Kurse für betriebliche Daten­schutz­beauftragte: Fach­kräfte für sensible Daten

Wozu braucht man Daten­schutz­beauftragte? Welche Daten sollen sie schützen?

Fast jede Organisation – ob Unternehmen, Behörde oder Verband – verarbeitet heute personenbezogene Daten. Das können Daten von Kunden, Patienten oder Versicherten sein, von Lieferanten oder Geschäfts­part­nern, von Mitarbeitern oder Bewerbern. Bund und Länder haben Gesetze und Vorschriften erlassen, wie mit sensiblen Daten wie diesen umzu­gehen ist. Ein Daten­schutz­beauftragter soll sicher stellen, dass sich die Organisation, für die er tätig ist, an die Gesetze hält.

Wann benötigt ein Unternehmen einen Daten­schutz­beauftragten?

Ein Daten­schutz­beauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „auto­matisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätig­keit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundes­daten­schutz­gesetz (§4f BDSG).

Ist ein Daten­schutz­beauftragter verzicht­bar, wenn es keine Computer im Unternehmen gibt?

Nein. Auch wenn personenbezogene Daten „nicht auto­matisiert“, also etwa mithilfe von Karteikästen, verarbeitet werden, ist ein Daten­schutz­beauftragter erforderlich. Die Vorschrift greift in diesem Fall aber erst dann, wenn mindestens 20 Mitarbeiter ständig auf diese Daten zugreifen.

Wer im Unternehmen ist für den Daten­schutz verantwort­lich?

Daten­schutz ist Chefsache. Verantwort­lich ist die Geschäfts­führung. Sie muss aus dem Kreis der Mitarbeiter einen geeigneten Kandidaten zum betrieblichen Daten­schutz­beauftragten „bestellen“. Der Daten­schutz­beauftragte ist der Geschäfts­führung unmittel­bar unterstellt. Falls intern die Ressourcen fehlen, kann die Geschäfts­führung auch einen externen Daten­schutz­beauftragten engagieren.

Wie ist der betriebliche Daten­schutz­beauftragte zu bestellen?

Laut Gesetz muss das schriftlich geschehen, und zwar inner­halb eines Monats, nachdem mit der auto­matisierten Daten­ver­arbeitung begonnen wurde. Falls ein Unternehmen, die Bestellung versäumt, kann die zuständige Aufsichts­behörde, die es in jedem Bundes­land gibt, Bußgelder von bis zu 50 000 Euro verhängen.

Tipp: Informationen rund um die Bestellung sind zum Beispiel in der Broschüre Die Datenschutzbeauftragten in Behörde und Betrieb der Bundes­beauftragten für den Daten­schutz und die Informations­freiheit zu finden.

Welche Aufgaben haben betriebliche Daten­schutz­beauftragte?

Der Daten­schutz­beauftragte ist das inner­betriebliche Kontroll­organ in allen Daten­schutz­fragen. Er wirkt darauf hin, dass im Unternehmen die Gesetze einge­halten werden. Zum Beispiel stellt er sicher, dass die erfassten Daten auch tatsäch­lich für den vorgesehenen Zweck genutzt werden. So darf eine Firma beispiels­weise die Daten von ihren Abonnenten nur für die Kauf­abwick­lung nutzen und nicht für unerwünschte Werbung. Außerdem schult der Daten­schutz­beauftragte die Mitarbeiter und verpflichtet sie auf das Daten­geheimnis. Kollegen und Abtei­lungen anweisen darf er aber nicht.

Tipp: Die Gesell­schaft für Daten­schutz und Daten­sicherheit hat die Broschüre Hilfe – Ich soll Datenschutzbeauftragter werden heraus­gegeben. Sie informiert über die Aufgaben von Daten­schutz­beauftragten.

Warum werden Daten­schutz­beauftragte manchmal als „zahnlose Tiger“ bezeichnet?

Der Daten­schutz­beauftragte berät die Geschäfts­führung und gibt Hand­lungs­empfehlungen in Sachen Daten­schutz. Werden seine Vorschläge ignoriert, hat er wenig Möglich­keiten, sie durch­zusetzen. Deshalb ist vom „zahnlosen Tiger“ die Rede.

Ein rigoroses Druck­mittel hat der Daten­schutz­beauftragte allerdings: Sollte das Unternehmen gegen Vorschriften zum Daten­schutz verstoßen, kann und muss er die zuständige Aufsichts­behörde informieren.

Wer kann Daten­schutz­beauftragter werden?

Das Gesetz fordert von Kandidaten zwei Dinge, und zwar „Zuver­lässig­keit“ und „Fach­kunde“. Was darunter im Einzelnen zu verstehen ist, erläutert der Gesetz­geber leider nicht. Aufschluss gibt zum Beispiel das berufliche Leit­bild, das der Berufs­verband der Daten­schutz­beauftragten Deutsch­lands (BvD) entwickelt hat. Zu den fachlichen Voraus­setzungen gehören danach Kennt­nisse des Daten­schutz­rechts sowie IT-Wissen. Wichtig sind aber auch betriebs­wirt­schaftliche Kennt­nisse, um etwa die Bedeutung der betriebs­internen Informations­flüsse im Hinblick auf den Daten­schutz einschätzen zu können. Außerdem brauchen Daten­schutz­beauftragte über­fachliche Kompetenzen wie pädagogische und kommunikative Fähig­keiten. Schließ­lich müssen sie ja den Mitarbeitern das Thema Daten­schutz nahe bringen und sie schulen.

Tipp: Das berufliche Leit­bild des BvD können Sie auf www.bvdnet.de herunter­laden.

Wer eignet sich nicht?

Nicht geeignet sind Personen, die aufgrund ihrer Position im Unternehmen in Interes­senkonflikte geraten könnten. So darf ein Geschäfts­führer zum Beispiel nicht Daten­schutz­beauftragter seines Unter­nehmens sein. Unge­eignet sind darüber hinaus Mitarbeiter und insbesondere Führungs­kräfte aus der Personal-, IT- und Rechts­abteilung, aus Marketing und Vertrieb und über­haupt aus allen Bereichen, in denen besonders viele oder sehr sensible Daten verarbeitet werden.

Wie lässt sich die erforderliche Fach­kunde aneignen?

Eine geregelte Ausbildung existiert nicht. Es gibt aber jede Menge Einstiegs­kurse für Interes­sierte. Von eintägigen Veranstaltungen bis zu mehr als dreiwöchigen Lehr­gängen ist alles dabei. (Siehe auch die Grafik zum aktuellen Test.) Nach Ansicht der Stiftung Warentest ist ein Kurs von fünf Tagen Dauer für Einsteiger allerdings das absolute Minimum, um den komplexen Aufgaben in der Praxis gewachsen zu sein. Im Test schnitten die meisten der neun geprüften Fünf­tages­kurse mit solider Qualität ab, siehe Tabelle.

Reicht ein Einsteigerkurs aus, um den Job des Daten­schutz­beauftragten dauer­haft machen zu können?

Nein, denn Gesetze und Technologien ändern sich. Wer seinen Job gut machen möchte, muss sein Wissen regel­mäßig aktualisieren und vertiefen. Entsprechende Kurse gibt es zur Genüge. Die Anbieter der neun geprüften Lehr­gänge im Test haben in der Regel auch Kurse zur Vertiefung im Programm.

Wer über­nimmt die Kosten für die Weiterbildungen?

Hier ist das Unternehmen in der Pflicht. Auch Kosten für Fachlektüre sowie Beiträge zu Berufs­verbänden muss der Arbeit­geber tragen. Im Übrigen fordert der Gesetz­geber auch, dass dem Daten­schutz­beauftragten angemessene Arbeits­mittel zur Verfügung zu stellen sind. Dazu gehören zum Beispiel ein geeigneter Raum, in dem er vertrauliche Gespräche führen kann, sowie Computer, Telefon und Drucker.

Ist die Tätig­keit eine Voll­zeit­beschäftigung?

Das ist abhängig von der Unter­nehmens­größe. Die meisten betrieblichen Daten­schutz­beauftragten nehmen die Aufgabe zu einem bestimmten Prozent­satz neben ihrer eigentlichen Beschäftigung wahr.

Wer kontrolliert den Daten­schutz­beauftragten?

In jedem Bundes­land gibt es Aufsichts­behörden für den Daten­schutz. Sie über­prüfen, ob die Unternehmen die gesetzlichen Bestimmungen einhalten und verlangen gegebenenfalls, dass Mängel beseitigt werden. Bei groben Verstößen können sie auch Bußgelder verhängen und verlangen, dass der betriebliche Daten­schutz­beauftragte abge­setzt wird.