Viele Unternehmen sind verpflichtet einen Datenschutzbeauftragten zu benennen. Doch was muss man eigentlich mitbringen, um Datenschutzbeauftragter zu werden? Muss man ein Zertifikat aufweisen oder gar Jurist/in sein? In diesem Beitrag beleuchten wir die Ausbildung sowie Weiterbildungsmöglichkeiten zum Datenschutzbeauftragten genauer.
Der Inhalt im Überblick
- Welche Eigenschaften und Kenntnisse braucht ein Datenschutzbeauftragter?
- Wie wird man nun zertifizierter Datenschutzbeauftragter?
- Muss ich Jurist sein, um Datenschutzbeauftragter zu werden?
- Welches Studium / Ausbildung eignet sich noch für den Beruf des DSB?
- Übersicht von Weiterbildungsanbieter zum Datenschutzbeauftragten
- Weiterbildungen sind für gute Datenschutzbeauftragte entscheidend
Welche Eigenschaften und Kenntnisse braucht ein Datenschutzbeauftragter?
Oft wird man nur müde belächelt, wenn man erzählt, dass man im Bereich Datenschutz tätig ist, wobei der Weg dahin nicht zu unterschätzen ist. Es gibt zwar keine klassische Ausbildung oder eine Mindestqualifikation zur Eignung als Datenschutzbeauftragter. Grundsätzlich kann daher also jeder oder jede Datenschutzbeauftragte, bzw. Datenschutzbeauftragter werden (kurz: DSB). Aus der Position und den Aufgaben eines DSB ergeben sich aber eine Reihe von Anforderungen an erforderlichen Eigenschaften und Fähigkeiten, die nicht jede/r mitbringt und nicht leicht zu erfüllen sind.
Der Berufsverband der Datenschutzbeauftragten und das Ulmer Urteil
Die Tätigkeit als Datenschutzbeauftragter ist eine Berufstätigkeit. So eindeutig war diese Aussage allerdings nicht immer. Das änderte sich erst im Oktober 1990, als der Berufsverband der Datenschutzbeauftragten (BvD) gegen die Ablehnung des Antrags auf Eintragung als „Berufsverband“ in das Vereinsregister klagte – und das mit Erfolg. Das Ulmer Landgericht stellte in seinem Beschluss (Az. 5 T 153/90-01 LG Ulm) fest, dass sowohl öffentliche als auch betriebliche DSB aus verfassungsrechtlicher Sicht einen Beruf ausüben,
„weil sie mit ihrer Tätigkeit einen auf Dauer berechneten und nicht vorübergehenden Beitrag zur gesellschaftlichen Gesamtleistung erbringen.“
Dass sie oftmals ihre Aufgabe als DSB neben ihrem Hauptberuf wahrnehmen, ändere daran nichts. Auch wenn gesetzlich keine spezielle Ausbildung für die Ausübung dieses Berufes vorgesehen ist, stellte das Ulmer Landgericht außerdem fest, dass die Person des DSB mindestens folgende Fachkunde und Fähigkeiten besitzen sollte:
- „Computerexperte“ sein
- Anwendung aller den Datenschutz betreffenden Rechtsvorschriften
- Kenntnisse der betrieblichen Organisation
- didaktische Fähigkeiten
- psychologisches Einfühlungsvermögen
- Organisationstalent
- angemessener Umgang in Konflikten um seine Person, seine Funktion und seine Aufgabe
Anforderungen der DSGVO an die Fähigkeiten eines Datenschutzbeauftragten
Zu den Anforderungen des Ulmer Urteils kommt außerdem das Erfordernis von weiteren Fähigkeiten hinzu, die sich aus den Aufgaben aus der DSGVO lesen lassen, u.a.:
- ausreichende Fachkenntnisse im Datenschutzrecht des jeweiligen Fachbereichs/der jeweiligen Branche, um die Überwachung der Datenschutzregelungen zu gewährleisten (vgl. Art. 39 Abs. 1 lit. b DSGVO).
- Gutes Kommunikations- und Verhandlungsgeschick, um der Beratungsfunktion (vgl. Art. 39 Abs. 1 lit. a DSGVO) und Kommunikation auf Augenhöhe mit der höchsten Managementebene (vgl. Art. 38 Abs. 3 S. 3 DSGVO) gerecht zu werden
- Fähigkeit zur Beurteilung von Risiken und Gegenmaßnahmen, um die Beratung und Überwachung der Durchführung einer Datenschutz-Folgenabschätzungen gewährleisten zu können (vgl. Art. 39 Abs. 1 lit. c, Art. 35 Abs. 2 DSGVO)
- Selbständigkeit, um die Aufgaben nach eigenem Ermessen erfüllen zu können (vgl. Art. 38 Abs. 3 S. 1 DSGVO)
- Unabhängigkeit und Unparteilichkeit, um als geeignete Anlaufstelle für Betroffene zu agieren (vgl. Art. 38 Abs. 4 DSGVO, Erwägungsgrund 97 S.4)
- Zuverlässigkeit und Verschwiegenheit, um der Vertraulichkeit der Datenverarbeitung und seiner Geheimhaltungspflicht zu entsprechen (vgl. Art. 38 Abs. 5 DSGVO, § 6 Abs. 5 S. 2 BDSG)
Die abweichende Benennungspflicht für Datenschutzbeauftragte im BDSG
Diese langen Anforderungskataloge der DSGVO an das Fachwissen und die erforderlichen Fähigkeiten werden durch eine deutsche Besonderheit wieder etwas relativiert. In Erwägungsgrund 97 S. 3 heißt es, dass sich das erforderliche Niveau des Fachwissens eines Datenschutzbeauftragten insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die verarbeiteten personenbezogenen Daten richten sollte. Die notwendige Sachkunde ist also nach Art und Umfang der konkreten Tätigkeit zu bemessen und daher nicht in jedem Betrieb auf gleichem Niveau erforderlich.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist in Deutschland nicht nur notwendig, wenn die Datenverarbeitungen besonders risikoreich sind (Art. 37 DSGVO). Seit November 2019 besteht gemäß § 38 Abs. 1 BDSG außerdem die Pflicht zur Bestellung eines DSB bei einer Mitarbeiterzahl ab 20. Damit gibt es in Deutschland auch einige Positionen mit Datenschutzbeauftragten zu besetzten, die aufgrund der konkreten (überschaubaren) Datenverarbeitungsvorgänge mit vergleichsweise wenig Fachkunde auskommen.
Wie wird man nun zertifizierter Datenschutzbeauftragter?
Da es keine Ausbildung und kein Studium gibt, ist auch die Bezeichnung „zertifizierter Datenschutzbeauftragter“ in Deutschland kein geschützter oder vereinheitlichter Begriff. In der Regel bieten Unternehmen und Interessenverbände Ausbildungskurse zum Datenschutzbeauftragten an, welche von gerade einmal zwei Tagen bis hin zu mehreren Wochen dauern können. Diese enden meist mit einer Prüfung und – bei Erfolg – mit der Erlangung eines Zertifikats. Im besten Fall kann man sich anschließend zertifizierter Datenschutzbeauftragter nennen.
Wie man an den bereits aufgezählten Eigenschaften und Fähigkeiten unschwer erkennen kann, sind diese für gewöhnlich in der kurzen Zeit der Kurse nicht zu vermitteln. Mit der Absolvierung solcher Kurse allein stößt der Datenschutzbeauftragte in der Praxis schnell an seine Grenzen. Anders sieht es aus, wenn er mit diesen Kursen auf ein zuvor breites Fundament vorhandener, durch jahrelange Erfahrung erworbener Fähigkeiten aufbaut.
Das spiegelt sich auch in den Voraussetzungen anderer europäischen Aufsichtsbehörden wider, die eine Zertifizierung für Datenschutzbeauftragte verabschiedet haben. Eine solche ist dort zwar nicht verpflichtend, um als DSB tätig zu werden, sie stellen aber einen Nachweis über eine ausreichende Fachkunde dar.
Die spanische Aufsichtsbehörde fordert für die Zulassung zum Test zur Erlangung dieser Zertifizierung den Nachweis von entweder 5 Jahren Tätigkeiten, die im Zusammenhang mit den Aufgaben eines Datenschutzbeauftragten stehen, oder 3/ 2/ 1 Jahre mit 60/ 100/ 180 Stunden Schulungen im Datenschutz.
Die französische Datenschutzbehörde fordert hingegen „nur“ 2 Jahre Berufserfahrung, die im Zusammenhang mit dem Berufsbild eines Datenschutzbeauftragten stehen. Es genügen aber auch 2 Jahre allgemeine Berufserfahrung sowie der Nachweis von 35 Stunden Schulungen im Datenschutz. Beide Tests müssen alle 3 Jahre wiederholt werden.
Muss ich Jurist sein, um Datenschutzbeauftragter zu werden?
Kurze Antwort: Nein. Es ist ein Gerücht, dass der Datenschutzbeauftragte immer ein Jurist sein muss. Zurückzuführen ist dies wohl darauf, dass in den meisten europäischen Ländern die Rechtsberatung und viele Rechtsdienstleistungen grundsätzlich der Anwaltschaft vorbehalten sind. So auch in Deutschland. Der Anwaltsgerichtshof NRW urteilte zwar, dass die Tätigkeit eines Datenschutzbeauftragten eine Rechtsdienstleistung i.S.d. § 2 RDG ist. Diese dürfe aber aufgrund der Ausnahmen des § 3 RDG (i.V.m. Art. 39 Abs. 1 lit. a DSGVO als eine solche Erlaubnisnorm) oder dem § 5 Abs.1 RDG auch von Nicht-Anwälten erbracht werden, soweit die Rechtsberatung im Rahmen des gesetzlichen Tätigkeitsprofil des Datenschutzbeauftragten nach Art. 39 DSGVO erforderlich sei.
Nichtsdestotrotz ist ein rechtwissenschaftliches Studium natürlich eine naheliegende Wahl als Grundlage für die Ausbildung zum Datenschutzbeauftragten. Denn der Art. 37 Abs. 5 DSGVO fordert an erster Stelle insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts. Dies wird z.T. in den universitären Schwerpunktbereichen des Rechtswissenschaftsstudium unterrichtet. Selbst wenn man nicht in diesen Genuss kommen durfte, ist die deutsche Juristenausbildung darauf ausgelegt, dass die Juristinnen und Juristen am Ende befähigt sind, sich in die unterschiedlichsten Rechtsgebiete einzuarbeiten. Dies ist mit der DSGVO noch wichtiger geworden, denn man muss eingestehen, dass sich die Materie des Datenschutzes seit deren Inkrafttreten noch weiter verrechtlicht hat. Zu dem Zusammenspiel von deutschem Verfassungsrecht, dem Bundesdatenschutzgesetz, den Landesdatenschutzgesetzen und weiteren Spezialregelungen wie z.B. im SGB oder UWG, kommen seitdem auch noch europäisches Verfassungsrecht und das einfache europäisches Recht wie die DSGVO oder die ePrivacy-Richtlinie hinzu.
Welches Studium / Ausbildung eignet sich noch für den Beruf des DSB?
Auch wenn eine spezielle Ausbildung oder ein spezielles Studium keine Grundvoraussetzung für die Tätigkeit als DSB sind, gibt es einige Ausbildungsgänge, die sich besser für den Beruf des DSB eignen als andere. Das erste, was sich einem wohlmöglich aufdrängen mag, sind Ausbildungen aus dem technischen Bereich, schließlich soll der DSB über ein ausreichendes technisches Verständnis verfügen. IT-Sicherheit, IT-Management und (Wirtschafts-/Verwaltungs-) Informatik weisen eine große Schnittstelle zum Berufsbild des DSB auf. Ausbildungen und Studiengänge in diesen Bereichen bringen den Vorteil mit, dass der DSB auch komplexe technische Verarbeitungsvorgänge entsprechend einordnen und bewerten kann.
Da der Datenschutz aber auch weite Teile, wenn nicht alle Bereiche eines Unternehmens betrifft und der DSB mit diesen Bereichen zusammenarbeiten muss, eignen sich auch Ausbildungen und Studiengänge aus dem wirtschaftswissenschaftlichen Bereich, um einen Grundstock an Know-how mitzubringen. BWL, Human Ressource Management oder der Marketing Bereich bringen den Vorteil mit, sich in unternehmensstrukturelle Besonderheiten besonders schnell einzufinden. Nichtsdestotrotz bedarf es unabhängig von der jeweiligen Vorbildung eines DSB einer ständigen Fort- und Weiterbildung, um der technischen und rechtlichen Entwicklung im Datenschutz gerecht zu werden.
Übersicht von Weiterbildungsanbieter zum Datenschutzbeauftragten
Schon 2014, noch unter dem alten BDSG, nahm die Stiftung Warentest den Markt von Weiterbildungsanbieter für Datenschutzbeauftragte näher unter die Lupe. Damals zählte man 72 Einstiegskurse für betriebliche Datenschutzbeauftragte, und sprach folgende Empfehlung aus:
„Einsteigerkurse für betriebliche Datenschutzbeauftragte müssen einschlägige juristische Kenntnisse und IT-Wissen vermitteln. Sie sollten daher mindestens fünf Tage dauern. Kürzere Lehrgänge sind nicht zu empfehlen.“
Seitdem sind die Anforderungen an den Datenschutzbeauftragten nicht gesunken, sondern ganz im Gegenteil sogar gestiegen. Wir haben eine kleine Liste einiger, empfehlenswerter Anbieter für Sie zusammengestellt:
Längere Weiterbildungskurse zum Datenschutzbeauftragten:
- Gesellschaft für Datenschutz: Datenschutzbeauftragter GDDcert.EU (10 Tage)
- udis Ulmer Akademie für Datenschutz und IT-Sicherheit: DSB nach dem Ulmer Modell (17 Tage)
- Forum für Datenschutz (FFD): Zertifizierung zum Datenschutzbeauftragten (9 Tage)
Hochschulangebote für Datenschutzbeauftragte
- Hochschule Merseburg: Zertifikatskurs Betriebliche/r Datenschutzbeauftragte/r (6 Wochen, Teilzeit)
- Universität Oldenburg: Zertifikatsstudium Datenschutzrecht (250 bis 300 Stunden). Außerdem bietet die Universität Oldenburg einen berufsbegleitenden Masterstudiengang Informationsrecht mit dem Schwerpunkt Datenschutzrecht an.
- Fernuni Hagen: Weiterbildung Datenschutzrecht (3 Semester im Teilzeitstudium)
- Hochschule Ansbach: Bachelor Datenschutz und IT-Sicherheit (7 Semester)
International bekannte Zertifikatsanbieter
- University of Maastricht: DPO Certification course (5 Tage)
Der folgende Anbieter unterschreitet die oben empfohlene Kursdauer von 5 Tagen. Wir haben uns dennoch entschlossen ihn aufzunehmen, da er im (außer-) europäischen Ausland sehr bekannt und anerkannt ist. Entsprechend kann er für Datenschutzbeauftragte interessant sein, deren Tätigkeit sich nicht nur auf Deutschland beschränken soll. Zudem vermittelt auch er eine stärker europäische Sicht auf das Datenschutzrecht:
- International Association of Privacy Professionals (IAPP): CIPP/E (European Data Protection Law), CIPP/M (Privacy Management), CIPP/T (Privacy Technology)
Reines Online-Angebot
Dieses Angebot ist eher für eine fortlaufende Aus- und Weiterbildung konzipiert, bietet zum Einstieg aber auch einen Kurs für Datenschutzbeauftragte mit an:
- Stephan Hansen-Oest: Datenschutz-Coaching (25 h DSB-Kurs, inkl. weiterer Kurse, Vorlagen sowie monatliche Webinare und Q&As)
Weiterbildungen sind für gute Datenschutzbeauftragte entscheidend
Der Datenschutzbeauftragte hat sich oftmals über einen längeren Zeitraum in einem Teilbereich des Datenschutzes spezialisiert, sei es nun über eine Ausbildung oder ein Studium. Für sich genommen genügt aber selbst das nicht, um den vielschichtigen Aufgaben gerecht zu werden. Auch der beste Jurist, der alltägliche technische Prozesse nicht versteht, wird am Ende datenschutzrechtliche Fragestellungen nicht bewältigen können. Umgekehrt kann der Techniker ein noch so gutes Schutzkonzept für die Daten entwickelt haben, doch wenn diese nicht rechtskonform erhoben und die Betroffenen umfassend informiert wurden, gibt es Probleme. Es liegt also am Datenschutzbeauftragten, sich nach seinem Studium oder Ausbildung durch Fort- und Weiterbildungen oder im kollegialen Austausch fundierte Kenntnisse in dem jeweils anderen Bereich zu erarbeiten und Lücken zu schließen. Zudem sind auch Softskills wie Mediation, Rhetorik oder Konfliktmanagement als nützliche Werkzeuge des Datenschutzbeauftragten nicht zu unterschätzen.
Wer kombiniert in beiden Bereichen fundiertes Wissen ansammelt und auch problemorientiert Lösungsstrategien entwickeln kann, dem winken interessante Aufgaben. Auch das Arbeitsumfeld ist abwechslungsreich, da die Kontakte von Aufsichtsbehörden über Kunden und Mitarbeitern zu Vorständen bis hin in internationale Gewässer reichen können. Zu guter Letzt arbeitet man als Datenschutzbeauftragter auch in einem zukunftssicheren Feld. Schon kurz nach der Anwendbarkeit der DSGVO wurde vermehrt von einem globalen Mangel an „Privacy Professionals“ berichtet. Die weitreichende und stetig zunehmende Digitalisierung wird auch in Zukunft die Nachfrage nach qualifiziertem Personal im Datenschutzbereich nicht abreißen lassen.
Weiterbildung ist ja gut – aber eine Zertifizierung wird aus meiner Sicht sehr überbewertet. Oft lassen sich nur unerfahrene ihre fehlende Erfahrung damit zertifizieren und tragen das dann wie einen Ehrentitel vor sich her. Man spricht ja auch nicht von zertifizierten Geschäftsführern oder zertifizierten IT-Leitern.
Die Zertifizierungen gehen ja meist oft mit der Weiterbildung Hand in Hand, weil Arbeitgeber oder Kunden dazu „etwas in der Hand haben will“. Das es kaum ein Zertifikat gibt, dass ansatzweise die Fähigkeiten eines DSB abdeckt, sollte eigentlich der Abschnitt „Wie wird man nun zertifizierter Datenschutzbeauftragter?“ klären. Außer vielleicht, wenn man sein Zertifikat bei der spanischen Aufsichtsbehörde erworben hat.
Ich bin seit mehreren Jahrzehnten eDSB und kein Jurist, auch kein Volljurist. Ich bin aber immer wieder erstaunt, wie viele Rechtsanwälte sich mittlerweile DSB nennen und auch in Unternehmen beraten, aber zumeist überhaupt gar keine Ahnung von technischen Zusammenhängen haben. Als DSB muss man technische Zusammenhänge erfassen und auch verstehen können. Gerade weil in vielen Unternehmen immer mehr digitalisiert wird.
Meine persönliche Meinung und Einschätzung, gerade aus der Erfahrung heraus ist, ein Rechtsanwalt, der zwar die DSGVO hoch und runterbeten kann, aber keine Ahnung von technischen Zusammenhängen hat, ist für den Job denkbar ungeeignet.
Klingt hart, aber ich habe in den letzten Jahren einige Rechtsanwälte kennengelernt, die bei mir ein regelmäßiges Kopfschütteln verursacht haben. Dazu kommt dann auch noch die Arroganz, wenn man die Kollegen auf Falschaussagen festnagelt.
Ich denke hier läuft etwas grundsätzliches schief.
Ich bin mir nicht sicher; ob Sie nur ihre Sicht der Dinge schildern wollten oder der Auffassung sind, dass wir in diesem Beitrag den Aspekt technische Kompetenz des DSB vernachlässigen. (Sicherheitshalber haben wir das Ende um einen Satz erweitert und einen älteren Beitrag von uns zum technischen Know-how des DSB verlinkt; um deren Bedeutung weiter zu unterstreichen.)
Ziel des Beitrags war es, ausgehend vom „perfekten“ Datenschutzbeauftragten – mit technischer und rechtlicher Expertise sowie allerlei Softskills – darzustellen, wie der Weg zu diesem Ideal hin aussehen könnte, das dieser Weg sehr lang ist und sich auf Jahre beläuft.
Da solche Personen in der Praxis schwer zu finden sind, gesteht z.B. das LAG Mecklenburg-Vorpommern zu, dass falls ein Datenschutzbeauftragte nur in einem Teilbereich über eigene Qualifikationen verfüge, es genüge, wenn er im Übrigen auf entsprechende Fachkunde zurückgreifen kann. Es reicht also auch, wenn der Datenschutzbeauftragte seine eigenen (Wissens-)Grenzen kennt und sich dann (externen) Rat holt. Das es in der Praxis immer wieder Vertreter des Berufsstands gibt, die über die Gabe der Selbsteinschätzung nicht verfügen, ist leider nichts Neues. Entsprechende Geschichten kennen wir aber von beiden Seiten. ;)
Das sehe ich etwas anders. Schadet technisches Verständnis? Absolut nicht und ein Grundverständnis sollte definitiv vorhanden sein, aber: es handelt sich immer noch um eine Rechtsgebiet – es heißt nicht umsonst DatenschutzRECHT. In keinem anderen Rechtsgebiet kämen „Laien“ auf die Idee tätig werden zu wollen bzw. könnten es auch nicht – eine Tragödie, dass das Datenschutzrecht nicht auch ausschließlich Juristen vorbehalten ist. Stattdessen ström(t)en DSB auf den Markt, die mit einem Kurs der Meinung sind ansatzweise Verständnis für komplexe juristische Zusammenhänge zu haben – und es stellt sich dann zu 99% doch immer heraus, dass dies alles oberflächlich ist und die Materie eben nicht in seinen Facetten verstanden wird und teilweise auch Neuerungen (insb. Gerichtsentscheidungen, wenn dann noch Normen aus dem UWG, BGB, Arbeitsrecht etc. relevant werden) überhaupt nicht (richtig) verstanden oder richtig gelesen werden (können) – insbesondere, wenn es um das Zusammenspiel mit weiteren Rechtsnormen geht. Hier scheitern die Nicht-Juristen regelmäßig, was auch nicht schlimm ist – immerhin haben sie kein Jura studiert. Es zeigt aber auch, dass Datenschutz eben keine in sich abgeschottete Materie ist. Insbesondere für Risikoeinschätzungen sind solch umfassendenen Kenntnisse aber relevant. Es bringt dem Unternehmen wenig zu wissen, dass datenschutzrechtlich das Risiko gering ist und damit war es das, wenn zugleich nicht zumindest auch darauf hingewiesen wird, dass derselbe Verstoß nach dem UWG aber umso erheblichere Konsquenzen mit sich bringen kann.
Im Mietrecht, Medizinrecht oder Straßenverkehrsrecht stößt der Jurist ab einem gewissen Punkt logischerweise auch an seine Grenzen, aber dafür gibt es dann die Sachverständigen, Gutachter etc. um konkret darzulegen, ob ein Eingriff dem Standard entspricht, ein Mangel noch geringfügig ist oder nicht.
Diese Argumentation mit den technischen Zusammenhängen hört man bisweilen nur von IT’lern/Nicht-Juristen – und ich kann sie nicht nachvollziehen. Denn genauso müsste man auch argumentieren, dass dann doch sicherlich das Medizinrecht bei Medizinern besser aufgehoben wäre.
Als DSB ist aber vorrangig die Anwendung der Rechtskenntnisse und vor allem – und daran scheitert es bei Nicht-Juristen m.E. nach regelmäßig – das Lesen und Verstehen der jur. Normen und zusammenhängender Verknüpfungen relevant. Nicht selten stoße ich auf selbsternannte DSBler, die auf ihrer eigenen Homepage nicht einmal eine vernünfte DSE erstellen können, geschweige denn in der Lage sind, eine juristische Interessenabwägung durchzuführen, eine Meldung an die Datenschutzbehörde sauber zu formulieren und abzusenden und sich eher schlecht als recht mit irgendwelchen ergoogeltem Wissen versuchen über Wasser zu halten. Für die Bewertung im technischen Bereich reicht meiner Erfahrung nach der Rückgriff auf/die Zusammenarbeit mit dem IT’ler – ebenso wie auch mit anderen Abteilungen (Personalabteilung, Marketing etc.) die Zusammenarbeit sehr wichtig ist, wenn man ein Unternehmen umfassend datenschutzrechtlich erfassen will.
Ich habe 2018 mein DPO-Zertifikat an der von Ihnen erwähnten Universität Maastricht erworben (Maastricht European Centre on Privacy and Cybersecurity). Die Ausbildung richtete sich primär an Juristen, ich war einer von 5 Nicht-Juristen. Auch wenn es sich nur um 5 Tage Ausbildung handelte, so war das Anspruchsniveau und der Umfang extrem hoch (Unterricht und Prüfungen zudem auf Englisch) und die Referenten waren hochkarätige Experten, die z.T. selbst an der Erstellung der DSGVO-Texte beteiligt waren. Die Prüfungen sowie Unterrichtseinheiten waren auf Hochschulniveau, für mich war die Woche etwa so stressig wie meine Abiturswoche! Es ist nicht der Weg des geringsten Widerstands (den findet man dann beim deutschen TÜV), aber ich kann behaupten, dass man danach gerüstet ist auch für komplexere Aufgaben. Außerdem wird man Teil eines sehr wertvollen internationalen Netzwerks, was durchaus nicht zu unterschätzen ist. Alles in allem: sehr empfehlenswert!
Hallo Walingo, vielen Dank für Ihren Beitrag! Ich möchte zukünftig auch ein DPO-Zertifikat erwerben, deswegen war Ihr Beitrag für mich sehr wertvoll. Sie meinten, Sie waren einer von 5 nicht-Juristen. Ich bin ebenso kein Jurist und in der IT als Fachinformatiker tätig. Darf ich fragen, welchen Beruf Sie erlernt haben? Praktizieren Sie jetzt nur noch als DSB oder machen Sie das neben Ihrem Beruf? Waren Sie während des Kurses vor Ort?
Über eine Antwort würde ich mich sehr freuen! Ich wünsche eine schöne Woche.
Mit freundlichen Grüßen
JG
Ihr Artikel möchte die Frage „Ausbildung zum DSB: Wie wird man Datenschutzbeauftragter?“ beantworten, führt dann aber leider in die Irre und informiert nicht wirklich. Sie behaupten sogar „Da es keine Ausbildung und kein Studium gibt“ – was einfach grundfalsch ist und nicht dazu beiträgt, dass Vertrauen in diesen Berufsstand wächst. Datenschutzbeauftragte üben einen Beruf aus und müssen eine Berufsausbildung nachweisen, z.B. wenn sie Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands werden möchten oder bei Abschluss einer beruflichen Vermögensschadenhaftpflichtversicherung.
Tatsächlich haben Sie schlecht recherchiert. Es gibt einen „Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz“ der weiterhin gültig ist.
Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt des Bestellung zum DSB im ausreichenden Maße vorliegen. Sie können insbesondere auch durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt sein.
bfdi.bund.de/SharedDocs/Downloads/DE/DSK/Archiv/DuesseldorferKreis/20101124_MindestanforderungenAnFachkunde.html
Ich bin enttäuscht – wer hat diesen schrecklichen Artikel fabriziert?
Ihr Beitrag erfüllt die von mir oben dargestellten Punkte traurigerweise sehr und ohne Sie überhaupt zu kennen, habe ich absolut überhaupt absolut gar keine Zweifel, dass sie über keinerlei juristischen Background verfügen. Das zeigt sich bereits daran, dass sie scheinbar nicht einmal verstanden haben, dass der Berufsverband der DSB ein reiner Interessenverband ist: jeder (der den Beitrag zahlen will) – selbst Studenten oder Rentner – können dort unproblematisch Mitglied werden. Es gibt dort überhaupt keine Hürde. Auch dass sie auf den angebrachten Beschluss hinweisen und Ihnen scheinbar überhaupt nicht die rechtliche (Bindungs-)Wirkung von diesem Dokument bewusst ist….oh je – also das lernt man als Jura-Student im 2./3. Semester.
Wo Sie ihre berufliche Vermögensschadenhaftpflicht abschließen, ist mir ein Rätsel: die gängigen Versicherungen (Markel, Hiscox…) benötigen die Angabe, was gemacht wird und insofern vom Tätigkeitsbereich versichert werden soll – aber verlangen keinerlei Nachweis. Wozu auch? Es ist der Versicherung (wie in vielen anderen Bereichen) egal, ob sie meinen diese (freiwillige) Versicherung zu brauchen und die Tätigkeit versichern wollen – eine Pflicht ist eine derartige Versicherung nämlich nicht (im Gegensatz zB zur Berufshaftpflicht für Rechtsanwälte).
Und genau das ist die Krux: solche Leute meinen DatenschutzRECHT machen zu müssen. Da mag man sich nicht vorstellen wollen, was dabei in der Praxis rauskommt. Aber glücklicherweise werden diese DSB regelmäßig eh nur für derart kleine Unternehmen tätig, die bei den Behörden nichtmal ansatzweise von selbst auf dem Radar landen. Aber furchtbar, dass Sie hier so viel Inkompetenz mit absoluter Selbstsicherheit streuen.
Vielen Dank für Ihren Kommentar. Wir können Ihre Kritik – vor allem in der Schärfe – leider nicht nachvollziehen. Insbesondere, wieso die Aussage, das es keine Ausbildung und kein Studium zum Datenschutzbeauftragten gibt, grundfalsch sein sollte.
Das es sich bei der Tätigkeit eines Datenschutzbeauftragten um einen Beruf handelt, beschreiben wir im Abschnitt „Berufsverband der Datenschutzbeauftragten und das Ulmer Urteil“. Auch das – wie Sie erwähnten – einige Berufsverbände für Datenschutzbeauftragte im Rahmen eines selbstverpflichtenden Leitbildes gewisse Anforderungen an diese Stellen, ist richtig. Eine Mitgliedschaft in einem solchen Berufsverband ist aber ebenso wenig wie das Abschließen einer bestimmten Ausbildung oder eines bestimmten Studiums Voraussetzung, um die Tätigkeiten eines Datenschutzbeauftragten ausüben zu dürfen. Einzige Voraussetzung dafür ist, dass Mitbringen der erforderlichen Fähigkeiten und Fachkunde, die der Artikel aufzählt.
Auch der von Ihnen gennante Beschluss des Düsseldorfer Kreises zu den Mindestanforderungen an Fachkunde des Datenschutzbeauftragten ist uns bekannt. Zunächst ist festzuhalten, dass dieser keine rechtsverbindliche Gültigkeit hatte, sondern nur die Rechtsauffassung der deutschen Aufsichtsbehörden zum Zeitpunkt 2010 (!) wiedergibt. Diese kann unserer Auffassung nach nicht 1:1 auf die aktuelle Rechtslage übertragen werden. Denn die Anforderungen an den Datenschutzbeauftragten haben sich seitdem geändert. Sie sind nun überwiegend auf europäischer Ebene in der DSGVO geregelt und es sind neue sowie spezifische Anforderungen dazu gekommen (z.B. Art. 39 Abs. 1 lit. c) DSGVO). Natürlich kann der Entschluss des Düsseldorfer Kreises immer noch als Orientierung dienen und viele, wenn nicht sogar alle, der dort genannten Schlagwörter finden sich (zumindest ähnlich) auch in diesem Artikel.
Richtig ist ebenso die Feststellung der Aufsichtsbehörden, dass diese Fachkunde bereits zum Zeitpunkt des Bestellung zum DSB im ausreichenden Maße vorliegen muss. Obwohl unsere Praxiserfahrung zeigt, dass oft das Gegenteil der Fall ist. So gestehen die Aufsichtsbehörden auch schon damals ein, dass „um eventuell zu Beginn der Bestellung noch bestehende Informationsdefizite auszugleichen, empfiehlt sich der Besuch von geeigneten Fortbildungsveranstaltungen.“ An diesem Umstand sind die Aufsichtsbehörden Mitschuld, denn in den letzten 15 Jahren ist uns noch kein einziges Verfahren einer deutschen Aufsichtsbehörden gegen Datenschutzbeauftragte aufgrund mangelnder Fachkunde bekannt geworden.
Übrigens blieb man schon damals in dem Entschluss den Lesern die Antwort schuldig, was denn geeignete Aus- und Fortbildungsveranstaltungen seien, die die Mindestkenntnisse zum Zeitpunkt des Bestellung nachweisen. Dieser Beitrag will anhand der Liste der aufgezählten Fähigkeiten und Fachkunde zeigen, dass es eine entsprechende Veranstaltung, die all diese von Grund auf vermittelt, nicht gibt. Vielmehr muss – unserer Einschätzung nach – auf einem soliden Fundament die Fachkunde eines DSB erarbeitet werden und Schwachstellen abseits der eigenen Spezialisierung mit Fort- und Weiterbildungen individuell beseitigt werden.
In eigener Sache möchte ich darauf hinweisen, dass auch das Studienfach Wirtschaftsrecht passenderweise auf viele Sachkundebereiche des DSB vorbereitet (inkl. Informatikmodule und Datenschutzrecht als auch allgemeine (organisatorische) BWL im Unternehmen).
Erste Hochschulen haben gar bereits Vertiefungen wie „Compliance und Datenschutz“ bspw. an der Hochschule Anhalt.