Weiterbildung & Fachkunde

Fachkunde als Voraussetzung für Benennung

Zum Datenschutzbeauftragten kann nicht jeder beliebige Mitarbeiter benannt werden. Datenschutzbeauftragte müssen unter anderem schon bei der Benennung und dann kontinuierlich durch Weiterbildung die notwendige Sach- und Fachkunde aufweisen, um ihre Tätigkeit ausüben und die gesetzlich zugewiesenen Aufgaben erfüllen zu können.

Recht, IT-Sicherheit, organisatorische Kenntnisse

Dies setzt zum Zeitpunkt der Benennung unter anderem die Kenntnis des geltenden Rechts und der Grundlagen der IT-Sicherheit sowie organisatorische Kenntnisse voraus (Art. 37 Abs. 5 DSGVO bzw. § 5 Abs. 3 BDSG).

Das vor 2018 geltende BDSG differenzierte dabei noch nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der Daten: Je höher der Schutzbedarf, desto mehr Fachkunde ist erforderlich. Das sollte den Umfang der erforderlichen Fachkunde einerseits konkretisieren, andererseits aber auch begrenzen, um den Schulungs- und Weiterbildungsaufwand für Datenschutzbeauftragte in einem angemessenen Rahmen zu halten.

Weder die DSGVO noch das heutige BDSG sehen entsprechende Regularien vor, sodass letztlich der Datenschutzbeauftragte sicherstellen muss, dass er die rechtlichen etc. Anforderungen versteht und seine aus diesen Gesetzen resultierenden Aufgaben bewältigen kann.

Die Art.-29-Arbeitsgruppe – ein Vorläufer des Europäischen Datenschutzausschusses – hat in ihrem WP 243 zu den Anforderungen an Datenschutzbeauftragte ausgeführt, dass diese mit der Schutzwürdigkeit, der Komplexität und dem Umfang der Datenverarbeitung steigen – unabhängig davon, dass die DSGVO keine entsprechenden Regelungen vorsieht.

Branchenspezifische Fachkunde

Hier wird gefordert, dass er jedenfalls Fachkunde im europäischen und nationalen Datenschutzrecht bzw. im öffentlichen Bereich über entsprechende öffentlich-rechtliche Regeln aufweisen soll und im besten Fall auch branchenspezifisches Know-how.

In der Regel haben sich insbesondere externe Datenschutzbeauftragte auf bestimmte Branchen wie den Medizin- oder den Immobiliensektor spezialisiert, damit sie den besonderen Herausforderungen adäquat begegnen können.

Daneben soll auch ausschlaggebend sein, ob die Verantwortlichen Daten in unsichere Drittstaaten übermitteln, z.B. in Staaten außerhalb des Europäischen Wirtschaftsraums, die kein Datenschutzniveau aufweisen, das dem der Europäischen Union entsprechen würde (z.B. USA oder Indien). Auch in diesem Fällen müssen sich ein Datenschutzbeauftragter die erforderliche Fachkunde durch Weiterbildung verschaffen.

Auch interne Datenschutzbeauftragte brauchen von Beginn an Fachkunde

Das jetzige BDSG stellt zumindest für den Bereich der Datenschutzbeauftragten öffentlicher Stellen nach BDSG in § 5 Abs. 3 BDSG auf das bereits bestehende Fachwissen aus der Datenschutzpraxis oder dem Datenschutzrecht ab. Dies ist bei der Benennung zu berücksichtigen.

Die in der Vergangenheit mitunter geübte Praxis, interne Datenschutzbeauftragte zu benennen, die fachfremd, aber gerade verfügbar waren, begegnet daher künftig noch größeren Risiken als bisher.

Auch wenn § 5 Abs. 3 BDSG nicht ausdrücklich für nichtöffentliche Stellen anwendbar ist, da § 38 BDSG, der deren Benennung regelt, darauf nicht verweist, sollten Verantwortliche diese Vorgabe zumindest risikominimierend berücksichtigen.

Weiterbildung nachweisen!

Eine Anforderung an Datenschutzbeauftragte ist damit zwangsläufig, sich kontinuierlich weiterzubilden und die erforderlichen Seminare, Tagungen, Fortbildungen etc. zu besuchen, damit sie ihre Aufgaben korrekt erfüllen können.

Um die Fachkunde nachzuweisen, empfiehlt es sich, Zertifikate, Teilnahmebescheinigungen etc. einzufordern und zu dokumentieren. Interne Datenschutzbeauftragte sollten entsprechende Nachweise in die Personalakte aufnehmen lassen.

Silvia C. Bauer