Artikel freundlicherweise zur Verf√ľgung gestellt von CGLorenzo.
Dieser Beitrag wurde im “IT-Administrator-Portal” bisher 11641 mal aufgerufen (Juli 2008) und gelesen.
Geschrieben von CGLorenzo am 22.03.2007 um 13:04:17 Uhr.

Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)

Lektion 2: Die Bestellung des Datenschutzbeauftragten (geschrieben am 2007-03-25)

Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden (geschrieben am 2007-03-25)

Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben ab 2007-04-01 bis 2007-04-09)

=====================================================

Lektion 4: Die Aufgaben des Datenschutzbeauftragten

(geschrieben am 2007-04-01 bis 2007-04-09)
=====================================================

Die Aufgaben des Datenschutzbeauftragten (DSB)

sind vollst√§ndig in ¬ß 4g des Bundesdatenschutzgesetzes aufgeschrieben. Den reinen Gesetzestext werde ich nat√ľrlich nicht abschreiben - den solltest du dir dort einmal anschauen - aber ich kann dir eine Zusammenfassung geben:

1. Der DSB hat auf die Einhaltung und Umsetzung der Gesetzesvorschriften hinzuwirken.
2. Er hat die korrekte (der Gesetzgeber spricht von ordnungsgemäß) Benutzung (Anwendung) der Programme sicherzustellen, mit denen personenbez. Daten verarbeitet werden.
3. Er hat die mit der personenbez. Datenverarbeitung betrauten Mitarbeiter in geeigneter Weise mit den Gesetzesvorschriften vertraut zu machen.
4. Er hat das "√∂ffentliche Verfahrensverzeichnis" auf Antrag jedermann zur Verf√ľgung zu stellen.

So, das sind die Aufgaben des DSBs. Ist ja nicht so schlimm, oder?

Die Aufgaben 4., 3., und 2. sind √ľberschaubar und mit gutem Willen relativ schnell umgesetzt.

Die böse Falle ist der erste Satz, also (1.).

Unser lieber Gesetzgeber greift immer zu solchen allumfassenden Beschreibungen, wenn er selbst nicht so genau weiß, was alles treffend wäre.
Durch die nette Umschreibung " auf die Umsetzung der Gesetzesvorschriften hinzuwirken" hat er n√§mlich die General/Pauschal-Aufgaben-Definition an dich √ľbergeben. Auf gut Deutsch hei√üt das n√§mlich: alles andere!
Schauen wir uns die Aufgaben so an, wie es sinnvoll ist sie anzugehen und umzusetzen:


Step 1:

Zu 3.: Er hat die Mitarbeiter mit dem Gesetz vertraut zu machen

Ich beginne ausdr√ľcklich mit diesem Punkt, weil dir deine Folge-Arbeiten viel leichter von der Hand gehen, wenn die Anderen wissen, dass und warum du dies und jenes zu tun hast.
Wirst du mit einer anderen Aufgabe beginnen, kannst du schnell feststellen, dass gemauert, blockiert und abgewehrt wird - insbesondere durch die Leitenden - ich hatte diese Erfahrung ja bereits oben angesprochen.

"Mit dem Gesetz vertraut machen" ist dehn- und auslegefähig und kann darauf hinauslaufen:

3a: schulen der Mitarbeiter durch Frontalunterricht oder
3b: schulen der Mitarbeiter durch Selbstunterricht (Lernsoftware) oder
3c: "schulen" der Mitarbeiter, indem man ihnen so ein St√ľckchen Papier in die Hand dr√ľckt, auf dem schnell hingeworfene Floskeln stehen - in der Hoffnung, dass diese so intelligent sind und ab jetzt alles wissen und k√∂nnen und verstehen.

A, B oder C sind laut Gesetzestext zulässig. Wichtig ist: du kannst entweder (a) oder (b) oder (c) wählen. Vielleicht fällt dir jetzt auch noch ein mögliches D und E ein. Aber Tatsache ist:
"C" funktioniert nicht. Nicht, weil die Mitarbeiter zu dumm w√§ren, nein, es fehlt Ihnen die notwendige Motivation - denn sie m√ľssten sich jetzt ja abends auf der Couch mit dem BDSG besch√§ftigen, um auch nur andeutungsweise verstehen zu k√∂nnen, was da auf dem St√ľckchen Papier steht.
Zu "B" habe ich wenig Vertrauen, ich habe so etwas auch schon selbst ausprobiert - der Erfolg war leider nicht gegeben, da mittendrin abgebrochen! Wenn du deinen "Schutzbefohlenen" so etwas zumutest, werden sie es eventuell tun, aber nur deshalb, weil sie glauben es tun zu m√ľssen ... und dies ist immer schlecht und bringt die schlechteste Ernte.
Es bleibt noch "A" √ľbrig. Du wirst sehen, dass auch du dazu die F√§higkeiten besitzt - wenn du dir nicht zuviel vornimmst - am Anfang. √úbrigens: auch in der Schule wird bis zur letzten Klasse Frontalunterricht gehalten.
Diese Art der Unterweisung ist in jedem Falle zu vertreten; leider h√∂re ich oft das Gegenteil - Betrieb zu gro√ü, zu viele, die geschult werden m√ľssten, zuviel Zeitaufwand, und so weiter und so weiter ... tats√§chlich sind dies Ausreden!

Schauen wir uns einmal den Sachverhalt an:

Ein Betrieb mit 100 Arbeitnehmern > f√ľr die Unterweisung kommen vielleicht 20, 30, 40 oder vielleicht mehr Arbeitnehmer in Betracht. Du bildest Gruppen mit 6 oder 7 Sch√ľlern dann bist du mit 3 (20), 4-5 (30) oder 6(40) Schulungen durch. Meine Gedanken gehen dahin: niemand verbietet dir diese Schulungen auf 3, 4-5 oder 6 Wochen zu verteilen - du kannst dir auch 3 Monate Zeit geben - es gibt keine Vorgaben zu diesem Thema - wichtig ist, dass es gemacht wird.
Deine Schulung besteht aus zwei Schulungen: erstens die Pflichtschulung, an der jeder teilnehmen muss, der zur Schulung eingeladen wird und zweitens einer Folgeschulung - die freiwillig ist. Die Folgeschulung gibst du acht Wochen nach der Pflichtschulung. Die Pflichtschulung enthält die Grundlagen, die Folgeschulung geht tiefer.
Setze die Pflichtschulung auf zwei Stunden an! Nein, nicht lachen - es funktioniert. Du packst in diese Schulung nur das Notwendigste hinein - auf jeden Fall nicht soviel, dass die Teilnehmer √ľberfordert werden - sie sollen neugierig werden und mehr erfahren wollen - und kommen dann auch zur zweiten Schulung.
Die zweite Schulung kannst du auf vier Stunden ansetzen, von 8-12 Uhr oder von 9-13 Uhr.

Du schulst niemals nachmittags! sonst "schlafen dir die Teilnehmer ein".


Ein Betrieb mit 500 Arbeitnehmern und mehr > meinst du nicht auch, dass dieser Betrieb sich einen Vollzeit-DSB (und mehrere Datenschutzhelfer) leisten kann? Ich meine JA. Ob der dann doppelt oder dreimal soviel Mitarbeiter schulen muss ist egal, er wird es locker schaffen. Nur, er darf nicht mit einer 8 oder 16 Stunden-Schulung aufwartet, mit/in der er die Mitarbeiter langweilt und erm√ľdet.

Wichtig ist:

a) Neugier wecken und
b) das Wichtige in die erste Schulung.

Bevor du mit den Grundschulungen beginnst, schulst du die Abteilungsleiter - aber benutze blo√ü nicht das Wort Schulung - sage, es sei eine Info-Veranstaltung. Zeitdauer: 1 Stunde. Die m√ľssen nicht alles wissen, nur das Notwendige - und √ľberhaupt informierst du die nur aus dem einen Grunde, dass sie sp√§ter nicht querschie√üen und ihre Leute nicht zu deinen Schulungen gehen lassen.

Was kommt in die Grundschulung hinein?

1. Der Sinn und Zweck des Gesetzes
2. Datenvermeidung und Sparsamkeit (§ 3a)
3. Die Zulässigkeit der DV (§§ 4 und 28)
4. Die Grundbegriffe des Datenschutzes (siehe oben. Zerreiße eine alte Rechnung, werfe eine CD in den Papierkorb und frage, was du gerade getan hast ... dann wird verstanden, was Datenverarbeitung ist ... die meinen ja bis jetzt DV sei alles was am Bildschirm passiert)
5. Die Rechte des Betroffenen (§§ 6 und 34)

Was kommt in die Folgeschulung hinein?

Orientiere dich hier an der Schulung von kronsoft, die dort heruntergeladen werden kann.

Zu den Punkten 2 - 5 brauchst du keine Unterst√ľtzung von mir, die kannst du aus dem BDSG entnehmen.

Aber der Punkt 1 muss gut r√ľberkommen ... etwa so:

Sinn und Zweck des Gesetzes
Datenschutz gibt es schon immer - nur fr√ľher hatte Datenschutz einen anderen Namen, n√§mlich Vertraulichkeit, Schweigepflicht, Vertrauen, Ehre, usw.. Fr√ľher war auch kein Gesetz notwendig, da eine Information, bis sie von M√ľnchen nach Hamburg gelangte 3 Jahre (ok, gut, √ľbertrieben ... aber du wei√üt was ich meine). Das Gesetz wurde notwendig, weil heute die Computer in wenigen Sekunden soviel Schaden anrichten k√∂nnen, wie dies ein Mensch ohne Technik in seinem ganzen Leben nicht tun kann.
Im Datenschutzgesetz werden deshalb primär ihre (mit dem Finger auf den und den und den Teilnehmer zeigen) Rechte sichergestellt und alle Anstrengungen unternommen, dass ihre (mit dem Finger...) geheimen und vertraulichen Informationen keinem anderen bekannt werden und sind.

So in der Art. OK?

Merke zum Abschluss: die Zeit, die du in die Unterweisungen und Schulungen investierst, bekommst du sp√§ter hundermal zur√ľck.

##4:
Wer wird geschult?

F√ľr die Grund- und Folgeschulung sollten eingeladen werden:

- die Mitarbeiter der EDV,
- die Mitarbeiter der Personalabteilung,
- die Mitarbeiter der Einkaufsabteilung,
- die Mitarbeiter der Vertriebsabteilung,
- die Mitarbeiter der Revision,
- die Mitarbeiter der Qualitätssicherung,
- grundsätzlich gilt die Faustregel: in die Schulungen sollen die Mitarbeiter eingeladen werden, die viel und/oder ständig mit personenbez. Daten zu tun haben.

Woran viele nicht sofort denken, sind:

- die Sekretärinnen,
- die Telefonistinnen aus der Telefon-Zentrale,
- falls ein Werkschutz existiert - und dieser vor oder nach Dienst den Dienst in der Telefonzentrale √ľbernimmt - auch diese Mitarbeiter.

Warum sollen auch die Letztgenannten unterwiesen werden?

Damit diese Mitarbeiter IHREN Datenschutzbeauftragten KENNEN !!!

Wenn jemand bei euch anruft und den Datenschutzbeauftragten sprechen möchte und von der Dame (von dem Herr) in der Telefonzentrale ein unverständliche "äääh ... wie bitte ... wen möchten Sie sprechen ... einen was (HiHi) ... einen Datenschutzbeauftragten ... äääh ääh helfen Sie mir mal ... ääh wo könnte ich den finden" hören, weiß der Anrufer sofort, was bei euch im Datenschutz läuft - nix.
Nicht lachen - genau dies habe ich schon öfters erlebt. In der Regel lande ich dann beim EDV-Leiter.

Also: wenn solch ein Anruf bei euch eingeht muss die Antwort aus der Telefonzentrale "wie aus der Pistole geschossen" kommen: ich stelle Sie zu unserem Herr/Frau ... durch. Das macht einen guten Eindruck.
##4 Ende.




Step 2:

Damit du Punkt 1, 2 und 4 bearbeiten und realisieren kannst, musst du dir zuerst

a) das Verfahrensverzeichnis √úBERGEBEN lassen (oder, da dies nie geschieht)
b) dieses Verfahrensverzeichnis selbst aufbauen.

Das Verfahrensverzeichnis Ist deine wichtigste Arbeitsgrundlage - darauf bauen alle deine weiteren Aufgaben und Folgeschritte auf.
Das Verfahrensverzeichnis soll dir laut ¬ß 4g Absatz 2 BDSG √ľbergeben werden - leider geschieht dies soweit ich wei√ü nie - denn man braucht fachkundliches Wissen um es aufzubauen und siehe ... schon hast du die Aufgabe auf deinem Schreibtisch.
Das Verfahrensverzeichnis ist deine Datenschutzbuchhaltung. Je besser diese ist, desto besser ist deine Datenschutz-Realisierung.
Die Wichtigkeit des Verfahrensverzeichnis und deiner Datenschutzbuchhaltung wird sogar heute noch von vielen prof. Datenschutzbeauftragten heruntergespielt, links liegen gelassen und als unwichtig abgetan. Mich beschleicht hier allerdings der Eindruck, dass dies so ist, weil er seine Kosten nicht weitergeben konnte.

√úbrigens: die Pr√ľfung des Verfahrensverzeichnisses ist der zweitwichtigste Punkt bei Pr√ľfungen durch die Aufsichtsbeh√∂rden.

Mit folgenden Vergleichen möchte ich die Wichtigkeit des Verfahrensverzeichnis hervorheben:

- Verlange von deinem Gesch√§ftsf√ľhrer, dass er das Unternehmen gut leitet, ohne dass er Bilanzzahlen hat,
- verlange von deinem Personalleiter, dass er eine gute Personalpolitik betreibt und die Geh√§lter p√ľnktlich zahlt - nehme ihm aber seine Personalanwendung und alle Stechuhren weg,
- verlange von der Fertigung, dass sie p√ľnktlich liefert - nehme ihr aber die Lagerbuchhaltungsdaten und die Planungssysteme weg,
- verlange von deinem Einkauf, dass er zu den besten Konditionen und zu den besten Terminen Material einkauft - lege aber seine Einkaufsanwendung lahm...

(gut, das sollte alles hypothetisch sein, tu es bloß nicht wirklich)
 

Das Verfahrensverzeichnis

1. das INTERNE Verfahrensverzeichnis

Das Verfahrensverzeichnis ist das Steuerungs- und Planungs-Instrument f√ľr den Datenschutzbeauftragten, genau so wie die fachspezifischen Systeme der oben genannten Stellen f√ľr diese ihr Steuerungs-Instrument sind. Je besser und flexibler dein Verfahrensverzeichnis ist oder sein wird, desto besser kann deine Arbeit sein.

In dieses Verfahrensverzeichnis sollen all die Anwendungsprogramme aufgenommen werden, mit denen personenbez. Daten bei euch verarbeitet werden. Aus dem Zusammenwirken von 1. Anwendungsprogramm und 2. Verarbeitung personenbez. Daten wird dann laut Definition ein "Vefahren" - ein Ablauf nach einem bestimmten festgelegten Schema. Deshalb heißt dieses Verzeichnis dann Verfahrensverzeichnis.

Du denkst jetzt sofort an das Personalsystem, richtig; an das Programm, das im Einkauf eingesetzt wird, richtig; an das im Vertrieb, auch richtig; das im Rechnungswesen, richtig - aber es gibt noch hunderte anderer Verfahren, an die man zuerst einmal gar nicht denkt.
Damit du bei deinen Recherchen "nach Verfahren" gute und richtige Fragen stellen kannst, gebe ich dir ein paar Beispiele, die vielleicht in dir selbst Ideen und weiterf√ľhrende Fragen wachrufen, was solche Verfahren sein und wo wir sie finden k√∂nnten:

Beitragsverwaltungen, Gesch√§ftskontakte, Schulungsverzeichnisse, VIP-Adressen (Weihnachten,...), Zeiterfassung, Qualit√§tsstatistiken, Geburtstagslisten, Fehlzeitenlisten, Mandantenaufstellungen, Mahnverzeichnisse, schwarze Listen, Arbeitssicherheitsdinge, Reisekosten, Zutrittskontrollen, Videoaufzeichnungen, Kundenabrechnungen, Telefon-/Adressbuch, Dienstwagenverwaltung, Vorsorgeuntersuchungen beim Betriebsarzt, Fahr- und Parkverzeichnisse, Tankstellenbenutzung, Besucherverzeichnisse, Verbesserungsvorschlagswesen, Betriebsunf√§lle, Jubil√§enlisten, Telefongespr√§chsauswertungen, Mitarbeitereinkauf, Handy-Verwaltung, Mitarbeiter-/Personalgespr√§che, Schichtpl√§ne, Einsatzpl√§ne, Handelsvertreterverwaltung, Au√üendienstverzeichnisse, Vertragsverwaltungen, Patente, Abrechnung Rundfunkgeb., Abwicklung Bewerber, Abwicklung Kantinenessen, Administration CTI-Anlage, Adressbuch, Altersteilzeit-Abwicklung, Arbeits- u. Aufenthaltserlaubnisse, Arbeitsplatzanalyse bei Arbeitsunf√§llen, Arbeitszeiterfassung/ Fehlzeiten, Leistungserfassung, Aufzeichnung Notrufe, Beihilfeabrechnung, Benutzeradministration, Benutzerauthentifikation, Datenbank der Grundlagendokumente, Dial-In via ISDN/analog, Erfass. u. Verarb. von Kundenanliegen, Ern√§hrungsberatung, Exchange (EMail, Terminkalender), Faxservice, Flugkartenbestandslisten, Gesch√§ftspartnerverzeichnisse, Internetzugang, Kundendaten der Auftraggeber, Kundenkarten Freie Mitarbeiter, Mietvertr√§ge, monatliches Coaching, Office-Anwendungen (Texte, Tabellen), Online-Kunden, Praktikumsverzeichnisse, Pr√§sentationsdurchf√ľhrung, Produktionsinformationssystem, Provision, Prozessverfolgung/Qualit√§tssich/ Controlling, Rentnerbetreuung, Schl√ľsselverwaltung, Schuldnerlisten, TK-Vermittlung und Abrechnung, Unternehmensberateraufstellungen, Verwaltung Werbepartner, Verschlusssachen-Erm√§chtigung, Zeitschriftenempf√§nger, zentrale Dokumentenverwaltung, und und und und. Diese Aufz√§hlung habe ich aus meiner eigenen Praxis und aus einem Tutorial zu einer Datenschutz-Software, welches ich im Internet gefunden hatte, entnommen.

Du wirst in deinem Unternehmen nicht unbedingt alle dieser Verfahren vorfinden, aber bestimmt einige davon und dann noch andere, die jetzt nicht als Beispiele aufgef√ľhrt wurden.

Gro√üe Anwendungssysteme, die viele Arbeitsbereiche enthalten, kannst du in sachlogische Teilbereiche zergliedern und diese Teilbereiche dann vielleicht nochmals in T√§tigkeits-/Gruppenbereiche und diese Bl√∂cke dann als einzelne Verfahren aufnehmen. So wird zum Beispiel ein √ľbergreifend eingesetztes SAP-System schnell zu 50 oder 100 oder mehr Verfahren.

In das Verfahrensverzeichnis ist jedes Verfahren wie folgt aufzunehmen:

- Bezeichnung des Verfahrens
- der Zweck, warum man es braucht,
- eine Umschreibung der Personen, deren Daten darin verwaltet werden (Mitarbeiter, Patient, Kunde, ...)
- die Personen(gruppen), die daraus Daten erhalten oder einsehen (Personalsachbearbeitung, GL, Einkäufergruppe XYZ, ...),
- die Fristen zur Löschung der Daten, wenn diese nicht mehr gebraucht werden,
- eine geplante Daten√ľbermittlung in Drittstaaten (das ist ein eigenes Thema f√ľr sich...),
- die Datenschutz- und IT-Sicherheitsmaßnahmen, die von eurer Stelle getroffen wurden, damit mit den in diesen Verfahren verarbeiteten personenbez. Daten kein Unfug getrieben wird und dem Betroffenen kein Schaden entstehen kann.

Soweit die Forderungen des Gesetzes (§ 4e BDSG).

Aber, das kannst du gerade wieder vergessen, denn im Falle des Falles - wenn eine Betriebspr√ľfung kommt - wird man viel tiefer gehende Infos von dir abfragen, denn man muss noch etwas mehr wissen, um ein Verfahren bewerten zu k√∂nnen:

Exkurs:
"Abfragen" bedeutet bei Revisoren und Pr√ľfern: du musst es irgendwo niedergeschrieben haben und zeigen k√∂nnen !!!!! Worte sind Schall und Rauch! Zeigen musst du es k√∂nnen, am besten mit gelinkten Dokumenten, Vereinbarungen, Vorschriften, Policies, Betriebsvereinbarungen,...
Exkurs Ende.

- mit wem hast du √ľber das Verfahren gesprochen, wen hast du befragt, hast du dieses Verfahren und seinen Zweck verstanden?
- wann war die Befragung?
- wurden Absprachen getroffen, wann, mit wem, eingehalten?, offene Punkte?, √Ąnderungsw√ľnsche deinerseits?, neue und bessere Ma√ünahmen? ...)
- hat sich mittlerweile was ge√§ndert an diesem Verfahren? Wann war die letzte Modifikation? Wann war die letzte Pr√ľfung?
- sind die Anwender dieses Verfahrens geschult, wann, wie tief, wie, durch wen?
- auf welcher Hardware läuft das Verfahren? Gibt es Schnittstellen zu anderen Verfahren (Dateninput/-output)?
- wo werden die Daten dieses Verfahrens gespeichert?
- wo werden die Daten gesichert? Wird √ľberhaupt was gesichert? Wurde das R√ľcksichern der Daten einmal getestet - oder ist es reine Theorie?
- wurde gepr√ľft, ob dieses Verfahren der Vorabkontrolle unterliegt? Ergebnis? Durchgef√ľhrt? F√ľr wann geplant?
- liegt hier eine Benachrichtigungspflicht vor? Durchgef√ľhrt? Wann? Wie?
- wurde gepr√ľft, was der Empf√§nger der Daten (interne Personen und Abteilungen; externe, wie Kreditinstituten usw.) mit diesen Daten anfangen? Brauchen die diese Daten √ľberhaupt? ...)

Diese Aufz√§hlung ist nicht vollst√§ndig. Pr√ľfungs- und Dokumentationsumfang (zu einem Verfahren) richten sich letztendlich an der Sensibilit√§t des Verfahrens aus.
Je problematischer das Verfahren - aus Sicht des Betroffenen - ist, desto perfekter und tiefgehender m√ľssen deine Aktivit√§ten und Nachfragen und Aufzeichnungen sein.

Merke: es gibt zwar einige Vorschläge, was ins Verfahrensverzeichnis rein muss aber leider eben nichts rechtsverbindliches. Auch variieren die Vorschläge und Anforderungen je Bundesland.


Ja, das ist jetzt sehr viel gewesen, aber tatsächlich ist es so, dass du NICHT 200 Verfahren auf den Tisch bekommst und morgen fertig sein musst.
Denke immer daran: wenn man dir vier Stunden pro Woche zugestanden hat, dann machst du auch nur die vier Stunden.

Wie gehst du jetzt weiter vor?

Ich w√ľrde vorschlagen, dass du dir einmal ein St√ľck Papier nimmst und obige "Erfassungsfelder" auf dem Papier aufnimmst. Das f√§ngt bei "Bezeichnung des Verfahrens" an. Dazu kommen die von mir genannten (nach dem Exkurs "Abfragen") weiteren notwendigen Informationen wie "wer wurde zum Verfahren befragt", "Datum der Befragung" usw.
Jetzt nimmst du Probeweise ein, zwei oder drei Verfahren aus deiner eigenen Abteilung auf. Da kennst du die Mitarbeiter sehr gut und kannst dich locker und frei mit Ihnen unterhalten. Wenn ihr √ľber ein Verfahren spricht, wird man folgendes erkennen: a) die ein oder andere Information muss noch dazu, die Reihenfolge der Abfragen √§ndert sich usw. und b) du wirst erkennen, dass - selbst die, die f√ľr das Verfahren verantwortlich sind - erhebliche Probleme haben auf deine Abfragen Antworten zu geben. Dramatisch wird es bei "L√∂schfristen", die sind n√§mlich nicht bekannt, selbst beim Verfahrensanwender nicht, obwohl er daf√ľr verantwortlich ist. Schulter dir dieses Problem ("ich mach das Schon, ich suche die ...") blo√ü nicht selbst auf. Diese Informationen hat der Verantwortliche f√ľr dieses Verfahren schon selbst zu liefern. Verfahren, dei denen noch Infos nachzutragen sind, setzt du dir mit Termin auf Wiedervorlage (sp√§ter mit deinem Tool).

Hast du dies einmal durchgespielt, solltest du dir ein Tool zulegen, mit dem du diese Angaben zum Verfahren ordentlich und wirtschaftlich handhaben kannst. Nat√ľrlich ist es wichtig, dass du auch alle deine Anforderungen zum Verzeichnis abbilden kannst. Bei der Toolauswahl solltest du noch darauf achten, dass du auch die anderen Datenschutz- und IT-Sicherheitsaufgaben damit erledigen kannst. Tools gibt es als Freeware oder ab ca. 150 Euro netto. Du kannst in Google auf "Verfahrensverzeichnis + Tool" suchen und wirst ca. f√ľnf bis zehn Tools finden. Relevant f√ľr dich k√∂nnen BDAdmin, BDSGBasics, DProReg und PrivacyGuard sein. Referenzen werden zu BDAdmin, BDSGBasics und PrivacyGuard genannt (Stand April 2007).

Steht deine Erfassungsliste - so wie du sie brauchst -, kannst du dir diese im Tool abbilden (Inhalt, Reihenfolge) und dann ausdrucken und an die Fachabteilungen geben, damit die dir ihre Verfahren melden. Die zur√ľcklaufenden Listen werden erfasst und dienen dir jetzt als Kontaktbasis um weiterf√ľhrende Gespr√§che in den Abteilungen zu f√ľhren - um dann im pers√∂nlichen Gespr√§ch die Verfahren herauszufinden, die man nicht gemeldet hat. Dieses "Nichtmelden" geschieht nicht mit Absicht, sondern aus Unkenntnis.

Das Verfahrensverzeichnis ist, wenn es aufgebaut und sp√§ter ausgebaut wird, dein grundlegendes Informationssystem zum Datenschutz, mit dem du deine weiteren T√§tigkeiten Schritt f√ľr Schritt angehst und umsetzt.


2. das √ĖFFENTLICHE Verfahrensverzeichnis

Der Gesetzgeber verf√ľgt in ¬ß 4g Absatz 2 BDSG, dass diese Angaben zu den Verfahren auf ANTRAG JEDERMANN in GEEIGNETER Weise VERF√úGBAR gemacht werden.
Dieser Sachverhalt wird "öffentliches Verfahrensverzeichnis" genannt. Der Gesetzgeber beschreibt nicht, wie dies bewerkstelligt oder aussehen soll.

Manche Firmen haben ihr Verzeichnis online gestellt und haben somit ein f√ľr alle mal diesen Punkt abgehakt (Googlesuche: "√∂ffentliches Verfahrensverzeichnis").
Andere Firmen warten, bis diese(r) Jedermann kommt und diesen Antrag auf Einsicht stellt.

Wer ist "Jederman"? Jeder. Herr Meyer von Nebenan, eure Mitarbeiter, eure MITBEWERBER, die Bild-Zeitungs-Redakteure, eben Jeder.

Das öffentliche Verfahrensverzeichnis entsteht immer aus dem Internen - ist allerdings so stark zusammengefasst, dass das veröffentlichende Unternehmen keine Nachteile aus der Veröffentlichung erhalten kann.

Kurz mit meinen Worten: das öffentliche Verfahrensverzeichnis ist aussage- und nutzlos.

Mehr noch, ich √§rgere mich auch √ľber die Dreistigkeit, mit der Unternehmen in das Verzeichnis die zu beachtenden L√∂schfristen aufnehmen:

"Der Gesetzgeber hat vielf√§ltige Aufbewahrungspflichten und -fristen erlassen. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinem√§√üig gel√∂scht, ...". Bei solchen Formulierungen muss ich davon ausgehen, dass dieses Unternehmen die L√∂schfristen nicht kennt, sonst h√§tte es sie n√§mlich hingeschrieben - R√ľckschl√ľsse zur betrieblichen DV sind √ľber L√∂schfristen n√§mlich nicht m√∂glich.

##5: Nachtrag zum öffentlichen Verfahrensverzeichnis:
Unn√∂tige Arbeit, die nicht getan wird, hilft dir Zeit sparen. Wenn du mit der Erstellung des √∂ffentlichen Verfahrensverzeichnisses wartest, bist dieser "Antrag auf Einsicht" kommt, wird dir niemand b√∂se sein. Ich pers√∂nlich w√ľrde es nicht - auf der eigenen WEB-Seite - ins Internet stellen.
##5 Ende.


Step 3:

Der DSB soll die ordnungsgemäße Anwendung der Programme sicherstellen

Entsprechend dieser gesetzlichen Vorgabe sollst du sicherstellen, dass die Programme (Anwendungsprogramme), mit denen personenbezogene Daten verarbeitet werden, ordnungsgemäß angewendet werden.

Wie geht das? Gesagt ist es relativ einfach ... GESCHICKT realisiert etwas schwieriger: du schaust dir diese Programme und ihre Anwendung bei einem Sachbearbeiter(in) an! Du schaust nach, wie das in der Praxis läuft.

Diese Aufgabe beinhaltet dreierlei Punkte, die Sprengstoff enthalten könnten - aber die hast du ja bereits im Vorfeld durch deine Infostunde mit den Abteilungsleitern und deine Datenschutzgrundlagen-Unterweisung bei den Mitarbeitern neutralisiert - achte aber trotzdem auf Anzeichen:
a) die Abteilungsleiter könnten dich als Störfaktor sehen,
b) die Sachbearbeiter k√∂nnte das Gef√ľhl beschleichen, dass du Ihnen irgendwann sagen wirst, wie sie ihre Arbeit zu machen h√§tten und
c) du mit absolut - aus Datenschutzsicht untauglichen - Office-Anwendungen (ich meine Text- und Tabellenanwendungen, nicht unbedingt MS-Anwendungen) zu tun haben wirst.

Exkurs:
Folgendes sollte dir NICHT mehr passieren:
Es gibt die "echten Datensch√ľtzer, die harten, die ganzen M√§nner" (die Verstockten, die Entt√§uschten, die privatkriegf√ľhrenden, die seelisch Verletzten,...) in der Stellung des DSBs, die nicht merken, dass ihre st√§ndigen Ermahnungen, Verbote und Forderungen sie bisher nur dem Herzinfarkt einen Schritt n√§her - aber nicht dem Ziel Datenschutz sicherzustellen - gebracht haben.
Achte darauf, dass dir dies nicht passiert: du ber√§tst ... du machst Vorschl√§ge ... und das war es. Nimm es nicht pers√∂nlich, wenn deine Vorschl√§ge nicht immer ber√ľcksichtigt werden. Der Erfolg des Unternehmens ist aus der Sicht der anderen immer das Wichtigste. F√ľr dich ist das Wichtige, dass du a) ein Problem erkennst, b) auf das Problem hinweist, c) EINE L√ĖSUNG ANBIETEST mit der alle leben k√∂nnen d) dies alles sauber dokumentierst und e) deiner Gesch√§ftsleitung zur Kenntnis bringst - sp√§testens im Jahresbericht. Damit hast du die Initiative und Verantwortung dorthin abgegeben.
Exkurs Ende.

Wie und wann werden Anwendungsprogramme ordnungsgemäß nach Datenschutzgesetz angewendet?

Es ist eine F√ľlle von Anforderungen, die sichergestellt werden sollten:

1. Die Anwender sollen nur entsprechend ihrer Aufgabe Zugriff auf die Anwendung und die Daten haben,
2. ist der Zugriff zu dem System (√ľberhaupt) geregelt?
3. Gibt es eine Vertretungsregelung? Stellenbeschreibungen wären zu 1. und 3. sehr hilfreich.
4. Wie ist die Sachlage, wenn keine regul√§re Arbeitszeit ist? Nach Feierabend? Fr√ľhmorgens vor dem allg. Dienstbeginn? Kann ein anderer sich an dem System anmelden?
5. Werden zum Einloggen in die Anwendung Username und Kennwort vorgeschrieben? Ist der Kennwortwechsel periodisch vorgeschrieben?
6. Wird der Zugriff auf die Daten der Anwendung protokolliert? Worauf wird protokolliert? Auf Datenfeld-, Datensatz-, Datei-Ebene?
6.1 Kann dargelegt werden, dass diese Protokolle auch von Zeit zu Zeit eingesehen werden?
7. Ist geregelt, wie bei Testläufen mit den Daten umgegangen wird? Sind die Daten hierzu anonymisiert (Erkennungszeichen weggenommen? Personalnummer, Lieferantennummer,...)
8. Wie sehen die Arbeitsplätze aus? Liegen auf den Schreibtischen - nach Dienst - Listen mit personenbez. Daten? Andere Datenträger?
9. Gibt es Externe, die in die Systeme und an die Daten herankommen? Fernwartung? Wartungsverträge?

Wie geht man es an?

All diese Dinge werden im Gespräch mit den Sachbearbeitern - die diese Anwendungssysteme bedienen - versucht herauszufinden.

Aufgrund des erstellten Verfahrensverzeichnisses pickst du dir nacheinander die sensibelsten Verfahren heraus und pr√ľfst sie. Auch hier solltest du an ein oder zwei Verfahren - die in deiner Abteilung gef√ľhrt werden - das Handling √ľben und ein Feeling f√ľr die Vorgehensweise bekommen.
Die Ergebnisse werden - soweit man sie allgemein zeigen kann - direkt beim Verfahren hinterlegt.
Die festgestellten Unterlassungen und Probleme, geh√∂ren nicht in die √Ėffentlichkeit. Dokumentiere diese in deiner "Aktivit√§ten-Datenbank", die bei einem guten Datenschutz-Werkzeug vorhanden ist.

Es n√ľtzt rein gar nichts, wenn du nur Probleme aufzeigst - aber keine L√∂sungen anbietest. Formuliere deine L√∂sungsvorschl√§ge immer aus betrieblicher Perspektive - vermeide Formulierungen wie: "nach ¬ßXYZ Bundesdatenschutzgesetz ist dies nicht zul√§ssig..." ... du w√ľrdest automatisch einen Widerstand provozieren. Es k√∂nnte doch auch so gehen: "die Listen mit den Einkaufsdaten geh√∂ren nach Feierabend in den verschlossenen Schrank. Sie m√ľssen vom Schreibtisch runter (...die kann man ja im Vorbeigehen einstecken...). Da steckt soviel betriebliches Know-how drin ... das geht wirklich nicht jeden etwas an."

In deinem Verfahrens-Pr√ľfbericht zeigst du Probleme auf und machst Vorschl√§ge, wie diese abgestellt werden k√∂nnen. Die Pr√ľfungsergebnisse werden IMMER ZUERST mit den verantwortlichen Abteilungsleitern besprochen. F√ľr die allermeisten Probleme werden L√∂sungen gefunden werden. Wichtig f√ľr deine Arbeit ist, dass ihr Termine fixiert und du von vorneherein darauf hinweist, dass du dir dies alles nochmals nach diesem Termin anschauen wirst.

Dinge, die partout nicht realisiert werden, kommen dann - mit Nennung deines L√∂sungsvorschlages - in den Jahresbericht an die Gesch√§ftsleitung. F√ľge einfach den Absatz "Offene Punkte" am Ende des Berichtes ein und schreibe ihn fort. Durch Aufzeigen des Problems hast du die Verantwortung ausdr√ľcklich an die Gesch√§ftsleitung weitergegeben.



Step 4:

Der DSB soll auf die Einhaltung der Gesetzesvorschriften hinwirken

Mit dieser General-Vorschrift deckt der Gesetzgeber all das ab, was nicht ausdr√ľcklich im Gesetz als deine Aufgabe geregelt ist - aber irgend jemand muss ja die Aufgabe und damit die Verantwortung √ľbernehmen.

Hierzu kann ich dir nur eine grobe Hilfestellung anbieten:

1. Sorge daf√ľr, dass man wei√ü, dass du den Datenschutz im Unternehmen machst.

2. Sorge daf√ľr, dass man dich sofort zu allen "Datenschutzdingen, Anfragen von au√üen, interne Dinge" hinzuzieht. Sofort. Keiner au√üer dir gibt Auskunft nach au√üen. Nur du hast das Fachwissen um solche Dinge aus Betroffenen- und Betriebssicht richtig beurteilen zu k√∂nnen und richtig zu handeln. Wenn ein Personalsachbearbeiter von der "Polizei Immenhof" angerufen wird und treu und brav Fragen beantwortet - ohne zu wissen, wer da wirklich anruft, ohne dort zur√ľckzurufen, ohne die Rechtsgrundlage f√ľr den Anruf zu hinterfragen - dann ist das Kind eigentlich schon in den Brunnen gefallen.

3. Bewahre Ruhe. Die allermeisten Datenschutzprobleme m√ľssen nicht in den n√§chsten f√ľnf Minuten gel√∂st werden. Hinterfrage das Problem, suche nach L√∂sungsans√§tzen im Internet und wenn dort nichts brauchbares steht, wende dich mit diesem Problem an die f√ľr dich zust√§ndige Aufsichtsbeh√∂rde f√ľr den Datenschutz. Du hast nach ¬ß38 Absatz 1 Satz 2 das Recht die Aufsichtsbeh√∂rde zur Beratung zu kontaktieren. Welche Aufsichtsbeh√∂rde f√ľr dich zust√§ndig ist, kannst du hier nachschlagen: suche mit diesem Suchbegriff in einer Suchmaschine:
" Aufsichtsbeh√∂rde f√ľr den Datenschutz in der Privatwirtschaft".
Wenn du deine Problemstellungen an die Aufsichtsbehörden zur Beratung und Lösungsfindung weitergibst, solltest du einmal ausprobieren, ob man dir auf eine imaginäre E-Mail-Adresse (Erwin.Schmitt-Meyer@WEB.de) antwortet. Wenn nicht, solltest du vorsichtig vorgehen oder eventuell auf diese Beratungshilfe ganz verzichten.

4. Vertrete einen gesunden und machbaren Datenschutz. Werde nicht zum Datenschutz-Fanatiker.



Abschluss:

Und nun bist du soweit um dein erstes Datenschutz-Seminar zu besuchen.

Toi, toi, toi auf deinem Weg.

(c) kronsoft (r)                          Referenzen | Presse | Auszeichnungen | IT-Tag | Sitemap | Kundenbereich | Freeware

kronsoft-Datenschutz-Glossar

Ihr Datenschutz-Glossar
bereitgestellt von kronsoft

Archivierung
Akteneinsicht
Audit
Aufgabe des Datenschutzes
Aufsichtsbehörde
Auftragsdatenverarbeitung
Auftragskontrolle
Auskunftsrecht
Automatisierte Verarbeitung
Automatisiertes Abrufverfahren
Bundesdatenschutzgesetz (BDSG)
Benutzerkontrolle
Besondere Arten personenbezogener Daten
Bring Your Own Device (BYOD)
Callcenter
Cloud
Customer Relationship Management (CRM)
Computerviren/Diskettenlaufwerke/ CD-ROM-Laufwerke/USB-Stick
Datengeheimnis
Datenschutz-Ist-Analyse
Datenschutz-Zertifizierung
Datenschutzaudit
Datenschutzbeauftragter
Datenschutzbeauftragter Software
Datenschutzgrundlagen
Datenschutzumsetzung
Datenschutzumsetzung 2
Datenschutzumsetzung 3
Datenschutzumsetzung 4
Datenschutzzertifikat
Datensparsamkeit
Datentransfer in Drittländer
Datenträgerkontrolle
Datenverarbeitung
Datenverarbeitungsanlage
Digitale Signatur
Drittstaat
Dokumentenmanagement
Eingabgekontrolle
Fernwartung
Interessenabwägung
Internet
IT-Sicherheit
Kontrolle beim Einsatz von PCs
Konventionelle Telefaxgeräte
Laptops/Notbeooks/Blackberry
Letter Shops
Löschungskonzept
Meldepflicht
nicht-öffentliche Stelle
öffentliches Verfahrensverzeichnis
Organisationskontrolle
öffentliche Stelle
personenbezogene Daten
private Computer
Safe Harbor
Schutzstufe
Sicherheitsbereich
Speicherkontrolle
Technisch-organisatorische Maßnahmen (TOM)
Telearbeit
Telekommunikationseinrichtungen
Transportkontrolle
Trennungsgebot
√úbermittlungskontrolle
verantwortliche Stelle
Verarbeitung
Verarbeitungs√ľbersicht
Verfahren
Verfahrensverzeichnis
Verfahrensverzeichnis, öffentliches
Verfahrenverzeichnis
Verf√ľgbarkeitskontrolle
Vernichtung von Schrifgut und Datenträgern
Video-Beobachtung und Video√ľberwachung
Weitergabekontrolle
Zugangskontrolle
Zugriffskontrolle
Zutrittskontrolle
Zweckbindung