Hintergrund
/ 25. Juni 2018

Überblick: Fähigkeiten und Fachkenntnisse des Datenschutzbeauftragten

Die im Folgenden vorgestellten Papiere von Aufsichtsbehörden sind im Zusammenhang mit der Qualifikation des Datenschutzbeauftragten von besonderer Bedeutung. Es lohnt sich daher, sich neben den ausgewählten wichtigen Auszügen auch einmal die Originale anzuschauen.

Wie die Auszüge zu interpretieren sind, lesen Sie im Beitrag DSGVO: Welche Qualifikation braucht ein Datenschutzbeauftragter?

Artikel-29-Datenschutzgruppe

Auszug aus: Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), zuletzt überarbeitet und angenommen am 5. April 2017 (WP 243), Ziffer 2.5 „Fähigkeiten und Fachkenntnisse des DSB“, abrufbar unter http://dspraxis.de/wo.

2.5. Fähigkeiten und Fachkenntnisse des DSB

Nach Artikel 37 Absatz 5 wird der Datenschutzbeauftragte „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben“. Nach Erwägungsgrund 97 sollte sich das erforderliche Niveau des Fachwissens nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der vom Verantwortlichen oder vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.

Das verlangte Fachwissen ist nicht genau umrissen, muss jedoch mit der Sensibilität, der Komplexität und der Menge der Daten, die eine Einrichtung verarbeitet, im Einklang stehen. Wenn etwa eine Datenverarbeitungstätigkeit besonders komplex ist oder in großem Umfang sensible Informationen betrifft, bedarf der DSB unter Umständen eines höheren Maßes an Fachkompetenz und Unterstützung. Ebenso macht es einen Unterschied aus, ob die Einrichtung personenbezogene Daten systematisch an Orte außerhalb der Europäischen Union übermittelt oder dies nur gelegentlich geschieht. Die Wahl des DSB sollte daher mit Bedacht erfolgen; sich innerhalb der Einrichtung stellenden Datenschutzfragen ist dabei in angemessener Weise Rechnung zu tragen.

Berufliche Qualifikation

Auch wenn Artikel 37 Absatz 5 keine Angaben bezüglich der beruflichen Qualifikation enthält, die es bei der Bestimmung eines DSB zu berücksichtigen gilt, gilt diesbezüglich die maßgebliche Überlegung, dass ein DSB über Erfahrung sowohl im einzelstaatlichen als auch im europäischen Datenschutzrecht und in der diesbezüglichen Praxis sowie über ein umfassendes Verständnis der DS-GVO verfügen muss. Von Vorteil ist es auch, wenn die Aufsichtsbehörden angemessene und regelmäßige Schulungen für DSB fördern.

Branchenkenntnis und Vertrautheit mit der Organisationsstruktur des Auftragsverarbeiters sind von ebenfalls Nutzen. Auch sollte der DSB über ein gutes Verständnis der durchgeführten Datenverarbeitungsvorgänge, der betreffenden Informationssysteme sowie der Datensicherheits- und Datenschutzerfordernisse des Auftragsverarbeiters verfügen.

Im Fall von Behörden oder öffentlichen Stellen sollte der DSB zudem über fundierte Kenntnis ihrer Verwaltungsvorschriften und -verfahren verfügen.

Fähigkeit zur Erfüllung seiner Aufgaben

Der Begriff der Fähigkeit zur Erfüllung der dem DSB obliegenden Aufgaben ist im Sinne sowohl seiner persönlichen Eigenschaften und Kenntnisse als auch seiner Position innerhalb der Einrichtung zu verstehen. Zu den persönlichen Eigenschaften sollten beispielsweise Integrität und ein ausgeprägtes Berufsethos zählen; vorrangiges Anliegen des DSB sollte die Schaffung der Voraussetzungen für die Einhaltung der Vorgaben der DS-GVO sein. Dem DSB kommt eine zentrale Rolle dabei zu, die Verbreitung einer Datenschutzkultur innerhalb der Einrichtung zu fördern und zur Umsetzung wesentlicher Bestandteile der DS-GVO beizutragen, darunter die Grundsätze der Datenverarbeitung26, die Rechte der betroffenen Personen27, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen28, die Aufzeichnung von Verarbeitungstätigkeiten29, die Sicherheit der Verarbeitung30 sowie die Meldung und Mitteilung von Verstößen gegen den Schutz personenbezogener Daten31.

Im Rahmen eines Dienstleistungsvertrags beschäftigte DSB

Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DS-GVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten können.

Im Interesse der Rechtssicherheit und einer ordnungsgemäßen Organisation, aber auch, um Interessenkonflikte der Teammitglieder zu vermeiden, wird empfohlen, eine klare Aufgabenverteilung innerhalb des DSB-Teams vorzusehen und eine einzelne Person als primären Ansprechpartner festzulegen, der zugleich für den jeweiligen Kunden „zuständig“ ist. Es ist generell von Nutzen, diese Punkte im Dienstleistungsvertrag festzuhalten.

26 Kapitel II.

27 Kapitel III.

28 Artikel 25.

29 Artikel 30.

30 Artikel 32.

31 Artikel 33 und 34.

Hessischer DSB

Auszug aus: Hessischer Datenschutzbeauftragter, Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht (Stand Juni 2017), Ziffer II „Persönliche Voraussetzungen des Datenschutzbeauftragten“, abrufbar unter http://ogy.de/dsb-nach-neuem-recht

II. Persönliche Voraussetzungen des Datenschutzbeauftragten 31

Sowohl die DSGVO als auch das BDSG-NEU verlangen, dass der Datenschutzbe-auftragte auf der Grundlage der folgenden drei Voraussetzungen benannt wird:

(1) berufliche Qualifikation,

(2) Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis,

(3) Fähigkeit zur Erfüllung der in der DSGVO bzw. BDSG-NEU genannten Aufgaben.

1. Berufliche Qualifikation und Fachwissen32
Der Begriff der beruflichen Qualifikation wird durch die DSGVO und das BDSG-NEU nicht weiter erklärt. Die WP 29 hat sich darauf verständigt, Kenntnisse des nationalen und Europäischen Datenschutzrechts sowie ein vertieftes Verständnis der DSGVO zu fordern.

Auch in Hinblick auf das erforderliche Fachwissen fehlt eine genauere Beschreibung. Nach Ansicht der WP 29 sollte dieses aber in einem angemessenen Verhältnis zur Sensitivität, Komplexität und zum Umfang der Verarbeitungsvorgänge stehen. So verlangt die Bewertung systematischer Übermittlung personenbezogener Daten in Drittstaaten ein tiefergehendes Fachwissen als ein gelegentlicher Datenaustausch innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums.33 Neben der sicheren Anwendung der gesetzlichen Regelungen ist es für die Erfüllung der ihm obliegenden Aufgaben unerlässlich, dass der Datenschutzbeauftragte organisa-torische und vertiefte technische Kenntnisse hat.34

2. Fähigkeit zur Erfüllung der genannten Aufgaben
Neben der beruflichen und der fachlichen Qualifikation verlangt die WP 29 im Zu-sammenhang mit der Fähigkeit zur Erfüllung der in der DSGVO genannten Aufga-ben, dass der Datenschutzbeauftragte ein hohes Maß an persönlicher Integrität und Berufsethik mit sich bringen muss.35 So scheiden beispielsweise Personen aus, die in der Vergangenheit bereits Datenschutzverstöße begangen oder Verschwiegen-heitspflichten verletzt haben.

31 Vergleiche Artikel 37 Abs. 5 DSGVO und § 5 Abs. 3 BDSG-NEU

32 Working Paper 243, Seite 11/12

33 Vergleiche zum erforderlichen Fachwissen im Falle eines Konzerndatenschutzbeauftragten auch die weitergehenden Ausführungen unter Punkt III. 2. „Überwachung der Einhaltung der DSGVO“

34 Vergleiche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Die Datenschutzbeauftragten in Behörde und Betrieb Info 4, Seite 11/12

35 Working Paper 243, Seite 12

Sachsen

Auszug aus: Merkblatt für öffentliche Stellen in Sachsen zu Mindestanforderungen an Qualifikation und Unabhängigkeit des behördlichen Datenschutzbeauftragten, Ziffer 1 „Anforderungen an die Qualifikation des behördlichen Datenschutzbeauftragten“, abrufbar unter www.datenschutzrecht.sachsen.de/datenschutzbeauftragter-4002.html

1. Anforderungen an die Qualifikation des behördlichen Datenschutzbeauftragten

Die DSGVO bestimmt in Artikel 37 Absatz 5, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt der Benennung des Datenschutzbeauftragten in ausreichendem Maße vorliegen. Sie können z. B. durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt worden sein. Um eventuell zu Beginn der Benennung noch bestehende Informationsdefizite auszugleichen, empfiehlt sich der Besuch von geeigneten Fortbildungsveranstaltungen. Der Besuch solcher Veranstaltungen ist auch nach der Benennung angezeigt, um auf dem aktuellen, erforderlichen Informationsstand zu bleiben und um sich Kenntnisse über die sich ändernden rechtlichen und technischen Entwicklungen anzueignen.

Da der Begriff der beruflichen Qualifikation in der DSGVO nicht weiter erklärt ist und auch für das erforderliche Fachwissen eine dezidierte Beschreibung fehlt, sind zur Orientierung im Folgenden Mindestanforderungen aufgeführt:

a. Datenschutzrecht allgemein – unabhängig von der Art und der Größe der öffentlichen Stelle

  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der betroffenen Personen sowie umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die Behörde einschlägigen Regelungen der DSGVO und des SächsDSDG,
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen

b. Behördenspezifisch – abhängig von der Art, Größe oder IT-Infrastruktur der öffentlichen Stelle und der Sensibilität der zu verarbeitenden Daten

  • umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für die eigene Behörde relevant sind, insbesondere auch Verwaltungsvorschriften und Dienstvereinbarungen
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Haushaltswesen, Organisation etc.)),
  • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der öffentlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der Behörde) und
  • Kenntnisse im praktischen Datenschutzmanagement (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Videoüberwachungen, Zusammenarbeit mit dem Personalrat etc.).

c. Fähigkeit zur Erfüllung der Aufgaben

Die Fähigkeit zur Erfüllung seiner Aufgaben ergibt sich sowohl aus den persönlichen Eigenschaften des Datenschutzbeauftragten als auch seinen Kenntnissen und seiner Position innerhalb der Behörde. Zu den persönlichen Eigenschaften zählen insbesondere Integrität, Kommunikationsfähigkeit sowie ein ausgeprägtes Berufsethos.

Düsseldorfer Kreis 2010

Auszug aus: Beschluss des Düsseldorfer Kreises vom 24./25.11.2010 „Mindestanforderungen an Fachkunde und Unabhängigkeit“, Ziff er I „Erforderliche Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG“, abrufbar unter http://ogy.de/MindestanforderungenAnFachkunde.

I. Erforderliche Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG

4 f Abs. 2 Satz 1 BDSG legt fest, dass zum Beauftragten für den Datenschutz (DSB) nur bestellt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Weitere Ausführungen dazu enthält das Gesetz nicht. Vor dem Hintergrund der gestiegenen Anforderungen an die Funktion des DSB müssen diese mindestens über folgende datenschutzrechtlicheund technisch-organisatorische Kenntnisse verfügen:

1. Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der verantwortlichen Stelle

  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle und
  • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG.

2. Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten

  • Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind,
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),
  • betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
  • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
  • Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt des Bestellung zum DSB im ausreichenden Maße vorliegen. Sie können insbesondere auch durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt sein. Um eventuell zu Beginn der Bestellung noch bestehende Informationsdefizite auszugleichen, empfiehlt sich der Besuch von geeigneten Fortbildungsveranstaltungen. Der Besuch solcher Veranstaltungen ist auch nach der Bestellung angezeigt, um auf dem aktuellen, erforderlichen Informationsstand zu bleiben, und um sich Kenntnisse über die sich ändernden rechtlichen und technischen Entwicklungen anzueignen.