• Welche Kompetenzen muss ein Datenschutzbeauftragter haben?

    by  • 13. Mai 2013 • Datenschutzbeauftragter, Zertifizierungen

    Die Frage über das notwendige Wissen und Können das so ein Datenschutzbeauftragter (DSB) mitbringen sollte, wird mir öfters von Kunden gestellt. Ich versuche hier auf diese Frage eine möglichst präzise Antwort zu geben. Wenn Sie es für Ihren konkreten Fall genauer wissen wollen, dann kontaktieren Sie mich bitte.

    Auch im deutschen Datenschutzgesetz, das ja einen DSB vorschreibt, steht lediglich dass ein DSB über Fachkunde verfügen muss. Es beschreibt aber wenig konkret, was genau erforderlich ist.

    § 4f Abs. 2 Satz 2 BDSG
    Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.

    Die deutschen Aufsichtsbehörden prüfen in den Unternehmen immer häufiger, ob ein DSB über die erforderliche Fachkunde verfügt. Kann er diese nicht nachweisen, so gilt er als nicht geeignet und im schlimmsten Fall als nicht bestellt.

    In meiner beruflichen Praxis, wurde ich bereits einmal in der Rolle eines nach deutschem Recht bestellten DSB bei einem Datenverarbeiter persönlich auditiert. Dabei kam der Konzern-DSB, gemeinsam mit seinem auf Datenschutzrecht spezialisierten Rechtsanwalt, extra aus Duisburg nach Wien angereist. Zuerst wurde ich persönlich auf meine Kenntnisse „abgeklopft“, und erst als ich diese nachweisen konnte, war man überhaupt bereit mit mir zu sprechen …

    Welche Fachkunde muss nun ein Datenschutzbeauftragter oder ein DSB in spe besitzen?

    In Deutschland mehren sich inzwischen Stimmen, die fordern, dass nur ein ausgebildeter Datenschutzbeauftragter berufen werden darf, denn immer wieder versuchen Unternehmen in Deutschland einfach Mitarbeiter zu benennen, damit sie ihren gesetzlichen Pflichten nachkommen. Des Öfteren geht dabei etwas schief, was zur strafrechtlichen Verfolgung der Geschäftsführung und des DSB führt.

    Im Idealfall ist der DSB ein Universalgenie. Volljurist mit technischer Ausbildung und/oder Informatikstudium, der rund um die Uhr einsatzbereit ist. Vergleiche: Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich/ Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)

    Es ist aber durchaus möglich, auch ohne diese Idealvoraussetzungen ein guter Datenschutzbeauftragter  zu werden. Entscheidend ist die Qualität der Ausbildung und die Bereitschaft des angehenden Datenschützers, seine Tätigkeit ernsthaft und mit Engagement auszuüben.

    Als neu bestellter DSB sollte man sich möglichst schnell solide Kenntnisse über die Abläufe in seinem Unternehmen aneignen, sowie über Grundkenntnisse in Organisation und IT verfügen. Eine erste Grundschulung sollte vor der Bestellung durchgeführt werden. Nach einem Jahr sollte der DSB über ein solides Basiswissen verfügen und sich in den nächsten Jahren kontinuierlich weiterbilden und fachlich auf dem Laufenden bleiben. Allwissenheit ist nicht erforderlich, und in diesem umfangreichen Fachgebiet auch nicht realistisch. Die Bereitschaft, sich ständig -vor allem technisch-  fortzubilden und die Fähigkeit Lösungen an den richtigen Stellen zu suchen und zu finden, sind allerdings wichtigeVoraussetzungen.

    Leider gibt es immer wieder Seminarangebote, die für wenig Geld scheinbar viel Wissen in sehr kurzer Zeit anbieten.

    Achtung, persönliche Meinung:
    In Österreich gibt es dazu mehrere Strömungen. Die eine Strömung legt besonderen Wert auf den Datenschutzaspekt und ist persönlich auch immer wieder aktivistisch in Funk und Fernsehen aktiv. Es fehlt dabei die unternehmerische Perspektive. Eine zweite Richtung bringt hauptsächlich die juristischen Aspekte näher, ist jedoch sehr wenig mit den technischen Tatsachen in Unternehmen vertraut. Und die dritte Strömung versucht das Thema hauptsächlich aus der technischen IT-Security Schiene anzugehen. Bei allen drei Herangehensweisen fehlen ein oder mehrere Aspekte!

    Teilnehmerzertifikat Datenschutzbeauftragter

    Eine gute Ausbildung kostet Geld und braucht seine Zeit. Das Gelernte muss sich setzen und angewendet werden. Üblicher Weise beherrscht man das gesamte Thema erst nach mehreren Jahren. Die Ausbildungsabschnitte sollten daher aufgeteilt sein und neben den Datenschutz- und Datensicherheits- Inhalten auch allgemeines juristisches und technisches Verständnis, sowie Datenschutzmanagement und Schulungsfähigkeiten vermitteln. Eine Abschlussprüfung und ein Zertifikat sind nicht zwingend erforderlich.

    Die Fachkunde zu erlangen ist neben der Zuverlässigkeit eine Voraussetzung um überhaupt als Datenschutzbeauftragter qualifiziert arbeiten zu können. Es ist aber auch notwendig die Fachkunde im Laufe der Zeit zu erhalten und zu ergänzen. Gesetze werden selten geändert, aber es werden laufend neue Technologien zur Datenverarbeitung oder Datensicherheit eingesetzt. Arbeitsprozesse werden ausgelagert oder der Umfang der Datenverarbeitung wird erweitert. Jeder DSB muss bereit sein, sich neuen Herausforderungen zu stellen und neues Wissen zu erwerben. Dem DSB stehen dabei verschiedene Möglichkeiten zur Verfügung: Teilnahme an Schulungen und Seminaren, Mitgliedschaft bei Datenschutzorganisationen oder Arbeitskreisen, Besuch von Tagungen und der Bezug von Fachliteratur, und vor allem auch persönliches Coaching und Beratung durch einen erfahrenen Experten.

    Checkliste Datenschutzbeauftragter

    Vor der Bestellung eines Mitarbeiters zum Datenschutzbeauftragten sollten Sie folgende Fragen  (positiv) beantworten:

    • Soll die Funktion hauptberuflich oder zusätzlich als Rolle übernommen werden?
    • Ist für die Funktion ausreichend langfristig gesichertes Budget vorhanden?
    • Wenn die Funktion nur als Rolle zusätzlich ausgeführt wird, kann dann die ursprüngliche Funktion des Mitarbeiters noch ordentlich erfüllt werden?
    • Bestehen keine widersprüchlichen Interessenslagen beim Mitarbeiter? (bspw. Marketingleiter kann nicht Datenschutzbeauftragter sein!)
    • Bietet sich ein Mitarbeiter mit bestehendem Wissen an?
    • Kann ein Mitarbeiter mit genügend Qualifikation eingestellt werden?
    • Ist der Mitarbeiter vertrauenswürdig und integer?
    • Hat der Mitarbeiter folgende Kompetenzen:
      • Organisatorische Kenntnisse
      • Rechtswissen
      • Technisches Wissen, vor allem in der Informationstechnologie
      • Prozessverständnis
      • Schulungs- und Trainer- Fähigkeiten
      • Präsentationssicherheit
    • Ist der Mitarbeiter mittel- und langfristig mit dieser (Stabstellen-)Funktion zufrieden, oder widerspricht dies seinen Karrierevorstellungen?

    Wenn Sie diese Checkliste nicht befriedigend abhaken können, überlegen Sie sich, ob nicht ein externen Datenschutzbeauftragter die bessere Wahl ist.

    About

    Datenschutz in den österreichischen Unternehmen ist mir ein Anliegen. Ihnen auch? Kontaktieren Sie mich bei Hinweisen, Fragen und Wünschen!

    http://www.averell-consulting.at/kontakt