Monthly Archives

Mai 2019

DSGVO – Grundinformationen

By | Allgemein

Datenschutz

Ab dem 25. Mai 2018 müssen die EU-Staaten die Datenschutzgrundverordnung (DSGVO) anwenden. Dies hat zur Folge, dass bis dahin alle Unternehmen, die mehr als neun Mitarbeiter beschäftigen, welche personenbezogene Daten verarbeiten, einen Datenschutzbeauftragen benennen müssen. Unabhängig davon sind ausnahmslos alle Unternehmen dazu verpflichtet, das neue Bundesdatenschutzgesetz (BDSG), welches die Umsetzung der DSGVO spezifiziert, einhalten.

Nahezu jedes Unternehmen geht mit Informationen um, die sich auf identifizierte oder identifizierbare Personen beziehen. Dies betrifft demnach nicht nur den vollständigen Namen, z.B. von Kunden oder Mitarbeitern, sondern auch Daten aus denen sich Rückschlüsse auf die jeweilige Person ziehen lassen. Beispiele dafür sind Standortdaten oder IP-Adressen.

Das Risiko beim Umgang mit personenbezogenen Daten Datenschutzverletzungen zu begehen ist erheblich, insofern die Regelungen zum Datenschutz ein hohes Schutzniveau vorsehen. Beispielsweise dürfen nur erforderliche Daten verarbeitet werden, benötigte Daten dürfen nur direkt erhoben werden oder es müssen Einwilligungen für die Verarbeitung vorliegen. Außerdem bestehen recht umfassende Dokumentationspflichten. So sind z.B. Verarbeitungsverzeichnisse zu führen.

Verstöße werden mit hohen Bußgeldern geahndet. Da Verstöße die Grundrechte von Personen betreffen, sollen wirksame und abschreckende Sanktionen weitere Zuwiderhandlungen verhindern. Gefahren sind unzufriedene Mitarbeiter, frühere Mitarbeiter, Kunden oder potenzielle Kunden, Konkurrenten und nicht zuletzt auch die Aufsichtsbehörden selbst, die auch ohne Anhaltspunkte Überprüfungen vornehmen können. Somit ist die Gefahr von Abmahnungen und Bußgeldern tatsächlich sehr real. Es ist davon auszugehen, dass die Aufsichtsbehörden immer mehr zum eigenen Handeln angehalten werden, gilt es doch ein Grundrecht zu schützen.

Wir halten es für eher ungünstig einen internen Mitarbeiter als Datenschutzbeauftragten zu benennen. Schnell befindet dieser sich in einem Interessenskonflikt: Einerseits sollte er die Interessen des Unternehmens vertreten, andererseits wird er aber auch persönliche Interessen verfolgen. Letztere liegen darin, dass er persönlich haftbar gemacht werden kann, so er seine Aufgaben als Datenschutzbeauftragter nicht pflichtgemäß erfüllt. Beispielsweise muss er gemäß der Datenschutzverordnung Verstöße der Aufsichtsbehörde melden.

Außerdem besitzt ein betrieblicher Datenschutzbeauftragter eine hervorgehobene Stellung im Unternehmen. Er hat unmittelbar an die oberste Unternehmensleitung zu berichten. Ebenso muss das Unternehmen ihm alle erforderlichen Ressourcen zur Verfügung zu stellen, insbesondere zu allen Verarbeitungsprozessen und personenbezogenen Daten. Hierzu gehören auch Möglichkeiten das entsprechende Fachwissen zu erwerben und zu erhalten.

Hier ergibt sich ein weiterer Punkt, der gegen einen internen Datenschutzbeauftragten sprechen kann. Er sollte nämlich nicht nur organisatorische und betriebswirtschaftliche Kenntnisse haben, um die Verarbeitungsprozesse nachvollziehen zu können, sondern auch über gute IT-Kenntnisse verfügen. Automatisierte Datenverarbeitungsprozesse sind IT-gestützt und hier spielt die IT-Sicherheit eine sehr bedeutende Rolle. Personenbezogene Daten sind vor unberechtigtem Zugriff zu schützen. Darüber hinaus ist es notwendig, dass sich der Beauftragte auch mit der DSGVO und dem BDSG vertraut ist und daraus die richtigen Maßnahmen ableiten kann.

Bei diesen Voraussetzungen wäre es naheliegend ein Mitglied der Geschäftsleitung als Datenschutzbeauftragten einzusetzen. Da hier aber ein erheblicher Interessenskonflikt besteht, lehnen dies die Aufsichtsbehörden ab. Genauso verhält es sich bei Beschäftigten mit Leitungsfunktionen, z.B. im Bereich IT, Recht oder Personal. Auch das spricht dafür eher auf eine externe Lösung zu setzen.

Wichtig ist auch, dass ein interner Datenschutzbeauftragter nach dem BDSG nur außerordentlich gekündigt werden kann. Dies gilt auch noch ein Jahr nach seiner Tätigkeit als Datenschutzbeauftragter. Er hat also dieselben Rechte wie ein Betriebsrat.

All das spricht dafür einen Datenschutzbeauftragten extern zu bestellen und externe Expertise in Anspruch zu nehmen. Datenschutz ist nicht nur ein organisatorisches Thema, sondern in hohem Maße auch ein technisches, geht es doch darum Daten vor Angriffen und unerlaubter Nutzung wirksam zu schützen.

IRCA-Auditorenkurs

By | Allgemein

IRCA-Auditorenkurs

Heute wurde wieder ein Auditorenkurs mit einer IRCA-Prüfung abgeschlossen.

Es ist jedesmal erstaunlich, wie erleichtert und zufrieden die Teilnehmer im Anschluss sind.

Ziel des Kurses ist, dass die Teilnehmer ein Gefühl für ISO-Normen entwickeln und mit diesen sicher umgehen können. Mit ca. 25%  ist der Schulungsanteil sehr gering. Der Rest der Zeit werden Gruppenarbeiten und sehr intensive Rollenspiele gemacht.

„Lernen kann man am besten über eine emotionale Reaktion. Ihre emotionale Reaktion wird das scheitern sein“, so die Dozentin.

Im Anschluss kann man sagen, wieder viel gelernt, gelacht und zufriedene Gesichter.

Allen Teilnehmern vielen Dank für das Engagement und viel Erfolg beim Anwenden.

Anfrage des Arbeitsamt beantworten?

By | Allgemein

Anfrage des Arbeitsamts beantworten?

Muss/darf eine Anfrage der „Bundesagentur für Arbeit“, ob ein Bewerber beim Gespräch war, beantwortet werden?

Kurz gesagt: Wir empfehlen es nicht.

Eine Rechtgrundlage für die Erteilung einer solchen Auskunft ist uns nicht bekannt.

Erläuterung:

  • Die Bundesagentur für Arbeit ist Leistungsträger im Sinne des § 12 SGB I und §§ 18 ff. SGB I (ebenso Jobcenter).
  • Eine Auskunft an diese Behörde(n) wäre eine  Datenweitergabe. Dazu bräuchte der Weitergebende (das Unternehmen) eine rechtliche Grundlage.
  • In Betracht käme nur „gesetzliche Verpflichtung“ oder eine „Einwilligung“

Gegenüber dem Leistungsempfänger (also Demjenigen der Leistungen der Bundesagentur bezieht) gibt es solche bspw. § 60 I SGB (da ist auch die Information umfasst ob er sich beworben hat)

Gegenüber Arbeitgebern gibt es auch allerhand Auskunfts-/Mitwirkungspflichten bspw. § 57 Auskunftspflicht von Arbeitgebern. DIESE gelten aber „nur“ wenn das Unternehmen auch Arbeitgeber IST!! Verallgemeinernd kann man sagen, wenn es um Informationen über Arbeitnehmer geht, gibt es eine Vielzahl von Auskunfts-/Mitwirkungspflichten.

  • Zitat: Arbeitgeber haben der Agentur für Arbeit auf deren Verlangen Auskunft über solche Tatsachen zu geben, die für die Entscheidung über einen Anspruch auf Leistungen nach diesem Buch erheblich sein können; die Agentur für Arbeit kann hierfür die Benutzung eines Vordrucks verlangen. Die Auskunftspflicht erstreckt sich auch auf Angaben über das Ende und den Grund für die Beendigung des Beschäftigungsverhältnisses.

Fazit: Gibt es keine „Beziehung“ zwischen Bewerber und Unternehmen im Sinne von Arbeitgeber und Arbeitnehmer sehen wir keinen Grund/Rechtslage warum eine Datenweitergabe zulässig sein soll.

Keine gesetzliche Grundlage = keine Verpflichtung einer Auskunftserteilung

Eine Einwilligung kann man sicher vom Betroffenen einholen, dies ist aber sicher aufwändig.

Ole Bischof – 10 Jahre nach Judo-Gold bei Olympia

By | Allgemein

Ole Bischof – 10 Jahre nach Judo-Gold bei Olympia

Am 12.08.2008 holte Ole Bischof olympisches Gold für Deutschland im Judo.

Der Reutlinger Judoka, der dann 2012 nochmals im Finale stand, schloss 2012 sein Studium erfolgreich ab und arbeitet seit 2018 für ProSiebenSat.1.

Warum dieser kleine Glückwunsch auf unserer Homepage ist, wir haben ihn während seiner aktiven Laufbahn gesponsored.

UnternehmerTAG Reutlingen 2019

By | Allgemein

UnternehmerTAG Reutlingen 2019

www.UnternehmerTAG-reutlingen.de

Auch dieses Jahr beschäftigt sich der UnternehmerTAG wieder mit dem Thema Datenschutz und seiner Umsetzung.

Zahlreiche Verfahren wurden eingeleitet, erste Strafen wurden verhängt. Es wird immer klarer, was erlaubt und was notwendig ist.

Die Anpassung der Verarbeitungsarten an die sich ändernde Organisation stellt die Unternehmen vor große Herausforderungen. Eine einfache, pflegbare Dokumentation ist notwendig. In der DSGVO reicht der Hinweis auf „stets bemüht“ nicht aus.

Mit der DSGVO wurde eine Richtlinie / Gesetz geschaffen, die die Dokumentation von Tätigkeiten genau vorgibt. Hierdurch entstehen sehr häufig Widersprüche mit bestehenden Verfahrens- und Arbeitsanweisungen.

Es gibt zahlreiche IT-Lösungen, mit deren Hilfe die DSGVO effizient umgesetzt werden kann. Das Prinzip ist immer ähnlich. Wichtig ist, keine grundlegenden Fehler beim Aufbau des Systems zu machen.

Diskutieren Sie mit Experten aus den Bereichen Recht, IT und Organisation. Interessante Vorträge geben einen kompakten Stand und einen Ausblick auf die nächsten Jahre.

Als DSB müssen Sie sich immer weiterbilden. Sollten Sie einen entsprechenden Fortbildungsnachweis nach DSGVO wünschen, teilen Sie uns das bitte bei der Anmeldung mit.

Nähere Informationen unter www.UnternehmerTAG-reutlingen.de.

Energieaudits EN 16247, ISO 50001

By | Allgemein

Energieaudits EN 16247, ISO 50001

Dieses Jahr kommen viele Unternehmen, die 2016 für die Erfüllung des EDL-G (Energie-Dienstleistungsgesetzes) ein Energieaudit nach EN 16247 durchgeführt haben, in den nächsten Zyklus.

Das EDL-G schreibt für alle „nicht-kleinen“ Firmen, (>250 MA oder >43 Mio. € Bilanzsumme oder >50 Mio.€ Umsatz) ein Energie-Audit nach EN 16247, eine Zertifizierung nach ISO 50001 oder EMAS vor.

Da sich die Grundlage für die Auditzeitermittlung (ISO 50003) und die Ansprüche an die Zertifizierung stark verschärft haben, empfehlen wir in den meisten Fällen ein Energieaudit nach EN 16247. Zwar hat sich auch hier die Anforderung stark verändert, siehe entsprechende Leitfäden des BAFA, der Bericht ist dadurch aber deutlich „wertiger“ geworden und gibt jetzt tatsächlich gute Ansatzpunkte für die Energie- und Kosteneinsparung.

Unterstützt wird das ganze durch erweiternde Leistungen wie „mobile Energie-Messungen“, „Projektmanagement“ und „Energie-Beschaffung“.

Messe Control 2019 – optische Vermessung

By | Allgemein

Messe Control 2019 – optische Vermessung

Die Control ist eine der Welt-Leitmessen für Qualitätssicherung. Dieses Jahr war das Hauptthema die optische Vermessung von Teilen. Die Entwicklung ist jetzt soweit, dass mit optischer Hilfe und der sehr viel schnelleren Rechnerleistung die Vermessung immer schneller und genauer abläuft. In vielen Fällen wird die 100%-Kontrolle möglich.

Die Einbindung dieser Möglichkeiten in den laufenden Prozess ermöglicht einen neuen Qualitätsstandard in der Fertigung. Die Qualität von Massenprodukten, z.B. Schrauben, lässt sich viel exakter ermitteln.

Unser Hauptthema war die Vernetzung von DSGVO mit den verschiedenen ISO-Normen. Wichtig ist dies für jedes zertifizierte Unternehmen, da unbedingt vermieden werden muss, dass sich Verfahrens- und Arbeitsanweisungen mit den Verarbeitungsarten in der DSGVO-Dokumentation widersprechen. Die Überschneidungen mit ISO 9001, IATF 16949 und TISAX sind sehr groß.

Obwohl es für uns wieder eine erfolgreiche Messe mit vielen neuen Kontakten war, ist eine Zurückhaltung beim Investitionsgut Qualitätssicherung spürbar.