂rt sich gut an, aber was sind denn "Personen, die mit personenbezogener Datenverarbeitung besch√§ftigt sind". Dazu steht nichts im Gesetz - man geht davon aus, dass es die Personen sind, die <im Rahmen ihrer dienstlichen T√§tigkeit und Aufgabenerf√ľllung oft, viel, prim√§r, √ľberwiegend mit personenbezogenen Daten zu tun haben>. Z√§hle jetzt mal alle zusammen: Mitarbeiter einschlie√ülich Chef der Personalabteilung, des Vertriebes (auch Au√üendienst), des Einkaufes, der Revision, des Marketings und du und deine Mitstreiter - gibt es bei euch Externe - Aushilfskr√§fte im Vertrieb, usw. - z√§hlst du diese bitte mit.

Bist du auf 10 und mehr, ist alles klar > DSB MUSS her.

Ein Problem hast du nur dann, wenn du unter 10 geblieben bist: laut Gesetz braucht ihr keinen DSB zu bestellen! Aber das ist nicht so! √úbrigens ziehen sich solche Sachverhalte durchs ganze BDSG <nach Gesetz so oder so - in der Praxis gerade andersherum>. Was gilt denn jetzt? Es gilt: wird kein DSB bestellt, ist die Stelle f√ľr die Einhaltung der Gesetzesvorschriften verantwortlich !!! Also entweder macht es dein Gesch√§ftsf√ľhrer (GF) selbst oder er delegiert diese Verantwortung an einen Mitarbeiter den man dann als "Datenschutzzust√§ndigen" bezeichnen k√∂nnte. Meinst du dein GF macht es? Nein, nat√ľrlich nicht - er wird delegieren.

Es gibt noch zwei Ausnahmen IN DENEN DIE STELLE IIIIIIIIIIIMMER EINEN DSB bestellen muss:

a.1: ihr habt Applikationen eingesetzt, die aufgrund ihrer Verarbeitung der persbez. Daten eine VORABKONTROLLE erzwingen w√ľrden.
a.2: ihr personenbez. Daten gesch√§ftsm√§√üig √ľbermittelt! Adressh√§ndler, Auskunfteien,...

Klärung zu a1:

Zuerst einmal nennt man diese Programme mit denen personenbez. Daten verarbeitet werden >>> VERFAHREN <<<. Gut merken, ist das meist gebrauchte Wort im Datenschutzsprachschatz.
Verfahren unterliegen einer Vorabkontrolle, wenn DATEN verarbeitet werden, die Aufschluss zu:
1. rassische und ethnische Herkunft,
2. politische Meinungen,
3. religiöse oder philosophische Überzeugungen,
4. Gewerkschaftszugehörigkeit,
5. Gesundheit oder Sexualleben
geben!

Eher hat ein Produktionsbetrieb solche Verfahren nicht > aber schau mal genau im Vertrieb nach > die speichern ja alles was sie kriegen können.

Empfehlung: bestellt den DSB. Ist keiner f√ľr dieses Amt benannt, wird bei euch nie was im Datenschutz vern√ľnftig laufen. Au√üerdem ist er bei ab ca. 100 Mitarbeitern gut zu vertreten.




Gut, wenden wir uns <b) darf ich das als IT-Leiter sein?> zu:

Der Gesetzgeber vermutet Interessenskonflikte (in der Person des DSBs) beim Erf√ľllen der beiden Aufgaben <Datenschutzbearbeitung / prim√§ren Aufgabe der regul√§ren Stelle>. Und zwar bei Besch√§ftigten in der IT, der Personalwirtschaft (auf jeden Fall) und beim Vertriebsleiter, Finanzleiter usw. (von Fall zu Fall). Wer bleibt √ľbrig? Zweie bleiben und denen k√∂nnte man von Fall zu Fall zu Fall auch Interessenskonflikte unterstellen, n√§mlich der Leiter Qualit√§tswesen und der Leiter Produktion.

So, jetzt kommt aber die berufliche Erfahrung und die Kenntnis der IT ins Spiel: vom DSB wird erwartet, dass er Kenntnisse in der IT hat. Gute Kenntnisse. Schluss, aus, keine Diskussion > er muss √ľber IT-Erfahrung verf√ľgen. Einer der Vorkommentatoren meinte, es reiche, wenn er Weisungen erteilen kann. Das ist schlichtweg unverantwortlich niedergeschrieben. Schlimm! Wei√üt du was passiert, wenn unqualifizierte Menschen anderen (erfahrenen) Menschen Weisungen erteilen? Im schlimmsten Fall Konkurs.

1. aus meiner Praxis heraus wei√ü ich, dass der best qualifizierte Mann f√ľr die Stelle des DSBs der IT-Mann ist! Er hat als einziger (neben dem GF) Einblick in alle Unternehmensbereiche, wie Einkauf, Vertrieb, Personal usw. weil der IT'ler ja st√§ndig deren - auch fachliche - Probleme erz√§hlt bekommt um dann Abhilfe mittels EDV-Unterst√ľtzung bringen soll. Er ist der, der alles im Betrieb wei√ü, kennt, h√∂rt und sieht. Tats√§chlich ist er das Multitalent, das sich der Gesetzgeber vorstellt.
2. Dem IT-Mann wird ungerechtfertigterweise ein Interessenskonflikt unterstellt, weil die prim√§re Aufgabe des IT-Mannes falsch interpretiert wird: er ist ja gar nicht verantwortlich daf√ľr, was die Personalabteilung mit den Daten anstellt. Das ist ihm doch piep schnurz egal. Er ist doch lediglich daf√ľr verantwortlich, dass die IT-Infrastruktur l√§uft!!! und die Personalabteilung mit EDV-Unterst√ľtzung arbeiten kann. Wie die arbeiten verantwortet der Personalleiter! Das gilt nat√ľrlich auch f√ľr Vertrieb, Einkauf, Rechnungswesen usw.
Fazit: der IT-Mann hat keine Interessenskonflikte - weil er keine Stelle der wertschöpfenden Betriebsprozesse innehat. Er ist und bleibt der Berater - deshalb ist die IT ja auch - nur - Stabsstelle.
3. Dieser Argumentation muss und wird die Aufsichtsbehörde folgen, weil sie es nicht darauf anlegt sich mit deinem Betrieb vor Gericht zu streiten.

Empfehlung: Nicht nur <man darf als IT-Leiter durchaus DSB sein>, nein, gerade er muss es sein!. Und wenn du deine Aufgabe gut machst, wird diesen Sachverhalt niemand - wirklich - negativ und folgenschwer hervorheben.


 

Kommen wir zu den Aufgaben des DSB:



Tatsache ist: Datenschutz ist/kann eine LEBENSAUFGABE sein/werden! Lies den letzte Satz bitte nochmal und glaube das was da steht.


Drei Fragen solltest du am Anfang kl√§ren und beantworten - aber f√ľr dich selbst:

1. Möchte ich DSB werden?
Wenn du das nicht möchtest - sondern nur einer Verpflichtung als Angestellter nachkommen möchtest - lass es bleiben.
Eingestellt wurdest du ja als IT'ler und nicht als Datensch√ľtzer.
Wenn du es aber doch tust - obwohl du es als Zwang empfindest - wirst du einen sehr unbefriedigenden Job vorfinden.

2. Habe ich 15 % meiner Arbeitszeit f√ľr Datenschutz √ľbrig?
Das ist so die - allgemein anerkannte - Anforderung an deine Arbeitsleistung in diesem Bereich.
Nicht, dass dir einer die Stunden nachz√§hlt, aber wenn es einmal Probleme bei euch im Hause geben sollte, dann wird man dich schon fragen - wenn du weniger Zeit investiert hast - ob du alle deine √Ąmter so lapidar bekleidest. Und diese Frage IST besch√§mend.
Also: hast du keine 10 - 15 % Zeit > Finger weg vom DSB-Status.

3. Was will dein Unternehmen? Dein Gesch√§ftsf√ľhrer?
Wenn der einen Schein-Datenschutzbeauftragten haben will und einen Schein-Datenschutz realisieren möchte !!! Finger weg, Job nicht annehmen.




So, nur f√ľr den Fall, dass du jetzt aus dieser ganzen Angelegenheit raus (du kommst damit aber auch rein; Vorsicht) willst, wie geht es?


Exkurs:
Irgendwo in deinen Texten sprichst du von "rede ich mit meinem Vorgesetzten". Pass auf: du redest/verhandelst/empfiehlst/argumentierst als bestellter DSB definitiv nicht mehr mit irgendwelchen Vorgesetzten (kommt oft vor, dass der IT-Leiter dem Personalchef unterstellt ist) sondern nur noch mit dem GF. Du bist nach Gesetz niemanden unterstellt, au√üer dem GF. Das ist zwingende Voraussetzung f√ľr das Funktionieren deines Jobs. Und wenn dein GF dich trotz Hinweisen trotzdem dem Pers.-Leiter unterstellt, ist dies f√ľr dich der Grund zur Niederlage des DSB-Amtes.
Ende Exkurs.


Am besten redest du - an einem seiner guten Tage - mit deinem GF - und nur mit dem - und sagst, das du jetzt etwas mehr weißt als gestern:

Du kannst ruhig auf den netten Berater aus dem Internet hinweisen. Dann gibt es auch keine Probleme, das ist einfach gute und geschätzte Offenheit.

(Bau das nachher mit deinen eigenen Worten nochmals neu zusammen - ablesen wirst du es nicht können):

"Also Chef, man wei√ü (unsere Regierung wei√ü, unser Gesetzgeber wei√ü), dass du keine Zeit hast dich mit allem m√∂glichen Kram zu befassen (die sind n√§mlich dran interessiert, dass du viel Kohle scheffelst, viele Steuern zahlst und vielen Menschen einen Job gibst) und deshalb stellen sie dir einen Berater zur Seite - und das ist dann in unserem Falle der Datenschutzbeauftragte (genauso verh√§lt es sich mit dem Qualit√§tsbeauftragten, dem Umweltschutzbeauftragten, dem Brandschutzbeauftragten, dem IT-Sicherheitsbeauftragten, dem Sicherheitsbeauftragten, dem Frauenbeauftragten, dem Ausl√§nderbeauftragten und allen betrieblichen Beauftragten die es sonst noch gibt). Die meinen es also gut mit dir, Chef, wollen deinen Kopf von solchen Dingen frei halten und stellen dir deshalb meinen Kopf - als externen Speicher - zur Verf√ľgung. Die wollen also gar nicht, dass ich dir als Beauftragter irgendwas verbiete oder dir ans Bein trete - nein, die wollen dich entlasten - nat√ľrlich und gerade deshalb erwarten DIE (also "man") und DU eine gute Leistung von mir!!!

Ich als Datenschutzbeauftragter soll dich also beraten ... und deshalb muss - und ich will es auch selbst - diesen Job GUT MACHEN ... denn, wenn ich Mist baue, wirst du daf√ľr zur Verantwortung gezogen - du musst die ganze Suppe ausl√∂ffeln, die ich dir durch Schlecht-Beratung eingebrockt habe - und dann bist du sauer und ich habe keine gute Zeit mehr im Unternehmen (... die Strafe zahlst immer du, nicht ich (sp√§ter dazu mehr)).

Chef, damit das alles funktioniert brauche ich:

a) Budget von ... sagen wir die ersten drei Jahre ... pro Jahr 5000 Euro (nein, besser 6000 Euro - das ist bei eurem 30/80 Mann-Betrieb drin - dann kann er dich auf 5000 runterhandeln) in meiner Datenschutzkasse. Danach VIELLEICHT weniger - aber eher nicht. Ja, ein EXTERNER kostet weniger ... vordergr√ľndig - tats√§chlich nicht -, weil der genau soviel regeln muss wie ich, aber den drei-/vierfachen Stundensatz hat (dieser Satz kann deinen Ausstieg bringen...).

b) Ich brauche Zeit - dass muss dir einfach klar sein - denn Nachdenken und beraten kostet nunmal Zeit. √Ą√§√§√§h in der Woche brauche ich etwa so 4 Stunden, das w√§ren im Jahr so ungef√§hr 300h. Also zumindest mal in den beiden ersten Jahren - bis meine Datenschutz-Organisation steht.

c) und dann brauche ich Mutterw√§rme, viiiiiiel Nestw√§rme und ein Gef√ľhl der Anerkennung - das hei√üt, ich muss wissen, dass du hinter und neben mir stehst, wenn ich versuche Dinge zu regeln usw. usw. (denn die anderen Abteilungsleiter werden gegen mich schie√üen, weil die das DS-Gesetz ja auch nicht richtig gelesen und verstanden haben - und genauso denken wie du vor noch 15 Minuten gedacht hast) - sonst wird meine ganze Arbeit n√§mlich nutzlos im Nichts versanden ...

So Chef, in 14 Tagen kann ich die notwendigen Vorbereitungen treffen, dass du mich offiziell bestellen kannst ... und jetzt brauche ich dein uneingeschr√§nktes JA (oder dein endg√ľltiges NEIN) um mich um die Bestellung zu k√ľmmern - muss nochmals lesen und das Internet durchforsten. Was machen wir ... Chef? Machen wir weiter?"

-----
Zu a): [Ich habe diesen Betrag gesch√§tzt - hatte nie ein Budget - meine aber, dass es in der Gr√∂√üenordnung sein muss.] Du musst Kurse besuchen, Lehrg√§nge, Konferenzen, eventuell einem DS-Verein beitreten, Reisekosten fallen an - eventuell Hilfsmittel, wie B√ľcher, Zeitschriften (rechts auf der Schreibtischkante obenauf liegend - zeugt enorm von Fachkunde), Software brauchst du auf jeden Fall (Freeware gibt es (Googlesuche auf "Verfahrensverzeichnis + Datenschutz + Freeware"), andere kosten so ab 150 Euro aufw√§rts, gute ab 500 aufw√§rts, die wirklichen Knaller ab 900 Euro!)
-----


So, das waren jetzt Hinweise zu den Einstiegsfragen.
Wenn du Interesse hast, kommt dann - wenn ich Zeit habe - die n√§chste Lektion, die ich mit "First Steps" umschreiben w√ľrde.
Also, gib mir Bescheid - auch, wenn sich die Sache erledigt hat.
Gruß CGLorenzo
 

(c) kronsoft (r)                          Referenzen | Presse | Auszeichnungen | IT-Tag | Sitemap | Kundenbereich | Freeware

kronsoft-Datenschutz-Glossar

Ihr Datenschutz-Glossar
bereitgestellt von kronsoft

Archivierung
Akteneinsicht
Audit
Aufgabe des Datenschutzes
Aufsichtsbehörde
Auftragsdatenverarbeitung
Auftragskontrolle
Auskunftsrecht
Automatisierte Verarbeitung
Automatisiertes Abrufverfahren
Bundesdatenschutzgesetz (BDSG)
Benutzerkontrolle
Besondere Arten personenbezogener Daten
Bring Your Own Device (BYOD)
Callcenter
Cloud
Customer Relationship Management (CRM)
Computerviren/Diskettenlaufwerke/ CD-ROM-Laufwerke/USB-Stick
Datengeheimnis
Datenschutz-Ist-Analyse
Datenschutz-Zertifizierung
Datenschutzaudit
Datenschutzbeauftragter
Datenschutzbeauftragter Software
Datenschutzgrundlagen
Datenschutzumsetzung
Datenschutzumsetzung 2
Datenschutzumsetzung 3
Datenschutzumsetzung 4
Datenschutzzertifikat
Datensparsamkeit
Datentransfer in Drittländer
Datenträgerkontrolle
Datenverarbeitung
Datenverarbeitungsanlage
Digitale Signatur
Drittstaat
Dokumentenmanagement
Eingabgekontrolle
Fernwartung
Interessenabwägung
Internet
IT-Sicherheit
Kontrolle beim Einsatz von PCs
Konventionelle Telefaxgeräte
Laptops/Notbeooks/Blackberry
Letter Shops
Löschungskonzept
Meldepflicht
nicht-öffentliche Stelle
öffentliches Verfahrensverzeichnis
Organisationskontrolle
öffentliche Stelle
personenbezogene Daten
private Computer
Safe Harbor
Schutzstufe
Sicherheitsbereich
Speicherkontrolle
Technisch-organisatorische Maßnahmen (TOM)
Telearbeit
Telekommunikationseinrichtungen
Transportkontrolle
Trennungsgebot
√úbermittlungskontrolle
verantwortliche Stelle
Verarbeitung
Verarbeitungs√ľbersicht
Verfahren
Verfahrensverzeichnis
Verfahrensverzeichnis, öffentliches
Verfahrenverzeichnis
Verf√ľgbarkeitskontrolle
Vernichtung von Schrifgut und Datenträgern
Video-Beobachtung und Video√ľberwachung
Weitergabekontrolle
Zugangskontrolle
Zugriffskontrolle
Zutrittskontrolle
Zweckbindung