Moin!

Wir (ein <15 "Mann" IT-Betrieb im Bereich Dienstleistung ERP/CRM/DMS) haben ab sofort einen Datenschutzbeauftragten - nämlich mich :freak:

Da wir (genauer mein Chef) sich wohl ein Kundenprojekt nicht durch die Lappen gehen lassen möchte, weil die besonderen Wert auf das Thema Datenschutz bei uns legen, wurde ich jetzt kurzer Hand zum Datenschutzbeauftragten innerhalb unserer Firma kommandiert. Ich bin bei uns für die hausinterne IT zuständig, also scheint es wohl so, als wäre ich irgendwie "der Richtige" bei uns für den Job - bin aber trotzdem alles andere als begeistert :rolleyes:
Ich bin bereits dabei, mich durch die Wiki Einträge und Co. durchzuarbeiten... wäre hier aber auch an Feedback jeglicher Richtung interessiert. Auch um die Fragen, die mir beim Lesen sicherlich kommen werden, hier weiter zu vertiefen. Streng genommen machen wir das hier jetzt für die Außendarstellung - damit wir dem Kunden gegenüber sagen können "wir haben einen Datenschutzbeauftragten" - aber so einfach ist es nicht, oder? Da kommen so einige "Pflichten" auf mich zu, oder?!

Wie gesagt, bin für Feedback und Anregungen jeglicher Art hier dankbar...

MfG Blase

Dann hofft mal drauf, dass der Kunde nicht auch nach der Qualifizierung zum DSB fragt.

Glückwunsch. Du bist jetzt in einem riesigen Feld sich widersprechender Anforderungen. An Deiner Stelle würde ich kündigen.

Schau nach Schulungen, Seminaren und Zertifizierungen.
Die wirst du als erstes machen müssen.

War der DSB nicht auch "verantwortlich" falls was schief geht?

Dazu
Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde und Zuverlässigkeit besitzt. Die verantwortliche Stelle ist ausdrücklich verpflichtet (§ 4f Abs. 3 Satz 7, Abs. 2 BDSG), dem betrieblichen Datenschutzbeauftragten für die Erhaltung seiner Fachkunde die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Die erforderliche Zuverlässigkeit erfordert, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion besteht.

Dazu darf man sich nicht selbst kontrollieren, d.h. Technik beim Kunden machen und dann bestimmen: haben wir Datenschutzrechtlich super gemacht ist imho nicht zuläßig

hat sich eure Firma für eine bessere Außendarstellung auch selbst in MS paint ein ISO9001 erstellt und ausgedruckt an die Wand im Chef-Büro geheftet?

Moin Jungs,

vielen Dank schon einmal für das Feedback!

Ich habe mich jetzt 2 Stunden online damit beschäftigt.

1. Ich bin nicht "qualifiziert" - aber gleichzeitig gibt es keine zwingend vorausgesetzte Qualifikation in Form einer Schulung, Weiterbildung oder ähnliches, oder?! Es "reicht", die Kenntnisse in den relevanten Bereichen (gesetzlich, betriebswirtschaftlich und technisch) zu haben und weiter geben zu können. Und ich muss in der Lage sein, eben diese anzuwenden.

2. In meiner Position als IT Verantwortlicher bei uns hausintern stehe ich in einem Interessenkonflikt. Aber bin ich deswegen automatisch "raus" aus dem Bereich? Hierzu habe ich nichts weiter gefunden, nur eine Anhäufung von Konjunktiven. Es bedeutet ja nicht, dass ich - weil "ich" unsere EDV mache - Angst davor habe, wenn etwas im Zuge des Datenschutzes nicht konform liefe, hier Ärger zu bekommen. Wenn sich im Zuge meiner Arbeit (als "Datenschutzbeauftragter") herausstellt, dass hier und da im Bereich der EDV einige Dinge zukünftig anders laufen müssen, dann laufen sie zukünftig eben anders.
Also ist dieser Interessenkonflikt nun per Definition (bezüglich meiner eigentlichen Position im Unternehmen) automatisch gegeben und damit verbietet sich das Aufgabengebiet des Datenschutzbeauftragten für mich. Oder kann man das in Einklang bringen? Wie wäre die Außenwirkung auf einen Kunden - bezüglich des möglichen Interessenkonflikts?

3. Diese "Verantwortung", bzw. das "Haften"... bisher habe ich noch nicht wirklich etwas gefunden, ob und wie ich, in meiner Person, hier haftbar bzw. verantwortlich bin. Bisher eher immer nur Bereiche gefunden, wie eben die Firma, bzw. die Leitung (mein Chef) hier haftbar gemacht werden kann (wenn er z.B. keinen Datenschutzbeauftragten hat). Hierzu näherführende Infos wären gerne genommen.

4. Bezüglich Schulungen, Seminaren, Zertifikaten.... das wäre sicherlich für die Zukunft eine schöne Sache - WENN das denn wirklich bei mir bleiben sollte (Stichwort Interessenkonflikt) - aber so viel Zeit habe ich wohl nicht, bis der Kunde sich hier überzeugen möchte, dass wir die gesetzlichen Bestimmungen einhalten.. :rolleyes:

1. Ja. Solltest dich aber trotzdem weiterbilden.
2. Die Lösung des Interessenkonflikts ist ja gerade deine Aufgabe. Du bist auf keine Fall raus.
3. Würde ich erst mal easy sehen. Bei groben Sachen Erklärung vom Chef unterschreiben lassen.
http://www.it-recht-kanzlei.de/haftung-datenschutzbeauftragter.html

4. Externe Hilfe besorgen.


hat sich eure Firma für eine bessere Außendarstellung auch selbst in MS paint ein ISO9001 erstellt und ausgedruckt an die Wand im Chef-Büro geheftet?
Erfordert externe Akkreditierung und Audits. Datenschutz ist bei weitem nicht so weit.

Die erforderliche Zuverlässigkeit erfordert, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion besteht.Bei uns ist der Standortleiter (p.p.a.) der Datenschutzbeauftragte... :freak: :rolleyes:

hat sich eure Firma für eine bessere Außendarstellung auch selbst in MS paint ein ISO9001 erstellt und ausgedruckt an die Wand im Chef-Büro geheftet?;D

MfG
Rooter

Für mich (persönlich) stellen sich ja zwei, bzw. drei "Fragen" zur Zeit.

1. Bin ich in meiner Position überhaupt "geeignet", den Datenschutzbeauftragten zu geben - rein in Anbetracht des Interessenkonflikts mit meiner Position als verantwortlicher der hausinternen IT?

2. WENN Punk 1. "passt" - kann ich in meiner Person bis zum Zeitpunkt X genügend "Fachkompetenz" in diesem Bereich aufbauen, damit ich/wir den Kunden davon überzeugen können?

3. Wie "läuft" das mit dem Datenschutzbeauftragten hier "weiter?

Grundsätzlich scheint das Thema Datenschutzbeauftragter hier bisher niemand so wirklich "ernst" genommen zu haben - wahrscheinlich wie bei fast allen Firmen in dieser (kleinen) Größenordnung. Hier würde ich zumindest erst einmal die Kirche diesbezüglich im Dorf lassen wollen. Auch ich beschäftige mich ja erst nach meiner "Ernennung" intensiv damit - und stelle halt fest, dass wir hier intern Handlungsbedarf haben! Das heißt nicht, dass wir hier einen sehr laxen Umgang mit dem Thema Datenschutz haben - haben wir nicht! - aber zumindest in der Form eines dedizierten Datenschutzbeauftragten ist hier halt bisher nichts passiert. Und wenn wir das zukünftig nun angehen, war die Aktion doch schon für was gut :wink:

Zu 1. bleibt für mich halt die Frage, ob ich das überhaupt sein kann oder per Definition raus bin. Und wenn ich es sein kann, was dafür aber "passieren" muss.

Zu 2. haben wir ja einen ganz konkreten Fall. Wie ich nun (erstmalig) die Gesetzte gelesen haben, verstehe ich nun, dass sich praktisch auch jeder unserer Kunden vorab über UNSEREN Datenschutz informieren MÜSSEN, BEVOR sie Geschäfte mit uns machen - sonst machen sie sich wiederum strafbar. Soweit nun so klar. Wenn ich es also sein soll (und kann) muss ich mir also einiges in die Birne kloppen in rel. kurzer Zeit :rolleyes: Ich nehme das halt Ernst und versuche dem auch gerecht zu werden...

Zu 3. Unabhängig davon, ob ich das jetzt machen werde oder doch (wegen Punkt 1) jemand anders - zukünftig wird dieser Stelle sicherlich mehr Beachtung widerfahren, als das bisher der Fall war. Dann auch möglicherweise mit Weiterbildungen und Co.


Wenn ich das richtig verstanden habe - bitte um Feedback (!) - besteht meine vorrangige Aufgabe primär erst einmal darin, den IST Zustand bezüglich Datenschutz aufzunehmen, ja? Beginnend "von außen nach innen" - was bedeutet, dass ich erst einmal so Sachen wie "Gebäudesicherheit" (Türschlösser/Schlüssel, Zutrittskontrollen, Überwachung (Kamera),...) aufnehme, dann über die internen Strukturen (Serverraum, Zutrittskontrollen, Sicherungsmaßnahmen, AntiViren Schutz,..) bis hin zu den technischen Aspekten (Passwortlänge/-Schutz, Verschlüsselung, Berechtigungen,...) komme, ja?! Gibt es Vordrucke diesbezüglich? Richtlinien?

Du bist geeignet und kommt aus der Sache auch nicht raus wenn der Chef das will.

Deine Aufgabe ist jetzt der Aufbau eines Managementsystems. Der Chef(die Firmenleitung) hat dir dafür Mittel bereit zu stellen.

-> Ist-Zustand
-> Ziele definieren
-> ZEITPLAN mit Chef absprechen
-> Externe Beratung
-> Rechtsregister anlegen
-> internes Audit mit Wiederholungsterminen

Externes Audit und Zertifizierung ist nach meiner Kenntnis nicht gefordert. Nimm der als Beispiel die 9001, 14001, 50001 und EMAS.

Du bist geeignet [...]

Danke :freak:

Aufgrund meiner aktuellen Position - weil ich den technischen Hintergrund bereits habe und auch die betrieblichen Strukturen natürlich kenne - und mich in den Rest (gesetzliche Bestimmungen) einfach nur reinlesen muss?!

Deine Aufgabe ist jetzt ... [...]

Und noch mal Danke :wink:

Du bist in dem Bereich zuhause? Selbst so ein "Datenschutzbeauftragter"?! :biggrin:

Dann mache ich mich mal an den IST-Zustand... :cool:

Sorry, aber wenn der Chef das einfach mal so bestimmt, dann kann er dich auch einfach mal so auf ein Seminar schicken. Halte ich für wesentlich zielführender, als da jetzt komplett autodidaktisch ranzugehen (zumal du ja eigentlich keinen Bock drauf hast), da es bei dem Thema viel zu viele Fallstricke gibt.

Nicht persönlich gemeint, aber ist es bei euch grundsätzliche Geschäftspolitik, Mitarbeitern ohne entsprechende Vorbereitung/Kompetenzen Fachbereiche zu überlassen? :ugly: Darf die Putzfrau mit ppa. unterschreiben? ;D

Bananenrepublik 2.0

Nicht persönlich gemeint, aber ist es bei euch grundsätzliche Geschäftspolitik, Mitarbeitern ohne entsprechende Vorbereitung/Kompetenzen Fachbereiche zu überlassen? :ugly: Darf die Putzfrau mit ppa. unterschreiben? ;D

Bananenrepublik 2.0
Willkommen in Deutschland.........

Nach über 20 Jahren Berufserfahrung kann ich dir versichern - das ist eher die Regel als die Ausnahme.....

Peter-Prinzip anyone?

Das stimmt schon, irgendeine Ausbildung braucht man nur um überhaupt mal ins Arbeitsleben zu kommen. Der Rest ist improvisieren. Trotzdem bleibe ich dabei: Die Firma aka der Chef darf da ruhig ein Seminar bzw. Fortbildung sponsern.

Nach meiner bescheidenen Erfahrung schützt Datenschutz die Daten etwa so, wie Insektenschutz die Insekten schützt.

Herzlichen Glückwunsch!

Wär mir jetzt neu, wenn ein DSB voll und wirklich ernsthaft Ahnung von Tuten und Blasen hat. Erfahrungsgemäß ist das eine Alibi-Stelle, die dann ein paar interne Alibi-Vorträge hält, die von den Abteilungen nur oberflächlich a) erzählt bekommt und b) noch weniger schnallt, was für Daten eigentlich so herumdaten und wie effektiv die Schutzmaßnahmen dabei sind. Papiermüll mit personenbezogenen Daten zu schreddern ist da noch einer der konstruktivsten Vorschläge.

Du bist in dem Bereich zuhause? Selbst so ein "Datenschutzbeauftragter"?! :biggrin:

Hatte erst UM und etwas QM Weiterbildung.

@Blase
Ich war als IT-Verantwortlicher eines mittelständischen Unternehmens in einer ähnlichen Situation, als es ebenfalls darum ging einen DSB zu bestellen und ich dafür vorgeschlagen wurde. Ich wollte diese Funktion damals nur übernehmen wenn ich sie tatsächlich ausfüllen kann und sie nicht nur auf dem Papier existiert. Das heißt:
* Teilnahme an entsprechenden Schulungen und Zertifizierungen (außer Haus um nicht von Projektaufgaben abgelenkt zu sein)
* Reservieren eines Teils der Arbeitszeit für die Aufgaben des DSB
* Mitbestimmungsrecht (und nicht nur Mitspracherecht) bei Vorgängen die personenbezogene Daten betreffen

Da das nicht zugesagt werden konnte habe ich abgelehnt.
Letztlich hängt es aber davon ab was du willst. Willst du dem Datenschutz im Unternehmen einen entsprechenden Stellenwert verschaffen? Willst du in erster Linie diesen Kundenauftrag? Oder willst du einfach nur den Vorschlägen deines Chefs nachkommen?

Ich hatte mich damals für "Entweder richtig oder gar nicht" entschieden, aber in aller Regel wird der Kunde mit einem Datenschutzbeauftragten auf dem Papier zufrieden sein, da er nur eine entsprechend unterschriebene Bestätigung haben will, um den Punkt auf seiner Liste abzuhaken und sich selbst sicher zu fühlen. Ob derjenige qualifiziert ist, Interessenskonflikte hat oder seit 12 Jahren tot ist, interessiert meist nicht.

Ich hatte mich damals für "Entweder richtig oder gar nicht" entschieden, aber in aller Regel wird der Kunde mit einem Datenschutzbeauftragten auf dem Papier zufrieden sein, da er nur eine entsprechend unterschriebene Bestätigung haben will, um den Punkt auf seiner Liste abzuhaken und sich selbst sicher zu fühlen. Ob derjenige qualifiziert ist, Interessenskonflikte hat oder seit 12 Jahren tot ist, interessiert meist nicht.


Da frage ich mich: Wie sieht es aus, wenn es wirklich mal zu einem Gau kommt? Dann wäre Blase doch der Dumme, oder?


tobife

Da frage ich mich: Wie sieht es aus, wenn es wirklich mal zu einem Gau kommt? Dann wäre Blase doch der Dumme, oder?


tobife
DSB buchstabiert sich auch: S ü n d e n b oc k......:freak:



Edit: auch als Bruder von QMB bekannt.......

Wobei der QMB, zumindest bei uns, weniger leicht in die Scheiße rutschen kann als der DSB.

Wobei der QMB, zumindest bei uns, weniger leicht in die Scheiße rutschen kann als der DSB.
kommt drauf an, ob die stelle real oder nur auf dem papier existiert und wie derjenige von der geschäftsleitung gedeckt wird.

€dit: ich würde es nicht machen wollen. wenns alternativlos ist, dann nur als real existierende stelle mit allen konsequenzen (weiterbildung, dedizierte arbeitszeit, weisungsbefugnis, entsprechende entlohnung)

Der IT-Leiter darf nicht gleichzeitig Datenschutzbeauftragte sein. Ist zwar häufig so aus Unwissen, ist aber nicht erlaubt.
Das ist der Grund wieso sich Unternehmen externe Datenschutzbeauftragte leisten.

Ich bin Vetrauensperson meiner Orga.einheit. Schon traurig zu sehen, dass DSB höher bewertet wird als reale Belange der Mitarbeiter.

@Blase
Ich war als IT-Verantwortlicher eines mittelständischen Unternehmens in einer ähnlichen Situation, als es ebenfalls darum ging einen DSB zu bestellen und ich dafür vorgeschlagen wurde. Ich wollte diese Funktion damals nur übernehmen wenn ich sie tatsächlich ausfüllen kann und sie nicht nur auf dem Papier existiert. Das heißt:
* Teilnahme an entsprechenden Schulungen und Zertifizierungen (außer Haus um nicht von Projektaufgaben abgelenkt zu sein)
* Reservieren eines Teils der Arbeitszeit für die Aufgaben des DSB
* Mitbestimmungsrecht (und nicht nur Mitspracherecht) bei Vorgängen die personenbezogene Daten betreffen

Da das nicht zugesagt werden konnte habe ich abgelehnt.
Genau so ist die richtige Vorgehensweise, ich habe es in solche einer Situation genauso gemacht.

Der IT-Leiter darf nicht gleichzeitig Datenschutzbeauftragte sein. Ist zwar häufig so aus Unwissen, ist aber nicht erlaubt.
Das ist der Grund wieso sich Unternehmen externe Datenschutzbeauftragte leisten.
Richtig. Das sollte man selbst als 15 Mann Firma so machen. Wenn der Kunde das erfährt, dann gibt das Ärger.
Macht sich immer gut, wenn man extern verweisen kann, wenn nach einem Datenschutzbeauftragten gefragt wird. Das sollte man schon rein Marketing-technisch so machen. Und natürlich, aus Eigeninteresse der Firma gegenüber.

War selbst in der Situation, ist leider üblich, hab dankend abgelehnt wegen Unvereinbarkeit mit meinem Gewissen. (da ich für die IT-Infrastruktur verantwortlich war) Wurde ein externer, alle glücklich.