Manche Geschäftsführer sehen ihren externen Datenschutzbeauftragten wegen des Dienstleistungsvertrags, den sie mit ihm geschlossen haben, als ihren persönlichen Berater an und versuchen Einfluss auf den Inhalt der Beratung zu nehmen. Hat jemand so etwas schon erlebt? Welche Möglichkeiten hat man als DSB, wenn es seitens des GF kontinuierlich an Einsicht mangelt?
Der Weg zurück,ä oder so wie man sagte der Weg hin und zurück.
Wenn alle so tun, als ob nur eine Person
DSGVO bitte.
Aber welcher möchte schon seine Missgunst preis geben und was dann mit der Öffentlichkeit passieren könnte.
Debatte… Unterstützung fehlt.
Na, ja - letztendlich ist man ja auch nur der Berater. Verantwortlich ist der Verantwortliche (im Sinne des Gesetzes).
Das gleiche passiert allerdings auch internen DSBs.
2 „Gefällt mir“
Wenn es kontinuierlich an der Einsicht mangelt dürfte, allein schon wegen der Haftung des externen DSB für seine Beratung, nur die Auflösung des Dienstleistungsvertrages in Frage kommen. Ansonsten kann man m.E. dem externen DSB nur empfehlen, seine Tätigkeit und die (versuchte bzw. erfolgte) Einflussnahme auf diese detailliert zu dokumentieren.
Wenn es nämlich zu einer Datenschutzverletzung kommt, wird der GF sich immer auf die - von ihm beeinflusste - Expertise des DSB berufen…
Das ganze ist sicherlich ein sehr problematisches Umfeld, denn als externer DSB steht man da natürlich “zwischen den Fronten”.
1 „Gefällt mir“
da hat ChatGPT aber danebengehauen, oder?
3 „Gefällt mir“
Genau so ist es wohl, es gibt kaum Handhabungsmöglichkeiten
Hat jemand so etwas schon erlebt?
Ja, bei einem nicht geringen Prozentsatz der externen Beauftragungen.
Welche Möglichkeiten hat man als DSB, wenn es seitens des GF kontinuierlich an Einsicht mangelt?
-
Information
- Unterschiede Datenschutz-Risiko zu Organisations-Risiko erklären
- ggf. (vorsichtige) Hinweise auf drohendes Organisationsverschulden
- Festlegung eines “angemessenen Datenschutzes” vor dem Hintergrund der Verarbeitungen
- Plan erstellen, wichtig, das es einen Plan (Datenshcutzkonzept) gibt, wie langsam er umgesetzt wird ergibt sich aus dem Risikobewusstsein des Verantwortlichen (Kiene Ressourcen bedeutet langsamer.)
-
Enthaften durch:
- “Melden macht frei!” - Nachweisen können, dass man informiert hat, zur Not einseitig
- Nachweis der Kommunikation, Information und der Bemühungen
- Nicht aufgeben.
Dokumentieren… dokumentieren …dokumentieren.
Der DSB ist nicht für schlechten Datenschutz verantwortlich, es sei denn er hat nicht an die Leitung berichtet, was schlecht ist. (… und auch dann nicht wirklich, nur bis zum Verlust der Stellung als DSB.)
ja, das ist erschreckenderweise ein großer weißer Fleck bei vielen Geschäftsführern
Das BayLDA hat im Nov 2018 zwei Fragebögen herausgebracht:
https://www.lda.bayern.de/de/kontrollen.html
“Umsetzung der DSGVO …” bzw “Rechenschaftspflicht…”; einmal für KMU und einmal für grössere Unternehmen.
Die Fragebögen sind hier:
https://www.lda.bayern.de/media/pruefungen/201810_rechenschaftspflicht_fragebogen.pdf
(Hier 6 von 50 Fragen zum Risikomodell und dessen Umsetzung)
und hier:
https://www.lda.bayern.de/media/pruefungen/201811_kmu_fragebogen.pdf
Mir helfen diese Fragebögen immer sehr, wenn die Leitung meint, “… das sind doch alles nur Empfehlungen”; “… das ist doch völlig überzogen”… etc.
Im Zweifel einmal den Fragebogen für die Organisation ausfüllen und dann kommentieren, gegen welche Vorschrift verstossen wurde und wo Abhilfe zu schaffen ist.
Aber weiterer Hinweis:
Beim DSMS und der DS-Organisation ansetzen. Nur die Umsetzung des DS anzukurbeln ist nicht nachhaltig.
1 „Gefällt mir“
Interessant, und da gibt’s jetzt auch noch die “Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten” der EU, wo das BayLDA schon angekündigt hat, sich als erste deutsche Landesaufsicht zu beteiligen.
https://www.datenschutz.de/koordinierte-pruefung-zu-stellung-und-aufgaben-von-datenschutzbeauftragten-baylda-beteiligt-sich-an-zweiter-gemeinsamer-pruefaktion-der-europaeischen-datenschutzaufsichtsbehoerden/
DSMS wäre schön, wenn es eins gäbe, das nicht nur auf dem Papier steht. Es gibt ja nicht mal organisatorische Verfahrensanweisungen, kein QM-System, kein IT-Sicherheitskonzept, keine Leitlinien, gar nichts. Und auch kein Budget für all das.
Der Fragebogen wurde über die Websiete der “Datenschutz-Praxis” veröffentlicht.
https://www.datenschutz-praxis.de/datenschutzbeauftragte/pruefbogen-zur-benennung-und-stellung-von-datenschutzbeauftragten/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2023/20/2301ED19&va=2301ED19&chorid=2301ED19&vkgrp=354
Ebenso einmal prüfen ob es im Unternehmen nicht “Verbündete” geben kann: Innenrevision, Compliance-Beauftragte, Betriebs-/Peronalrat oder MAV, IT-Sicherheitsbeauftragte.
Ganz schräg: Wenn Wirtschaftsprüfer ins Haus kommen um zu prüfen, dann prüfen Sie inzwischen auch Compliance, u.a. Datenschutz, auch hier mal nachfragen.
Es geht also darum Unterstützung bei anderen Interessenträgern zu finden.
Wenn es sich um den Fall einer z.B. inhabergeführten GmbH handelt, die keinen Prüfpflichten unterliegt, dann wird es langsam schwierig, da hilft nur noch Enthaftung.
Auch bitte das Datenschutzrisiko der Organisation berücksichtigen: Die DSMS Gestaltung ist bei einem kleinem Unternehmen im spezialisierten B2B-Handel mit 100 Angestellten und 10 Firmen-Lieferanten und 50 Firmenkunden mit resultierendem Minimal-Risiko ganz anders auszulegen als bei einer sozialen Einrichtung oder einem Krankenhaus…
Ihre / Deine Situation ist die von vielen DSB.
Man darf dann den Frust zum Schutz der eigenen Psyche nicht an sich heranlassen.
Meine Erfahrung ist, dass dann die erste Betroffenenanfrage oder Bitte um Stellunngnahme der ASB wegen einer Beschwerde auf einmal richtig Bewegung rein bringen kann.
Also evtl. die innere Einstellung professionalisiern, einseitig beraten (Mails ausdrucken und in einen “Rette meinen A***”-Ordner ablegen) und damit enthaften. Dann Popcorn nehmen und zurücklehnen, abwarten was so kommt.
Frust ist weniger das Thema, eher die Schwierigkeit der Vermittlung bestimmter Tatsachen. Nämlich, dass ein Großteil der Geschäftsprozesse ohne Beachtung von Datenschutz- und sonstiger Compliance-Belange abläuft und dass ein Datenschutzbeauftragter, dem man keine Einsicht in Unterlagen gewährt, keine Verantwortung für Versäumnisse trägt, und man ihm diese auch nicht per Dienstanweisung übertragen kann, z.B. indem man einfach seinen Namen unter die TOM schreibt. Und das bei einem Verein, der im öffentlichen Auftrag tätig ist. Und ein weiteres Thema ist der Vertrag zur DS-Beauftragung selbst, der unter Vorspiegelung falscher Tatsachen (z.B. vorhandener DS-Instrumente) mit Unterstützung eines dubiosen Anwalts so formuliert wurde, dass der notwendige Aufwand an Beratung zeitlich und preislich in keinem Verhältnis mehr mit dem vereinbarten Aufwand steht.
Hallo @Adelheid!
Das klingt wirklich eher frustrierend. Ich glaube hier kannst Du tatsächlich nur den alten Spruch beherzigen:
“Love it, Change it or Leave it”
Wen ich es richtig verstanden habe, bist Du als externe DSB in diesem Unternehmen tätig. Bist Du auf den Auftrag wirklich so angewiesen, dass Du diesen nicht beenden kannst?
Falls ja, wird Dir wahrscheinlich nichts anderes übrig bleiben, als zu versuchen die Situation anzunehmen und zur eigenen Sicherheit eine detaillierte Dokumentation über die durchgeführten Beratungen zu erstellen. Das bedeutet allerdings auch möglicherweise noch mehr Aufwand. Ob sich dieser lohnt, wenn die Vergütung bereits jetzt eigentlich nicht auskömmlich ist, musst Du entscheiden.
Ansonsten würde ich eigentlich nur die Möglichkeit sehen, auch zur eigenen seelischen Entlastung, den Auftrag zu kündigen und die Dokumentation über die bisherige Tätigkeit gut aufzuheben. Dann muss sich das Unternehmen halt eine(n) “Dummen” suchen…
Es ging hier um den professionellen Umgang mit einer geschäftsführenden Person und den juristischen Möglichkeiten. Die Frage, wie man schwierige Aufträge psychisch verarbeiten kann, wurde hier nie gestellt. Mutmaßungen über psychische oder seelische Belastungen oder finanzielle Probleme gehören meiner Ansicht nach nicht in dieses Forum. Die Fragestellung an Teilnehmer dieses Forums war ursprünglich, ob es Erfahrungen mit dieser Art Kunden gibt.
Natürlich kann man grundsätzlich ein Mandat niederlegen. Dann freut sich der Kunde und der Anwalt, der eigentlich das Geld für die Datenschutzberatung kassiert, sucht sich einen anderen Strohmann, der die Haftung übernimmt und ansonsten nichts tut.
Im Ernst? Das ist ja wohl kaum im Sinne des Datenschutzes.
Das mag sicherlich nicht im Sinne des Datenschutzes sein. Wenn aber eine fundierte Beratung seitens des Verantwortlichen nicht gewünscht oder die Umsetzung der erforderlichen Maßnahmen nicht gewollt ist, bist du als DSB leider auf dem verlorenen Posten.
Für mich persönlich wäre dann aber irgendwann der Zeitpunkt erreicht, an dem ein Schlussstrich gezogen wird. So wichtig ich den Datenschutz auch für den sicheren Umgang mit unserer aller personenbezogenen Daten und die Sicherung der Grundrechte halte - ich bin nicht der Don Quichote des Datenschutzes. Wenn der von mir zu beratende Verantwortliche nicht zur Kenntnis nimmt, dass mit diesem Begriff die Verantwortung für das eigene Handeln verbunden ist, dann ist mir meine Lebenszeit zu schade weitere Ressourcen aufzuwenden.
Sicherlich ist dies zu befürchten, aber im Zweifelsfall muss dann die zuständige Aufsichtsbehörde dem unbelehrbaren Verantwortlichen mal kräftig in den Allerwertesten treten. Und wie weiter oben schon einer der Vorredner sagte - manchmal hilft eine (unzureichend beantwortete) Betroffenenanfrage mit anschließender Beschwerde bei der Aufsichtsbehörde sehr viel weiter, als eine gute aber ignorierte Beratung durch den DSB.
Es ist leider Tatsache, dass manche Verantwortliche erst zu ihrem Glück gezwungen werden müssen.
Eben.
Das kann ganz schön für Druck sorgen. Wer sich für Don Quichotte hält, ist selbst schuld. Für Tiefstapeln gibt’s keinen Anlass.
Irgendwann kommt es immer zum Datenschutzvorfall, dann muss in jedem Fall gehandelt werden.
By the way: Ist hier schon passiert, und so ist alles erst ans Licht gekommen. 