Ausbildung zum Datenschutzbeauftragten: Wer das Datenschutz-Audit übernimmt

Die Europäische Datenschutz-Grundverordnung (DSGVO) gilt seit rund vier Jahren, ihre Pflichten sind den meisten Unternehmen mittlerweile in Fleisch und Blut übergegangen. Privacy und Compliance sind aber eine Daueraufgabe. Daher sind vor allem externe Datenschutzbeauftragte nach wie vor gefragt.

Wächter über Recht und Reputation

Von David Schahinian

Der Personaldienstleister Hays beispielsweise schätzt die Jobchancen für Datenschutzspezialisten als „sehr gut“ ein. Aktuell herrsche ein Mangel an Experten, die über das nötige Fachwissen verfügen. Das wird sich auch in absehbarer Zeit nicht ändern: „Die Relevanz von Datenschutz steigt zunehmend und damit auch die Nachfrage an qualifizierten Datenschutzbeauftragten.“

Die Gründe liegen nahe: Zum einen verarbeitet nahezu jedes Unternehmen personenbezogene Daten, ob im Marketing, im Personalwesen oder im Umgang mit Geschäftspartnern oder Kunden. Zum anderen ist der Bedarf nicht an spezielle Branchen gebunden. Die DSGVO brachte dem Berufsbild zudem einen großen Schub – nicht zuletzt durch die drastische Anhebung der Geldbußen, wenn ein dazu verpflichtetes Unternehmen keinen Datenschutzbeauftragten ernannt hat.

Welche Regelungen gelten?

Apropos Verpflichtung: Bei Weitem nicht jedes Unternehmen muss einen solchen Beauftragten ernennen. Art. 37 DSGVO und ergänzend § 38 Bundesdatenschutzgesetz (BDSG-neu) sehen ihn grundsätzlich für Behörden und öffentliche Stellen vor, sowie für Unternehmen,

  • in denen sich „mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ oder
  • deren Kerntätigkeit darin besteht, systematisch mit personenbezogenen Daten zu arbeiten, oder
  • die besonders sensible personenbezogene Daten wie etwa Gesundheitsinformationen verarbeiten.

Für alle anderen empfiehlt sich die Benennung eines Datenschutzbeauftragten aber ebenfalls. Nicht nur wegen der drohenden Geldbußen bei DSGVO-Verstößen, sondern auch aus Eigeninteresse. Mangelnder Datenschutz kann Cyberangreifern Tür und Tor öffnen bzw. zu einem irreparablen Reputationsverlust führen. Wohl jeder kann aus dem Stegreif zwei, drei Firmennamen nennen, die in der Vergangenheit den Abfluss von Kundendaten eingestehen mussten. Es ist also kein Wunder, dass Freelancermap.de zu den Hauptaufgaben eines Datenschutzbeauftragten zählt, dass er maßgeblich zur Glaubwürdigkeit von Unternehmen beiträgt.

MW-ITuK1.2022.ID10 01.jpg
Nicht nur die Strafen gegen Amazon und Google ließen die Bußgelder in die Höhe schnellen. (Bild: Enforcementtracker.com/Statista)

Intern oder extern?

In puncto Vertragsverhältnis haben Unternehmen freie Auswahl. Interne Datenschutzbeauftragte werden als solche von der Geschäftsführung ernannt. In der Regel müssen sie sich das nötige Fachwissen zunächst durch Fortbildungen aneignen. Nach ihrer Benennung haben sie Sonderrechte. So stehen sie u.a. unter einem umfassenden Kündigungsschutz und müssen für ihre Tätigkeit gegebenenfalls von anderen Aufgaben freigestellt werden. Soll ein interner Datenschutzbeauftragter neu eingestellt werden, muss dieser erst einmal gefunden werden.

Die Alternative sind externe Datenschutzbeauftragte, die mittels Dienstleistungsvertrag bestellt werden. Sie bieten ihre Leistungen oftmals in einer Art Baukastensystem an, sodass der Umfang der Tätigkeit und damit auch die Kosten flexibel wählbar sind. Darüber hinaus bringen sie viel Erfahrung mit, weil sie sich tagein, tagaus mit nichts anderem als der Sicherstellung des Datenschutzes beschäftigen. Besonders wertvoll ist außerdem ihr neutraler Blick von außen: Ihnen fällt viel eher auf, wo es hakt – und sie haben das Standing, um Schwachstellen schonungslos und ohne falsche Rücksicht auf interne Netzwerke oder Beziehungen anzusprechen.

Serie: DSGVO-konformes Cloud Computing
Teil 1 beginnt dort, wo der Daten­schutz am wichtigsten ist: bei den Auftrags­daten­verarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechen­zentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.

Wie man Datenschutzbeauftragter wird

Wer für sich eine berufliche Zukunft in dieser Aufgabe sieht, muss einiges mitbringen. Das geht aus den Tätigkeiten hervor, die er laut Art. 39 DSGVO mindestens erfüllen muss. Dazu zählen etwa die Beratung, Information und Schulung derjenigen, die personenbezogene Daten verarbeiten, sowie die Überwachung der Einhaltung der DSGVO und weiterer Datenschutzvorschriften. Des Weiteren koordiniert er die Zusammenarbeit mit der Aufsichtsbehörde, für die er Anlaufstelle des Unternehmens ist. Er kann unter Umständen auch für Schäden haftbar gemacht werden, beispielsweise bei falscher Beratung. Dagegen ist er nicht verantwortlich, wenn er etwa auf Verstöße gegen datenschutzrechtliche Vorschriften hinweist, das Unternehmen sie aber nicht abstellt. Das geht aus Art. 24 DSGVO hervor, der klarstellt, dass die Erfüllung der Pflichten aus der Verordnung nach wie vor Sache des Datenverarbeitenden bleibt und nicht auf den Datenschutzbeauftragten übergeht.

Das formale Anforderungsprofil eines Datenschutzbeauftragten ist aber nicht trennscharf umrissen. Die DSGVO gibt lediglich vor, dass er „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens“ benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie „auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben“. Es liegt aber natürlich im Interesse des bestellenden Unternehmens, damit einen ausgewiesenen Fachmann zu betrauen. Dazu zählt selbstredend, dass er sich mit den einschlägigen Vorgaben, nämlich der DSGVO und dem BDSG-neu, gut auskennt und ebenfalls über die aktuelle Rechtsprechung dazu im Bilde ist. Ein Jura- oder IT-Studium sind hilfreich, ebenso wie Erfahrungen in diesen Fachgebieten.

ITKarriere 2022-01.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazin­reihe „IT & Karriere“ erschienen. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

Aus der Aufgabenbeschreibung in der DSGVO ergibt sich weiterhin, dass er über praktisches Know-how in der Umsetzung von Vorgaben und Maßnahmen verfügen muss, wie auch über die Fähigkeit, sein Wissen präzise, verständlich und gegebenenfalls schnell weiterzugeben. Zu den gefragten Soft Skills zählen Gewissenhaftigkeit, Durchsetzungsvermögen und die Fähigkeit zu selbstständigem Arbeiten.

Zur Vertrauensbildung und zum Nachweis der geforderten Fähigkeiten bieten Institutionen wie der TÜV Süd oder die Dekra Zertifizierungen zum Datenschutzbeauftragten an. Eine gute Informationsquelle sind zudem Branchenverbände wie der Fachverband Externe Datenschutzbeauftragte oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD). Sie klären über das Berufsbild auf, unterstützen Unternehmen aber auch bei der Suche nach einem qualifizierten Datenschutzbeauftragten.

Auf ins Audit

Ein letzter Blick in die DSGVO: Art. 5 besagt, dass der Verantwortliche für die Einhaltung der Vorgaben geradesteht und dies auch nachweisen können muss. Dieser Rechenschaftspflicht wird meist mit einem Audit nachgekommen. Es gibt aber noch viele weitere Gründe, seine Datenschutzprozesse regelmäßig von einer unabhängigen Stelle überprüfen zu lassen. Längst sind die meisten Bürger sehr sensibel dafür geworden, wem sie welche ihrer Daten anvertrauen. Entsprechende Schutzmaßnahmen werden, ganz unabhängig von Gesetzen und Verordnungen, heutzutage einfach von Unternehmen erwartet. Außerdem helfen sie, auch die Einhaltung freiwilliger Vorgaben wie etwa interner Richtlinien sicherzustellen.

MW-ITuK1.2022.ID10 02.jpg
Vor allem die Rechtsunsicherheit bei der Umsetzung der DSGVO bereitet Unternehmen Probleme. (Bild: Bitkom Research)

Organisation und Durchführung der Audits liegen zwar nicht verpflichtend in der Hand des Datenschutzbeauftragten, doch sind sie bei ihm in der Regel und verständlicherweise am besten aufgehoben. Mit dem Audit werden der Ist-Zustand analysiert und die Wirksamkeit der Schutzkonzepte getestet. Aus den Ergebnissen werden schließlich Maßnahmen und Handlungsempfehlungen abgeleitet. Sie dienen nicht nur dem Schließen von Schwachstellen, sondern helfen auch, bereits gut funktionierende Konzepte zu optimieren und zu aktualisieren. Auch die Umsetzung dieser Maßnahmen fällt in den Aufgabenbereich eines Datenschutzbeauftragten.

Ein Berufsbild mit Zukunft

Der Hype um die Einführung der DSGVO ist zwar mittlerweile abgeebbt, sie gehört heute zum gelebten Alltag der Unternehmen. Rund um den Termin war vielerorts von einem leer gefegten Stellenmarkt die Rede, weil es grundlegenden Nachholbedarf in Sachen Datenschutz gab, der spätestens zum Stichtag abgearbeitet sein musste. Die Aufgaben für Datenschutzbeauftragte sind seitdem aber nicht weniger geworden.

Das drückt sich auch am Arbeitsmarkt aus. Laut Hays ist mit einem durchschnittlichen Jahresbruttogehalt von bis zu 60.000 Euro in großen Unternehmen zu rechnen. Auch der Personaldienstleister Michael Page beschreibt die Karrierechancen als rosig: „Selbst auf niedrigeren Ebenen innerhalb eines Unternehmens können Datenschutzbeauftragte ein mehr als angemessenes Gehalt erwarten.“

Die Webmasters Europe bezeichnen sich als „internationalen Berufsverband der Internet-Spezialisten“ mit dem Ziel, verschiedene Berufsbilder für Internet-Profis zu entwickeln und zu standardisieren. Als solche haben sie sich aktuell auch den Datenschutzbeauftragten vorgenommen. Ihrer Google-Trends-Analyse zufolge ist das Interesse an dem Berufsbild vor allem in den Jahren vor der DSGVO-Einführung sprunghaft angestiegen. Seitdem liegt es stetig „auf einem deutlich höheren Niveau“ als in den Jahren davor. Die Nachfrage nach Datenschutz-Expertise sei trotz Pandemie relativ stabil, wenngleich nicht immer explizit nach Datenschutzbeauftragten gesucht wird – solche Ausschreibungen seien im Verhältnis betrachtet deutlich seltener zu beobachten. Als ein Grund dafür wird angeführt, dass die Aufgabe häufig entweder an Externe vergeben wird, die dann meist als Selbstständige arbeiten. „Auch kommt es noch oft vor, dass die Tätigkeit als Zusatz zu anderen Jobroles wie beispielsweise einem Rechtsanwalt oder internen IT-Experten anvertraut wird.“

Das soll mir Recht sein

Es lohnt sich also, wenn man sich frühzeitig Gedanken über den eigenen Bildungs- beziehungsweise Fortbildungsweg macht, falls man im Bereich Datenschutz/Privacy/Compliance Fuß fassen will. Wer sich zum Datenschutzbeauftragten fortbilden möchte, muss nicht gleich ein Jurastudium aufnehmen, so ganz einfach nebenbei lässt sich solch ein verantwortungsvoller Job aber auch nicht erledigen. Aber welchen Weg man auch einschlägt: Die Chancen auf eine erfolgreiche Karriere stehen auf absehbare Zeit gut.

David Schahinian neu.JPG

David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.

Nützliche Links