- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

DSGVO: Welche Qualifikation braucht ein Datenschutzbeauftragter?

Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeaudtragte (DSB) verfügen muss. Neuerungen gegenüber der bisherigen Rechtslage stecken in Details, die durchaus wichtig sind.

Die Datenschutz-Grundverordnung [1] (DSGVO) legt erstmals EU-weit fest, dass unter bestimmten Voraussetzungen zwingend ein DSB bestellt werden muss.

Für Deutschland trifft das völlig neu gefasste Bundesdatenschutzgesetz (BDSG) eine ergänzende Regelung. Sie knüpft an eine Mindestzahl von zehn Personen an, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.

Vorgaben für die Bestellung

Die Bestellung eines DSB kann unter zwei Aspekten nötig sein:

Einheitliche Vorgaben für die Qualifikation

Die nationale deutsche Regelung ergänzt Art. 37 Abs. 1 DSGVO. Die DSGVO erlaubt eine solche Ergänzung ausdrücklich (siehe Art. 37 Abs. 4 Satz 1 Halbsatz 2 DSGVO: Ein DSB ist auch erforderlich, „falls dies nach dem Recht … der Mitgliedstaaten vorgeschrieben ist.“).

Die notwendige Qualifikation eines DSB bestimmt sich in jedem Fall ausschließlich nach den Vorgaben von Art. 37 Abs. 5 DSGVO. Ergänzende oder gar abweichende nationale Regelungen lässt die Grundverordnung in dieser Hinsicht nicht zu.

Die Mitgliedstaaten können also nur zusätzliche Gründe festlegen, die eine Pflicht zur Bestellung eines DSB auslösen. Sie haben jedoch nicht die Befugnis, eigenständige Vorgaben für die Qualifikation eines DSB aufzustellen.

Drei Hauptfaktoren

Nach der Vorgabe von Art. 37 Abs. 5 DSGVO sind drei Hauptfaktoren von Bedeutung:

Fähigkeit, die gesetzlichen Aufgaben zu erfüllen

Art. 39 Abs. 1 DSGVO nennt fünf Hauptaufgaben, die sich schlagwortartig wie folgt umschreiben lassen:

  1. Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters und der Beschäftigten
  2. Überwachung der Einhaltung von Datenschutzregelungen einschließlich der Sensibilisierung und Schulung von Mitarbeitern
  3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung [2]
  4. Zusammenarbeit mit der Aufsichtsbehörde
  5. Funktion als Anlaufstelle für die Aufsichtsbehörde

Die Qualifikation des Datenschutzbeauftragten muss sicherstellen, dass er diese fünf Hauptaufgaben so erfüllen kann, wie das im konkreten Unternehmen oder in der konkreten Behörde geboten ist.

Erwägungsgründe wenig aufschlussreich

Die Erwägungsgründe bieten kaum zusätzliche Aufschlüsse hinsichtlich der erforderlichen Qualifikation. Sie ist dort so umschrieben, dass ein DSB „über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren“ verfügen muss (Erwägungsgrund 97 Satz 2). Das wiederholt im Kern nur den Gesetzeswortlaut.

Kaum aussagekräftiger ist die Vorgabe von Erwägungsgrund 97 Satz 3: „Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die … verarbeiteten personenbezogenen Daten richten.“

Zu Recht nur abstrakte Vorgaben

Praktiker rügen immer wieder, das alles sei viel zu abstrakt umschrieben. Diese Kritik scheint auf den ersten Blick verständlich. Gleichwohl tut die DSGVO als generelle Regelung gut daran, nicht näher ins Detail zu gehen.

Die Verhältnisse in den unterschiedlichen Branchen, Unternehmen und Behörden sind zu unterschiedlich, um sie detailliert zu beschreiben.

Die allgemeinen Grundsätze lassen sich zudem bei näherem Hinsehen überraschend gut konkret anwenden. Dies zeigt sich etwa bei den erforderlichen Rechtskenntnissen.

Anforderungen an die Rechtskenntnisse

Jeder DSB braucht einen umfassenden Überblick über das Datenschutzrecht insgesamt. Dabei kommt es nicht darauf an, ob einzelne Teile davon in „seinem“ Unternehmen oder „seiner“ Behörde überhaupt eine Rolle spielen. Beispiel:

Es mag sein, dass ein Unternehmen bisher noch nie Daten in die USA exportiert hat. Dennoch muss der DSB wissen, dass es den Privacy Shield [3] gibt und womit er sich befasst. Sonst erkennt er im Ernstfall überhaupt nicht, dass diese Regelungen wichtig sind, wenn es irgendwann doch zu einem Datenexport in die USA kommt.

Wichtige Spezialgesetze

Teil des Überblicks müssen auch die wichtigsten Spezialgesetze neben der DSGVO sein, und zwar sowohl auf europäischer als auch auf nationaler Ebene.

Vertiefte Kenntnisse der DSGVO

Vertiefte Kenntnisse sind in jedem Fall in Bezug auf die DSGVO insgesamt erforderlich. Dies betont auch die Gruppe nach Art. 29 in ihrem Papier. Denn die DSGVO ist das zentrale Regelungswerk, auf das es immer wieder ankommt.

Im Hinblick auf sonstige Datenschutzregelungen genügen dagegen vertiefte Kenntnisse für die Regelungen, die konkret im jeweiligen Unternehmen eine Rolle spielen. Dafür bieten sich modular strukturierte Fortbildungen an.

Notwendige Spezialkenntnisse

Sofern besondere Kategorien personenbezogener Daten [4] (Art. 9 DSGVO) in größerem Umfang verarbeitet werden, muss der DSB sich mit den einschlägigen Regelungen in besonderer Tiefe vertraut machen. Dasselbe gilt, wenn personenbezogene Daten in Drittstaaten ohne ausreichendes Datenschutzniveau übermittelt werden.

Ohne Spezialseminare dürfte es in beiden Konstellationen kaum gehen. Kommen derartige Sachverhalte dagegen in der täglichen Praxis des DSB nicht vor, genügen überblicksartige Kenntnisse, die er in der allgemeinen Ausbildung im Datenschutzrecht erworben hat.

Erforderliche EDV-Kenntnisse

EDV-technische Kenntnisse fordert die DSGVO überraschenderweise nicht ausdrücklich. Ohne sie könnte ein DSB jedoch nicht seine Aufgabe erfüllen, die Einhaltung von Datenschutzregelungen zu überwachen.

Bei ihnen sind die Schwerpunkte so zu setzen:

Zusatzanforderungen

Neben rechtlichen und technischen Kenntnissen können Anforderungen aus anderen Bereichen hinzukommen.

Beispiel: Ein Unternehmen verarbeitet in großem Umfang personenbezogene Gesundheitsdaten [5]. Zahlreiche Beschäftigte sind damit befasst. Die Fluktuation beim Personal ist relativ hoch.

Es liegt auf der Hand, dass die Schulung von Mitarbeitern in diesem Fall eine besondere Rolle spielt. Daher ist es geboten, den DSB auch in Fragen der Durchführung und Ausgestaltung von Fortbildungsveranstaltungen besonders zu schulen.

In einem anderen Unternehmen kann sich dies völlig anders darstellen. Beispiel: Ein industrieller Fertigungsbetrieb für Maschinen liefert ausschließlich an Unternehmenskunden. Personenbezogene Daten werden in diesem Zusammenhang nur ganz am Rande verarbeitet.

Die Schulung von Mitarbeitern auf dem Gebiet des Datenschutzes spielt daher kaum eine Rolle. Sie wird so gut wie nicht gebraucht. In diesem Fall wäre es übertrieben, den Datenschutzbeauftragten speziell hierfür entsprechend auszubilden.

„Datenschutzpraxis“ – ein weites Feld

Ausdrücklich erwähnt die DSGVO das Fachwissen auf dem Gebiet der Datenschutzpraxis. Es ist wohl am schwersten zu erwerben. Dies gelingt kaum jemals durch entsprechende Kurse.

Auch Hospitationen bei ähnlich strukturierten Unternehmen oder Behörden sind in der Praxis oft nicht zu realisieren, so wünschenswert sie wären.

Besondere Bedeutung kommt daher dem Erfahrungsaustausch zwischen DSB gleichartiger Unternehmen oder Behörden zu. Beispiele:

In jedem Fall wäre die Erwartung verfehlt, dass praktische Erfahrung im Lauf der Zeit „von alleine kommt“. Wer nicht weiß, worauf er zu achten hat, wird auf diese Weise nur ungenügende Erfahrungen sammeln können.

Zeitpunkt, um die Kenntnisse zu erwerben

Im Prinzip müssen alle erforderlichen Kenntnisse bereits vorhanden sein, wenn jemand zum Datenschutzbeauftragten bestellt wird. Lückenlos ist dies jedoch in keinem Fall möglich.

Das gilt besonders hinsichtlich der praktischen Erfahrungen, also hinsichtlich des Fachwissens auf dem Gebiet der Datenschutzpraxis.

Deshalb muss realistischerweise zu Beginn der Tätigkeit ein umfassendes Spektrum an Grundkenntnissen vorhanden sein. Dies genügt zunächst. Alle weiteren Kenntnisse können und müssen in kürzester Zeit, d.h. in einem Zeitraum von wenigen Monaten, erworben werden.

Qualifikation erhalten

Unabdingbar ist es, das vorhandene Wissen jeweils aktuell zu halten und zu ergänzen.

In diesem Zusammenhang ist wichtig, dass der Verantwortliche ausdrücklich dazu verpflichtet ist, dem DSB „die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung [zu] stellen“, so ausdrücklich Art. 38 Abs. 2 DSGVO. Dies stellt sicher, dass eine einmal erworbene Qualifikation erhalten bleibt.

Systematisches Vorgehen

Sinnvoll ist, vor Bestellung eines DSB schriftlich festzuhalten,

Das schafft für alle Beteiligten Klarheit. Ändern sich die Verhältnisse, lässt sich auf eine feste Basis aufbauen, um gemeinsam notwendige zusätzliche Qualifizierungsmaßnahmen festzulegen.

ONLINE-TIPPS:

Folgende Papiere von Aufsichtsbehörden sind im Zusammenhang mit der Qualifikation des DSB von besonderer Bedeutung:

Die hier angesprochenen Auszüge finden Sie auf www.datenschutz-praxis.de [11].

Dr. Eugen Ehmann
Dr. Eugen Ehmann moderiert auch dieses Jahr wieder den Datenschutzkongress IDACON. Er findet vom 16. bis zum 18. Oktober in München statt.