«
»

Datenschutz als Wettbewerbsvorteil

14. März 2010

So ganz neu ist das Bundesdatenschutzgesetz (BDSG) nicht mehr, alle Übergangsfristen sind abgelaufen, es drohen Bußgelder von 25.000 EUR und mehr; außerdem hängt die Kreditwürdigkeit (Basel II) zunehmend auch vom Qualitätsmanagement eines Unternehmens ab, und praktizierter Datenschutz ist eine Ausprägung davon. Zeit zu handeln!

Schlussendlich drängen viele Konzerne bei ihren Zulieferern und Dienstleistern auf Einhaltung des BDSG (oder sogar enger gefasster eigener Vorschriften), weil auch ihre eigene Kreditwürdigkeit davon abhängt; so bekommen Lieferanten von vielen namhaften Konzernen schlichtweg nur noch Aufträge, wenn sie einen DSB nachweisen können. Es ist also ein Wettbewerbsvorteil, praktizierten Datenschutz nachweisen zu können; Sie entscheiden, ob es ein Vorteil Ihrer Mitbewerber ist oder Ihr eigener….

Wie schon ausgeführt, haben wir uns entschlossen, diesem Aufklärungsbedarf nachzukommen und bieten Dienstleistungen rund um den Datenschutz an; hierbei arbeiten wir eng mit der renommierten Rechtsanwaltskanzlei Breuning, Winkler und Kollegen aus Hamburg-Bergedorf zusammen.

Man könnte jetzt einfach auf das BDSG verweisen, da aber das Lesen von Gesetzen nicht Jedermanns Sache ist, möchte Heuristika die Gelegenheit nutzen, mit Verweis auf die Bestimmung die zentralen Anforderungen und Regelungen allgemeinverständlich aufzuzählen.

Welchen Zweck verfolgt das BDSG?

Aufgabe des Bundesdatenschutzgesetzes ist es, den Umgang mit personenbezogenen Daten zu regeln und auf diesem Wege die Persönlichkeitsrechte der Personen, deren Daten erfasst wurden, umfassend zu schützen (vgl. § 1). Personenbezogene Daten i. S. d. Gesetzes sind nach § 3 BDSG hierbei alle Einzelangaben, die über rechtliche oder sachliche Verhältnisse einer Person (nicht die eines Unternehmens, diese Unterscheidung ist nicht zuletzt bei Einzelunternehmern wichtig!).

Grundsätzlich ist die Speicherung von personenbezogenen Daten natürlicher Personen nur mit Einwilligung des Betroffenen zulässig (es sei denn, eine Erhebung ist gesetzlich vorgeschrieben), diese kann jederzeit widerrufen werden (§ 4). Dem Betroffenen gegenüber muss jederzeit auf Verlangen offen gelegt werden, welche Daten über ihn gespeichert sind und/oder an Dritte weitergegeben wurden, aus welchen Quellen diese Daten stammen und welchen Zweck diese Daten verfolgen (§ 34). Auf Wunsch sind die Daten zu sperren oder zu löschen (§§ 28, 43, 4).

Pflicht zur Bestellung eines Datenschutzbeauftragten

Der Datenschutzbeauftragte berichtet der Geschäftsführung unmittelbar, er ist die zentrale Person von praktiziertem Datenschutz; er erstellt die notwendigen Dokumente (Policies; Datenschutzhandbuch, Datenschutzerklärungen, öffentliche und nichtöffentliche Verfahrensverzeichnisse, Zusätze zu Arbeitsverträgen, etc.), er schult die Mitarbeiterinnen und Mitarbeiter, er ist als Experte Ansprechpartner nach innen (Geschäftsführung, Mitarbeiter, Betriebsrat, etc.) wie nach außen (Kunden, Lieferanten, sonstige Geschäftspartner, Behörden, Banken, etc.), er führt regelmäßige Audits durch, die Art und Qualität der Umsetzung dokumentieren und kritisieren. Nach § 4f ist jedes Unternehmen verpflichtet, einen Beauftragten für den Datenschutz zu bestellen, wenn eine oder mehrere der folgenden Kriterien erfüllt sind:

  • Das Unternehmen beschäftigt regelmäßig mindestens zehn Mitarbeiter, die automatisiert personenbezogene Daten verarbeiten. Zu diesen Mitarbeitern können zum Beispiel Mitarbeiter der Personalabteilung und Führungskräfte gehören, wenn man aber einen Betrieb analysiert, ist man oft überrascht, wie viele Mitarbeiter (gewollt oder ungewollt) Zugang zu personenbezogenen Daten haben.
  • Das Unternehmen beschäftigt regelmäßig mindestens 20 Mitarbeiter, die nicht-automatisiert personenbezogene Daten verarbeiten. Gerade in bestimmten Unternehmen ist es häufig noch sehr verbreitet, abseits von der EDV mit personenbezogenen Daten umzugehen. Klassisches Beispiel sind hier zum Beispiel physiotherapeutische Praxen und die klassischen Krankenakten in Arztpraxen, die noch erstaunlich oft händisch geführt werden.
  • Das Unternehmen unterliegt der Vorabkontrolle. Der Vorabkontrolle unterliegen alle Unternehmen, die besondere personenbezogene Daten nach § 3 verarbeiten, die also Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben enthalten. Somit fallen schon Angaben wie Mitgliedschaft in einer Kirche (Steuerkarte!) oder Staatsangehörigkeit zu diesen besonderen personenbezogenen Daten; was dazu führt, dass jede Arztpraxis und jede Apotheke (unabhängig von der Zahl der Mitarbeiter) einen Datenschutzbeauftragten vorweisen muss!

Warum sollten gerade Betriebsräte auf die Bestellung eines Datenschutzbeauftragten hinwirken?

Ein Beispiel unter Vielen: Dürfen die Mitarbeiterinnen und Mitarbeiter den Internetzugang privat nutzen? Nein? Wie wird das kontrolliert? Wer kontrolliert das? Wie geht der Kontrolleur mit diesen Daten um? Wem berichtet er? Ist dem Mitarbeiter bekannt, welche Verantwortung er trägt mit dem Wissen, das er sammelt? Ja? Weiß das Unternehmen, dass es damit quasi zum Teledienstanbieter nach TDG wird? Dass er ebenso wie jeder andere Anbieter von Internetzugängen Berichtspflichten hat? Dass er unter Umständen Daten aufbewahren muss? Dass er in Interessenskonflikte gerät, wenn ein Mitarbeiter problematische Internetseiten nutzt (pornografisch; oder eben auch strafrechtlich relevant). Gibt es eine Betriebsvereinbarung, in der geregelt wird, dass personenbezogene Daten (Verbindungsdaten) gespeichert werden? Ein Unternehmen, das HIER nicht aufpasst, gerät in die Zwickmühle von Aufzeichnungspflicht nach TDG und Aufzeichnungsverbot nach BDSG! Dieses Bewusstsein ist oft nicht vorhanden, auch bei den Mitarbeitern nicht. Ein DSB kann und muss hier wichtige Aufklärungsarbeit leisten!

Welche Anforderungen werden an einen Datenschutzbeauftragten gestellt und welche Folgen ergeben sich aus der Bestellung?

In § 4 BDSG sind die Eigenschaften festgelegt, die an einen betrieblichen Datenschutzbeauftragten zu stellen sind. Zum Beispiel muss er die für die Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen; insbesondere sind Interessenkonflikte zu vermeiden. Demzufolge darf der Datenschutzbeauftragte nicht Mitglied der Geschäftsführung sein (weil er an diese berichtet; und das, wie gesagt, unmittelbar!) und auch nicht Mitglied der mit der IT betrauten Personen sein (also zum Beispiel ist ein IT-Leiter nicht zum Datenschutzbeauftragten zu bestellen, weil er sich sonst selbst kontrollieren würde; andere Mitglieder der IT-Abteilung geraten in Konflikt zwischen ihrer Aufgabe als DSB und ihrem Vorgesetzten, den sie kontrollieren). Das Unternehmen ist verpflichtet, ihm alle notwendigen Mittel an Hilfspersonal, Räume, Einrichtungen, Geräte und Arbeitsmittel sowie Arbeitszeit zur Verfügung stellen. Er ist Ansprechpartner in Sachen Datenschutz — für die Geschäftsleitung, die Mitarbeiter, Kunden, Lieferanten und alle anderen Personen. Ihm dürfen insbesondere keine Nachteile dadurch entstehen, dass er DSB ist. Dies führt (zusammen mit der Tatsache, dass die Bestellung nur schwer wieder rückgängig zu machen ist!) zu einem Quasi-Kündigungsschutz. Solange dieser Mitarbeiter nicht gerade die berühmten “silbernen Löffel” entwendet (was die erforderte Zuverlässigkeit in Frage stellen würde), ist er praktisch nicht mehr zu entlassen. Es besteht aber keine Verpflichtung, einen eigenen Mitarbeiter zum DSB zu bestellen, man kann ebenso gut einen Dienstleister auf Honorarbasis zur Erfüllung der Aufgabe engagieren. Dies führt dazu, dass

  • man einen Blick von außen zulässt; das schützt vor Betriebsblindheit
  • die Stimme des Außenstehenden eher gehört wird als die des internen Mitarbeiters (Konfliktvorbeugung)
  • der DSB nicht in die internen Hierarchien und die damit verbunden Sympathien und Antipathien involviert ist
  • Sie einen externen Dienstleister gewinnen, dem Sie den Auftrag leichter entziehen können, so Sie unzufrieden sind
  • ein wirklicher Experte diese Tätigkeit ausführt, der die notwendigen Kenntnisse bereits besitzt, denn

eine Schulung zum DSB kostet, wird sie ordentlich gemacht, mehrere tausend Euro!!!

Es besteht Verpflichtung zur Verschwiegenheit. Der DSB berichtet in seiner Funktion unmittelbar an die Geschäftsleitung, was nicht selten zu Interessenkonflikten führt, weil er an seinen Vorgesetzten vorbei mit der Geschäftsleitung spricht und seine Vorgesetzten dabei im Zweifel auch kritisieren muss. Der Datenschutzbeauftragte ist in seiner Funktion als DSB weisungsfrei. Wenn ein DSB nicht korrekt ausgewählt und bestellt ist oder wenn er seine Aufgaben nicht oder schlecht erfüllt, kann die Aufsichtsbehörde die Bestellung widerrufen und ihn dadurch seiner Aufgaben als DSB entbinden.

In Summe ist festzustellen, dass eine Auseinandersetzung mit dem Thema Datenschutz eine lohnenswerte Investition ist. Eine Erstberatung führe ich grundsätzlich kostenlos durch, denn Aufklärung tut not!

Verwandte Beiträge

Print This Post Print This Post

1 Kommentar zu „Datenschutz als Wettbewerbsvorteil“

Kommentieren

Up to date bleiben….
| | More

Heuristika Unternehmensberatung Unternehmensprofil
Artikel nach Themen
Unsere Kooperationspartner:
SystempartnerSystempartner

einfachLohnPartner

Zusammen für den DatenschutzZusammen für den Datenschutz
Einloggen



Valid XHTML 1.0 Transitional Made on a Mac

Created by Kreativathletin

Heuristika ist eine in Deutschland geschützte Wortmarke. Der Inhalt dieser Internet-Seiten darf nicht zu kommerziellen Zwecken kopiert, verbreitet, verändert oder Dritten zugänglich gemacht werden. Reporta ist eingetragene Marke der Reporta Controllingsysteme AG. iPhone, iPad, iMac, Macintosh und Apple sind Marken der Firma Apple. SAP, ABAP, BAPI und andere SAP-Marken sind eingetragene Marken der SAP AG in Deutschland und vielen anderen Ländern. Heuristika macht sich keine dieser Marken zu eigen. Einige Seiten enthalten Bilder, deren Rechte von Dritten nur zur Nutzung in dieser Website erworben wurden. Alle Rechte vorbehalten.