Laut dem Bundesverband der Datenschutzbeauftragten (BvD) fehlt fast der Hälfte der Datenschutzbeauftragten in Deutschland die notwendige Qualifikation für ihre Aufgabe.
Der Inhalt im Überblick
Theorie und nichts dahinter?
Marco Biewald, Sprecher des Berufsverband der Datenschutzbeauftragten (BvD), äußerte sich gegenüber der Nachrichtenagentur dpa dahingehend, dass
„zwar viele eine theoretische Ausbildung hätten. Zahlreiche wüssten aber nicht, wo in einem Unternehmen etwa die Risiken in einem Netzwerk lauerten.“
Voraussetzungen für den Beruf „Datenschutzbeauftragter“
Herr Biewald liegt mit seiner Äußerung nicht falsch. Tatsächlich gibt das Gesetz in § 4f Abs. 2 BDSG lediglich vor, dass zum Beauftragten für den Datenschutz nur bestellt werden darf,
„wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt“,
wobei sich die erforderliche Fachkunde
„insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet“
bestimmt.
Eine klassische Ausbildung oder ein Universitätsstudium zum Datenschutzbeauftragten gibt es nicht und dies sieht das Gesetz auch nicht als Voraussetzung vor. Auch Qualifikationen durch z.B. eine TÜV-Zertifizierung sind nicht zwingend erforderlich. Sowohl der TÜV als auch Unternehmen und Interessenverbände bieten derartige Kurse in diesem Bereich an, aber das so angehäufte Wissen stößt der Erfahrung nach in der Praxis schnell an seine Grenzen.
Fakt ist, dass eigentlich jedermann Datenschutzbeauftragter werden kann.
Sind „Fachkunde“ und „Zuverlässigkeit“ ausreichende Kriterien?
Die u.a. in § 4g BDSG aufgeführten Aufgaben eines Datenschutzbeauftragten sind zahlreich und nicht zu unterschätzen. In der Praxis sind nicht nur Kenntnisse in der Datenverarbeitung (technische Kenntnisse), sondern auch fundierte juristische Kenntnisse, insbesondere im Datenschutzrecht, gefordert.
Im sog. „Ulmer Urteil“ definierte das Landgericht Ulm 1990 die Anforderungen an den Datenschutzbeauftragten dahingehend, dass dieser mindestens folgende Punkte umfassen soll:
- Anwendung der Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften
- Kenntnisse der betrieblichen Organisation
- didaktische Fähigkeiten
- psychologisches Einfühlungsvermögen
- Organisationstalent
- angemessener Umgang in Konflikten um seine Person, seine Funktion und seine Aufgabe
Durch stetige Neuentwicklungen werden Datenschutzbeauftragte ständig gefordert, so dass eine stete Weiterbildung im IT- und juristischen Bereich unerlässlich ist, um den immer komplexeren Fragestellungen gerecht werden zu können. Die Komplexität der Fragestellung wird dabei nicht nur durch technologische Neuentwicklungen, sondern auch durch die Komplexität der Datenverarbeitung und Größe des Betriebs definiert.
„Fachkunde“ und „Zuverlässigkeit“ alleine, kann und darf, wie Herr Biewald richtiger Weise sagt, nicht ausreichen!
Weitere Informationen
Wer sich näher über den Beruf des Datenschutzbeauftragten informieren möchte, findet nähere Informationen in unserem Artikel „Welche Voraussetzungen muss ein betrieblicher Datenschutzbeauftragter erfüllen?“ und „Wie werde ich Datenschutzbeauftragter?“.
Hallo Dr Datenschutz,
zuerst: Herr Biewald hat absolut recht! Was ich in meinen DS-Seminaren erlebe ist aber viel schlimmer. Da werden Mitarbeiter per Ordre de Mufti zu DSB „befördert“, in vielen Fällen zusätzlich zu deren normaler Tätigkeit. Wenn diese „DSB“ dann in meinen und sicherlich auch anderen sitzen, stehen denen die Haare zu Berge ob der der vielen Arbeit die jetzt auf sie zukommt. In diesem Augenblick sehe ich meine Aufgabe mehr als „Seelsorger“ um einen individuellen und praktikablen Weg durch diesen Wust zu bahnen.
Diese „Ernennung“ spiegelt meiner Meinung nach auch deutlich die Wertschätzung dieser Aufgabe durch die GL wieder. Das betrifft nicht nur den kleinen Handwerker, sondern durch aus renomierte mittlere Uunternehmen.
Herr Biewald sieht aber, Entschuldigung, nur den kleinsten Teil des Themas! Wesentlich wichtiger sind die Daten, deren Verlust bzw „abwandern“ in Richtung unbefugter Nutzer das betroffene Unternehmen im schlimmsten Falle in die Insolvenz treiben können. Zum Beispiel die aus F+U. Stichwort Werkspionage. Dazu kommen noch die Risikogebiete: BYOD, CLOUD und für viele gänzliches Neuland, Industrie 4.0. Das heisst in der Praxis, spätestens wenn es das Unternehmen ISO 9000 / 27000 usw zutun bekommt, gehen die Aufgaben des DSB weit über die „BDSG-Daten“ hinaus. Dazu kommt das ständige aktuell sein. Mein Ziel in den Seminaren ist es den DSB soweit zu ertüchtigen, dass er einigermassen mit dem Admin auf Augenhöhe ist. Das heisst, er soll in der Lage sein, dem Admin die richtigen Fachfragen stellen zu können, bzw das einigemassen zu verstehen was der Admin erklärt. Soweit zur geforderten Fachkenntnis.
Didaktische Fähigkeiten: Sehr wichtig!!! Da es keine 100% Sicherheit gibt, muss der DSB in der Lage sein, alle im Unternehmen für den Datenschutz bzw die Datensicherheit zu sensibilisieren. Da nutzen die tollsten Sicherheitsprogramme nichts, wenn am Arbeitsplatz nicht in diesem Sinne mitgedacht wird. Aber, nicht nur die Mitarbeiter müssen sensibilisiert werden, auch die Geschäftsführung. Denn die muss Geld ausgeben und steht vor dem Gesetzgeber in der Verantwortung.
Eine Frage, wer hat ähnliche Erfahrungen, was die Wertschätzung betrifft, gemacht?
MfG B. Hoyer
Die Frage nach den Sicherheitslücken in einem Netzwerk sollte man aber auch einem IT-Sicherheitsbeauftragten stellen oder mit dem/den Administrator/en absprechen können.
Und was soll die Konsequenz sein, wenn selbst TÜV-Zertifikate nicht ausreichen? Wenn man die Anforderungen für einen DSB so hoch schraubt, dass am Ende nur studierte IT-Juristen den Job machen dürfen, dann wird bald kein KMU mehr einen DSB haben. Der Grundgedanke war ja, die Hürde für Unternehmen, einen DSB einzusetzen, möglichst niedrig zu gestalten, um die Akzeptanz zu erhöhen. Was hier gefordert wird, läuft dem diametral entgegen. Zudem kann ein DSB selbst entscheiden, welche Fortbildungen/Literatur er benötigt. Setzt er sich damit nicht durch, dann ist die Qualifikation bereits an anderer Stelle mangelhaft. Meiner Meinung nach wird hier indirekt ein planwirtschaftliches System zur Ausbildung/Weiterbildung von DSBs gefordert, das den individuellen Ansprüchen jedes einzelnen Unternehmens viel weniger gerecht werden kann, als es die „laxen“ Formulierungen im Gesetz bisher tun.
Guten Tag Datenstützer,
Ihre Antwort zwingt mich zu einer Erwiderung:
Die Frage nach den Sicherheitslücken in einem Netzwerk sollte man aber auch einem IT-Sicherheitsbeauftragten stellen oder mit dem/den Administrator/en absprechen können. >> Das ist richtig, aber nur ein Teil des DS Spektrums.
Und was soll die Konsequenz sein, wenn selbst TÜV-Zertifikate nicht ausreichen? >> In welchem Zusammenhang?
Wenn man die Anforderungen für einen DSB so hoch schraubt, dass am Ende nur studierte IT-Juristen den Job machen dürfen, dann wird bald kein KMU mehr einen DSB haben. >> 1. Unter bestimmten Bedingungen, siehe BDSG, ist ein DSB zwingend erforderlich.
2. IT-Juristen will ich GERADE NICHT haben, nach meiner Erfahrung haben die nur das BDSG im Hinterkopf und dessen Geltungsbereich. Der Schutz der wirklich wichtigen Daten, Stichwort Spionage, interessieren den Juristen nicht, da der nicht vom BDSG gefordert wird. Da kommen die für den Juristen nicht so interessanten Normen zum tragen. Die Qualifikation muss sein: Zuerst technisch/praktische Erfahrung, dann die Gesetze. Die Bedrohungs- und Risikolage ändert sich täglich, die Gesetze hinken hinterher. Hält sich der DSB strikt an die Forderungen des Gesetzgebers, kommt es auf die eine oder andere Sicherheitslücke nicht mehr an! Der Gesetzgeber sorgt schon für die richtig Grossen bzw schreibt Praxisferne Anforderungen vor.
Der Grundgedanke war ja, die Hürde für Unternehmen, einen DSB einzusetzen, möglichst niedrig zu gestalten, um die Akzeptanz zu erhöhen. >> Wer soll den DSB akzeptieren?
Zudem kann ein DSB selbst entscheiden, welche Fortbildungen/Literatur er benötigt. Setzt er sich damit nicht durch, dann ist die Qualifikation bereits an anderer Stelle mangelhaft. >> Dem stimme ich zu
Meiner Meinung nach wird hier indirekt ein planwirtschaftliches System zur Ausbildung/Weiterbildung von DSBs gefordert, das den individuellen Ansprüchen jedes einzelnen Unternehmens viel weniger gerecht werden kann, als es die “laxen” Formulierungen im Gesetz bisher tun. >> Verstehe ich nicht, wieso planwirtschaftlich?? Diese ist doch mit dem Fall der Mauer endlich verschwunden. Meine Kernaussagen / Erfahrungen sind doch:
1. Datenschutz und -sicherheit haben haben bzw hatten noch nie die erforderliche Priorität in den Unternehmen, bis auf wenige Ausnahmen, trotz NSA, Spionage usw. Der Grund, DS wird wie eine Versicherung betrachtet, DS kostet nur, bringt aber nur etwas im Schadensfall, aber bis jetzt ist der aber nie eingetreten! Also wenn mich der Gesetzgeber nicht verpflicht, mache ich garnichts oder nur das absolute Minimum. Dieses Minimum wird ja auch laut BDSG §9 Anhang1, akzeptiert. Mein Ansatz in meinen Seminaren ist kein planwirtschaftlicher Zwang zur Schulung, sondern den Blick des DSB für sein Aufgabengebiet so zu weiten, dass er sprichwörtlich vom Werkzaun bis zum Smartphone reicht. Nicht mehr und nicht weniger.
Sehr geehrter Herr Hoyer,
vielen Dank für Ihre Rückmeldung. Hiermit möchte ich die Diskussion fortsetzen.
>>Die Frage nach den Sicherheitslücken in einem Netzwerk sollte man aber auch einem IT-Sicherheitsbeauftragten stellen oder mit dem/den Administrator/en absprechen können.
> Das ist richtig, aber nur ein Teil des DS Spektrums.
– Ja, deswegen gibt es verschiedene Aufgabenbereiche. Ein Datenschützer kann ja in aller Regel nicht Computerexperte bis in die tiefste Systemebene sein und gleichezeitig ein gewiefter Jurist, der sich in allen denkbaren Gesetzen auskennt. Hinzu kommen ja noch andere geforderte Qualifikationen, wie Kommunikationsvermögen etc. pp. Die eierlegende Wollmilchsau möchte ich gesehen haben, die alle Anforerungen bis ins letzte Detail erfüllen kann.
>>Und was soll die Konsequenz sein, wenn selbst TÜV-Zertifikate nicht ausreichen?
> In welchem Zusammenhang?
– Im Artikel steht: „Sowohl der TÜV als auch Unternehmen und Interessenverbände bieten derartige Kurse in diesem Bereich an, aber das so angehäufte Wissen stößt der Erfahrung nach in der Praxis schnell an seine Grenzen.“ -> Also welche Qualifikation reicht denn überhaupt aus, wenn schon TÜV nicht gut genug ist?
>> Wenn man die Anforderungen für einen DSB so hoch schraubt, dass am Ende nur studierte IT-Juristen den Job machen dürfen, dann wird bald kein KMU mehr einen DSB haben.
> 1. Unter bestimmten Bedingungen, siehe BDSG, ist ein DSB zwingend erforderlich
– Das mag ja sein, aber wie viele Unternehmen haben denn überhaupt einen DSB, die einen bräuchten? Wenn die Hürden noch höher werden, dann sinkt die Quote ja nochmals.
>2. IT-Juristen will ich GERADE NICHT haben, […]
– Wenn es um Spionage geht, dann hat der gemeine Computer-Experte wohl kaum den Hauch einer Chance. Es geht doch viel mehr darum, Systeme grundsätzlich datenschutzkonform zu etablieren und sämtliche Arbeitsprozesse dahingehend zu gestalten, dass ein Missbrauch der Daten möglichst schwer wird. Wenn Sie der Meinung sind, selbst der NSA ein Schnippchen schlagen zu können, dann möchte ich wissen, wo ich mich bei Ihnen zu einem Kurs anmelden kann.
>Der Gesetzgeber sorgt schon für die richtig Grossen bzw schreibt Praxisferne Anforderungen vor.
-Das sehe ich anders.
>> Meiner Meinung nach wird hier indirekt ein planwirtschaftliches System […]
> Verstehe ich nicht, wieso planwirtschaftlich??
– So wie ich den Artikel verstehe, wird eine Art Katalog an Kompetenzen verlangt, die jeder DSB zu erfüllen hat. Das ist für mich planwirtschaftlich, da eine Instanz entscheidet, welche Anforderungen alle DSB zu erfüllen haben, völlig unabhängig davon, ob er bei SAP angestellt ist oder bei der Bäckerei um die Ecke. Und das ist totaler Humbug, kann nicht funktionieren und würde nur dafür sorgen, dass sich nur noch die ganz großen Unternehmen mit Datenschutz beschäftigen.
>> Der Grundgedanke war ja, die Hürde für Unternehmen, einen DSB einzusetzen, möglichst niedrig zu gestalten, um die Akzeptanz zu erhöhen.
> Wer soll den DSB akzeptieren?
– Die Unternehmen. Jetzt werden Sie etwas erwiedern wie: „Das ist doch völlig egal, was die Unternehmen davon halten. Wenn die nach dem Gesetz einen DSB brauchen, dann müssen die sich einen anschaffen.“ Da prallt dann die Theorie auf die Praxis und verliert. Auch wenn ich spontan keine Quelle zur Hand habe, kann ich aus Erfahrung sagen, dass jetzt schon längst nicht alle Unternehmen einen DSB beschäftigen, die nach dem Gesetz einen bräuchten. Bei einem Einheitskatalog würde, nach meiner Einschätzung, diese Quote noch weiter sinken und das kann ja nicht das Ziel sein.
Meine Aussagen sollten Sie unabhängig von Ihren Schulungen betrachten, denn darauf beziehe ich mich nicht. Mir geht es um die Kernaussage des Artikels, dass es einen Anforderungskatalog für DSB geben soll, der die derzeitigen Anforderungen des BDSG ersetzt. Und ich sage: Bloß nicht, auch wenn (bzw. gerade weil) das BDSG die Anforderungen recht niedrig ansetzt. Das ist natürlich eine subjektive Einschätzung und darf gerne infrage gestellt werden ;)