Gab es nicht einmal vor ein paar Jahren eine PDF oder PPT irgendeines Verbandes oder einer anderen privaten Organisation, in dem etwas nach dem Motto ‘Der DSB ist kein tauglicher Projektleiter eines DSGVO-Umsetzungsprojekts’ geäußert wurde? Das muss anlässlich der ganzen Irrungen und Wirrungen im Übergangszeitraum zur Geltung der DSGVO zw. 2016 und 2018 gewesen sein. Ggf. auch noch 2019. Abgestellt wurde explizit auf die Projektleiterrolle bei so einem initialen Projekt. Ich nehme natürlich gerne auch andere Fundstellen, die in die Richtung gehen.
Auf die Schnelle fällt mir nur das Info Nr. 6 des BfDI ein.
An 4 Stellen macht es Ausführungen zum administrativen Datenschutz in Abgrenzung zu den Aufgaben des DSB nach Art 39 DSGVO. “Administrativ” ist ein Synonym für “operativ” in der Privatwirtschaft.
Außerdem müsste sich in den Kommentaren etwas zu Art 39 Abs. 1 Buchstabe b DSGVO finden lassen. Dort steht, was der DSB alles zu “überwachen” hat, u.a. die Strategien des Verantwortlichen, seine Schulungen etc. Was er zu überwachen hat, sollte er nicht vorher selbst ausgeführt haben.
(In der Praxis bin ich jedoch der Ansicht, dass nur der operative Datenschutz gut gemacht wird, den der DSB mit seinem Team selber macht. Ansonsten bräuchte man eine Firma voller DS-Experten. Das ist Utopie.)
Hallo!
Vielleicht hilft auch das DSK-Papier Nr. 6 zu DSFAs an dieser Stelle. Die Erstellung einer DSFA ist für neue IT-Projekte ja zu berücksichtigen. In dem Kurzpapier wird angeregt, ein DSFA-Team zusammenzustellen. “Der Datenschutzbeauftragte steht diesem während des gesamten Prozesses beratend zur Seite.” (S. 2) Das ist m. E. in mittleren und großen Organisationen gute Praxis, um die Unabhängigkeit der Urteilskraft zu wahren.
leider hat sich die DSK im Kurzpapier Nr. 18 nicht so deutlich geäußert wie der BfDI im Leifaden “Die DSGVO in der Bundesverwaltung”. Dort wird klar abgegrenzt und eine vom DSB unabhängige Organisationseinheit erwähnt. Bei der DSK oder auch bei einzelnen LfDs ist eher immer die Rede davon, dass dem DSB ja über Art. 39 DSGVO hinaus noch weitere Aufgaben zugewiesen werden können. Da wird von Verantwortlichen die DSFA eher als Ausnahme denn als Bestätigung dieser Aufgabentrennung gesehen, so dass der DSB dann eben bis auf die DSFA alles machen soll.
Da ich gesehen habe, dass das KP 18 derzeit überarbeitet wird, wäre meine Bitte, falls möglich hierauf noch einmal den Blick zu werfen. Eine vom DSB getrennte Organisationseinheit für den administrativen/operativen Datenschutz halte ich für sehr wichtig für die Rollenklarheit des DSB.
@CorporateDPO
Wie will man das begründen? Was immer “Umsetzungsprojekt” meinen soll?
@daimos
wie soll aus der DS-GVO eine getrennte Einheit als Forderung denn (rechtssicher) abgeleitet sein? Mal abgesehen davon, dass es in in kleineren und mittleren Unternehmen schwerlich realisierbar sind dürfte. Und wo in der Info Nr. 6 des BfDI soll das stehen?
ja, sofern es schon gewisse Grundstrukturen in der Ablauforganisation gibt. Datenschutz-Koordinatoren gibt es zwar oft, aber divers ausgebildet bzw. nur für stark begrenzte operative Aufgaben einsetzbar. Anderswo werden die Koordinatoren Vollzeit nur für den operativen DS in ganzen Bereichen abgestellt. Kommt drauf an, aber ja - wo ausreichend viele vollwertige Pendants zum DSB existieren ist das Arbeiten für alle Seiten einfacher. Schade, dass es dazu keinerlei empirische Erhebungen zu geben scheint.
Gemeint war damit: Bei einer Organisation X hat man sich strukturell und inhaltlich mit dem Datenschutz noch nicht auseinandergesetzt (z.B. Neugründung, Abspaltung, Desinteresse seit X Jahren). CEO fordert Etablierung von ‘Grundstrukturen’, um ein Datenschutzmanagement in der Aufbau- und Ablauforganisation einzuführen. Ich habe das erst letztens von einem Kollegen gehört: da der DSB ‘ja am besten wissen, worauf es ankäme’, ist der DSB bei verschiedenen Meilensteinen sowohl Projektlenker als auch Prüfer in einer Person. Das beißt sich.
Es gibt z.B. den “Verantwortlichen” und den “DSB” mit jeweils unterschiedlichen Rollen (Artt. 24, 37 ff. DSGVO). Das, was der DSB im Datenschutzmanagement nicht machen darf, das obliegt dem Verantwortlichen. Beispiel: Individualisierung von Einwilligungs- und Informationstexten für einen bestimmten Geschäftsprozess.
Korrekt, sehe ich praktisch grundsätzlich auch so.
S. 30 f. oder explizit auf S. 34: „ Die Wahrnehmung der Datenschutzbelange ist durch die öffentliche Stelle aufbauorganisatorisch bei der jeweiligen Fachaufgabe anzusiedeln. Datenschutzaufgaben sollten als Auffangzuständigkeit (administrativer Datenschutz bzw. Fachaufgabe Datenschutz) bei einer Organisationseinheit angesiedelt werden. Der DSB ist von allen Organisationseinheiten, die datenschutzrelevante Vorgänge bearbeiten, sowie von der für die Fachaufgabe Datenschutz zuständige Organisationseinheit ordnungsgemäß und frühzeitig zu beteiligen.“
Naja, der Info des BfDI ist es eher unverbindlich formuliert - aus gutem Grund.
Zu Projektleiter und was der DSB angeblich nicht darf: fragt sich, als was er handelt und wie das Projekt organisiert ist. Wenn der DSB im Change Advisory Board sitzt … oder Texte formuliert, die finale Vorgabe aber durch die GF o.ä. erfolgt …
Der Hilfeschrei ist etwas theoretisch: spätestens bei Kritik durch den DSB kommt die Frage “was/wie soll’s denn sein?” und dann ist man wieder an dem Punkt. Die Aufgabe ist eben nicht konfliktfrei. Es gibt keine Chinese Wall. Und nicht den Hauch einer Parallelstruktur als Ansatz in der DSGVO.
