Eine Vorabkontrolle kann naturgemäß nur durchgeführt werden, wenn der Datenschutzbeauftragte Kenntnis davon erhält, dass ein neues oder in wesentlichen Teilen geändertes automatisiertes Verfahren zum Einsatz kommen soll.
Hier einige Beispiele aus der Praxis für neue oder abgeänderte automatisierte Verfahren:
- Einführung der elektronischen Personalakte
- Einführung eines neuen Zeiterfassungssystems mit Fingerprint-Verfahren
- Umstellung der Telefonie auf Voice over Internet Protocol (VoIP)
- Beschaffung eines neuen CRM-Systems
- Einführen eines SAP-Systems
- Auslagerung der IT oder von Teilen der IT zu einem externen Dienstleister
- Übertragung der Personalverwaltung an ein Schwesterunternehmen aus derselben Unternehmensgruppe
- Einsatz von optisch-elektronischen Überwachungsgeräten zur Diebstahlprävention bei konkreten Verdächtigungen gegen Mitarbeiter
- Einführung eines E-Mail-Archivierungssystems
Wenn im Unternehmen nicht sichergestellt wird, dass der Datenschutzbeauftragte hiervon erfährt, kann er auch nicht prüfen, ob eine Vorabkontrolle durchgeführt werden muss. Allerdings muss der Datenschutzbeauftragte gemäß den gesetzlichen Vorschriften erst tätig werden, wenn ihm die vorgesehene Übersicht mit den vorgeschriebenen Angaben übergeben worden ist. Solange er die Verfahrensübersicht und die Verfahrensbeschreibungen nicht vorliegen hat, ist er demzufolge auch nicht verpflichtet zu prüfen, ob gegebenenfalls Vorabkontrollen erforderlich sind.
Im vorliegenden Beitrag wird unterstellt, dass die erforderlichen Verfahrensbeschreibungen aus dem Verfahrensverzeichnis vorliegen, da eine ordnungsgemäße Tätigkeit des Datenschutzbeauftragten ohne diese grundlegenden Informationen überhaupt nicht vorstellbar ist. In der Praxis ist immer wieder zu beobachten, dass in den Unternehmen das Verfahrensverzeichnis mit den vollständigen und aktuellen Verfahrensbeschreibungen nicht "auf Vorrat" vorhanden ist, sondern der Datenschutzbeauftragte zusätzlich zu seinen gesetzlich vorgegebenen Aufgaben auch noch den Auftrag erhält, diese Unterlagen zu erstellen. Kurz gesagt: ohne Verfahrensübersicht besteht keine verlässliche Chance, ein automatisiertes Verfahren zu erkennen, bei dem eine Vorabkontrolle erforderlich ist. So wäre sie dem Zufall überlassen.
Bei der Information des Datenschutzbeauftragten handelt es sich um eine organisatorische Maßnahme. Entweder erhebt der Datenschutzbeauftragte die erforderlichen Informationen selbst oder es muss – insbesondere bei neuen Projekten – durch entsprechende Vorgaben der Unternehmensleitung sichergestellt werden, dass die Projektleitung zu einem möglichst frühen Zeitpunkt den Datenschutzbeauftragten über das Vorhaben informiert.
Arbeitsanweisung für Projektverantwortliche
Hier kann eine Arbeitsanweisung für Projektverantwortliche gute Dienste leisten, die als Regel-Projektschritt die Einschaltung des Datenschutzbeauftragten immer dann vorschreibt, wenn durch das neue Verfahren personenbezogene Daten erhoben, verarbeitet oder genutzt werden sollen. Alternative: Die IT-Leitung nimmt einen Jour Fixe mit dem Datenschutzbeauftragten wahr, in dem regelmäßig neue Projektvorhaben schon in der Planungsphase mit diesem besprochen werden.
→Praxisbeispiel VoIP (Wunschzustand): Der Datenschutzbeauftragte hat anlässlich seiner regelmäßigen internen Audits erfahren, dass im Unternehmen aktuell die Umstellung der Telefonanlage auf VoIP geprüft wird. Noch befindet sich das Projekt in der Prüfphase, in der unter anderem die voraussichtlichen Kosten (im Vergleich zur bestehenden Anlage) und die Verfügbarkeit der Anlagen im Vergleich zueinander ermittelt werden sollen. Soweit der Idealzustand.
→Praxisbeispiel VoIP (zumeist die Realität): Der Datenschutzbeauftragte erfährt durch Zufall, dass die Telefonanlage auf VoIP umgestellt wurde. Der Server ist installiert, die Endgeräte sind auf VoIP umgestellt. Ein externes Unternehmen ist mit der Wartung der Anlage beauftragt. Schriftliche Unterlagen können vorliegen, aber der Informant kann hierzu nichts sagen. Leider ist die reale Situation häufig so oder so ähnlich wie eben beschrieben.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen