Abberufung des DSB

Gehen Sie gerne unkalkulierbare Risiken ein?

Rechtsgrundlage der Abberufung durch Datenschutz-Aufsichtsbehörde

Nach § 4f (2) BDSG entsteht die Grundforderung, die Erfüllung der hohen Auflagen durch entsprechend hochwertige Leistungen (des DSB) qualitativ sicher zu stellen. Dies erfolgt durch Nachweise der Zulassung wie auch der ständigen Fort- und Weiterbildung über die gesamte Zeit der Bestellung (Fachkunde) sowie die Ausführung der Funktion (Zuverlässigkeit).

Abberufung eines DSB nicht auf die leichte Schulter nehmen

Erkennt die Aufsichtsbehörde z.B. im Rahmen einer Aussenprüfung, dass die o.g. Grundlagen ganz oder teilweise weggefallen sind, kann sie nach § 38 (5) BDSG die Abberufung des DSB vom Unternehmen verlangen. Dieses hat nach Fristablauf den Status, als wäre kein DSB bestellt! Als nächstes greifen die §§ 43 (Bußgeld) u. 44 (Strafvorschrift)!

Rechtsfolgen einer Abberufung

Wird eine Abberufung verlangt und wird diese nach Ablauf der (Nachbesserungs-) Frist wirksam, muss die Organisaton schleunigst einen neuen DSB bestellen. Tut sie das nicht oder nicht regelkonform, begeht sie einen Gesetzesverstoß, der mit Bußgeldern bis zu 300k€ und Freiheitsstrafen für die Verantwortlichen geahndet werden kann. Ein unnötiges Risiko.

Unwirksamkeit durch mangelhafte Fachkunde

Hat ein Unternehmen einen "Pseudo-DSB" bestellt, der keinen (anerkannten!) Nachweis über die Fachkunde führen kann bzw. der im Laufe seiner Funktion die gesetzlich geforderten Fortbildungen nicht wahrnimmt, fällt diese Grundlage weg - die Bestellung wird unwirksam. Er kann jedoch innerhalb der gesetzen Frist versuchen, dies nachzuholen.

Unwirksamkeit durch mangelnde Zuverlässigkeit

Neben mangelnder Fachkunde ist die häufigste Grundlage für eine Abberufung immer dann gegeben, wenn die Zuverlässigkeit verlustig geht. Dazu gehören z.B. die klassischen Interessenkonflikte. Hier einige Beispiele für Sie:

  • DSB gehört zum Leitungskreis: Der DSB ist z.B. gleichzeitig der IT-Leiter. Gerne und häufig gemacht, wird dies dadurch aber nicht weniger falsch. In seiner Funktion muss ein DSB grundsätzlich weisungsfrei sein, und zwar in beide Richtungen. Dies beschreibt § 4f (3) Satz 2 eindeutig. Ist er das nicht, ist die Bestellung unwirksam.

  • DSB vom eigenen IT-Dienstleister: Manche IT-Firmen entdeckten Datenschutz als Einnahmequelle und verkaufen diese Dienstleistung ihren eigenen Kunden gleich mit. Sie gehören jedoch zu den Institutionen, die ein DSB im Rahmen seiner Funktion kontrollieren muss. Und da ein Kontrolleur sich nicht selbst objektiv kontrollieren kann, veranlasste dies nicht nur bereits im 1./2. Jh. den römischen Satiriker Juvenal zu fragen: "Wer wacht über die Wächter?", sondern auch die Datenschutz-Aufsichtsbehörden, der gleichen Meinung zu sein.

  • Änderung der Aufgabenbereiche: Oft kommt es bei (internen) DSB vor, dass die übrigen Aufgabenbereiche sich so ändern, dass der Datenschutz mangels Zeit oder sogar durch gegenläufige Aufgaben nicht mehr gewährleistet ist. Das Unternehmen ist aber nach wie vor für einen gesetzeskonformen Datenschutz verantwortlich. Kommt es diesem durch Umschichtungen bei der Aufgabenverteilung nicht mehr nach, ist die Bestellung Makulatur.

Unwirksamkeit durch mangelhafte Durchführung

Werden bestimmte Aufgaben vom DSB nicht oder nur "auf dem Papier" durchgeführt, ist die Bestellung ebenfalls unwirksam. Es reicht nicht, einen Ordner zu ziehen und auf Dokumente hinzuweisen. Die Behörden prüfen, ob die Maßnahmen auch Anwendung finden. Dazu gehören u.a.

  • Fehlende / Mangelhafte Mitarbeiter-Schulungen

  • Fehlende Verpflichtung der MA auf das Datengeheimnis

  • Keine DS-rechtliche Begutachtung neuer IT-Verfahren (Vorab-Kontrolle)

  • Fehlende / Mangelhafte Kontrolle von Datenschutz- , IT- und Gebäudesicherheit

  • Fehlende Überwachung der gesetzeskonformen Anwendungen von Applikationen

  • Ungenügende Dokumentation der eingesetzten DS-Maßnahmen (Verfahrensverzeichnis, TOM, etc.) u.v.m.

Bei einer Bestellung, Beratung oder Dienstleistung von 3rd Mind können Sie sicher gehen, dass Sie auf der Compliance-Skala im grünen Bereich liegen. Wir achten selbst auf die Qualität und Quantität der Ausführung. Wir erstatten Ihnen regelmäßig und schriftlich Bericht über Ihre Standards zu Datenschutz, Datensicherheit und Gebäudesicherheit, welche Maßnahmen durchgeführt und welche in der Planung sind.

Wir führen halbjährige Audits selbst durch und empfehlen 1x pro Jahr ein externes Audit (d.h. ein externer, nicht zu Ihnen und nicht zu 3rd Mind gehörender Datenschutzauditor nimmt unsere Arbeiten in Ihrem Auftrag ab, ähnlich wie bei einer ISO Zertifizierung). Und nicht vergessen: die Verantwortung für den Datenschutz liegt immer beim Management!

Wir bereiten Sie und Ihre Mitarbeiter/innen gründlich darauf vor - versprochen!

3rd Mind - konzentrieren Sie sich auf Ihr Geschäft, den Rest erledigen wir für Sie

© 2009 - 2010 3rd Mind Business Consulting e. K.Home     Impressum     Datenschutz     Grundsätze     Site Map