kurz mein Thema: Ich bin seit 2015 betr. DSB in einer GmbH. Wir gehören zu einer US-Corporation.
Seit einiger Zeit werden Policies erstellt oder Dinge konzernweit umgesetzt, die nicht vollständig zu dem europäischen Datenschutzgesetzen stimmig sind. Beispielswiese ist eine Online-Bewerberplattform erstellt worden, die eine Datenschutzerklärung enthält, die recht allgemein und sehr amerikanisch (bzgl. Haftungen etc.) ausgelegt ist, aber in keiner Weise die Dinge enthält, die von der DSGVO gefordert sind (Information der Betroffenen, deren Rechte etc.). Das habe ich interveniert und habe Mühe die “für alle im Konzern einheitlich gültige” Plattform für Deutschland anpassen zu lassen.
Weiterhin ist es so, dass ich für die Erstellung eines Datenschutz-Management-Systems Unterstützung in Form einfacher Office-Tools anwenden möchte, die im Netz kaufbar sind (kosten knapp 350 €). Um so etwas zu kaufen, muss ich einen Antrag stellen, der in den USA von einem IT-Gremium beratschlagt und nach tausend Rückfragen evtl. freigegeben wird. Alles in allem ein sehr zäher Prozess.
Was mich aber stört ist, dass die sich in alle Belange meiner Arbeit als DSB betreffend reinhängen und quasi vorschreiben wollen, wir das nach ihre Augen hier abwickeln sollen. In die meisten dinge werde ich gar nicht eingebunden, erfahre erst davon, wenn sie ausgerollt werden.
Generell ist die Stellung und Funktion eines DSB, genauso wie die Stelle eines deutschen Geschäftsführers bei den Amis alles andere als klar. Das interessiert auch nicht wirklich. Die meinen, dass wir ja alle in einem Unternehmen sind, und da gelten die Richtlinien, die von der Legal und Compliance Truppe ausgearbeitet werden.
Frage ist nun: Wie überzeuge ich die Amerikaner von der Weisungsfreiheit eines DSB und der wichtigen Aufgabe, meine Geschäftsführung aktiv zu unterstützen und zu schützen, u.a. indem ich ein vernünftiges DS-Managementsystem erstelle, nach den Maßgaben der DSGVO?
Besten Dank schon mal für eure/ihre Tipps, evtl. auch eigenen Erfahrungen aus einer ähnlichen Konzernkonstellation.
Warum wollen Sie Amerikaner von irgendwas überzeugen. Als DSB der GmbH berichten Sie direkt an die GmbH-Geschäftsführung. Den muss es ja geben - egal, was Amerikaner davon halten. Wenn Sie nicht eingebunden werden, dann machen Sie halt selbst “Audits”. Und Mängel werden im Jahresbericht an die GF gemeldet. Wenn die vorhandenen Richtlinien nicht Europa-konform sind, dann ist das auch ein Mangel, der berichtet wird. Schließlich ergibt sich dadurch ein Bußgeld-Risiko.
Danke für ihre Antwort.
Das Bestreben, die Amerikaner zu überzeugen rührt wohl bei mir daher, dass ich denen klar machen möchte, dass wir gemäß unseren Vorgaben handeln, und nicht nach deren Vorgaben.
Aber sie haben Recht, eigentlich muss ich im Sinne der GmbH meine Vorgaben umsetzen.
Mich stört eben nur, dass von “Drüben” Dinge rübergespült und einfach umgesetzt werden, die nicht mit uns abgesprochen wurden, da ich in keine Entscheidungen eingebunden bin.
Mit der GF habe ich inzwischen vereinbart, dass wir denen klarmachen sollten, dass die Dinge erst nach den geltenden gesetzlichen Vorgaben in Europa einen Prüfungsprozess durchlaufen, und in jedem Fall durch die GF freigegeben werden müssen. Wir wollen im Prinzip eine Freigabemauer errichten, gegen die die Maßnahmen zunächst gegenlaufen, die von der Corporate aktiviert werden.
Die Corporate sieht das immer mit der Brille “Wo müssen wir uns schützen, um nicht gegen Gesetze zu verstoßen” (was ja prinzipiell richtig ist), setzt es dann aber so um, wie sie es als richtig empfinden (“Wieso, wir haben doch eine tolle Policy in den Bewerbungsprozess eingebunden, und der sollte compenyweit gelten…”), und wir stellen dann fest, dass es für unsere europäischen Maßgaben nicht genügt. Also stoppen wir das bei uns, sagen den Kollegen drüben aber Bescheid, lassen es durch unsere Prüfung laufen, und geben dann durch die GF frei. Das ist momentan unser Bestreben.
Mit dem Betriebsrat hatten sie anfangs auch diese Probleme, bis sie erkannt haben, dass sie um den BR bei gewissen Entscheidungen nicht drum herum kommen. Das läuft inzwischen recht gut, und so stelle ich mir das langfristig auch für den Datenschutz vor.
Die Corp. muss verstehen, dass die GmbH nach europäischen Datenschutzrecht zu handeln hat, und der DSB dafür die Weichen mit stellt und die GF entsprechend den Vorgaben Freigaben erteilt, weil es hier auch Haftungsfragen zu beachten gibt. - Ist das zu eng gedacht?
Die sollten verstehen, dass die Datenschutzvorschriften und weitere regionale Besonderheiten ein… (Wie würden sie es begreifen? Ach ja, ein—) “Mikrowellenherd-Risiko” sind.
Die deutsche GmbH trägt die Verarntwortung für so ein Gerät, das in Europa steht, und das auch der Mutter bei Fehlbedingung viel Geld kosten kann. (Bußgelder auf Basis des weltweiten Konzernumsatzes.) Nicht nur Geld, sondern evtl. anderes Ungemach, z. B. Eingreifen von Aufsichtsbehörden /Gerichten /Betroffenen in ihre schön durchgeplanten Geschäftsprozesse.
Der DSB stellt möglche Widersprüche zu den Vorschriften fest und lädt diese bei der deutschen Geschäftsführung ab. Immer wieder. Gern mit Vorschlägen, wie man datenschutzkonform unterwegs wäre.
D., der es sich 2 x überlegen würde, eine amerikanische Katze in die deutsche Mikrowelle zu stopfen, weil jemand weltweit vorgegeben hat, dass sie so am schnellsten trocken wird. (2 x überlegen, und dann trotzdem rein, um zu sehen, was dabei rauskommt. - Nee, Spaß gemacht.)
Das mit der Verantwortung, welche die GmbH trägt, scheint bei denen aber leider nicht so angekommen zu sein. die denken immer, dass sie die Vorgaben machen, weil wir ja alle “ein Unternehmen” sind. Das merke ich immer wieder, wie “eng” die in ihrem Denken sind, und uns sehr weit weg sehen. die haben immer dieses Helfersymdrom und denken, sie müssen uns zeigen, wie alles funktioniert. Und genau das ist das Problem, denen klarzumachen, dass es bei uns vieles zu beachten gibt, und das es krachen kann (Mikrowelle mit sich aufblähender Katze und dann… igitt…). Und das wir genau das tun um es zu verhindern UND damit auch deren Hintern retten, wie sie oben schon geschrieben hatten.
Da blöde ist, ich habe das in einer Präsi in wenigen transparenten Folien dargestellt, auch vorgestellt und auch die Aufgaben des DSB mit allem Drum und dran und den Sanktionen…und ich war so naiv zu glauben, dass sich das weitere Leute aus dem Legal-Umfeld ansehen, was offensichtlich aber niemanden interessiert. Also muss ich Fakten schaffen, und in Zusammenarbeit mit der GF konsequent Prozesse blocken, und durch unseren Workflow laufen lassen, bis zu Freigabe oder Ablehnung.
Es gibt ja noch zahlreiche weitere Compliance-Themen (jenseits Datenschutz), etwa Arbeits- und Sozialrecht. Und ich finde es nicht verwunderlich, dass einzelne, lokale Fachkräfte keine Rolle spielen, wenn der Konzern dazu keinen Ansatz hat.
Von Sendungsbewußtsein (“retten euren Hintern”) sollte man sich im normalen Geschäft lösen.