Aktueller Sachverhalt:
Seit 2017 erfülle ich als interner DSB alle Aufgaben ohne Beanstandungen.Bin auch seit dem offiziell Bestellt und beim LDI gemeldet.
Besuche regelmäßig Fortbildungen und führe die Arbeiten neben meiner Hauptätigkeit in der Firma durch Dazu gehören unter anderem das Beantworten von Anfragen betroffener Personen sowie die Bearbeitung und Abschluss von Sicherheitsvorfällen, etwa einer Ransomware-Attacke die meine Firma erleiden musste , im Bereich Datenschutz – alles im Einklang mit den Vorgaben der Datenschutzaufsicht (LDI) und durch ihre Prüfung nachdem Hacker Vorfall .
In letzter Zeit ist jedoch folgendes Problem aufgetreten, bei dem ich dringend Beratung benötige:
Beauftragung einer externen Datenschutzfirma ohne mein Wissen:
Die GL hat ohne vorherige Absprache eine Datenschutzfirma mit den Aufgaben eines externen DSB beauftragt. Trotz mehrfacher Klärungsversuche meinerseits seit nunmehr drei Monaten bleibt die Geschäftsleitung diesbezüglich untätig.
Eingeschränkter Zugang zu Datenschutzanfragen und Informationen: Seit der Beauftragung der externen Firma werde ich nicht mehr oder nur noch verspätet über Anfragen informiert, die nicht über die offizielle Datenschutz-E-Mail eingehen, etwa solche per Post. Anfragen an die GL nach Weiterleitung dieser Informationen bleiben unbeantwortet. Meine Hinweise zu internen Verfahren und Abläufen zur Bearbeitung der Anfragen bleiben unbeachtet.
Erschwerte Dokumentation und Umbenennung ohne Zustimmung:** Durch die Informationslücken ist es mir kaum noch möglich, meiner Dokumentationspflicht nachzukommen. Zudem wurde ich ohne mein Einverständnis von der GL bei der neuen externen Firma als „Datenschutzmanager“ eingetragen, was nicht meinem Zuständigkeitsbereich und meiner bisherigen Rolle als interner DSB entspricht.
Ich bin intern in der Firma noch Als DSB gemeldet , auf der Homepage sind immer noch meine Verbindungsdaten als DSB hinterlegt!
Wo ich Beratung brauche:
Ich möchte erfahren, welche Möglichkeiten mir in dieser Situation zur Verfügung stehen und wie ich weiter vorgehen kann. Ich möchte eine Eskalation möglichst vermeiden, schließe diese jedoch nicht aus, falls sich die Situation nicht bald klärt.
“Es kann nur einen geben!” Und den gibt es anscheinend noch.
Die externen Datenschützer haben evtl. noch kein Mandat. (Sind nicht “benannt” und der Aufsichtsbehörde gemeldet.) Zuerst hätte ihnen auffallen müssen, dass der interne DSB noch nicht abberufen ist. (Auch dass das nicht einfach einseitig gehen würde; § 6 Abs. 4 S. 1 BDSG.)
D., der vom Arbeitgeber Klärung verlangen würde, wer aktuell DSB ist und ob Änderungen geplant sind. Dann lehnt er sich evtl. zu weit aus dem Fenster (fehlerhafte Abberufung). Oder bringt euch (DSB und unterstützende Berater) zusammen.
Menschlich:
Reden hilft und hier nur reden.
Für mich sieht das so aus, als wollte man den DSB “kaltstellen”, aus welchen Gründen auch immer.
Darüber sollte man unbedingt reden, ein Aufhänger für ein solches Gespräch könnten rechtliche Argumentationen sein (siehe unten).
Wenn man bei einem Arbeitgeber nicht mehr gewollt ist, sollte man sich verabschieden, ggf. nachdem weitere Fortbildungen die Jobsuche erleichtert haben oder auch zusätzlich mit einem “goldenen Handschlag”. Mir persönlich - und ich habe ähnliches erlebt - wäre es zu stressig zu arbeiten, wenn ich weiss, dass man meine Arbeit nicht will. Das ist nicht erfüllend.
Rechtlich Art. 38 Satz 1 und 2 DSGVO: 1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. 2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
Hier kann man mit einem klaren, nicht abstreitbaren, Beispiel das Vorspracherecht bei der Geschäftsführung nutzen, um darauf hinzuweisen, dass hier gerade etwas merkwürdig oder falsch läuft.
Weiterhin gilt der Lehrsatz “Der DSB ist in der Ausübung seiner Fachkunde weisungsfrei!”
Eine Alternative wäre das externe DS-Büro nicht als “Feind” sondern als Partner zu betrachten und diese ggf. auf diesen Umstand hinzuweisen und ggf. um Einbindung zu bitten. Es scheint ja Arbeit genug da zu sein. Man hat ja als DSB gesetzliche Überwachungs- und Prüfaufgaben für alles was mit Datenschutz zusammenhängt, dazu gehört auch die “Zuweisung von Zuständigkeiten”, bedeutet man kann hjier die vom externen getroffenen oder empfohlenen Maßnahmen sich einmal anschauen (oder ggf. Stellungnahmen dazu abgeben)
Einfach mal den Mandantenbetreuer anmailen und um ein Telefonat bitten, am besten mit einer Liste der Vorgänge die dort extern aufgegriffen wurden. Die Kollegen dort sollten am Besten wissen, dass der DSB einzubinden ist.
Normalerweise verhält man sich als DSB auch in einem solchen Fall kollegial.
Auch einmal überlegen ob hier nicht eine effektive Zusammenarbeit mit dem externen Dienstleister denkbar ist, das wäre für alle Beteiligten eine schöne Win-Win-Situation.