Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Weiterbildung & Fachkunde

Weiterbildung und Fachkunde für Datenschutzbeauftragte

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet in Art. 38 Abs. 2 bzw. das Bundesdatenschutzgesetz (BDSG) in § 6 Abs. 2 Verantwortliche und Auftragsverarbeiter, ihre Datenschutzbeauftragten (DSB) angemessen zu unterstützen. Dabei müssen sie Datenschutzbeauftragten „insbesondere“ Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung stellen.

Wie umfangreich die Ausstattung sein soll, richtet sich nach dem jeweiligen Umfang der Datenverarbeitung bzw. den Risiken für die betroffenen Personen: Je höher die Risiken, desto mehr Aufwand wird entstehen, den das Unternehmen übernehmen muss.

Verantwortlicher muss Kosten für die DSB-Weiterbildung übernehmen

Mittel zur Verfügung zu stellen, bedeutet in diesem Zusammenhang, Kosten zu übernehmen, z.B. für Lehrgänge und Seminare, insbesondere zur ständigen Weiterbildung des oder der Datenschutzbeauftragten. Gesetzestexte und -kommentare, sonstige Publikationen, Nachschlagewerke und Periodika sind anzuschaffen bzw. zu abonnieren, falls sie nicht schon an anderen Stellen im Haus vorrätig sind (Personal- oder Rechtsabteilung) und sich gemeinsam nutzen lassen.

➜ Welche Kenntnisse brauchen Datenschutzbeauftragte?

DP+
Eine Roboterhand mit dem Buchstaben AI und eine Richterinnenstatue auf dem Holztisch mit Gesetzesbüchern. 3D-Illustration.
Bild: style-photography / iStock / Getty Images Plus
KI-Basics, Teil 2

Der zweite Teil dieser Artikelreihe stellt die Akteure der KI-Verordnung (KI-VO) vor und bespricht Maßnahmen für Hochrisiko-KI-Systeme, die sich aus der KI-VO ergeben. Die Analyse eines Anwendungsfalls gibt einen ersten Eindruck vom Umgang mit Hochrisiko-KI-Systemen.

Der Podcast fragt nach – diesmal bei den Referentinnen und Referenten der IDACON 2024

Diesmal geht es um so wichtige Themen wie das Auskunftsrecht, KI-Risiken, Videoüberwachung und Datenschutz-Folgenabschätzung, dies sind weitere, spannende Beispiele aus der Agenda der IDACON 2024, die vom 5. - 6. November in München stattfand. Was sollten Datenschutzbeauftragte dazu wissen, um in den Unternehmen und Behörden ihren Aufgaben nachgehen zu können?

DP+
Ziel der KI-Verordnung ist es, Risiken der Künstlichen Intelligenz mit einem sektorübergreifenden, risikobasierten und menschzentrierten Ansatz zu reduzieren
Bild: iStock.com/style-photography
Künstliche Intelligenz

Mit Inkrafttreten der KI-VO wird sich der Compliance-Aufwand v.a. für Unternehmen, die Hochrisiko-KI-Systeme anbieten oder betreiben, um ein weiteres Risikomodul erhöhen. Für die Praxis bietet es sich an, das KI-Thema in das Datenschutzmanagement-System zu integrieren.

DP+
Auch mit der Digitalgesetzgebung der EU richtet sich der Schutz personenbezogener Daten weiter an der DSGVO aus
Bild: iStock.com/PhonlamaiPhoto
Auf einen Blick

Manchmal sieht man den Wald vor lauter Bäumen nicht mehr. So geht es derzeit vielen Datenschützern angesichts der Flut von EU-Initiativen zu Digitalisierung und Künstlicher Intelligenz. Anlass genug für einen Überblick, der nur die wirklich wichtigen Eckpunkte hervorhebt!

Kontaktdaten eines Datenschutzbeauftragten - hier symbolisiert durch ein @-Zeichen, einen Briefumschlag und ein Telefonhörer
Bild: peterschreiber.media/iStock/Getty Images Plus
Klare Ansage des BGH

Die DSGVO-Juristen waren sich einig darüber, wann zu den „Kontaktdaten“ eines Datenschutzbeauftragten dessen Name gehört und wann nicht. Aber würde der BGH es genauso sehen? Jetzt besteht Klarheit – über die Regel und über Ausnahmen davon.

Der Podcast fragt nach – diesmal bei den Referentinnen und Referenten der IDACON 2024

Die einheitliche Anwendung und Durchsetzung der DSGVO, die Rolle des Europäischen Datenschutzausschusses (EDSA), Profiling und Scoring im Lichte des SCHUFA-Urteils, die KI-Regulierung und ihre rechtlichen und wirtschaftlichen Folgen und „Data Act – Rückschritt, Fortschritt? Oder neue Fragen…?“, dies sind Beispiele aus der Agenda der IDACON 2024, die vom 5. - 6. November in München stattfand. Was sollten Datenschutzbeauftragte dazu wissen, um in den Unternehmen und Behörden ihren Aufgaben nachgehen zu können?

Novellierte EU-Verordnung „eIDAS 2.0“

Um die Digitalisierung zu beschleunigen, haben die zuständigen EU- Stellen die eIDAS-Verordnung umfassend geändert und ergänzt, oft „eIDAS 2.0“ genannt. Verantwortliche werden sich v.a. auf technische Anpassungen von Authentifizierungsprozessen einstellen müssen.

Nutzen Sie bewährte Prozesse

Künstliche Intelligenz soll die wirtschaftliche und gesellschaftliche Transformation in Deutschland bewirken. Dazu passend hat die EU die KI-Verordnung beschlossen, die KI in Europa regulieren soll. Mögliche Synergien zwischen ­KI-Verordnung und ­DSGVO sind einen Blick wert.

DP+
Protokollierung von IP-Adressen: Um als DSB wirksam und kundenfreundlich zu beraten, brauchen Sie ein Verständnis für das Interesse des Gegenübers und nachvollziehbare Argumente. Beides liefert dieser Best-Practice-Beitrag
Bild: Screenshot Dr. Klaus Meffert
Datenspeicherung

Ungekürzte Netzwerkadressen von Website-Besuchern in Protokolldateien zu speichern, ist diskussionswürdig, u.a. weil die Website-Anbieter auf diese Weise anlasslos personenbezogene Daten erfassen (Stichwort Vorratsdatenspeicherung). Welche Vorgehensweise können Sie als DSB stattdessen empfehlen?

Zahlreiche EU-Rechtsakte parallel zur DSGVO

Das Datenwirtschaftsrecht der EU befasst sich wenig überraschend mit der Verarbeitung von Daten. Es ist jedoch in seinen Zielen nicht deckungsgleich mit dem Datenschutzrecht. Datenschutzbeauftragten kommt bei der Umsetzung dennoch eine Schlüsselrolle zu.

1 von 3

Fachkunde als Voraussetzung für Benennung

Zum Datenschutzbeauftragten kann nicht jeder beliebige Mitarbeiter benannt werden. Datenschutzbeauftragte müssen unter anderem schon bei der Benennung und dann kontinuierlich durch Weiterbildung die notwendige Sach- und Fachkunde aufweisen, um ihre Tätigkeit ausüben und die gesetzlich zugewiesenen Aufgaben erfüllen zu können.

Recht, IT-Sicherheit, organisatorische Kenntnisse

Dies setzt zum Zeitpunkt der Benennung unter anderem die Kenntnis des geltenden Rechts und der Grundlagen der IT-Sicherheit sowie organisatorische Kenntnisse voraus (Art. 37 Abs. 5 DSGVO bzw. § 5 Abs. 3 BDSG).

Das vor 2018 geltende BDSG differenzierte dabei noch nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der Daten: Je höher der Schutzbedarf, desto mehr Fachkunde ist erforderlich. Das sollte den Umfang der erforderlichen Fachkunde einerseits konkretisieren, andererseits aber auch begrenzen, um den Schulungs- und Weiterbildungsaufwand für Datenschutzbeauftragte in einem angemessenen Rahmen zu halten.

Weder die DSGVO noch das heutige BDSG sehen entsprechende Regularien vor, sodass letztlich der Datenschutzbeauftragte sicherstellen muss, dass er die rechtlichen etc. Anforderungen versteht und seine aus diesen Gesetzen resultierenden Aufgaben bewältigen kann.

Die Art.-29-Arbeitsgruppe – ein Vorläufer des Europäischen Datenschutzausschusses – hat in ihrem WP 243 zu den Anforderungen an Datenschutzbeauftragte ausgeführt, dass diese mit der Schutzwürdigkeit, der Komplexität und dem Umfang der Datenverarbeitung steigen – unabhängig davon, dass die DSGVO keine entsprechenden Regelungen vorsieht.

Branchenspezifische Fachkunde

Hier wird gefordert, dass er jedenfalls Fachkunde im europäischen und nationalen Datenschutzrecht bzw. im öffentlichen Bereich über entsprechende öffentlich-rechtliche Regeln aufweisen soll und im besten Fall auch branchenspezifisches Know-how.

In der Regel haben sich insbesondere externe Datenschutzbeauftragte auf bestimmte Branchen wie den Medizin- oder den Immobiliensektor spezialisiert, damit sie den besonderen Herausforderungen adäquat begegnen können.

Daneben soll auch ausschlaggebend sein, ob die Verantwortlichen Daten in unsichere Drittstaaten übermitteln, z.B. in Staaten außerhalb des Europäischen Wirtschaftsraums, die kein Datenschutzniveau aufweisen, das dem der Europäischen Union entsprechen würde (z.B. USA oder Indien). Auch in diesem Fällen müssen sich ein Datenschutzbeauftragter die erforderliche Fachkunde durch Weiterbildung verschaffen.

Auch interne Datenschutzbeauftragte brauchen von Beginn an Fachkunde

Das jetzige BDSG stellt zumindest für den Bereich der Datenschutzbeauftragten öffentlicher Stellen nach BDSG in § 5 Abs. 3 BDSG auf das bereits bestehende Fachwissen aus der Datenschutzpraxis oder dem Datenschutzrecht ab. Dies ist bei der Benennung zu berücksichtigen.

Die in der Vergangenheit mitunter geübte Praxis, interne Datenschutzbeauftragte zu benennen, die fachfremd, aber gerade verfügbar waren, begegnet daher künftig noch größeren Risiken als bisher.

Auch wenn § 5 Abs. 3 BDSG nicht ausdrücklich für nichtöffentliche Stellen anwendbar ist, da § 38 BDSG, der deren Benennung regelt, darauf nicht verweist, sollten Verantwortliche diese Vorgabe zumindest risikominimierend berücksichtigen.

Weiterbildung nachweisen!

Eine Anforderung an Datenschutzbeauftragte ist damit zwangsläufig, sich kontinuierlich weiterzubilden und die erforderlichen Seminare, Tagungen, Fortbildungen etc. zu besuchen, damit sie ihre Aufgaben korrekt erfüllen können.

Um die Fachkunde nachzuweisen, empfiehlt es sich, Zertifikate, Teilnahmebescheinigungen etc. einzufordern und zu dokumentieren. Interne Datenschutzbeauftragte sollten entsprechende Nachweise in die Personalakte aufnehmen lassen.

Silvia C. Bauer

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.