Wie Sie den passenden DSB für Ihr Unternehmen finden
Autor: Kerstin Blossey, Blossey & Partner
Datenschutz ist in aller Munde, keine Frage! Nicht nur in Deutschland und Europa häufen sich seit 2008 die "Pannen", die in den meisten Fällen eine peinliche Veröffentlichung vieler personenbezogener Daten nach sich gezogen haben. Privatsphäre wird auch international heiß diskutiert. Schon reagiert das System und novelliert das Bundesdatenschutzgesetz - quasi über Nacht.
In diesem Artikel erfahren Sie...
• Wieso Sie den Datenschutz nicht länger aussitzen sollten;
• Welche Vorteile für einen externen oder internen Datenschutz- beauftragten (DSB) sprechen; • Welche Fähigkeiten Ihr künftiger DSB unbedingt mitbringen sollte;
• Wie Sie den richtigen externen DSB für Ihr Unternehmen finden können;
• Wie Sie für Ihren DSB den Weg ebnen und dadurch mehr von ihm haben können.
Was Sie wissen/können sollten...
• Keine spezifischen Vorkenntnisse erforderlich;
• Grundbegriffe des Datenschutzes aus den Artikeln der vorherigen Ausgaben sollten geläufig
sein. Alternativ kann auf das Glossar von Blossey & Partner
(http://blossey-partner.de/sho- wpage.php?SiteID=11⟨=1) zurückgegriffen werden.
Noch immer sind viel mehr Fragezeichen zu sehen statt praktikabler Umsetzungsvorschläge aus der best practice-Schatzkiste der Aufsichtsbehörden, Interessens- und Berufsverbände. Kein Wunder, sind doch alle gleichermaßen vor vollendete Tatsachen gestellt und nun gefragt, schnell alltagstaugliche Lösungen aus dem Hut zu zaubern. Bis einschlägige Urteile uns allen den Weg weisen, gilt die Devise: Alles, was bisher bereits gesetzliche Anforderung war, ist nun erst recht Anforderung an Sie, wenn Sie personenbezogene Daten nicht zu Ihren rein privaten Zwecken verarbeiten. Ignorieren wird jedoch deutlich teurer... sowohl vom Imageschaden her als auch von Seiten zu erwartender Bußgelder.
Die Voraussetzung: Wieso Sie den Datenschutz nicht länger aussitzen sollten
Bußgelder in Millionenhöhe, Haftstrafen, die weit über das textlich bezifferte Höchstmaß des Bundesdatenschutzgesetzes (nachfolgend „BDSG“ genannt) hinaus gehen, immense Imageschäden, die kostspieligen Werbespots zur besten Sendezeit mit der Botschaft "wir arbeiten für Sie an der heilen Welt und haben noch freie Lehrstellen" in einer Zeit, wo Arbeitsplätze seit Jahren rar sind sowie horrender Mehraufwand für die Schaffung einer angemessenen Datenschutzorganisation in einer auferlegten Frist statt im normalen Tagesbetrieb. Das sind ein paar Konsequenzen aus einem nicht vorhandenen oder mangelhaft betriebenen Datenschutz im Unternehmen. Dabei ließe sich auch mit dem spitzen Bleistift schnell ausrechnen, dass es mittel- und langfristig gesehen wesentlich günstiger ist, einen DSB zu "unterhalten" als eine Datenschutzpanne oder gar ein Verfahren samt Nachbesserungsarbeiten auf sich zu nehmen. Gerechnet wird noch immer so lange nicht, bis der Datenschutzvorfall passiert ist. Dann aber kann auch der qualifizierteste DSB die Kohlen nicht mehr aus dem Feuer holen - so es ihn überhaupt gibt im Unternehmen – und Zeit und Gelegenheit zum Vertuschen oder Schönreden einer solchen Panne bleiben erfahrungsgemäß dann ebenfalls nicht mehr.
Die eingangs erwähnte Novellierung des BDSG von 03.07.2009 stattet die Aufsichtsbehörden mit mehr Befugnissen aus. In einigen Bundesländern wurden die Stellen aufgestockt, um das ebenfalls gestiegene Aufgabenpensum bewältigen zu können. Bußgelder haben zwar noch eine bezifferte Maximalhöhe, sollen aber
"den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden"
besagt die Neufassung von § 43 Absatz 3 Satz 2 BDSG in klarer und durchaus verständlicher Sprache. Und weil das längst nicht genügt als Konsequenz, gilt beispielsweise auch seit 01.09.2009 eine verschärfte "Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten" (Pannen) gegenüber der zuständigen Aufsichtsbehörde und den Betroffenen. Der Gesetzgeber legt im neu geschaffenen § 42a BDSG zusätzlich fest, wie diese Benachrichtigung zu erfolgen hat:
"Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihrer Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme"
Mit steigender Popularität des Themas Datenschutz in der Presse wird die Öffentlichkeit und der Endverbraucher nachhaltig sensibilisiert für den unsachgemäßen Umgang mit seinen Daten und für seine Mitverantwortung. Dies hatte in den letzten Jahren einen deutlichen Anstieg an Beschwerden zur Folge - nicht nur bei den Aufsichtsbehörden, sondern auch bei den Unternehmen selbst. Spätestens jetzt muss Ihr DSB also nicht nur existieren, sondern er sollte nun bereits über ausreichend Praxiserfahrung, beispielsweise im Bezug auf die Wahrung der Betroffenenrechte nach §§ 34 und 35 BDSG, haben; denn an diesem Punkt benötigt Ihr Unternehmen ein durchdachtes Beschwerdemanagement für eingehende Beschwerden und Widersprüche zur Datennutzung oder Auskunftsersuchen. Dieses muss neben Textbausteinen für die unterschiedlichen Standardanfragen eine ganze Menge mehr können, zum Beispiel:
• Es muss einen Geschäftsprozess etabliert haben, der solche Anfragen zuverlässig an die
zuständige Stelle (meist den DSB oder die Rechtsabteilung) weiterleitet, damit keine Anfrage
versendet und dadurch zusätzlichen Unmut beim jeweils Betroffenen verursacht und
nachfolgend eine Beschwerde direkt bei der Aufsichtsbehörde folgt.
• Es muss über eine unternehmenszentrale, ggf. auch standortübergreifende Sperrdatei
verfügen, in der alle Nutzungswidersprüche zuverlässig hinterlegt werden, um künftig die
unerwünschte Datennutzung zuverlässig unterbinden zu können.
• Es muss eine enge Abstimmung mit der Geschäftsführung sicherstellen, da in der Regel auch
pikante Anliegen und Anfragen von Medien nicht ausbleiben.
• Es muss eine technische Lösung bereithalten, um vorhandene Lücken in Systemen zu
schließen, Da- tensätze, die nicht mehr genutzt werden dürfen, zu löschen bzw. zu sperren
und sicherzustellen, dass diese Daten auch anderweitig nicht mehr ungewollt auftauchen
können.
• An Stellen, wo das Unternehmen samt fachkundigem DSB keine Lösung mehr sehen, ist eine
enge kooperative Zusammenarbeit mit der zuständigen Aufsichtsbehörde gefragt.
Welche Vorteile sprechen für einen externen oder internen DSB Die nachfolgend behandelten Aspekte und die dazu getätigten Überlegungen sind nicht als der Weisheit letzter Schluss und damit als das "Soll" für den
betrieblichen DSB zu verstehen, sondern als provokative Aussagen zur Selbsteinschätzung und Entscheidungsfindung. Jeder genannte Punkt kann im Grunde sowohl für den internen als auch für den
externen DSB ausgelegt werden...........