Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Weiterbildung & Fachkunde

Weiterbildung und Fachkunde für Datenschutzbeauftragte

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet in Art. 38 Abs. 2 bzw. das Bundesdatenschutzgesetz (BDSG) in § 6 Abs. 2 Verantwortliche und Auftragsverarbeiter, ihre Datenschutzbeauftragten (DSB) angemessen zu unterstützen. Dabei müssen sie Datenschutzbeauftragten „insbesondere“ Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung stellen.

Wie umfangreich die Ausstattung sein soll, richtet sich nach dem jeweiligen Umfang der Datenverarbeitung bzw. den Risiken für die betroffenen Personen: Je höher die Risiken, desto mehr Aufwand wird entstehen, den das Unternehmen übernehmen muss.

Verantwortlicher muss Kosten für die DSB-Weiterbildung übernehmen

Mittel zur Verfügung zu stellen, bedeutet in diesem Zusammenhang, Kosten zu übernehmen, z.B. für Lehrgänge und Seminare, insbesondere zur ständigen Weiterbildung des oder der Datenschutzbeauftragten. Gesetzestexte und -kommentare, sonstige Publikationen, Nachschlagewerke und Periodika sind anzuschaffen bzw. zu abonnieren, falls sie nicht schon an anderen Stellen im Haus vorrätig sind (Personal- oder Rechtsabteilung) und sich gemeinsam nutzen lassen.

➜ Welche Kenntnisse brauchen Datenschutzbeauftragte?

Bestellung eines DSB: Das sagt die Datenschutz-Grundverordnung

Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeauftragte (DSB) verfügen muss. Die Anforderungen sind sehr breit gefächert.

Im Interview mit den Expert*innen und Organisatoren des 1. Österreichischen Fachkongress: Datenschutz in der PRAXIS

Die Namen der Referenten auf dem „1. Österreichischen Fachkongress: Datenschutz in der PRAXIS“ ließen spannende und interessante Antworten für unsere Podcast-HörerInnen erwarten. Die Datenschutz-Aktivisten Katharina Nocun und Max Schrems, Andreas Zavadil für die Datenschutzbehörde der Republik Österreich und eine Reihe weiterer Experten aus der Praxis gaben uns im der architektonisch inspirierenden Kulisse der Wirtschaftsuni Wien in kurzen Interviews Einblicke in aktuelle Entwicklungen des Datenschutzes und der Cyber Security.

Datenschützer direkt befragt

Der Datenschutzkongress IDACON war auch dieses Jahr wieder Treffpunkt für zahlreiche engagierte Teilnehmer und hochkarätige Referenten. Ein guter Anlass für unseren Podcast, sich vor Ort umzuhören und die Expertinnen & Experten vors Mikrofon zu holen.

Initiative „Datenschutz geht zur Schule“ des BVD e. V.

Datenschutz für Kinder und Jugendliche ist eine gute Sache. Als Sponsor der Initiative „Datenschutz geht zur Schule“ des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. möchten wir deshalb die freiwilligen Helfer und Dozenten sowie prominente Unterstützer aus der Aufsichtsbehörde Baden-Württemberg und der Verbraucherzentrale Bayern in unserem Podcast zu Wort kommen lassen.

Quellen

Die im Folgenden vorgestellten Papiere von Aufsichtsbehörden sind im Zusammenhang mit der Qualifikation des Datenschutzbeauftragten von besonderer Bedeutung. Es lohnt sich daher, sich neben den ausgewählten wichtigen Auszügen auch einmal die Originale anzuschauen.

3 von 3

Fachkunde als Voraussetzung für Benennung

Zum Datenschutzbeauftragten kann nicht jeder beliebige Mitarbeiter benannt werden. Datenschutzbeauftragte müssen unter anderem schon bei der Benennung und dann kontinuierlich durch Weiterbildung die notwendige Sach- und Fachkunde aufweisen, um ihre Tätigkeit ausüben und die gesetzlich zugewiesenen Aufgaben erfüllen zu können.

Recht, IT-Sicherheit, organisatorische Kenntnisse

Dies setzt zum Zeitpunkt der Benennung unter anderem die Kenntnis des geltenden Rechts und der Grundlagen der IT-Sicherheit sowie organisatorische Kenntnisse voraus (Art. 37 Abs. 5 DSGVO bzw. § 5 Abs. 3 BDSG).

Das vor 2018 geltende BDSG differenzierte dabei noch nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der Daten: Je höher der Schutzbedarf, desto mehr Fachkunde ist erforderlich. Das sollte den Umfang der erforderlichen Fachkunde einerseits konkretisieren, andererseits aber auch begrenzen, um den Schulungs- und Weiterbildungsaufwand für Datenschutzbeauftragte in einem angemessenen Rahmen zu halten.

Weder die DSGVO noch das heutige BDSG sehen entsprechende Regularien vor, sodass letztlich der Datenschutzbeauftragte sicherstellen muss, dass er die rechtlichen etc. Anforderungen versteht und seine aus diesen Gesetzen resultierenden Aufgaben bewältigen kann.

Die Art.-29-Arbeitsgruppe – ein Vorläufer des Europäischen Datenschutzausschusses – hat in ihrem WP 243 zu den Anforderungen an Datenschutzbeauftragte ausgeführt, dass diese mit der Schutzwürdigkeit, der Komplexität und dem Umfang der Datenverarbeitung steigen – unabhängig davon, dass die DSGVO keine entsprechenden Regelungen vorsieht.

Branchenspezifische Fachkunde

Hier wird gefordert, dass er jedenfalls Fachkunde im europäischen und nationalen Datenschutzrecht bzw. im öffentlichen Bereich über entsprechende öffentlich-rechtliche Regeln aufweisen soll und im besten Fall auch branchenspezifisches Know-how.

In der Regel haben sich insbesondere externe Datenschutzbeauftragte auf bestimmte Branchen wie den Medizin- oder den Immobiliensektor spezialisiert, damit sie den besonderen Herausforderungen adäquat begegnen können.

Daneben soll auch ausschlaggebend sein, ob die Verantwortlichen Daten in unsichere Drittstaaten übermitteln, z.B. in Staaten außerhalb des Europäischen Wirtschaftsraums, die kein Datenschutzniveau aufweisen, das dem der Europäischen Union entsprechen würde (z.B. USA oder Indien). Auch in diesem Fällen müssen sich ein Datenschutzbeauftragter die erforderliche Fachkunde durch Weiterbildung verschaffen.

Auch interne Datenschutzbeauftragte brauchen von Beginn an Fachkunde

Das jetzige BDSG stellt zumindest für den Bereich der Datenschutzbeauftragten öffentlicher Stellen nach BDSG in § 5 Abs. 3 BDSG auf das bereits bestehende Fachwissen aus der Datenschutzpraxis oder dem Datenschutzrecht ab. Dies ist bei der Benennung zu berücksichtigen.

Die in der Vergangenheit mitunter geübte Praxis, interne Datenschutzbeauftragte zu benennen, die fachfremd, aber gerade verfügbar waren, begegnet daher künftig noch größeren Risiken als bisher.

Auch wenn § 5 Abs. 3 BDSG nicht ausdrücklich für nichtöffentliche Stellen anwendbar ist, da § 38 BDSG, der deren Benennung regelt, darauf nicht verweist, sollten Verantwortliche diese Vorgabe zumindest risikominimierend berücksichtigen.

Weiterbildung nachweisen!

Eine Anforderung an Datenschutzbeauftragte ist damit zwangsläufig, sich kontinuierlich weiterzubilden und die erforderlichen Seminare, Tagungen, Fortbildungen etc. zu besuchen, damit sie ihre Aufgaben korrekt erfüllen können.

Um die Fachkunde nachzuweisen, empfiehlt es sich, Zertifikate, Teilnahmebescheinigungen etc. einzufordern und zu dokumentieren. Interne Datenschutzbeauftragte sollten entsprechende Nachweise in die Personalakte aufnehmen lassen.

Silvia C. Bauer

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.