Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

30. Juli 2022

DSGVO: Welche Qualifikation braucht ein Datenschutzbeauftragter?

DSGVO: Welche Qualifikation braucht ein Datenschutzbeauftragter?
Bild: iStock.com / tudmeak
3,60 (5)
Inhalte in diesem Beitrag
Bestellung eines DSB: Das sagt die Datenschutz-Grundverordnung
Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeauftragte (DSB) verfügen muss. Die Anforderungen sind sehr breit gefächert.

Die Datenschutz-Grundverordnung (DSGVO) legt erstmals EU-weit fest, dass unter bestimmten Voraussetzungen zwingend ein Datenschutzbeauftragter (DSB) bestellt werden muss. Dabei besteht die Möglichkeit einen betrieblichen Datenschutzbeauftragten zu bestellen. Dabei handelt es sich um einen Mitarbeiter des Unternehmens, der die Aufgaben und Pflichten des Datenschutzbeauftragten übernimmt. Als Alternative zum betrieblichen DSB kommt auch ein externer Datenschutzbeauftragter in Frage.

Für Deutschland trifft das Bundesdatenschutzgesetz (BDSG) eine ergänzende Regelung. Sie knüpft an eine Mindestzahl von zwanzig Personen an, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.

Vorgaben für die Bestellung eines DSB

Einen Datenschutzbeauftragten zu benennen, kann unter zwei Aspekten nötig sein:

  • Zum einen ist sie erforderlich, wenn eine der Voraussetzungen von Art. 37 Abs. 1 DSGVO vorliegt. Ein Beispiel dafür: Eine Behörde oder öffentliche Stelle führt die Verarbeitung durch (Art. 37 Abs. 1 Buchst. a DSGVO).
  • Zum anderen ist die Bestellung eines DSB aber auch dann geboten, wenn die Voraussetzungen von § 38 Abs. 1 Satz 1 BDSG erfüllt sind. Dies ist der Fall, wenn in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Lesen Sie mehr dazu im Beitrag Wann muss ich einen Datenschutzbeauftragten benennen?

Einheitliche Vorgaben für die Qualifikation

Die nationale deutsche Regelung ergänzt Art. 37 Abs. 1 DSGVO. Die DSGVO erlaubt eine solche Ergänzung ausdrücklich (siehe Art. 37 Abs. 4 Satz 1 Halbsatz 2 DSGVO: Ein DSB ist auch erforderlich, „falls dies nach dem Recht … der Mitgliedstaaten vorgeschrieben ist.“).

Die notwendige Qualifikation eines DSB bestimmt sich in jedem Fall ausschließlich nach den Vorgaben von Art. 37 Abs. 5 DSGVO. Ergänzende oder gar abweichende nationale Regelungen lässt die Grundverordnung in dieser Hinsicht nicht zu.

Die Mitgliedstaaten können also nur zusätzliche Gründe festlegen, die eine Pflicht zur Bestellung eines DSB auslösen. Sie haben jedoch nicht die Befugnis, eigenständige Vorgaben für die Qualifikation eines DSB aufzustellen.

Drei Hauptfaktoren für die Qualifikation von Datenschutzbeauftragten

Nach der Vorgabe von Art. 37 Abs. 5 DSGVO sind drei Hauptfaktoren für die Bestellung eines Datenschutzbeauftragten von Bedeutung :

  • berufliche Qualifikation im Hinblick auf das Fachwissen auf dem Gebiet des Datenschutzrechts
  • Fachwissen auf dem Gebiet der Datenschutzpraxis
  • Fähigkeit, die Aufgaben zu erfüllen, die Art. 39 DSGVO nennt

Fähigkeit, die gesetzlichen Aufgaben & Pflichten zu erfüllen

Art. 39 Abs. 1 DSGVO nennt fünf Hauptaufgaben für Datenschutzbeuaftragte, die sich schlagwortartig wie folgt umschreiben lassen:

  1. Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters und der Beschäftigten
  2. Überwachung der Einhaltung von Datenschutzregelungen einschließlich der Sensibilisierung und Schulung von Mitarbeitern
  3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  4. Zusammenarbeit mit der Aufsichtsbehörde
  5. Funktion als Anlaufstelle für die Aufsichtsbehörde

Die Qualifikation des Datenschutzbeauftragten muss sicherstellen, dass er diese fünf Hauptaufgaben so erfüllen kann, wie das im konkreten Unternehmen oder in der konkreten Behörde geboten ist.

Erwägungsgründe wenig aufschlussreich

Die Erwägungsgründe bieten kaum zusätzliche Aufschlüsse hinsichtlich der erforderlichen Qualifikation.

Sie ist dort so umschrieben, dass ein DSB „über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren“ verfügen muss (Erwägungsgrund 97 Satz 2). Das wiederholt im Kern nur den Gesetzeswortlaut.

Kaum aussagekräftiger ist die Vorgabe von Erwägungsgrund 97 Satz 3: „Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die … verarbeiteten personenbezogenen Daten richten.“

Zu Recht nur abstrakte Vorgaben zur Qualifikation von DSB

Praktiker rügen immer wieder, das alles sei viel zu abstrakt umschrieben. Diese Kritik scheint auf den ersten Blick verständlich. Gleichwohl tut die DSGVO als generelle Regelung gut daran, nicht näher ins Detail zu gehen.

Die Verhältnisse in den unterschiedlichen Branchen, Unternehmen und Behörden sind zu unterschiedlich, um sie detailliert zu beschreiben.

Die allgemeinen Grundsätze lassen sich zudem bei näherem Hinsehen überraschend gut konkret anwenden. Dies zeigt sich etwa bei den erforderlichen Rechtskenntnissen.

Anforderungen an die Rechtskenntnisse

Jeder DSB braucht einen umfassenden Überblick über das Datenschutzrecht insgesamt. Dabei kommt es nicht darauf an, ob einzelne Teile davon in „seinem“ Unternehmen oder „seiner“ Behörde überhaupt eine Rolle spielen. Beispiel:

Es mag sein, dass ein Unternehmen bisher noch nie Daten in ein Drittland exportiert hat. Dennoch muss der DSB wissen, dass es die Standardvertragsklauseln gibt und womit diese sich befassen. Sonst erkennt er im Ernstfall überhaupt nicht, dass diese Regelungen wichtig sind, wenn es irgendwann doch zu einem Datenexport in ein Drittland kommt.

Wichtige Spezialgesetze

Teil des Überblicks müssen auch die wichtigsten Spezialgesetze neben der DSGVO sein, und zwar sowohl auf europäischer als auch auf nationaler Ebene.

  • Beispiel auf europäischer Ebene: Der DSB muss etwas über die ePrivacy-Richtlinie wissen, weil sie datenschutzrelevante Regelungen enthält und neben der DSGVO weiterhin gilt.
  • Beispiel auf nationaler Ebene: Ist ein Unternehmen als Auftragnehmer für eine Landesbehörde tätig, muss der DSB wissen, dass es neben dem BDSG auch noch Landesdatenschutzgesetze gibt.

Vertiefte Kenntnisse der DSGVO

Vertiefte Kenntnisse sind in jedem Fall in Bezug auf die DSGVO insgesamt erforderlich. Denn die DSGVO ist das zentrale Regelungswerk, auf das es immer wieder ankommt.

Im Hinblick auf sonstige Datenschutzregelungen genügen dagegen vertiefte Kenntnisse für die Regelungen, die konkret im jeweiligen Unternehmen eine Rolle spielen. Dafür bieten sich modular strukturierte Fortbildungen an.

Notwendige Spezialkenntnisse

Sofern besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) in größerem Umfang verarbeitet werden, muss der DSB sich mit den einschlägigen Regelungen in besonderer Tiefe vertraut machen.

Dasselbe gilt, wenn personenbezogene Daten in Drittstaaten ohne ausreichendes Datenschutzniveau übermittelt werden.

Ohne Spezialseminare dürfte es in beiden Konstellationen kaum gehen. Kommen derartige Sachverhalte dagegen in der täglichen Praxis des DSB nicht vor, genügen überblicksartige Kenntnisse, die er in der allgemeinen Ausbildung im Datenschutzrecht erworben hat.

Erforderliche EDV-Kenntnisse

EDV-technische Kenntnisse fordert die DSGVO überraschenderweise nicht ausdrücklich. Ohne sie könnte ein DSB jedoch nicht seine Aufgabe erfüllen, die Einhaltung von Datenschutzregelungen zu überwachen.

Bei ihnen sind die Schwerpunkte so zu setzen:

  • Der Fokus sollte dabei auf den Bereichen liegen, die für die Datensicherheit von besonderer Bedeutung sind.
  • Sollte es einen eigenen IT- Sicherheitsbeauftragten geben, müssen die Aufgabenbereiche zwischen ihm und dem DSB wechselseitig abgegrenzt werden. Ansonsten besteht die Gefahr, dass sich jeder auf den anderen verlässt und bestimmte Aspekte im Ergebnis keiner der beiden betreut.

Zusatzanforderungen an die Qualifikation des DSB

Neben rechtlichen und technischen Kenntnissen können Anforderungen aus anderen Bereichen hinzukommen.

Beispiel: Ein Unternehmen verarbeitet in großem Umfang personenbezogene Gesundheitsdaten. Zahlreiche Beschäftigte sind damit befasst. Die Fluktuation beim Personal ist relativ hoch.

Es liegt auf der Hand, dass die Schulung von Mitarbeitern in diesem Fall eine besondere Rolle spielt. Daher ist es geboten, den DSB auch in Fragen der Durchführung und Ausgestaltung von Fortbildungsveranstaltungen besonders zu schulen.

In einem anderen Unternehmen kann sich dies völlig anders darstellen. Beispiel: Ein industrieller Fertigungsbetrieb für Maschinen liefert ausschließlich an Unternehmenskunden. Personenbezogene Daten werden in diesem Zusammenhang nur ganz am Rande verarbeitet.

Die Schulung von Mitarbeitern auf dem Gebiet des Datenschutzes spielt daher kaum eine Rolle. Sie wird so gut wie nicht gebraucht. In diesem Fall wäre es übertrieben, den Datenschutzbeauftragten speziell hierfür entsprechend auszubilden.

„Datenschutzpraxis“ – ein weites Feld

Ausdrücklich erwähnt die DSGVO das Fachwissen auf dem Gebiet der Datenschutzpraxis. Es ist wohl am schwersten zu erwerben. Dies gelingt kaum jemals durch entsprechende Kurse.

Auch Hospitationen bei ähnlich strukturierten Unternehmen oder Behörden sind in der Praxis oft nicht zu realisieren, so wünschenswert sie wären.

Besondere Bedeutung kommt daher dem Erfahrungsaustausch zwischen DSB gleichartiger Unternehmen oder Behörden zu. Beispiele:

  • Ein Datenschutzbeauftragter in einem Krankenhaus wird sich darum bemühen, bei Arbeitskreisen von Krankenhäusern teilzunehmen.
  • Ein DSB in einem Unternehmen, das Adresshandel betreibt, wird aus einem entsprechenden Arbeitskreis Nutzen ziehen.

In jedem Fall wäre die Erwartung verfehlt, dass praktische Erfahrung im Lauf der Zeit „von alleine kommt“. Wer nicht weiß, worauf er zu achten hat, wird auf diese Weise nur ungenügende Erfahrungen sammeln können.

Zeitpunkt, um die Kenntnisse zu erwerben

Im Prinzip müssen alle erforderlichen Kenntnisse bereits vorhanden sein, wenn jemand zum Datenschutzbeauftragten bestellt wird. Lückenlos ist dies jedoch in keinem Fall möglich.

Das gilt besonders hinsichtlich der praktischen Erfahrungen, also hinsichtlich des Fachwissens auf dem Gebiet der Datenschutzpraxis.

Deshalb muss realistischerweise zu Beginn der Tätigkeit ein umfassendes Spektrum an Grundkenntnissen vorhanden sein. Dies genügt zunächst. Alle weiteren Kenntnisse können und müssen in kürzester Zeit, d.h. in einem Zeitraum von wenigen Monaten, erworben werden.

Qualifikation als Datenschutzbeauftragter erhalten

Unabdingbar ist es, das vorhandene Wissen jeweils aktuell zu halten und zu ergänzen.

In diesem Zusammenhang ist wichtig, dass der Verantwortliche ausdrücklich dazu verpflichtet ist, dem DSB „die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung [zu] stellen“, so ausdrücklich Art. 38 Abs. 2 DSGVO. Dies stellt sicher, dass eine einmal erworbene Qualifikation erhalten bleibt.

Systematisches Vorgehen

Sinnvoll ist, vor Benennung eines Datenschutzbeauftragten schriftlich festzuhalten,

  • welche Kenntnisse erforderlich sind,
  • welche er schon mitbringt und
  • wo noch Qualifizierungsmaßnahmen notwendig sind.

Das schafft für alle Beteiligten Klarheit. Ändern sich die Verhältnisse, lässt sich auf eine feste Basis aufbauen, um gemeinsam notwendige zusätzliche Qualifizierungsmaßnahmen festzulegen.

ONLINE-TIPPS:

Folgende Papiere von Aufsichtsbehörden sind im Zusammenhang mit der Qualifikation des Datenschutzbeauftragten von besonderer Bedeutung:

  • Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), zuletzt überarbeitet und angenommen am 5. April 2017 (WP 243), Ziffer 2.5 „Fähigkeiten und Fachkenntnisse des DSB“, abrufbar unter http://dspraxis.de/wo.
  • Hessischer Datenschutzbeauftragter, Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht (Stand Juni 2017), Ziffer II „Persönliche Voraussetzungen des Datenschutzbeauftragten“, abrufbar unter http://ogy.de/dsb-nach-neuem-recht
  • Merkblatt für öffentliche Stellen in Sachsen zu Mindestanforderungen an Qualifikation und Unabhängigkeit des behördlichen Datenschutzbeauftragten, Ziffer 1 „Anforderungen an die Qualifikation des behördlichen Datenschutzbeauftragten“, abrufbar unter www.datenschutzrecht.sachsen.de/datenschutzbeauftragter-4002.html
  • Beschluss des Düsseldorfer Kreises vom 24./25.11.2010 „Mindestanforderungen an Fachkunde und Unabhängigkeit“, Ziffer I „Erforderliche Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG“, abrufbar unter http://ogy.de/MindestanforderungenAnFachkunde.

Die hier angesprochenen Auszüge finden Sie im Überblick hier.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.