kontakt
   (0800) 501 56 08     

Unsere Praxisbeispiele

[ Sachverhalt ]

Datenschutz: Werden die definierten Löschkonzepte tatsächlich umgesetzt?

In einem öffentlichen Unternehmen mit 240 Beschäftigten besteht eine "theoretische" Datenschutzorganisation: Die Pflichten nach DS-GVO wurden durch die Geschäftsführung auf fünf Führungskräfte abgewälzt. Diese wiederum sollten "den Datenschutz in eigenem Ermessen" in ihren Abteilungen umsetzen. Hierzu gehörte auch die eigenständige Führung und Bearbeitung der abteilungsbezogenen Löschkonzepte. Die neu bestellte Datenschutzbeauftragte empfahl die Überprüfung.

  • [ Aufgabe ]

    1. Beratung der Geschäftsführung zur vermeintlichen "Pflichtenübertragung"
    2. Sichtung und Bewertung der vorhandenen Regelungs-/Prozessorganisation "Datenlöschung"
    3. Überprüfung der tatsächlichen Umsetzung in den fünf Fachabteilungen mittels Audit
    4. Reorganisation eines prozessorientierten Löschkonzepts unter zentraler Verantwortung

  • [ Herausforderung ]

    • Falsch verstandenes "Verantwortungs"-bewusstsein der Verantwortlichen nach Art. 4 DS-GVO
    • Fehlende Systematik der Organisation, Steuerung und Löschung anfallender Daten
    • Unzureichende Sensibilisierung sowie fehlend einschlägiges Wissen der betroffenen Führungskräfte

  • [ Leistung ]

    • Projektaufsatz "Prozessorientiertes Löschkonzept zentral steuern" mit fachlicher Projektmoderation
    • Modellierung des Löschkonzepts für die Integration innerhalb der bestehenden Prozesslandschaft
    • Beratung und Moderation der Geschäftsführung und der Führungskräfte der Ebene I
    • Mitarbeitendenschulung zur Erhebung, (Lösch-) Überwachung und Löschung personenbezogener Daten

  • [ Vorgehen ]

    1. Vertrauliche Auftaktgespräche mit der obersten Leitung und Aufklärung zu fehlender Delegationsmöglichkeit
    2. Identifikation der Absichten und der beabsichtigten Ziele der Geschäftsführung, Darstellung und Zusammenfassung
    3. Durchführung von zwei Workshops mit betroffenen Leitungen (welche Daten fallen wo bei welchen Prozessen an, Schnittstellen)
    4. Identifikation der datenverarbeitenden Systeme zur teilautomatisierten Löschung von personenbezogenen Daten
    5. Identifikation der Prozessschnittstellen im vorhandenen Prozessmanagement
    6. Finalisierung der Optionen für ein Löschkonzept im Rahmen der bestehenden Systemmöglichkeiten
    7. "Kick-Off"-Veranstaltung mit Geschäftsführung, Leitungen und Prozessmanagerin mit Umsetzungsbeschluss
    8. Schulungsveranstaltung für Führungskräfte (3 * 2 Stunden) und Mitarbeitende (4 * 2 Stunden) zu Grundsatz- und Anwendungsfragen
    9. Fachliche Mitwirkung am innerorganisatorischen Einführungsprojekt "Prozessorientiertes Löschkonzept"
    10. Auditierung der Geschäftsführung, Führungskräfte und Prozessmanagerin sechs Monate nach Produktivsetzung

[ EMPFEHLUNG ]

Das vorliegende Beispiel offenbart ein bedauerlicherweise anhaltendes Mißverständnis geschäftsführender Leitungen nach Art. 4 Nr. 7 DS-GVO: Die im Datenschutz bestehenden Pflichten können -anders als im Arbeitsschutz- nicht einfach unterstellten Führungskräften (hier: Abteilungsleitungen) übergewälzt werden; diese sind nicht "Verantwortliche" im Sinne Art. 4 Nr. 7 DS-GVO, weil sie eben gerade nicht alleine oder mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Diese Befugnisse lagen satzungsgemäß alleine bei der Geschäftsführung.

Empfehlenswert ist für oberste Leitungen und Führungskräfte eine Auseinandersetzung mit den kardinalen Anforderungen zum Schutz personenbezogener Daten. Die Rolle der Datenschutzbeauftragten kann hier wegweisend sein, und zwar durch Beratung, Schulung und Hinweisgeberin (aber nicht ausführende Rolle). Ebenso missverstanden wird nicht selten, dass der (oder die) "Datenschutzbeauftragte sich um diese Angelegenheit zu kümmern hätte". Die Aufgaben des DSB sind der Beratung zuzuschreiben, nicht aber für die Erfüllung entsprechender Verpflichtungen.

Ferner ist die regelmäßige Überprüfung der Organisation des innerbetrieblichen Datenschutzes geboten: Die im vorliegenden Beispiel als "theoretisch" nur mündlich formulierten Pflichten gegenüber den Führungskräften sollten "nur" überprüft werden. Die eigentliche Überprüfung der Strukturen und Abläufe war nicht geplant, aber nötig. Erst der neu hinzugetretene Blick der zuvor nicht vorhandenen Datenschutzbeauftragten konnte hier größeren Schaden, insbesondere für die oberste Leitung, abwenden. Tatsächlich erweist sich die Überprüfung der Strukturen und Abläufe unter einer wirtschaftlichen und einer risiko- bzw. prozessorientierten Fragestellung als aufschlussreich: Durch die Überprüfung konnten Abläufe zentralisiert, Doppelarbeit vermieden und Rechtssicherheit hergestellt werden.

Letzthin empfehlen wir die regelmäßige Schulung der beteiligten Personen im Rahmen ihrer konkreten Aufgaben: Das Schulungskonzept für Verantwortliche und Führungskräfte erfordert Differenzierungen gegenüber den mit der Ausführung befassten Mitarbeitenden. Datenschutzrechtlich Fragen werden zunächst als kompex verstanden, können aber praxisgerecht und verständlich aufbereitetet und vermittelt werden.

Als abschließende Empfehlung sprechen wir uns auch hier für den Einsatz einer systemisch wirksamen Prozessmoderation aus: Die im Auftragsverlauf stark geänderte Fragestellung wurde von den Beteiligten Personen nicht eskalierend oder konfrontativ wahrgenommen. Tatsächlich wurde von den Akteuren und Betroffenen die "Erleichterung über die Entlastung und die gefunden Klarheit" als Resonanz in der von uns vorgenommenen Feedback-Befragung besonders hervorgehoben.

Bitte beachten Sie: Es handelt sich um ein in Auszügen wiedergegebenes Beispiel ohne Anspruch auf Vollständigkeit und Richtigkeit. Wir leisten keine Rechtsberatung und empfehlen in Rechtsfragen die Einholung juristischen Beistands.

 [ Loslegen ]

Was brauchen Sie?

Lassen Sie uns über Ihre konkreten Herausforderungen bei Ihnen
und in Ihrer Organisation zum Arbeits-, Datenschutz- und Risikomanagement sprechen.

 

 

Kennenlernen

Kontakt

secc.systemic ug + co kg
(haftungsbeschränkt)

Threema: SE363V4F
Freecall: (0800) 501 56 08
Mail: anfrage [at] secc-systemic.de

 

Sorry, this website uses features that your browser doesn’t support. Upgrade to a newer version of Firefox, Chrome, Safari, or Edge and you’ll be all set.