
Ein Datenschutzbeauftragter berät seinen Chef und gibt Empfehlungen, anweisen darf er nichts. Eine verantwortungsvolle Aufgabe ist es dennoch.
Alle Testergebnisse für Weiterbildung zum betrieblichen Datenschutzbeauftragten 11/2014
Wozu braucht man Datenschutzbeauftragte? Welche Daten sollen sie schützen?
Fast jede Organisation – ob Unternehmen, Behörde oder Verband – verarbeitet heute personenbezogene Daten. Das können Daten von Kunden, Patienten oder Versicherten sein, von Lieferanten oder Geschäftspartnern, von Mitarbeitern oder Bewerbern. Bund und Länder haben Gesetze und Vorschriften erlassen, wie mit sensiblen Daten wie diesen umzugehen ist. Ein Datenschutzbeauftragter soll sicher stellen, dass sich die Organisation, für die er tätig ist, an die Gesetze hält.
Wann benötigt ein Unternehmen einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „automatisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätigkeit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundesdatenschutzgesetz (§4f BDSG).
Ist ein Datenschutzbeauftragter verzichtbar, wenn es keine Computer im Unternehmen gibt?
Nein. Auch wenn personenbezogene Daten „nicht automatisiert“, also etwa mithilfe von Karteikästen, verarbeitet werden, ist ein Datenschutzbeauftragter erforderlich. Die Vorschrift greift in diesem Fall aber erst dann, wenn mindestens 20 Mitarbeiter ständig auf diese Daten zugreifen.
Wer im Unternehmen ist für den Datenschutz verantwortlich?
Datenschutz ist Chefsache. Verantwortlich ist die Geschäftsführung. Sie muss aus dem Kreis der Mitarbeiter einen geeigneten Kandidaten zum betrieblichen Datenschutzbeauftragten „bestellen“. Der Datenschutzbeauftragte ist der Geschäftsführung unmittelbar unterstellt. Falls intern die Ressourcen fehlen, kann die Geschäftsführung auch einen externen Datenschutzbeauftragten engagieren.
Wie ist der betriebliche Datenschutzbeauftragte zu bestellen?
Laut Gesetz muss das schriftlich geschehen, und zwar innerhalb eines Monats, nachdem mit der automatisierten Datenverarbeitung begonnen wurde. Falls ein Unternehmen, die Bestellung versäumt, kann die zuständige Aufsichtsbehörde, die es in jedem Bundesland gibt, Bußgelder von bis zu 50 000 Euro verhängen.
Tipp: Informationen rund um die Bestellung sind zum Beispiel in der Broschüre Die Datenschutzbeauftragten in Behörde und Betrieb der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu finden.
Welche Aufgaben haben betriebliche Datenschutzbeauftragte?
Der Datenschutzbeauftragte ist das innerbetriebliche Kontrollorgan in allen Datenschutzfragen. Er wirkt darauf hin, dass im Unternehmen die Gesetze eingehalten werden. Zum Beispiel stellt er sicher, dass die erfassten Daten auch tatsächlich für den vorgesehenen Zweck genutzt werden. So darf eine Firma beispielsweise die Daten von ihren Abonnenten nur für die Kaufabwicklung nutzen und nicht für unerwünschte Werbung. Außerdem schult der Datenschutzbeauftragte die Mitarbeiter und verpflichtet sie auf das Datengeheimnis. Kollegen und Abteilungen anweisen darf er aber nicht.
Tipp: Die Gesellschaft für Datenschutz und Datensicherheit hat die Broschüre Hilfe – Ich soll Datenschutzbeauftragter werden herausgegeben. Sie informiert über die Aufgaben von Datenschutzbeauftragten.
Warum werden Datenschutzbeauftragte manchmal als „zahnlose Tiger“ bezeichnet?
Der Datenschutzbeauftragte berät die Geschäftsführung und gibt Handlungsempfehlungen in Sachen Datenschutz. Werden seine Vorschläge ignoriert, hat er wenig Möglichkeiten, sie durchzusetzen. Deshalb ist vom „zahnlosen Tiger“ die Rede.
Ein rigoroses Druckmittel hat der Datenschutzbeauftragte allerdings: Sollte das Unternehmen gegen Vorschriften zum Datenschutz verstoßen, kann und muss er die zuständige Aufsichtsbehörde informieren.
Wer kann Datenschutzbeauftragter werden?
Das Gesetz fordert von Kandidaten zwei Dinge, und zwar „Zuverlässigkeit“ und „Fachkunde“. Was darunter im Einzelnen zu verstehen ist, erläutert der Gesetzgeber leider nicht. Aufschluss gibt zum Beispiel das berufliche Leitbild, das der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) entwickelt hat. Zu den fachlichen Voraussetzungen gehören danach Kenntnisse des Datenschutzrechts sowie IT-Wissen. Wichtig sind aber auch betriebswirtschaftliche Kenntnisse, um etwa die Bedeutung der betriebsinternen Informationsflüsse im Hinblick auf den Datenschutz einschätzen zu können. Außerdem brauchen Datenschutzbeauftragte überfachliche Kompetenzen wie pädagogische und kommunikative Fähigkeiten. Schließlich müssen sie ja den Mitarbeitern das Thema Datenschutz nahe bringen und sie schulen.
Tipp: Das berufliche Leitbild des BvD können Sie auf www.bvdnet.de herunterladen.
Wer eignet sich nicht?
Nicht geeignet sind Personen, die aufgrund ihrer Position im Unternehmen in Interessenkonflikte geraten könnten. So darf ein Geschäftsführer zum Beispiel nicht Datenschutzbeauftragter seines Unternehmens sein. Ungeeignet sind darüber hinaus Mitarbeiter und insbesondere Führungskräfte aus der Personal-, IT- und Rechtsabteilung, aus Marketing und Vertrieb und überhaupt aus allen Bereichen, in denen besonders viele oder sehr sensible Daten verarbeitet werden.
Wie lässt sich die erforderliche Fachkunde aneignen?
Eine geregelte Ausbildung existiert nicht. Es gibt aber jede Menge Einstiegskurse für Interessierte. Von eintägigen Veranstaltungen bis zu mehr als dreiwöchigen Lehrgängen ist alles dabei. (Siehe auch die Grafik zum aktuellen Test.) Nach Ansicht der Stiftung Warentest ist ein Kurs von fünf Tagen Dauer für Einsteiger allerdings das absolute Minimum, um den komplexen Aufgaben in der Praxis gewachsen zu sein. Im Test schnitten die meisten der neun geprüften Fünftageskurse mit solider Qualität ab, siehe Tabelle.
Reicht ein Einsteigerkurs aus, um den Job des Datenschutzbeauftragten dauerhaft machen zu können?
Nein, denn Gesetze und Technologien ändern sich. Wer seinen Job gut machen möchte, muss sein Wissen regelmäßig aktualisieren und vertiefen. Entsprechende Kurse gibt es zur Genüge. Die Anbieter der neun geprüften Lehrgänge im Test haben in der Regel auch Kurse zur Vertiefung im Programm.
Wer übernimmt die Kosten für die Weiterbildungen?
Hier ist das Unternehmen in der Pflicht. Auch Kosten für Fachlektüre sowie Beiträge zu Berufsverbänden muss der Arbeitgeber tragen. Im Übrigen fordert der Gesetzgeber auch, dass dem Datenschutzbeauftragten angemessene Arbeitsmittel zur Verfügung zu stellen sind. Dazu gehören zum Beispiel ein geeigneter Raum, in dem er vertrauliche Gespräche führen kann, sowie Computer, Telefon und Drucker.
Ist die Tätigkeit eine Vollzeitbeschäftigung?
Das ist abhängig von der Unternehmensgröße. Die meisten betrieblichen Datenschutzbeauftragten nehmen die Aufgabe zu einem bestimmten Prozentsatz neben ihrer eigentlichen Beschäftigung wahr.
Wer kontrolliert den Datenschutzbeauftragten?
In jedem Bundesland gibt es Aufsichtsbehörden für den Datenschutz. Sie überprüfen, ob die Unternehmen die gesetzlichen Bestimmungen einhalten und verlangen gegebenenfalls, dass Mängel beseitigt werden. Bei groben Verstößen können sie auch Bußgelder verhängen und verlangen, dass der betriebliche Datenschutzbeauftragte abgesetzt wird.
-
- Berufliche Weiterbildung ist oft teuer. Für Arbeitnehmer, Arbeitslose und Selbstständige gibt es Fördergelder. Unsere Checkliste hilft bei der Kurs-Suche.
-
- Eine berufliche Weiterbildung verbessert für Arbeitssuchende die Chancen auf einen Job. Doch die Arbeitsagentur fördert eine Qualifizierung nur unter Bedingungen.
-
- Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung,...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@dummdiedei
Die Frage wird unter "14 Fragen zum Berufsbild" beantwortet: Ein Datenschutzbeauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „automatisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätigkeit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundesdatenschutzgesetz. (aci)
"Wann brauchen Betriebe einen Datenschutzbeauftragten ...?"
Tät' mich schon interessieren, wann denn ein Datenschutzbeauftragter gesetzlich vorgesehen ist, leider ist das in der Einleitung zum Artikel oder anderswo auf Ihren Internetseiten nicht zu finden (oder?). Der § 4f ist für meine bescheidenen Verhältnisse nicht verständlich. Wenn ich Bedarf hätte, dann würde ich den Artikel kaufen; wird die Frage aus der Werbemail im kostenpflichtigen Artikel beantwortet?
@udisAkademie: Wir betonen in dem Artikel ausdrücklich, dass fünftägige Kurse das Minimum für den Einstieg sind und Lehrgänge mit dieser Dauer ihre Grenzen haben. Ein Einsteigerkurs ist nur der Anfang und er genügt nicht, um den Anforderungen als Datenschutzbeauftragter dauerhaft gerecht zu werden, heißt es im Artikel. Wer seinen Job gut machen möchte, muss sich stetig weiterqualifizieren. Zu dieser Auffassung sind wir u.a. durch die Diskussion mit unabhängigen, externen Experten gekommen, z.B. im satzungsgemäß durchgeführten Fachbeirat mit neutralen Vertretern (z.B. Wissenschaftlern und Verbandsvertretern), Anbieter- und Verbrauchervertretern. Insofern ist in der Untersuchung selbstverständlich die Auffassung von unabhängigen Vertretern integriert. (aci)
Kommentar vom Autor gelöscht.
Der Artikel berücksichtigt nicht die Auffassung von unabhängigen Datenschutzexperten z.B. des Berufsverbandes der Datenschutzbeauftagten Deutschlands e.V. (www.bvdnet.de) noch die Mindestanforderungen an die Fachkunde von Datenschutzbeauftragten, wie sie die Aufsichtsbehörden festgelegt haben (siehe Webseite der Bundesbeauftragten für den Datenschutz unter Infothek (www.bfdi.bund.de). Nach einer entsprechenden Studie der Uni Oldenburg sind 3 Wochen das Minimum zum Erwerb der Fachkunde. Im Augenblick gibt es nur 2 Anbieter, die das professionell machen: Die GDD (www.gdd.de) und udis (www.udis.de). Der test-Artikel geht also an den Erfordernissen vorbei. Er ist ausgesprochen schlecht recherchiert.