Im letzten Beitrag ging es um
einen nicht besonders gut gemachten Datenschutzhinweis an die Klienten eines
sozialen Unternehmens. Zwar hat man der Form genügt seitens der datenverarbeitenden
Stelle, doch an einigen Passagen muss man die Qualität dieser Arbeit ernsthaft
bezweifeln. Und das kann weitere Folgen haben – unerwartet andere Folgen.
Datenschutz ist
wertvoll – und Qualität hat ihren Preis
Es
könnte durchaus passieren, dass sich beispielsweise ein Betroffener an die
Landesbehörde für den Datenschutz wendet und Beschwerde führt. Doch es kann
auch die Folge haben, dass ganz andere Zweifel haben an der Kompetenz des
unternehmensinternen Datenschutzbeauftragten und des Verantwortlichen. Im
vorliegenden Fall handelt es sich beim Datenschutzbeauftragten des sozialen
Unternehmens um einen externen Mitarbeiter einer IT-Firma *). Schaut man sich
den Webauftritt an, begegnet man drei akademisch gebildeten, mit vielen
weiteren Zertifikaten ausgestattenen Kontaktpersonen. Und dies steht im
Widerspruch zum veröffentlichten Ergebnis.
Gerade
weil so eine Arbeit sehr viel Geld kostet, kann jeder Qualitätsmangel, der
ungeahndet bleibt, als ein unwirtschaftliches Verhalten verstanden werden. Das
soziale Unternehmen erhält für seine Arbeit Mittel der öffentlichen Hand, die
wiederum gemäß „den Grundsätzen der Wirtschaftlichkeit, Sparsamkeit und
Leistungsfähigkeit“ eingesetzt werden sollen (§ 75 Abs. 3 S. 2 SGB XII). Bei
einem solchen Arbeitsergebnis muss man kritisch hinterfragen, welche anderen
Faktoren dazu geführt haben, einen solchen Qualitätsmangel zu akzeptieren. War
die beauftragende Stelle im sozialen Unternehmen womöglich selbst nicht
kompetent dazu? Oder gab es andere Gründe, die zu einer Beauftragung geführt
haben und die nichts mit der Erfüllung einer sozialen Aufgabe zu tun haben?
Ein
weiterer Zweck, der mit der Arbeit eines Datenschutzbeauftragten erfüllt wird,
ist die Erkennung von notwendigen Handlungsbedarfen hinsichtlich der
Betriebssicherheit und Zuverläßigkeit bei der Datenverarbeitung. Ein
Datenschutzbeauftragter kann Vorschläge unterbreiten, wie sich das System
verbessern lässt und Mitarbeiter rücksichtsvoller mit den sehr privaten Daten
eines anderen Menschen umgehen können. Zwar sind diese Datenschutzhinweise
dafür kein wirklicher Beleg, doch man kann durchaus vermuten, dass das
Verfahrensverzeichnis eine gleichartige Qualität aufweist.
Das Verfahrensverzeichnis
nachvollziehbar machen
In
einem Verfahrensverzeichnis bei einem anderen Unternehmen gab es sehr grobe
Fehler bei Struktur, Inhalt und Sprache. Es gab keine klare Zuordnungen und
Aussagen zu einer Vielzahl an Einzel-Verfahren. Stattdessen hatte man sich mit
pauschalen Sätzen begnügt, die eher den Eindruck von „Platzhaltern“ oder „Textbausteinen“
aufwiesen. Immer wieder fanden sich Wiederholungen und Verweise auf mögliche
Strafen bei Nicht-Einhaltung, dazu auch noch Referenzen zu Bereichen, mit denen
das Unternehmen überhaupt nichts oder sehr wenig zu tun hatte. Es gab aber auch
sehr viele Verbesserungsvorschläge, die vermutlich umgesetzt werden konnten.
Von daher kann man eine Wirtschaftlichkeit in Teilen annehmen. Doch das
übergeordnete Ziel, ein Verfahrensverzeichnis zu erstellen, dass einem
betriebsfremden Dritten (z.B. einer Aufsichtsbehörde) einen nachvollziehbaren
Überblick verschafft, wurde dennoch – für sehr viel Geld – verfehlt.
Es
könnte durchaus passieren, dass sich beispielsweise ein Verhandlungspartner für
Vergütungen im Rahmen der Eingliederungshilfe-Leistungen sehr misstrauisch
zeigt (vgl. § 77 SGB XII). Vielleicht wurde nur in diesem einen Fall mal „nicht
wirtschaftlich“ und „nicht sparsam“ gearbeitet – das ist ein Fehler, der nur
einmal vorkommt. Hoffentlich. Doch es führt zu einem sehr schwierigen
Verhandlungsklima, weil jetzt die Möglichkeit eines unwirtschaftlichen Handelns
und die Kompetenz der Verhandlungsführer angezweifelt wird.
Man
kann also sagen: Schlecht gemachte Datenschutzhinweise werfen kein gutes Bild
auf den Leistungserbringer, und sie kosten sehr viel mehr Geld, als man denkt.
CGS
*) =
Ein Datenschutzbeauftragter ist immer eine Person (siehe
hierzu Art. 37 DSGVO, insbesondere Abs. 5 und Abs. 6). Und es sind die Kontaktdaten
des Datenschutzbeauftragten zu veröffentlichen (Abs. 7).
In meinem letzten Beitrag hatte ich nun folgendes
geschrieben:
„In den
Datenschutzhinweisen an die Kunden sollte eine namentliche Benennung erfolgen.
Doch in den Datenschutzhinweisen an die Allgemeinheit ist die Namensnennung
anscheinend nicht zwingend vorgeschrieben. Statt jetzt eine bestimmte Person
als Verantwortliche aufzuführen, könnte es anscheinend auch eine Körperschaft
sein.“
Dieser Gedanke resultiert aus einer Beobachtung bei einem
anderen Datenschutzhinweis einer sehr großen Unternehmensberatung. Das muss
nicht richtig sein.
Weil es um den Schutz von Personendaten geht und ein
Datenschutzbeauftragter eine besondere Stellung im Unternehmen wahrnimmt,
sollte die persönliche Nennung schon erfolgen, statt eine solche Funktion
wieder zu anonymisieren.
Quelle:
DSGVO-Gesetz, ein Projekt der intersoft consulting
services AG
(letzter Aufruf am 26.10.2018, keine Partnerschaft
zwischen diesem Blog und dem referenzierten Quellen-Betreiber)
Bitte lesen Sie die Hinweise
zum Rechtsstatus der Webseite, Urheberrechtsbestimmungen und Haftungsausschluss
sowie die Datenschutzerklärung.
Hat Ihnen der Beitrag gefallen?
Empfehlen Sie ein//gegliedert
weiter oder klicken Sie gleich reihum auf die Überschriften – ersetzt das
Applaudieren.
Gibt es was zu meckern?
Schreiben Sie mir eine Email – gerne auch per Trash-Mailer, wenn Sie Anonymität bewahren
wollen. Ihre Meinung hilft mir, meine Perspektive neu zu überdenken. Meine
Email-Adresse finden Sie auf der Seite Über mich.
Eine mögliche Folge bei einem schlecht gemachten
Datenschutzhinweis – eingegliedert.blogspot.com