Schlagwort-Archive: Datenschutzsachverständiger

Widerruf der Bestellung zum Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss namentlich in einer Bestellungsurkunde “bestellt” werden. Vorher darf er diesen Job nicht ausüben. Diese Bestellung kann nur aus wichtigem Grund widerrufen werden (und der muss dann wirklich “schwergewichtig” sein). Das Bundesarbeitsgericht entschied wie folgt (Az. 10 AZR 562/09):

Weder Mitgliedschaft im Betriebsrat noch die Entscheidung etwa einen Externen mit dem Datenschutz betrauen zu wollen reichen aus, einen Widerruf zu begründen.

Was lehrt uns das? Einen internen Mitarbeiter zum DSB zu bestellen ist (auch aus diversen anderen Gründen) wohl abzuwägen. Aber auch einen externen DSB kann man nicht so ohne weiteres wieder abbestellen, denn auch für ihn gelten entsprechende Regeln. Nur wird der Externe DSB i.d.R. von selbst sein Mandat aufgeben, wenn er mit seinem Mandanten nicht mehr klarkommt. In den meisten Fällen ist also die Lösung “Externer DSB” weiter vorzuziehen.

Akkreditierung Datenschutzsachverständiger / Datenschutz-Auditor

Hiermit benachichtige ich alle am Datenschutz Interessierten, dass ich seit Dezember 2012 offiziell als akkreditierter Sachververständiger für Datenschutz bei der DESAG Zert (Zertifizerungsstelle) geführt werde:

Akkreditierter Sachverständiger für Datenschutz

Akkreditierter Sachverständiger für Datenschutz

Als Datenschutzsachverständiger führe ich “große” Datenschutzaudits sowie Audits für Datenverarbeiter im Auftrag (ADV-Audits) durch. Dabei erstelle ich entsprechende Gutachten, die im Falle einer positiven Empfehlung bei der Zertifizierungsstelle DESAG Zert zur Erlangung eines entsprechenden Datenschutz-Gütesiegels eingereicht werden können.

Der Vorteil für meine Kunden besteht insbesondere darin, mit diesem Gütesiegel in der Außenwirkung ein entsprechendes Vertrauen aufbauen zu können. Darüber hinaus sparen Sie als Datenverarbeiter im Auftrag auch noch Geld, denn nunmehr müssen Sie nicht mehr durch die zeitaufwendige und damit kostentreibende Auftragskontrolle nach § 11 BDSG, zu der Ihre Kunden verpflichtet sind – Sie können jetzt einfach das Gutachten und Gütesiegel einreichen. Das schaft einen gewissen Wettbewerbsvorteil.

Sprechen Sie mich einfach an – Gerne erläutere ich Ihnen die Details!

IT-Forensik, Privatermittlung und der Datenschutz

Im Rahmen unserer Tätigkeit als IT-Forensiker werten wir sowohl Computer, als auch mobile Endgeräte wie Handy- und Smartphone aus. Auch für Private und Unternehmen. Im Zuge dessen betrifft dies auch Geräte von Mitarbeitern. Um diese auswerten zu können, ist die Auswertung und damit die Erstattung eines Gutachtens an bestimmte Vorraussetzungen geknüpft.
Bereits im Vorfeld der Entwicklung von Antwortstrategien in Bezug auf Sicherheitsvorfälle (Incident-Response-Strategien), sollte der Datenschutzbeauftragte (und möglicherweise auch der Betriebsrat) aktiv einbezogen werden. Sollte eine Auswertung von Protokolldaten mit möglicherweise personenbezogenen Daten erforderlich werden, sollte der Datenschutzbeauftragte informiert werden und der Auswertung beiwohnen. Es gibt dazu nicht nur datenschutzrechtliche, sondern auch ermittlungstechnische Beweggründe. Es wäre ja Schade, am Ende bei einer gerichtlichen Auseinandersetzung zu scheitern, nur weil man gesetzliche Vorgaben nicht beachtet hat.
Der Datenschutz ist im Falle einer Ermittlung nicht außer Kraft gesetzt. Datenschutz soll in diesen Fällen kein Täterschutz sein. Deshalb ist es den Behörden (und nur diesen) erlaubt, Daten zu sammeln, die eigentlich nicht gesammelt werden dürften. Behörden sind dazuausdrücklich ermächtigt. Das Recht auf informationelle Selbstbestimmung tritt dann hinter den Strafverfolgungsanspruch des Staates zurück. Allerdings ist in jedem Einzelfall zu entscheiden, ob neben bestehender Normen und Tatbestände auch die Verhältnismäßigkeit der Mittel gewahrt bleibt. Der Datenschutzbeauftragte wird in diesem Zusammenhang sicher wertvolle Dienste leisten.

Im Rahmen der Erstattung von Privatgutachten bedeutet dies, dass der Auftraggeber nicht nur allgemeine datenschutzrechtliche Bestimmungen einzuhalten hat, sondern auch ein berechtigtes Interesse nachzuweisen hat, wenn die Ermittlung auf bestimme Personen abzielt, die verdächtigt werden. Das ist insbesondere dann erforderlich, wenn es gegen Mitarbeiter geht (Kriminalität am Arbeitsplatz vs. Arbeitnehmerdatenschutz). An dieser Stelle lassen wir uns das berechtigte Interesse grundsätzlich schriftlich im Vertrag bestätigen und übernehmen dahingehend keine Haftung.

Als Arbeitgeber sind sSe diesbezüglich übrigens gut beraten, hinsichtich der Nutzung vom Firmenrechnern klare vertragliche Regelungen und Richtlinen zu schaffen, die z.B. die private Nutzung von Firmenrechnern und Mobiltelefonen untersagen. Dann kann eine Auswertung wesentlich leichter erfolgen und man ist rechtlich auf einer deutlich sichereren Seite. Das Thema Datenschutz und IT-Forensik / Privatermittlung ist sehr komplex und in diesem Beitrag nicht erschöfpfend zu behanden. Dahingehend bin ich auch als Sachverständiger für Datenschutz tätig und kann Sie an dieser Stelle unabhängig und sachverständig beraten. Diese Möglichkeit sollten Sie nutzen, bevor ein Sicherheitsvorfall oder eine kriminelle Handlung in Ihrem Unternehmen festgestellt wird.

Insgesamt wird uns dieses Thema auch auf dieser Seite noch einige Male beschäftigen. In diesem Sinne …