Gratis
30. Juli 2018 - Neuerungen durch die DSGVO

DSGVO: Welche Qualifikation braucht ein Datenschutzbeauftragter?

Drucken

Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeaudtragte (DSB) verfügen muss. Neuerungen gegenüber der bisherigen Rechtslage stecken in Details, die durchaus wichtig sind.

Qualifikation des DSB unter der DSGVO Ein Datenschutzbeauftragter ist im Idealfall von Beginn an ein Multitalent (Bild: iStock.com / tudmeak)

Die Datenschutz-Grundverordnung (DSGVO) legt erstmals EU-weit fest, dass unter bestimmten Voraussetzungen zwingend ein DSB bestellt werden muss.

Für Deutschland trifft das völlig neu gefasste Bundesdatenschutzgesetz (BDSG) eine ergänzende Regelung. Sie knüpft an eine Mindestzahl von zehn Personen an, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.

Vorgaben für die Bestellung

Die Bestellung eines DSB kann unter zwei Aspekten nötig sein:

  • Zum einen ist sie erforderlich, wenn eine der Voraussetzungen von Art. 37 Abs. 1 DSGVO vorliegt. Ein Beispiel dafür: Eine Behörde oder öffentliche Stelle führt die Verarbeitung durch (Art. 37 Abs. 1 Buchst. a DSGVO).
  • Zum anderen ist die Bestellung eines DSB aber auch dann geboten, wenn die Voraussetzungen von § 38 Abs. 1 Satz 1 des neuen BDSG erfüllt sind. Dies ist der Fall, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Einheitliche Vorgaben für die Qualifikation

Die nationale deutsche Regelung ergänzt Art. 37 Abs. 1 DSGVO. Die DSGVO erlaubt eine solche Ergänzung ausdrücklich (siehe Art. 37 Abs. 4 Satz 1 Halbsatz 2 DSGVO: Ein DSB ist auch erforderlich, „falls dies nach dem Recht … der Mitgliedstaaten vorgeschrieben ist.“).

Die notwendige Qualifikation eines DSB bestimmt sich in jedem Fall ausschließlich nach den Vorgaben von Art. 37 Abs. 5 DSGVO. Ergänzende oder gar abweichende nationale Regelungen lässt die Grundverordnung in dieser Hinsicht nicht zu.

Die Mitgliedstaaten können also nur zusätzliche Gründe festlegen, die eine Pflicht zur Bestellung eines DSB auslösen. Sie haben jedoch nicht die Befugnis, eigenständige Vorgaben für die Qualifikation eines DSB aufzustellen.

Drei Hauptfaktoren

Nach der Vorgabe von Art. 37 Abs. 5 DSGVO sind drei Hauptfaktoren von Bedeutung:

  • berufliche Qualifikation im Hinblick auf das Fachwissen auf dem Gebiet des Datenschutzrechts
  • Fachwissen auf dem Gebiet der Datenschutzpraxis
  • Fähigkeit, die Aufgaben zu erfüllen, die Art. 39 DSGVO nennt

Fähigkeit, die gesetzlichen Aufgaben zu erfüllen

Art. 39 Abs. 1 DSGVO nennt fünf Hauptaufgaben, die sich schlagwortartig wie folgt umschreiben lassen:

  1. Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters und der Beschäftigten
  2. Überwachung der Einhaltung von Datenschutzregelungen einschließlich der Sensibilisierung und Schulung von Mitarbeitern
  3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  4. Zusammenarbeit mit der Aufsichtsbehörde
  5. Funktion als Anlaufstelle für die Aufsichtsbehörde

Die Qualifikation des Datenschutzbeauftragten muss sicherstellen, dass er diese fünf Hauptaufgaben so erfüllen kann, wie das im konkreten Unternehmen oder in der konkreten Behörde geboten ist.

Erwägungsgründe wenig aufschlussreich

Die Erwägungsgründe bieten kaum zusätzliche Aufschlüsse hinsichtlich der erforderlichen Qualifikation. Sie ist dort so umschrieben, dass ein DSB „über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren“ verfügen muss (Erwägungsgrund 97 Satz 2). Das wiederholt im Kern nur den Gesetzeswortlaut.

Kaum aussagekräftiger ist die Vorgabe von Erwägungsgrund 97 Satz 3: „Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die … verarbeiteten personenbezogenen Daten richten.“

Zu Recht nur abstrakte Vorgaben

Praktiker rügen immer wieder, das alles sei viel zu abstrakt umschrieben. Diese Kritik scheint auf den ersten Blick verständlich. Gleichwohl tut die DSGVO als generelle Regelung gut daran, nicht näher ins Detail zu gehen.

Die Verhältnisse in den unterschiedlichen Branchen, Unternehmen und Behörden sind zu unterschiedlich, um sie detailliert zu beschreiben.

Die allgemeinen Grundsätze lassen sich zudem bei näherem Hinsehen überraschend gut konkret anwenden. Dies zeigt sich etwa bei den erforderlichen Rechtskenntnissen.

Anforderungen an die Rechtskenntnisse

Jeder DSB braucht einen umfassenden Überblick über das Datenschutzrecht insgesamt. Dabei kommt es nicht darauf an, ob einzelne Teile davon in „seinem“ Unternehmen oder „seiner“ Behörde überhaupt eine Rolle spielen. Beispiel:

Es mag sein, dass ein Unternehmen bisher noch nie Daten in die USA exportiert hat. Dennoch muss der DSB wissen, dass es den Privacy Shield gibt und womit er sich befasst. Sonst erkennt er im Ernstfall überhaupt nicht, dass diese Regelungen wichtig sind, wenn es irgendwann doch zu einem Datenexport in die USA kommt.

Wichtige Spezialgesetze

Teil des Überblicks müssen auch die wichtigsten Spezialgesetze neben der DSGVO sein, und zwar sowohl auf europäischer als auch auf nationaler Ebene.

  • Beispiel auf europäischer Ebene: Der DSB muss etwas über die ePrivacy-Richtlinie wissen, weil sie datenschutzrelevante Regelungen enthält und neben der DSGVO weiterhin gilt.
  • Beispiel auf nationaler Ebene: Ist ein Unternehmen als Auftragnehmer für eine Landesbehörde tätig, muss der DSB wissen, dass es neben dem BDSG auch künftig noch Landesdatenschutzgesetze gibt.

Vertiefte Kenntnisse der DSGVO

Vertiefte Kenntnisse sind in jedem Fall in Bezug auf die DSGVO insgesamt erforderlich. Dies betont auch die Gruppe nach Art. 29 in ihrem Papier. Denn die DSGVO ist das zentrale Regelungswerk, auf das es immer wieder ankommt.

Im Hinblick auf sonstige Datenschutzregelungen genügen dagegen vertiefte Kenntnisse für die Regelungen, die konkret im jeweiligen Unternehmen eine Rolle spielen. Dafür bieten sich modular strukturierte Fortbildungen an.

Notwendige Spezialkenntnisse

Sofern besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) in größerem Umfang verarbeitet werden, muss der DSB sich mit den einschlägigen Regelungen in besonderer Tiefe vertraut machen. Dasselbe gilt, wenn personenbezogene Daten in Drittstaaten ohne ausreichendes Datenschutzniveau übermittelt werden.

Ohne Spezialseminare dürfte es in beiden Konstellationen kaum gehen. Kommen derartige Sachverhalte dagegen in der täglichen Praxis des DSB nicht vor, genügen überblicksartige Kenntnisse, die er in der allgemeinen Ausbildung im Datenschutzrecht erworben hat.

Erforderliche EDV-Kenntnisse

EDV-technische Kenntnisse fordert die DSGVO überraschenderweise nicht ausdrücklich. Ohne sie könnte ein DSB jedoch nicht seine Aufgabe erfüllen, die Einhaltung von Datenschutzregelungen zu überwachen.

Bei ihnen sind die Schwerpunkte so zu setzen:

  • Der Fokus sollte dabei auf den Bereichen liegen, die für die Datensicherheit von besonderer Bedeutung sind. Das sächsische Merkblatt (siehe Online-Tipp auf S. 4) nennt in dieser Hinsicht Maßnahmen zur physischen Sicherheit, Kryptografie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen dagegen.
  • Sollte es einen eigenen IT- Sicherheitsbeauftragten geben, müssen die Aufgabenbereiche zwischen ihm und dem DSB wechselseitig abgegrenzt werden. Ansonsten besteht die Gefahr, dass sich jeder auf den anderen verlässt und bestimmte Aspekte im Ergebnis keiner der beiden betreut.

Zusatzanforderungen

Neben rechtlichen und technischen Kenntnissen können Anforderungen aus anderen Bereichen hinzukommen.

Beispiel: Ein Unternehmen verarbeitet in großem Umfang personenbezogene Gesundheitsdaten. Zahlreiche Beschäftigte sind damit befasst. Die Fluktuation beim Personal ist relativ hoch.

Es liegt auf der Hand, dass die Schulung von Mitarbeitern in diesem Fall eine besondere Rolle spielt. Daher ist es geboten, den DSB auch in Fragen der Durchführung und Ausgestaltung von Fortbildungsveranstaltungen besonders zu schulen.

In einem anderen Unternehmen kann sich dies völlig anders darstellen. Beispiel: Ein industrieller Fertigungsbetrieb für Maschinen liefert ausschließlich an Unternehmenskunden. Personenbezogene Daten werden in diesem Zusammenhang nur ganz am Rande verarbeitet.

Die Schulung von Mitarbeitern auf dem Gebiet des Datenschutzes spielt daher kaum eine Rolle. Sie wird so gut wie nicht gebraucht. In diesem Fall wäre es übertrieben, den Datenschutzbeauftragten speziell hierfür entsprechend auszubilden.

„Datenschutzpraxis“ – ein weites Feld

Ausdrücklich erwähnt die DSGVO das Fachwissen auf dem Gebiet der Datenschutzpraxis. Es ist wohl am schwersten zu erwerben. Dies gelingt kaum jemals durch entsprechende Kurse.

Auch Hospitationen bei ähnlich strukturierten Unternehmen oder Behörden sind in der Praxis oft nicht zu realisieren, so wünschenswert sie wären.

Besondere Bedeutung kommt daher dem Erfahrungsaustausch zwischen DSB gleichartiger Unternehmen oder Behörden zu. Beispiele:

  • Ein Datenschutzbeauftragter in einem Krankenhaus wird sich darum bemühen, bei Arbeitskreisen von Krankenhäusern teilzunehmen.
  • Ein DSB in einem Unternehmen, das Adresshandel betreibt, wird aus einem entsprechenden Arbeitskreis Nutzen ziehen.

In jedem Fall wäre die Erwartung verfehlt, dass praktische Erfahrung im Lauf der Zeit „von alleine kommt“. Wer nicht weiß, worauf er zu achten hat, wird auf diese Weise nur ungenügende Erfahrungen sammeln können.

Zeitpunkt, um die Kenntnisse zu erwerben

Im Prinzip müssen alle erforderlichen Kenntnisse bereits vorhanden sein, wenn jemand zum Datenschutzbeauftragten bestellt wird. Lückenlos ist dies jedoch in keinem Fall möglich.

Das gilt besonders hinsichtlich der praktischen Erfahrungen, also hinsichtlich des Fachwissens auf dem Gebiet der Datenschutzpraxis.

Deshalb muss realistischerweise zu Beginn der Tätigkeit ein umfassendes Spektrum an Grundkenntnissen vorhanden sein. Dies genügt zunächst. Alle weiteren Kenntnisse können und müssen in kürzester Zeit, d.h. in einem Zeitraum von wenigen Monaten, erworben werden.

Qualifikation erhalten

Unabdingbar ist es, das vorhandene Wissen jeweils aktuell zu halten und zu ergänzen.

In diesem Zusammenhang ist wichtig, dass der Verantwortliche ausdrücklich dazu verpflichtet ist, dem DSB „die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung [zu] stellen“, so ausdrücklich Art. 38 Abs. 2 DSGVO. Dies stellt sicher, dass eine einmal erworbene Qualifikation erhalten bleibt.

Systematisches Vorgehen

Sinnvoll ist, vor Bestellung eines DSB schriftlich festzuhalten,

  • welche Kenntnisse erforderlich sind,
  • welche er schon mitbringt und
  • wo noch Qualifizierungsmaßnahmen notwendig sind.

Das schafft für alle Beteiligten Klarheit. Ändern sich die Verhältnisse, lässt sich auf eine feste Basis aufbauen, um gemeinsam notwendige zusätzliche Qualifizierungsmaßnahmen festzulegen.

ONLINE-TIPPS:

Folgende Papiere von Aufsichtsbehörden sind im Zusammenhang mit der Qualifikation des DSB von besonderer Bedeutung:

  • Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), zuletzt überarbeitet und angenommen am 5. April 2017 (WP 243), Ziffer 2.5 „Fähigkeiten und Fachkenntnisse des DSB“, abrufbar unter http://dspraxis.de/wo.
  • Hessischer Datenschutzbeauftragter, Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht (Stand Juni 2017), Ziffer II „Persönliche Voraussetzungen des Datenschutzbeauftragten“, abrufbar unter http://ogy.de/dsb-nach-neuem-recht
  • Merkblatt für öffentliche Stellen in Sachsen zu Mindestanforderungen an Qualifikation und Unabhängigkeit des behördlichen Datenschutzbeauftragten, Ziffer 1 „Anforderungen an die Qualifikation des behördlichen Datenschutzbeauftragten“, abrufbar unter www.datenschutzrecht.sachsen.de/datenschutzbeauftragter-4002.html
  • Beschluss des Düsseldorfer Kreises vom 24./25.11.2010 „Mindestanforderungen an Fachkunde und Unabhängigkeit“, Ziffer I „Erforderliche Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG“, abrufbar unter http://ogy.de/MindestanforderungenAnFachkunde.

Die hier angesprochenen Auszüge finden Sie auf www.datenschutz-praxis.de.

Dr. Eugen Ehmann
Dr. Eugen Ehmann moderiert auch dieses Jahr wieder den Datenschutzkongress IDACON. Er findet vom 16. bis zum 18. Oktober in München statt.