Kurse für betriebliche Daten­schutz­beauftragte

Berufs­bild: Der Daten­schutz­beauftragte – ein zahnloser Tiger?

4
Kurse für betriebliche Daten­schutz­beauftragte - Fach­kräfte für sensible Daten

Ein Daten­schutz­beauftragter berät seinen Chef und gibt Empfehlungen, anweisen darf er nichts. Eine verantwortungs­volle Aufgabe ist es dennoch.

Kurse für betriebliche Daten­schutz­beauftragte Alle Testergebnisse für Weiterbildung zum betrieblichen Datenschutzbeauftragten 11/2014

Wozu braucht man Daten­schutz­beauftragte? Welche Daten sollen sie schützen?

Fast jede Organisation – ob Unternehmen, Behörde oder Verband – verarbeitet heute personenbezogene Daten. Das können Daten von Kunden, Patienten oder Versicherten sein, von Lieferanten oder Geschäfts­part­nern, von Mitarbeitern oder Bewerbern. Bund und Länder haben Gesetze und Vorschriften erlassen, wie mit sensiblen Daten wie diesen umzu­gehen ist. Ein Daten­schutz­beauftragter soll sicher stellen, dass sich die Organisation, für die er tätig ist, an die Gesetze hält.

Wann benötigt ein Unternehmen einen Daten­schutz­beauftragten?

Ein Daten­schutz­beauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „auto­matisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätig­keit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundes­daten­schutz­gesetz (§4f BDSG).

Ist ein Daten­schutz­beauftragter verzicht­bar, wenn es keine Computer im Unternehmen gibt?

Nein. Auch wenn personenbezogene Daten „nicht auto­matisiert“, also etwa mithilfe von Karteikästen, verarbeitet werden, ist ein Daten­schutz­beauftragter erforderlich. Die Vorschrift greift in diesem Fall aber erst dann, wenn mindestens 20 Mitarbeiter ständig auf diese Daten zugreifen.

Wer im Unternehmen ist für den Daten­schutz verantwort­lich?

Daten­schutz ist Chefsache. Verantwort­lich ist die Geschäfts­führung. Sie muss aus dem Kreis der Mitarbeiter einen geeigneten Kandidaten zum betrieblichen Daten­schutz­beauftragten „bestellen“. Der Daten­schutz­beauftragte ist der Geschäfts­führung unmittel­bar unterstellt. Falls intern die Ressourcen fehlen, kann die Geschäfts­führung auch einen externen Daten­schutz­beauftragten engagieren.

Wie ist der betriebliche Daten­schutz­beauftragte zu bestellen?

Laut Gesetz muss das schriftlich geschehen, und zwar inner­halb eines Monats, nachdem mit der auto­matisierten Daten­ver­arbeitung begonnen wurde. Falls ein Unternehmen, die Bestellung versäumt, kann die zuständige Aufsichts­behörde, die es in jedem Bundes­land gibt, Bußgelder von bis zu 50 000 Euro verhängen.

Tipp: Informationen rund um die Bestellung sind zum Beispiel in der Broschüre Die Datenschutzbeauftragten in Behörde und Betrieb der Bundes­beauftragten für den Daten­schutz und die Informations­freiheit zu finden.

Welche Aufgaben haben betriebliche Daten­schutz­beauftragte?

Der Daten­schutz­beauftragte ist das inner­betriebliche Kontroll­organ in allen Daten­schutz­fragen. Er wirkt darauf hin, dass im Unternehmen die Gesetze einge­halten werden. Zum Beispiel stellt er sicher, dass die erfassten Daten auch tatsäch­lich für den vorgesehenen Zweck genutzt werden. So darf eine Firma beispiels­weise die Daten von ihren Abonnenten nur für die Kauf­abwick­lung nutzen und nicht für unerwünschte Werbung. Außerdem schult der Daten­schutz­beauftragte die Mitarbeiter und verpflichtet sie auf das Daten­geheimnis. Kollegen und Abtei­lungen anweisen darf er aber nicht.

Tipp: Die Gesell­schaft für Daten­schutz und Daten­sicherheit hat die Broschüre Hilfe – Ich soll Datenschutzbeauftragter werden heraus­gegeben. Sie informiert über die Aufgaben von Daten­schutz­beauftragten.

Warum werden Daten­schutz­beauftragte manchmal als „zahnlose Tiger“ bezeichnet?

Der Daten­schutz­beauftragte berät die Geschäfts­führung und gibt Hand­lungs­empfehlungen in Sachen Daten­schutz. Werden seine Vorschläge ignoriert, hat er wenig Möglich­keiten, sie durch­zusetzen. Deshalb ist vom „zahnlosen Tiger“ die Rede.

Ein rigoroses Druck­mittel hat der Daten­schutz­beauftragte allerdings: Sollte das Unternehmen gegen Vorschriften zum Daten­schutz verstoßen, kann und muss er die zuständige Aufsichts­behörde informieren.

Wer kann Daten­schutz­beauftragter werden?

Das Gesetz fordert von Kandidaten zwei Dinge, und zwar „Zuver­lässig­keit“ und „Fach­kunde“. Was darunter im Einzelnen zu verstehen ist, erläutert der Gesetz­geber leider nicht. Aufschluss gibt zum Beispiel das berufliche Leit­bild, das der Berufs­verband der Daten­schutz­beauftragten Deutsch­lands (BvD) entwickelt hat. Zu den fachlichen Voraus­setzungen gehören danach Kennt­nisse des Daten­schutz­rechts sowie IT-Wissen. Wichtig sind aber auch betriebs­wirt­schaftliche Kennt­nisse, um etwa die Bedeutung der betriebs­internen Informations­flüsse im Hinblick auf den Daten­schutz einschätzen zu können. Außerdem brauchen Daten­schutz­beauftragte über­fachliche Kompetenzen wie pädagogische und kommunikative Fähig­keiten. Schließ­lich müssen sie ja den Mitarbeitern das Thema Daten­schutz nahe bringen und sie schulen.

Tipp: Das berufliche Leit­bild des BvD können Sie auf www.bvdnet.de herunter­laden.

Wer eignet sich nicht?

Nicht geeignet sind Personen, die aufgrund ihrer Position im Unternehmen in Interes­senkonflikte geraten könnten. So darf ein Geschäfts­führer zum Beispiel nicht Daten­schutz­beauftragter seines Unter­nehmens sein. Unge­eignet sind darüber hinaus Mitarbeiter und insbesondere Führungs­kräfte aus der Personal-, IT- und Rechts­abteilung, aus Marketing und Vertrieb und über­haupt aus allen Bereichen, in denen besonders viele oder sehr sensible Daten verarbeitet werden.

Wie lässt sich die erforderliche Fach­kunde aneignen?

Eine geregelte Ausbildung existiert nicht. Es gibt aber jede Menge Einstiegs­kurse für Interes­sierte. Von eintägigen Veranstaltungen bis zu mehr als dreiwöchigen Lehr­gängen ist alles dabei. (Siehe auch die Grafik zum aktuellen Test.) Nach Ansicht der Stiftung Warentest ist ein Kurs von fünf Tagen Dauer für Einsteiger allerdings das absolute Minimum, um den komplexen Aufgaben in der Praxis gewachsen zu sein. Im Test schnitten die meisten der neun geprüften Fünf­tages­kurse mit solider Qualität ab, siehe Tabelle.

Reicht ein Einsteigerkurs aus, um den Job des Daten­schutz­beauftragten dauer­haft machen zu können?

Nein, denn Gesetze und Technologien ändern sich. Wer seinen Job gut machen möchte, muss sein Wissen regel­mäßig aktualisieren und vertiefen. Entsprechende Kurse gibt es zur Genüge. Die Anbieter der neun geprüften Lehr­gänge im Test haben in der Regel auch Kurse zur Vertiefung im Programm.

Wer über­nimmt die Kosten für die Weiterbildungen?

Hier ist das Unternehmen in der Pflicht. Auch Kosten für Fachlektüre sowie Beiträge zu Berufs­verbänden muss der Arbeit­geber tragen. Im Übrigen fordert der Gesetz­geber auch, dass dem Daten­schutz­beauftragten angemessene Arbeits­mittel zur Verfügung zu stellen sind. Dazu gehören zum Beispiel ein geeigneter Raum, in dem er vertrauliche Gespräche führen kann, sowie Computer, Telefon und Drucker.

Ist die Tätig­keit eine Voll­zeit­beschäftigung?

Das ist abhängig von der Unter­nehmens­größe. Die meisten betrieblichen Daten­schutz­beauftragten nehmen die Aufgabe zu einem bestimmten Prozent­satz neben ihrer eigentlichen Beschäftigung wahr.

Wer kontrolliert den Daten­schutz­beauftragten?

In jedem Bundes­land gibt es Aufsichts­behörden für den Daten­schutz. Sie über­prüfen, ob die Unternehmen die gesetzlichen Bestimmungen einhalten und verlangen gegebenenfalls, dass Mängel beseitigt werden. Bei groben Verstößen können sie auch Bußgelder verhängen und verlangen, dass der betriebliche Daten­schutz­beauftragte abge­setzt wird.

4

Mehr zum Thema

4 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Profilbild Stiftung_Warentest am 28.11.2014 um 08:29 Uhr
Kein Etikettenschwindel

@dummdiedei
Die Frage wird unter "14 Fragen zum Berufsbild" beantwortet: Ein Daten­schutz­beauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „auto­matisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätig­keit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundes­daten­schutz­gesetz. (aci)

dummdiedei am 27.11.2014 um 19:02 Uhr
Etikettenschwindel?

"Wann brauchen Betriebe einen Datenschutzbeauftragten ...?"
Tät' mich schon interessieren, wann denn ein Datenschutzbeauftragter gesetzlich vorgesehen ist, leider ist das in der Einleitung zum Artikel oder anderswo auf Ihren Internetseiten nicht zu finden (oder?). Der § 4f ist für meine bescheidenen Verhältnisse nicht verständlich. Wenn ich Bedarf hätte, dann würde ich den Artikel kaufen; wird die Frage aus der Werbemail im kostenpflichtigen Artikel beantwortet?

Profilbild Stiftung_Warentest am 27.11.2014 um 16:28 Uhr
In 5 Tagen keine Fachkunde im Datenschutz

@udisAkademie: Wir betonen in dem Artikel ausdrücklich, dass fünftägige Kurse das Minimum für den Einstieg sind und Lehrgänge mit dieser Dauer ihre Grenzen haben. Ein Einsteigerkurs ist nur der Anfang und er genügt nicht, um den Anforderungen als Datenschutzbeauftragter dauerhaft gerecht zu werden, heißt es im Artikel. Wer seinen Job gut machen möchte, muss sich stetig weiterqualifizieren. Zu dieser Auffassung sind wir u.a. durch die Diskussion mit unabhängigen, externen Experten gekommen, z.B. im satzungsgemäß durchgeführten Fachbeirat mit neutralen Vertretern (z.B. Wissenschaftlern und Verbandsvertretern), Anbieter- und Verbrauchervertretern. Insofern ist in der Untersuchung selbstverständlich die Auffassung von unabhängigen Vertretern integriert. (aci)

mieterverein am 27.11.2014 um 12:32 Uhr

Kommentar vom Autor gelöscht.

udisAkademie am 27.11.2014 um 12:29 Uhr
In 5 Tagen keine Fachkunde im Datenschutz

Der Artikel berücksichtigt nicht die Auffassung von unabhängigen Datenschutzexperten z.B. des Berufsverbandes der Datenschutzbeauftagten Deutschlands e.V. (www.bvdnet.de) noch die Mindestanforderungen an die Fachkunde von Datenschutzbeauftragten, wie sie die Aufsichtsbehörden festgelegt haben (siehe Webseite der Bundesbeauftragten für den Datenschutz unter Infothek (www.bfdi.bund.de). Nach einer entsprechenden Studie der Uni Oldenburg sind 3 Wochen das Minimum zum Erwerb der Fachkunde. Im Augenblick gibt es nur 2 Anbieter, die das professionell machen: Die GDD (www.gdd.de) und udis (www.udis.de). Der test-Artikel geht also an den Erfordernissen vorbei. Er ist ausgesprochen schlecht recherchiert.