Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Weiterbildung & Fachkunde

Weiterbildung und Fachkunde für Datenschutzbeauftragte

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet in Art. 38 Abs. 2 bzw. das Bundesdatenschutzgesetz (BDSG) in § 6 Abs. 2 Verantwortliche und Auftragsverarbeiter, ihre Datenschutzbeauftragten (DSB) angemessen zu unterstützen. Dabei müssen sie Datenschutzbeauftragten „insbesondere“ Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung stellen.

Wie umfangreich die Ausstattung sein soll, richtet sich nach dem jeweiligen Umfang der Datenverarbeitung bzw. den Risiken für die betroffenen Personen: Je höher die Risiken, desto mehr Aufwand wird entstehen, den das Unternehmen übernehmen muss.

Verantwortlicher muss Kosten für die DSB-Weiterbildung übernehmen

Mittel zur Verfügung zu stellen, bedeutet in diesem Zusammenhang, Kosten zu übernehmen, z.B. für Lehrgänge und Seminare, insbesondere zur ständigen Weiterbildung des oder der Datenschutzbeauftragten. Gesetzestexte und -kommentare, sonstige Publikationen, Nachschlagewerke und Periodika sind anzuschaffen bzw. zu abonnieren, falls sie nicht schon an anderen Stellen im Haus vorrätig sind (Personal- oder Rechtsabteilung) und sich gemeinsam nutzen lassen.

➜ Welche Kenntnisse brauchen Datenschutzbeauftragte?

DP+
Tätigkeitsbericht
Bild: iStock.com/fotostorm
Gesammelte Fälle der Aufsichtsbehörden

DSB vernachlässigen oft die Tätigkeitsberichte, obwohl diese einen großen Mehrwert für die Datenschutz-Compliance bieten. Denn die Berichte geben einen Überblick über Abhilfemaßnahmen oder aktuelle Themen. Vor allem aber liefern sie Umsetzungstipps für bestimmte (Problem-)Bereiche im Unternehmen.

DP+
NIS
Bild: iStock.com/posteriori
Umsetzungsfrist läuft ab!

Die EU-Richtlinie NIS 2 ist ein allgegenwärtiges Thema. Die Umsetzung muss jetzt angegangen werden, aber zur Umsetzung kursieren auch Mythen. Die zeitlichen Abläufe zu kennen, ist dafür ebenso wichtig, wie die Vorgaben umzusetzen.

Was die Änderungen für den Datenschutz bedeuten

Gerade hatten Sie sich an das Telekommunikation-Telemedien-Datenschutzgesetz gewöhnt, schon heißt es Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Und das Digitale-Dienste-Gesetz ersetzt das Telemediengesetz. Aber was ändert sich außer den Namen?

Im Gespräch mit Dr. Eugen Ehmann

KI, Data Act, weitere Harmonisierung im Datenschutz, Profiling und Scoring, viele Themen und Entwicklungen bewegen gerade den Datenschutz. Wie behält man da noch den Überblick? Was bietet dazu ein Datenschutzkongress wie die IDACON 2024? Wir haben Dr. Eugen Ehmann, ausgewiesener Datenschutz-Experte und Kongressleiter der IDACON, dazu befragt.

Datenschutz PRAXIS – Der News Podcast

Aus den Datenschutzaufsichtsbehörden und aus der IT-Sicherheit gibt es wieder viele wichtige Meldungen und Veröffentlichungen, die Datenschutzbeauftragte in ihrer täglichen Arbeit kennen und nutzen sollten. Wir geben in der neuen Folge einen kompakten Überblick mit Tipps für die Praxis.

Datenschutz PRAXIS - Der News-Podcast

Zusätzlich zu den Interviews mit Vertreterinnen und Vertretern der Datenschutz-Aufsichtsbehörden erhalten Sie im News-Podcast regelmäßig einen Überblick zu den aktuellen Datenschutz-Entwicklungen, die uns besonders aufgefallen sind.

Datenschutz PRAXIS - Der News-Podcast

Was ist neu in den Bereichen „Aus den Aufsichtsbehörden“, „Der Blick nach Berlin und Brüssel“, „Meldungen aus dem Bereich Cybersicherheit“ und „Die Datenpanne des Monats“? Der News-Podcast bringt Sie auf den aktuellen Stand.

Der Podcast fragt nach – diesmal bei den Referentinnen und Referenten der IDACON 2023

Die Entwicklungen im Datenschutz könnten kaum vielfältiger sein: Ransomwareangriffe, KI-Dienste wie ChatGPT, EU-U.S. Data Privacy Framework, weitere Harmonisierung bei der Datenschutzaufsicht, um nur Beispiele zu nennen. Ein Spiegelbild dessen war die IDACON 2023, die vom 7. - 9. November in München stattfand.

Im Gespräch mit Dr. Eugen Ehmann

Die Entwicklung in Technik und Recht, im Bereich der Cyberbedrohungen und Datenrisiken ist so dynamisch und schnell, dass es für Datenschutzbeauftragte nicht leicht ist, sich auf dem Laufenden zu halten. Doch die Datenschutz-Grundverordnung (DSGVO) verlangt genau das. Im Interview erklärt Dr. Eugen Ehmann, wie Datenschutzbeauftragte die Übersicht behalten können und wie zum Beispiel Konferenzen wie die IDACON dabei helfen können.

Der Podcast fragt nach – diesmal bei den Referentinnen und Referenten der IDACON 2022

Der Datenschutz steht 2022 unter Druck. Cyberattacken nehmen exponenziell zu und bedrohen immer öfter direkt die zu schützenden personenbezogenen Daten, ja wenden das Datenschutzrecht selbst als Druckmittel gegen Verantwortliche an. Diese sehen sich auch von anderer Seite unter Druck: durch drohende Schadensersatz-Forderungen.

2 von 3

Fachkunde als Voraussetzung für Benennung

Zum Datenschutzbeauftragten kann nicht jeder beliebige Mitarbeiter benannt werden. Datenschutzbeauftragte müssen unter anderem schon bei der Benennung und dann kontinuierlich durch Weiterbildung die notwendige Sach- und Fachkunde aufweisen, um ihre Tätigkeit ausüben und die gesetzlich zugewiesenen Aufgaben erfüllen zu können.

Recht, IT-Sicherheit, organisatorische Kenntnisse

Dies setzt zum Zeitpunkt der Benennung unter anderem die Kenntnis des geltenden Rechts und der Grundlagen der IT-Sicherheit sowie organisatorische Kenntnisse voraus (Art. 37 Abs. 5 DSGVO bzw. § 5 Abs. 3 BDSG).

Das vor 2018 geltende BDSG differenzierte dabei noch nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der Daten: Je höher der Schutzbedarf, desto mehr Fachkunde ist erforderlich. Das sollte den Umfang der erforderlichen Fachkunde einerseits konkretisieren, andererseits aber auch begrenzen, um den Schulungs- und Weiterbildungsaufwand für Datenschutzbeauftragte in einem angemessenen Rahmen zu halten.

Weder die DSGVO noch das heutige BDSG sehen entsprechende Regularien vor, sodass letztlich der Datenschutzbeauftragte sicherstellen muss, dass er die rechtlichen etc. Anforderungen versteht und seine aus diesen Gesetzen resultierenden Aufgaben bewältigen kann.

Die Art.-29-Arbeitsgruppe – ein Vorläufer des Europäischen Datenschutzausschusses – hat in ihrem WP 243 zu den Anforderungen an Datenschutzbeauftragte ausgeführt, dass diese mit der Schutzwürdigkeit, der Komplexität und dem Umfang der Datenverarbeitung steigen – unabhängig davon, dass die DSGVO keine entsprechenden Regelungen vorsieht.

Branchenspezifische Fachkunde

Hier wird gefordert, dass er jedenfalls Fachkunde im europäischen und nationalen Datenschutzrecht bzw. im öffentlichen Bereich über entsprechende öffentlich-rechtliche Regeln aufweisen soll und im besten Fall auch branchenspezifisches Know-how.

In der Regel haben sich insbesondere externe Datenschutzbeauftragte auf bestimmte Branchen wie den Medizin- oder den Immobiliensektor spezialisiert, damit sie den besonderen Herausforderungen adäquat begegnen können.

Daneben soll auch ausschlaggebend sein, ob die Verantwortlichen Daten in unsichere Drittstaaten übermitteln, z.B. in Staaten außerhalb des Europäischen Wirtschaftsraums, die kein Datenschutzniveau aufweisen, das dem der Europäischen Union entsprechen würde (z.B. USA oder Indien). Auch in diesem Fällen müssen sich ein Datenschutzbeauftragter die erforderliche Fachkunde durch Weiterbildung verschaffen.

Auch interne Datenschutzbeauftragte brauchen von Beginn an Fachkunde

Das jetzige BDSG stellt zumindest für den Bereich der Datenschutzbeauftragten öffentlicher Stellen nach BDSG in § 5 Abs. 3 BDSG auf das bereits bestehende Fachwissen aus der Datenschutzpraxis oder dem Datenschutzrecht ab. Dies ist bei der Benennung zu berücksichtigen.

Die in der Vergangenheit mitunter geübte Praxis, interne Datenschutzbeauftragte zu benennen, die fachfremd, aber gerade verfügbar waren, begegnet daher künftig noch größeren Risiken als bisher.

Auch wenn § 5 Abs. 3 BDSG nicht ausdrücklich für nichtöffentliche Stellen anwendbar ist, da § 38 BDSG, der deren Benennung regelt, darauf nicht verweist, sollten Verantwortliche diese Vorgabe zumindest risikominimierend berücksichtigen.

Weiterbildung nachweisen!

Eine Anforderung an Datenschutzbeauftragte ist damit zwangsläufig, sich kontinuierlich weiterzubilden und die erforderlichen Seminare, Tagungen, Fortbildungen etc. zu besuchen, damit sie ihre Aufgaben korrekt erfüllen können.

Um die Fachkunde nachzuweisen, empfiehlt es sich, Zertifikate, Teilnahmebescheinigungen etc. einzufordern und zu dokumentieren. Interne Datenschutzbeauftragte sollten entsprechende Nachweise in die Personalakte aufnehmen lassen.

Silvia C. Bauer

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.