Welche risikomindernde Maßnahme wird wohl als besonders wirksam angesehen?
Na, na?
Richtig, die Benennung eines fachlich geeigneten betrieblichen Datenschutzbeauftragten.
Und wie wird das wohl von der Aufsicht und im Falle des Rechtsweges beurteilt, wenn man keinen hat und irgendwas ist schiefgegangen und man kann sich nicht mehr auf die 20er-Grenze berufen?
Na, na?
Richtig, in jedem Fall strafverschärfend.
Und wann genau braucht man den betrieblichen Datenschutzbeauftragten besonders dringend?
Na, na?
Richtig, wenn was schiefgegangen ist, in der Beratung für die Kommunikation mit der Aufsicht und den Betroffenen.
Was ist denn sinnvoll für kleine mittelständische Unternehmen?
Na, na?
Richtig, einen externen zum betrieblichen Datenschutzbeauftragten zu benennen, der einem aufwandsbezogen hilft.
Und was macht ein Externer, der noch alle Latten am Zaun hat, in keinem Fall?
Na, na?
Ohne Benennung tätig werden (führt hier jetzt zu weit).
Die 20er schafft für die Unternehmen Rechtssicherheit, klingt komisch, ist aber so.
Wenn ich darunter liege, kann ich sagen, im Gesetz steht aber und das ist plausibel und wird auch so bewertet.
Wenn ich jetzt aber ein irgendwie blablaschnuppeldipub-risikoorientiertes Modell wähle, bzw. das zum Tragen kommt, wird es von da an heißen: Sie hätten halt die Risiken für die Betroffenen richtig einschätzen und einen betrieblichen Datenschutzbeauftragten benennen müssen.
Funfact:
Die DSGVO kennt gar kein Risikomodell mit Risikoklassen wie das Riskmanagement. Daher wird grundsätzlich von einem abstrakten Risiko bei jeder Art der Verarbeitung personenbezogener Daten ausgegangen.
Was läuft eigentlich schief?
Naja, die Aufsicht treibt dich in den Wahnsinn.
16 Landesdatenschutzbeauftragte und ein Bundesdatenschutzbeauftragte und ein halbes Dutzend weitere für besondere Bereiche, etwa die Datenschutzbeauftragten der Landeskirchen. Jeder ist Aufsicht für seinen Bereich, jeder hat zwei Meinungen, mindestens, und der DSK hat auch eine, die ist aber nicht verbindlich, weil die ganzen Aufsichten ja weisungsfrei handeln. Eine unendliche Kakophonie von Dingen, die man tun könnte oder eben auch lassen. Rechtsmittelfähige Bescheide, an denen man das Ziel ausmachen könnte, gibt es ja nur sehr wenige. Man ergeht sich lieber in juristischen Fachdiskussionen, meint vieles und nichts davon ist verbindlich, als z.B. mal die Kurzpapiere zu pflegen und zu einer Loseblattsammlung zu erweitern.
Und was noch?
Wenn ihr mich fragt, das Verzeichnis der Verarbeitungstätigkeiten. Das ist in kleinen mittelständischen Unternehmen ein Arbeitsbeschaffungsprogramm, mit dem man sich 24 Stunden am Tag beschäftigen kann, ohne irgendwas für das Datenschutzniveau im Unternehmen getan zu haben. Ok, Dokumentation muss sein, aber da könnte man wirklich, wirklich was für die Kleinen tun, indem man ein Standardkatalog für die Dokumentationspflichten definiert, von mir aus auch risikoorientiert.
Das Posting wurde vom Benutzer editiert (19.03.2024 15:33).