betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildung

Fachkunde und Weiterbildung des Datenschutzbeauftragten

/von

Die Datenschutz-Grundverordnung (DSGVO) legt in Art. 37 Abs. 5 fest,  dass Datenschutzbeauftragte auf Basis ihrer beruflichen Qualifikation und insbesondere des Fachwissens, welches sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen, sowie auf der Grundlage ihrer Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben zu benennen sind. Zu diesen Aufgaben gehören unter anderem

  • die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO und den weiteren Datenschutzvorschriften;
  • die Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Datenschutz einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA, s. Art. 35 DSGVO) und Überwachung ihrer Durchführung.

Nur Jura reicht nicht

Es sind also neben datenschutzrechtlichem Wissen auch didaktische Fähigkeiten im Umgang mit Menschen und umfangreiches technisches Verständnis bezüglich IT und Sicherheitstechnik notwendig. Diese Kombination wird in den aktuellen Studiengängen und Ausbildungen eher selten in praxistauglicher Form vermittelt. Daher ist es unerlässlich, dass Personen, die zum Datenschutzbeauftragten benannt werden sollen, vorher mit dem richtigen Know-how versorgt werden. Ohne dieses umfassende technische, rechtliche und prozessuale Know-how wird ein Datenschutzbeauftragter in der Praxis scheitern.

Zusatz-Ausbildung bitte! Auch für Berufserfahrene

Je nach Vorbildung wird in der Regel technisches oder juristisches Wissen „ergänzt“ werden müssen. Zumindest für den juristischen Teil gibt es hervorragende Ausbildungen, die beispielsweise von der Gesellschaft für Datenschutz und Datensicherheit (GDD) angeboten werden. An der Dauer dieser Ausbildungen (mehrere Wochen) sieht man auch, dass sich das Wissen des Datenschutzbeauftragten eben nicht in 2-3 Tagen erlernen lässt.

Bitte keine „Alibi-Datenschutzbeauftragten“

Die Benennung eines Mitarbeiters, der „sich nicht schnell genug weggeduckt hat“ ist also in den meisten Fällen nicht sinnvoll. Zumindest müsste diese Person dann vor der Benennung noch umfangreich ausgebildet werden, damit sie den Anforderungen der DSGVO gerecht werden kann. Je nach Ausbildung besteht durchaus eine gute Chance, dass auch interne Datenschutzbeauftragte, welche das Amt nicht ganz freiwillig übernommen haben, einen guten Job machen können. Mit einer 2-Tages-Schulung wird man hier trotz anschließendem Zertifikat mit dem Titel „Datenschutzbeauftragter“ allerdings vermutlich scheitern.

Auch die Fortbildung kostet

Darüber hinaus besteht für die Datenschutzbeauftragten auch eine Fortbildungspflicht. Die Aufsichtsbehörden nennen das gerne etwas sperrig „Fachkunde-Erhaltungsmaßnahmen“. Bei manchen Zertifizierungen ist für den Erhalt der Zertifizierung sogar der Nachweis regelmäßiger Fortbildung notwendig. Die für die Aus- und Fortbildung entstehenden (regelmäßigen!) Kosten bewegen sich bei angemessener Qualität der besuchten Veranstaltungen im Bereich mehrerer Tausend Euro pro Jahr und Person zuzüglich Arbeitsausfall in dieser Zeit.

Das Risiko bei unzureichender Ausbildung oder fehlender Weiterbildung, also bei mangelnder Fachkunde, ist die Nicht-Anerkennung durch eine Aufsichtsbehörde. Fällt eine mangelnde Fachkunde zum Beispiel im Rahmen von Prüfungen auf, besteht das Risiko, dass die Benennung des Datenschutzbeauftragten als nicht wirksam angesehen wird, was gegebenenfalls mit einem Bußgeld geahndet werden kann.

Schon mal über einen externen Datenschutzbeauftragten nachgedacht?

Insgesamt ist das Risiko, einen internen Datenschutzbeauftragten zu benenn, welcher den Job eigentlich gar nicht machen will, unseres Erachtens ein unnötiges. Darüber hinaus sollte man auch die entstehenden Kosten für Aus- und Weiterbildung der Datenschutzbeauftragten und den Arbeitsausfall, den die Personen haben, nicht unterschätzen. In vielen Fällen lohnt es sich, anstelle interner Datenschutzbeauftragter externe Dienstleister zu beauftragen. Insbesondere für kleinere und mittelständische Unternehmen, in denen die Datenschutzbeauftragten diese Position meist „in Teilzeit“ ausführen, also noch eine weitere (Haupt-)Tätigkeit ausüben, ist häufig das Ergebnis der Arbeit des externen Datenschutzbeauftragten qualitativ besser und mit weniger Aufwand erreicht, als durch die internen Teilzeit-Datenschutzbeauftragten. Hintergrund ist, dass die externen Dienstleister üblicherweise nichts anderes machen als Datenschutz und daher auch „mehr in Übung“ sind.

Darüber hinaus schlagen die Aus- und Weiterbildungskosten der externen Datenschutzbeauftragten weder in Geld noch in Zeit bei den Unternehmen zu Buche, denn diese Aufwände tragen die entsprechenden Dienstleister natürlich selbst.

Bei uns wird beispielsweise die Fachkunde vertraglich garantiert und kann selbstverständlich auch nachgewiesen werden. Darüber hinaus vereinbaren wir mit unseren Mandanten vertraglich auch die Fortbildung unserer Berater und Beraterinnen, natürlich auf unsere Kosten. Jede einzelne Person, die bei uns im Datenschutz berät ist entsprechend zertifiziert. Und auch bei den Zertifizierungen legen wir Wert darauf, dass diese entsprechend hochwertig sind.

Vergleichen Sie. Unbedingt!

Wir empfehlen jedem Unternehmen vor der Benennung eines (gegebenenfalls unwilligen oder ungeeigneten) internen Mitarbeiters, auch über die Zusammenarbeit mit einem entsprechenden Dienstleister nachzudenken. Dabei sollten die entstehenden Kosten über einen Zeitraum von mindestens drei Jahren verglichen und auch der Arbeitsausfall des internen Mitarbeiters für Aus- und Weiterbildung, sowie die Tätigkeit des Datenschutzbeauftragten an sich berücksichtigt werden. 

Auch wir unterstützen Sie gerne im Datenschutz – rufen Sie an und lassen Sie sich kostenlos über die Möglichkeiten informieren.

Das könnte Sie auch interessieren
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgEilmeldung: DSAnpUG-EU im Bundestag verabschiedet
arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatzFallstricke bei der Auskunft nach Art. 15 DS-GVO
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Folgenabschätzung und Standard-Datenschutzmodell
hacker pentest penetrationstest abmahnung abmahnfähigDubiose Schreiben vom Bundesverband sichere Kunden- und Patientendaten
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inBeschäftigtendatenschutz unter der DSGVO
auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung bayldaKosten für Kontrollen im Rahmen der Auftragsverarbeitung
Ein Jahr DS-GVO – Ein Rück- und ein AusblickDS-GVO Geburtstag 1 Jahre-mail verschlüsselung s/mime pgp nutzung kontaktdatenE-Mail Verschlüsselung – Pflicht oder Kür?