Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Betrieblicher Datenschutz: Ich will doch nur Ihren Datenschutzbeauftragten sprechen…

0 Beurteilungen
Datenschutz

Von Wolfram von Gagern,

Seit dem 01.09.2009 ist ja die BDSG-Novelle II in Kraft und damit auch Verschärfungen hinsichtlich des Vertragsverhältnisses zwischen Auftragnehmer und Auftraggeber im Rahmen einer Auftragsdatenverarbeitung nach § 11 BDSG.

Naja und da habe ich mir natürlich mal die Verträge zwischen meinen Kunden, bei denen ich als externer DSB bestellt bin, und deren Auftragnehmern angeschaut. Weil: passt der Vertrag nicht, hagelts eventuell ein Bußgeld. Da gehört es doch zu meinen Pflichten, dafür zu sorgen, dass die Verträge angepasst werden.

Betrieblicher Datenschutz: Anruf beim Datenschutzbeauftragten

Ich habe mir dann überlegt, wie ich die Sache angehe. Nach kurzem Nachdenken kam mir die eigentlich pfiffige Idee, nicht die Vertragsabteilungen bei den Auftragnehmern anzurufen, sondern den Datenschutzbeauftragten. Der muss ja schließlich wissen, um was es geht. Meine, zugegebenermaßen kühne, Vorstellung war: Ich ruf dort an, der DSB weiß, um was es geht und holt schon einen vorbereiteten Standardvertrag oder Ergänzungsvertrag aus der Schublade. Denn: Eigentlich ist ja damit zu rechnen, dass hier nicht nur ein Kunde anfragt und ein serviceorientiertes Unternehmen würde doch…

Betrieblicher Datenschutz: "Der Datenschutzbeauftragte ist nicht zu sprechen"

Soweit die Theorie, nun zur Praxis: Vorweg mein Tipp an Sie: machen Sie das mal, es sorgt für einen ungemein unterhaltsamen Vormittag. Ich habe mich also hingesetzt, zum Telefon gegriffen und bei den Unternehmen angerufen, bin meist in der Zentrale gelandet und mich mit folgendem Satz vorgestellt: „Schönen guten Tag, mein Name ist Axel Saffran, ich bin der Datenschutzbeauftragte einer Ihrer Kunden und würde gerne Ihren Datenschutzbeauftragten sprechen.“

Fall 1: „Der Datenschutzbeauftragte ist nicht zu sprechen.“

Hier schlägt die Callcenter-Falle unerbittlich zu. Die Dame am Telefon erklärt mir geduldig, dass der Datenschutzbeauftragte nicht persönlich und nicht per E-Mail erreichbar sei. Wenn ich aber meine Kontaktdaten hinterlassen und mein Anliegen hinterlassen würde, würde mich der Datenschutzbeauftragte gerne zurückrufen. Hab ich natürlich gerne gemacht und bis heute keinen Rückruf erhalten. Apropos gerne gemacht: war geschwindelt, hab ich nicht gerne gemacht, aber ich hatte keine Lust auf eine Diskussion von wegen Anonymität des Betroffenen o.ä.

Betrieblicher Datenschutz: "Wir sind kein Auftragsdatenverarbeiter"

Fall 2: „Wir sind kein Auftragsdatenverarbeiter.“

Beim nächsten Anruf ging es um ein Webhosting-, E-Mail-Hosting-Unternehmen - also eine klassische Auftragsdatenverarbeitung, meine ich. Auch hier war die Datenschutzbeauftragte nicht telefonisch erreichbar, aber es gab eine E-Mail-Adresse, na immerhin. Also habe ich eine freundliche E-Mail geschrieben und der Antwort geharrt. Sie kam auch – nach ein paar Tagen – mit folgendem Wortlaut:

„vielen Dank für Ihre E-Mail, der jedoch ein Missverständnis zur Grunde liegt. Wir sind weder nach § 11 BDSG für unseren Kunden tätig noch "verantwortliche Stelle" nach § 9 BDSG.“

Nun gut oder schlecht, dass das Unternehmen meint, kein Auftragsdatenverarbeiter zu sein, lasse ich mal dahingestellt. Aber dass die Datenschutzbeauftragte meint, keine „„verantwortliche Stelle nach § 9 BDSG“ zu sein, erscheint mir doch merkwürdig. Ich habe die Antwort genau analysiert, hab zur Sicherheit sogar im BDSG nachgelesen, was denn in § 9 zur „verantwortlichen Stelle“ steht – nix. Auch einen Kollegen habe ich angerufen, der war dann so pfiffig, im BDSG nachzulesen, wo denn die verantwortliche Stelle definiert ist, vielleicht in § XY Abs. 9. Nein, dem war auch nicht so, das steht in § 3 Abs.7 BDSG. Also kam ich zu dem Schluss, dass die Datenschutzbeauftragte entweder meint, Ihr Unternehmen sei keine „verantwortliche Stelle“ (aha) oder aber das Unternehmen müsse die Richtlinien des § 9 nicht berücksichtigen (soso) oder … Ich hab ihr dann wieder eine kleine E-Mail geschrieben und ihr erklärt, dass ich nicht so ganz nachvollziehen kann, was sie damit meint. Eine Antwort habe ich bisher nicht erhalten.

Fall 3: „Huch, da will jemand unsern DSB sprechen“.

Der nächste Anruf war so witzig, dass ich ihn(verkürzt) aus dem Gedächtnis nieder schreibe:

Ich: Vorstellung (s.o.)

Telefonzentrale: „Um was geht es genau ?“

Ich: (muss ich ihr ja eigentlich nicht sagen, aber nun gut) „Es geht um die Verträge nach § 11 Bundesdatenschutzgesetz, Auftragsdatenverarbeitung.“

Telefonzentrale: „Kleinen Moment“

(Wartemusik, ich glaub es war die kleine Nachtmusik)

Telefonzentrale: „Entschuldigen Sie, ich müsste noch genauer wissen, um was es geht.“

Ich: „Naja, eigentlich ist das schon ziemlich genau, ihr Datenschutzbeauftragter kann damit direkt was anfangen, um was es hier geht“

Telefonzentrale: „Ich muss aber genauer wissen, um was es geht, damit ich sie an den richtigen Ansprechpartner verbinden kann.“

Ich (schon etwas genervt): „Aha, Sie haben mehrere Datenschutzbeauftragte ?“ (OK, das war eine kleine Falle und somit ziemlich gemein)

Telefonzentrale: „Ja genau“ (Ätsch, Reingetappt)

Ich habe der Dame daraufhin genau erklärt, dass es um die Gesetzesänderung geht, dass die Verträge angepasst werden müssen, usw. Ich bin mir sicher, es war für sie schwer nachzuvollziehen, was ich will, aber (nach der kleinen Nachtmusik) hatte ich anschließend jemanden am Telefon. Immerhin, es „soll“ der DSB gewesen sein. Es hat mich nur ein wenig irritiert, dass auf die Frage „Sie sind der Datenschutzbeauftragte von xxxx ?“ zunächst eine Kunstpause eintrat und dann mit einem langgezogenen „Jaaaaaaaaaaa“ geantwortet wurde.

Fall 4: Der Profi.

Ja sowas gab‘s auch – genau einmal. Ich habe beim Unternehmen angerufen, wurde sofort zum Datenschutzbeauftragten durchgestellt, der hat (wirklich !!!) sofort verstanden, um was es geht, hat die Zusendung eines Ergänzungsvertrags zugesagt und wollte gleich besprechen, wie wir die Kontrolle (Vor-Ort oder per Zertifikat) durchführen sollen. Aber es kam noch besser: am nächsten Tag rief mich der Inhaber des Unternehmens an, seines Zeichens auch der Justitiar und sprach mit mir Punkt für Punkt den § 11 Abs. 2 durch. Wir entwarfen am Telefon quasi den Ergänzungsvertrag und er sagte mir zu, ihn mir kurzfristig zuzusenden. Nebenbei bemerkt lud er mich dann auch noch einmal explizit zur Unternehmensbesichtigung ein („Wir haben nichts zu verstecken“). Kollegial, freundlich, kompetent, konstruktiv, das hat uns allen Zeit gespart. So stelle ich mir das vor.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!