Coming soon ... IT Summit by heise

Datenschutzbeauftragter, Teil 1: Was ein Datenschutz­beauftragter können muss

Die Vorgaben der Aufsichtsbehörden sind eindeutig: Ein Daten­schutz­beauftragter ist erstens anständig und zweitens vom Start weg ein Universal­genie in Sachen Recht, Technik, Organisation und Planung. Damit seine umfassenden Kenntnisse stets aktuell bleiben, sind laufend Fortbildungen vorgesehen.

Kann alles, weiß alles und lernt noch dazu

Von Oliver Schonschek

Gesetzestexte sind nicht leicht zu lesen und schrecken viele erst einmal ab. Wer trotzdem einen Blick in das Bundesdatenschutzgesetz (BDSG) wagt, stellt fest, dass es im Vergleich zu manch anderen Gesetzen gar nicht so umfangreich ist. Es scheint so, als seien die Grundlagen des Datenschutzes in halbwegs vertretbarer Zeit zu lesen. Das ist aber nicht einmal die halbe Wahrheit.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Wer als Datenschutzbeauftragter (DSB) tätig werden will oder soll, muss mehr kennen, als „nur“ das BDSG. So haben auch die einzelnen Bundesländer eigene Datenschutzgesetze. Zudem gibt es eine Vielzahl von branchenspezifischen Richtlinien, Empfehlungen, Orientierungshilfen und sogenannte Entschließungen der Aufsichtsbehörden für den Datenschutz.

Erforderliche Kenntnisse nach Schutzbedarf

Das BDSG selbst enthält keine genaue Auflistung der notwendigen Kenntnisse, die man als Beauftragter für den Datenschutz (§ 4f BDSG) haben soll. Stattdessen steht dort, dass zum Beauftragten für den Datenschutz nur bestellt werden darf, „wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt“, und zwar bereits zum Zeitpunkt der Bestellung.

Über die „erforderliche Fachkunde“ sagt der Gesetzgeber lediglich, dass sie sich „insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten“ bestimmt. Das ist so weit logisch: Je mehr personenbezogene Daten verarbeitet werden und je sensibler und bedrohter diese Daten sind, desto mehr muss der Datenschutzbeauftragte auch über den notwendigen Schutz wissen. Das gilt z.B. in besonderem Maß für Patienten- oder Finanzdaten von Kunden, aber auch für die massenhafte Verarbeitung von Adressdaten.

Serie: Datenschutzbeauftragter
Teil 1 beginnt damit, wie sich das Gesetz einen DSB vorstellt: als Alleskönner mit Fortbildungshunger. Teil 2 widmet sich der Aufgabenplanung für die schwierige Doppelrolle: Beschäftigter und Beauftragter zugleich. Teil 3 geht schließlich genauer auf die besondere Stellung im Betrieb ein und erklärt, welche Sonderrechte ein DSB genießt.

Umfassende Mindestanforderungen

Während das BDSG nur generelle Aussagen zu den notwendigen Kenntnissen eines Datenschutzbeauftragten macht, haben die obersten Aufsichtsbehörden für den nicht-öffentlichen Bereich genauere Hinweise gegeben. Der Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 nennt in den „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)“ insbesondere diese Voraussetzungen:

  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle;
  • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art;
  • Kenntnisse des Anwendungsbereichs datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG;
  • umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind;
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit;
  • betriebswirtschaftliche Grundkompetenz sowie
  • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle und Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle.

Das klingt nicht nur nach viel, das ist auch eine ganze Menge.

Das Unternehmen übernimmt die Fortbildung

Während der oder die Datenschutzbeauftragte bereits bei der Bestellung die erforderliche Fachkunde besitzen soll, müssen die Kenntnisse auch aktuell gehalten und weiterentwickelt werden. Hier ist der Arbeitgeber als verantwortliche Stelle für den Datenschutz gemäß § 4f, Abs. 3 BDSG in der Pflicht:

„Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.“

Dieses gesetzlich verbriefte Angebot für Fortbildungen sollten Datenschutzbeauftragte auch nutzen. Denn gerade die Technik, die ein DSB zumindest grundlegend verstehen können muss, entwickelt sich sehr dynamisch. Wer hier nicht am Ball bleibt, gerät mit dem Schutz der personenbezogenen Daten bald ins Schleudern.

Auf die nicht immer leichte Doppelrolle als Beschäftigter und Datenschutzbeauftragter geht Teil 2 dieser Serie genauer ein. Teil 3 erklärt schließlich, welche besonderen Rechte das BDSG dem Datenschutzbeauftragten zu Erfüllung seiner Aufgaben zugesteht.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links