31. Juli 2008 - Volltreffer! Mitarbeiter liefern das beste Suchergebnis

So fahnden Sie nach wirklich allen Verfahren

Als Datenschutzbeauftragter haben Sie bestimmt alle großen Verfahren in Ihre Dokumentation aufgenommen. Aber können Sie sicher sein, wirklich jede Verarbeitung von personenbezogenen Daten erfasst zu haben? Nutzen Sie doch die beste Suchmaschine im Unternehmen – jeden einzelnen Ihrer Kollegen. Sie werden überrascht sein, was Sie alles noch nicht wissen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Ein DSB hat nach § 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) eine Übersicht über Verfahren zur Verarbeitung personenbezogener Daten zu erstellen. Soweit die Ausgangslage.

Die Standardverfahren sind meist dokumentiert

Als Erstes kommen einem die Standardverfahren in den Sinn – eine Handvoll Verfahrensübersichten, von den Leitern der Fachabteilung erläutert.

Unabdingbar ist die Aufnahme der Personalabteilung

Zunächst blickt man bei personenbezogenen Daten in die Personalabteilung. Allein die Verarbeitungsmöglichkeiten von Mitarbeiterdaten bieten bereits eine breite Palette an Verfahrensübersichten.

Angefangen vom Personalinformationssystem (PIM), der monatlichen Entgeltabrechnung mit angegliederter Zeitverwaltung über das Bewerberverfahren oder den Workflow für Urlaubsanträge sind alle Verfahren in der Verfahrensübersicht zu dokumentieren.

Spezialgebiet Kundenverwaltung

Nächster traditioneller Blickpunkt ist die Kundenverwaltung. Hier unterscheiden sich die Unternehmen grundsätzlich. Ein ausgefeiltes Customer Relationship Management (CRM) als zentrale Datenhaltung oder verteilte Systeme – Möglichkeiten gibt es viele. In den meisten Fällen sind zudem Datenbestände bei den Außendienstmitarbeitern zu berücksichtigen.

Fundgrube Datenverarbeitung

Aus der IT-Abteilung erfährt man in der Regel noch weitere Einzelheiten. Funktionsweise und Hintergründe zum E-Mail-Verfahren mit Spam- und Virenscanner, eventuell gar Contentfilter zur Inhaltskontrolle.

Über Archivlösungen wird aufgeklärt, und zur Telekommunikations-Anlage finden Sie in der IT den entsprechenden Ansprechpartner.

Aber ist das dann schon alles?

Das „führende System“ ist oft ein Blendwerk

Kennen Sie den Begriff eines „führenden Systems“?

In der IT-Umgangssprache handelt es ich dabei um ein System oder eine Anwendung, das bzw. die führend für die Datenhaltung ist.

Ist z.B. SAP führendes System, sollten in den verschiedenen Modulen von SAP alle relevanten Daten des Unternehmens abgelegt sein. Gleiches gilt offiziell für spezielle Anwendungen wie Paisy (Personalabrechnungs- und Informationssystem) in der Personalabteilung.

Aber Vorsicht – die oft mit viel Geld und Manpower eingeführten Systeme pflegen oft bei weitem nicht alle Daten, die für das Unternehmen wichtig sind!

Hier finden Sie ein Muster für einen Erhebungsbogen für personenbezogene Daten.

Schattendatenbestände werden bei den Verfahren kaum beachtet

Oft hegen und pflegen Mitarbeiter nämlich eigene „Schattendatenbestände“. Die sogenannten führenden Systeme erweisen sich nicht selten als zu unflexibel und starr.

Die Mitarbeiter beginnen, Kopien der Daten anzulegen, um sie mit bordeigenen Mitteln schneller und effizienter bearbeiten zu können.

Stille Helfer im Hintergrund: Excel & Co.

Die stillen Helfer in Form von Textverarbeitung, Tabellenkalkulation oder Datenbankanwendungen wie Access erweisen sich als ideales Hilfsmittel, die Aufgaben kurzfristig zu erledigen.

Dass dabei nicht selten eigene Datenpools herangezogen werden, die die sogenannten führenden Systeme in den Schatten stellen, zeigt die Erfahrung.

Wissen Sie als DSB darüber Bescheid – noch dazu, wenn es sich um personenbezogene Daten handelt?

Suchmaschine spielen im eigenen Unternehmen

Wenn Sie diese Frage nicht eindeutig und zu 100 Prozent sicher mit „Ja“ beantworten können, sollten Sie einmal eine Umfrage in Ihrem Unternehmen starten:

  • Wer verarbeitet wo personenbezogene Daten?
  • Mit welchen Arbeitsmitteln?
  • Woher kommen die Daten?
  • An wen werden Daten oder Listen abgegeben?

Erhebungsbogen – kurz und knackig

Sie brauchen nicht allzu viel Aufhebens um den Erhebungsbogen zu machen. Erklären Sie den Kollegen kurz, weshalb Sie um ihre Mitarbeit bitten und auf welche Daten es Ihnen ankommt.

Erläutern Sie den Begriff „personenbezogene Daten“ oder nennen Sie Beispiele dazu.

Verteilen Sie die Umfrage gezielt

Je nach Unternehmensgröße und unter Berücksichtigung Ihres persönlichen Zeitkontingents, das Ihnen für Ihre Aufgaben als betrieblicher Datenschutzbeauftragter zur Verfügung steht, lässt sich die Umfrage gezielt steuern.

Häppchenweise oder in die Vollen?

Beginnen Sie die Datenschutzumfrage am besten häppchenweise, z.B. je Fachabteilung. So bekommen Sie Gelegenheit, die Rückläufe zeitnah zu bearbeiten. Rückfragen können Sie so ebenfalls effizienter bearbeiten.

Ist das zu betreuende Unternehmen nicht allzu groß, empfiehlt es sich, den Erhebungsbogen zeitgleich an alle Mitarbeiter auszugeben.

Beispiele von Rückläufern – hätten Sie davon gewusst?
Aus der Marketingabteilung werden Kontaktdaten aus dem letzten Gewinnspiel der Fachmesse gemeldet. „Wir haben sie mal gespeichert – noch keine Ahnung, was wir damit machen werden“, lautet die Antwort.

Ein Werkstattleiter meldet, dass er regelmäßig eine Personalliste mit Leistungsdaten von Mitarbeitern erhält – er hat sie noch nie gebraucht – kommt vermutlich von seinem Vorgänger …

Setzen Sie Rückgabefristen

Setzen Sie für die Rückgabe des Erhebungsbogens eine Frist von 1 bis 2 Wochen. Die Praxis hat gezeigt, dass alles, was über zwei Wochen hinausgeht, wieder in Vergessenheit gerät.

Das bedeutet, es verschwindet in den Schreibtischen oder wird als nicht so wichtig empfunden. Die Antwortquote ist folgerichtig weit geringer.

Freiwillige oder Pflichtrückgabe?

Je nach Unternehmensgröße ist noch eine wichtige Entscheidung zu treffen. Erwarten Sie die Rückgabe des Erhebungsbogens als freiwilligen Akt, oder wollen Sie eine Pflichtrückgabe?

Am besten ist die Pflichtrückgabe

Meine Empfehlung: Personalisieren Sie den Fragebogen und fordern Sie eine ausgefüllte Rückgabe.

Sprechen Sie die Kollegen direkt an

Erstellen Sie dazu einen Serienbrief und tragen Sie den Namen direkt unter das Feld „Mein Name“ ein. Die direkte Ansprache zeigt, dass Sie sich Mühe geben. Zudem fühlt sich der Mitarbeiter persönlich angesprochen. Das steigert die Motivation.

Seien Sie auf überraschende Ergebnisse gefasst

Vorsicht, Sie werden von den Ergebnissen überrascht sein. Nicht selten wartet anschließend ein Berg an Arbeit auf den Datenschutzbeauftragten.

Hermann Keck
Herrmann Keck ist externer Datenschutzbeauftragter.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln