ich schaue mir ab und an in einschlägige Portalen Stellenangebote für Datenschutzbeauftragte (interne) an. Mir fällt in letzter Zeit auf, dass bei den Erwartungen, die ein Arbeitgeber an den Bewerber hat, neben den üblichen Tätigkeiten auch erwartet wird, dass der DSB eigenständig eine DSFA durchführt bzw. eine durchgeführte DSFA regelmäßig überprüft. Die reine Überprüfung könnte man ja noch tolerieren, aber die Erwartung eine DSFA “selbstständig” durch zuführen finde ich schon sehr schräg, das spiegelt meines Erachtens auch den Stellenwert den der Datenschutz noch immer hat wider. DSFA, Risikobewertungen sind in den Augen vieler Verantwortlicher “Spielwiese” der DSB, die man sich so austoben lassen will.
Wie sind denn Eure Erfahrungen , insbesondere, wenn Risikobewertungen (Art. 33,34) oder DSFA anstehen?
Nachdem die DSB ihren Senf dazu geben müssen, sollten sie die DSFA nicht allein erstellen.
Praktisch bleibt es oft an den DSB hängen. Dann möglichst in einer Moderatorenrolle, die andere Beteiligte durch das Erstellen führt; sie auf mögliches Material hinweist; ihre Beiträge und Meinungen einfordert. Die Entscheidung, ob die Folgenabschätzung so zum Einsatz kommt und dass die zsuammengesuchten Lösungen umzusetzen sind liegt beim “Verantwortlichen”.
D., der mit “ich berat ja nur” manchmal nicht weit kommt. Aber “Wenn ihr mich das allein machen lasst, wird nicht viel übrig bleiben.”
Ja bin da ganz bei dir, die Überprüfung könnt ich noch “sehen”, wobei ich sicherstellen würde, dass mit überprüfen mehr als nur durchlesen dürfen, sondern auch nachbohren etc. gewollt ist, weils mir sonst persönlich vermutlich zu frustrierend wäre.
Die Erstellung alleine geht ja allein dem Gesetz nach nicht, Moderationsrolle wie D. anschneidet ist auch m. E. die pragmatische Rolle.
Letzendlich würd ich eine solche Formulierung als potenzielle Warnung für einen Verantwortlichen der Sorte “ja, wir holen uns n DSB aber der soll mal schön die Füße stillhalten”.
Vielen Dank für Eure Rückmeldungen. Ich sehe da ja auch den Verantwortlichen in der Pflicht. Nicht selten wird ja festgestellt, dass zur Reduzierung oder Eliminierung eines Risikos auch Maßnahmen ergriffen werden müssen, die zusätzliche Kosten verursachen können. Daher muss jemand am Tisch sitzen, der den Geldbeutel öffnen darf.
In Stellenangeboten habe ich auch schon gelesen, dass ein DSB gesucht wird der “für die Umsetzung des Datenschutzes im Unternehmen verantwortlich” ist…
Als mir so eine Stelle mal angeboten wurde, habe ich darauf hingewiesen, dass sich das Unternehmen zunächst mal über die Verantwortlichkeiten informieren sollte…
DSFA, Risikobewertungen sind in den Augen vieler Verantwortlicher “Spielwiese” der DSB, die man sich so austoben lassen will.
Diese Formulierung gefällt mir sehr gut und spiegelt leider auch meine Erfahrungen wider.
“Der DSB sagt, es muss gemacht werden, dann soll er es auch machen.”
Bei falsch angebrachter Verantwortlichkeit schüttelt’s mich auch immer.
Wird in diesem Fall vielleicht nicht so gemeint sein. Sollte aber spätestens im Arbeitsvertrag bzw. Dienstleistungsvertrag für weitere Verantwortliche korrekt stehen.
Leute, die Stellenausschreibungen formulieren denken sich oft was aus, das nicht den Fachbegriffen entspricht. Bzw. haben den Ehrgeiz, Anforderungen von Fachleuten umzuschreiben.
D., der nicht alles korrigiert, über das er außerhalb seiner Zuständigkeit (Verantwortung kann es ja nicht sein) stolpert.
In der Praxis als eDSB fertige ich einen Entwurf und nutze das dann, um Mindestanforderungen an die Maßnahmen zur Sicherheit und den verbundenen Prozessen zu stellen.
Ebenso wiese ich immer wieder darauf hin, dass der Verantwortliche für die Richtigkeit der Angaben gerade steht und ich da nur Vorschläge mache.
Wenn dann Maßnahmen hinter meinen Vorschlägen zurückbleiben wird auch tatsächlich über Risiken diskutiert und dem Verantwortlichen klarer, was er da tut und wie die Maßnahmen mit seiner Verantwortung für die Sicherheit der Verarbeitung zusammenhängen.
Ziel erreicht.
Für den iDSB, der evtl. nicht auf DSFA-Vorlagensammlungen und vor allem umfangreiche Maßnahmenkataloge zurückgreifen kann und dann evtl. alle Jahre einmal eine DSFA erstellen muss, ist dies wahrscheinlich schon deutlich schwerer umzusetzen.
Hier empfehle ich die Anfangserfassung der erfroderlichen Informationen im PIA-Tool zu machen und den Output später in Word gründlich zu überarbeiten.