Kurse für betriebliche Daten­schutz­beauftragte Fach­kräfte für sensible Daten

4
Kurse für betriebliche Daten­schutz­beauftragte - Fach­kräfte für sensible Daten

Viele Betriebe riskieren hohe Geldbußen, weil sie keinen Daten­schutz­beauftragten haben. Dabei vermitteln Einsteiger­kurse die nötigen Fachkennt­nisse oft recht gut. Neun haben wir getestet.

Kurse für betriebliche Daten­schutz­beauftragte Alle Testergebnisse für Weiterbildung zum betrieblichen Datenschutzbeauftragten 11/2014

Die Nach­richt beunruhigt: Zehn Prozent der Betriebe in Deutsch­land haben keinen Daten­schutz­beauftragten, obwohl sie per Gesetz dazu verpflichtet wären. Zu diesem Ergebnis kommt eine Studie, für die der Tüv Süd und die Ludwig-Maximilians-Universität München vor allem mittel­stän­dische Unternehmen befragt haben. „Damit fehlt den Unternehmen nicht nur ein wichtiges Element des Daten­schutz­managements“, heißt es in der Presse­mitteilung zur Studie. „Es liegt auch ein Gesetzes­verstoß vor, für den hohe Bußgelder verhängt werden können.“

Die meisten Kurse führten gut in die komplexe Materie ein

Laut Bundes­daten­schutz­gesetz (§4f BDSG) ist die Bestellung eines Daten­schutz­beauftragten Pflicht, sobald mindestens zehn Mitarbeiter im Betrieb personenbezogene Daten „auto­matisiert“, also mithilfe von Computern, verarbeiten. Die Geschäfts­führung kann einen externen Experten beauftragen. Möglich ist aber auch, unter den Beschäftigten einen Mitarbeiter zum so genannten betrieblichen Daten­schutz­beauftragten zu bestellen, siehe 14 Fragen zum Berufsbild. Die erforderlichen Fachkennt­nisse kann sich der auserwählte Mitarbeiter gut per Weiterbildung aneignen, wie unser aktueller Test zeigt. Neun Einsteiger­kurse für betriebliche Daten­schutz­beauftragte haben die Weiterbildungs­experten der Stiftung Warentest untersucht. Mit Preisen von 590 bis 2 970 Euro waren die Lehr­gänge zwar nicht gerade billig, doch die meisten führten gut in die komplexe Materie ein. Beim wichtigsten Prüf­punkt Kurs­durch­führung – hier wurden die Inhalte, ihre Vermitt­lung und das Lehr­material bewertet – erreichten fünf Lehr­gänge eine hohe Qualität. DataSecurity (ehemals Dabulo), konnten wir sogar eine sehr hohe Qualität der Kurs­durch­führung bescheinigen.

Keine geregelte Ausbildung

Was muss ein betrieblicher Daten­schutz­beauftragter wissen und können? Der Gesetz­geber bleibt da vage. „Zuver­lässig­keit“ und „Fach­kunde“ benötige der Beauftragte für den Daten­schutz, heißt es im Gesetz. Doch was genau darunter zu verstehen ist, bleibt offen.

Wo es keine geregelte Ausbildung gibt, füllen Bildungs­institute mit eigenen Lehr­plänen die Lücke. Das Angebot ist verwirrend vielfältig. Preise, Dauer und Inhalte variieren enorm.

Fünf Tage sind das Minimum

Kurse für betriebliche Daten­schutz­beauftragte - Fach­kräfte für sensible Daten

© Stiftung Warentest

Die Stiftung Warentest hat den Weiterbildungs­markt zum Thema durch­forstet und 72 Einstiegs­kurse für betriebliche Daten­schutz­beauftragte entdeckt. Außerdem gibt es Kurse zur Vertiefung und solche für den Über­blick. Zu den Anbietern gehören vor allem kommerzielle Bildungs­institute sowie Industrie- und Handels­kammern (IHK). Die Grafik zeigt: Die meisten Angebote für Einsteiger sind Kurse mit einer Dauer von ein bis vier Tagen. Für unseren Test haben wir ausschließ­lich fünf­tägige Kurse ausgewählt, siehe So haben wir getestet. Denn so viel Zeit muss nach Ansicht der Experten der Stiftung Warentest mindestens sein, um in dieses weite Themen­feld einzuführen.

Einschlägiges Wissen in Recht und IT

Daten­schutz­beauftragte benötigen einschlägige juristische Kennt­nisse und fundiertes IT-Wissen. Was ein Kurs in fünf Tagen an Inhalten vermitteln sollte, hat die Stiftung Warentest vor dem Test definiert, siehe Was sein guter Test bieten sollte.

Im Hinblick auf die Themen machten fast alle Kurse im Test ihre Sache gut. Die Dozenten behandelten das erforderliche Spektrum an Inhalten – von den Anforderungen an Daten­schutz­beauftragte bis zu relevanten Gesetzes­texten.

Nur das Thema Daten­schutz­dokumentation hätte ausführ­licher besprochen werden können, genauso wie der tech­nische Daten­schutz. Darauf sollte neben dem Daten­schutz­recht der zweite inhalt­liche Schwer­punkt liegen.

Übungen gab es selten

Was hier und dort künftig besser klappen darf, ist die Vermitt­lung der Inhalte. Die Gestaltung des Unterrichts beschränkte sich oft auf Powerpoint-Präsentationen und Vorträge der Dozenten. Da wäre mehr Abwechs­lung gefragt. Vor allem bei der IHK Südthüringen war der Unter­richt eintönig und zudem ohne erkenn­bares Konzept.

Doch nicht nur dort blieben Übungen selten. Dabei sind sie mach­bar. Bei DataSecurity etwa diskutierten die Teilnehmer anhand der Comic-Zeichnung eines chaotisch anmutenden Büros, wo der Daten­schutz miss­achtet wird. Bei der IHK-Akademie Koblenz und der IHK Zetis übten die Kurs­besucher, Daten­schutz­erklärungen für Webseiten und Newsletter zu formulieren, und erarbeiteten, was beim Umzug einer Firma von einem Bundes­land in ein anderes daten­schutz­recht­lich zu beachten ist.

20 Teilnehmer sind zu viel

Für die Tüv Süd Akademie gab es Abzüge im Prüf­punkt Vermitt­lung, weil die Teilnehmergruppe mit 20 Personen zu groß war. Auch Filges Daten­schutz und die Tüv Rhein­land Akademie gaben an, maximal 20 Personen zum Lehr­gang zuzu­lassen. Tatsäch­lich war die Teilnehmerzahl dann aber nied­riger.

Mehr als 15 Teilnehmer sollte die Gruppe nicht umfassen, es sei denn, es sind zwei Dozenten anwesend. Ist der Kreis zu groß, wird es für den Kurs­leiter schwierig, auf die Bedürf­nisse einzelner Personen einzugehen. Das ist aber beim Thema Daten­schutz wichtig, denn die Teilnehmer bringen sehr unterschiedliches Vorwissen mit. Unsere geschulten Test­personen, die die Kurse für uns inkognito besuchten, trafen auf Juristen genauso wie auf IT-Fach­kräfte.

Umfang­reiches Lehr­material

Beim Lehr­material gab es über­wiegend gute Noten. Unsere Test­personen erhielten in der Regel recht umfang­reiche Skripte von bis zu 1 370 Seiten. Manchmal gab es dazu noch ein Fach­buch. Gut gemachte Unterlagen sind wichtig, weil die Teilnehmer dann nicht nur den Unter­richt vor- und nachbereiten können, sondern auch ein Nach­schlage­werk für später haben.

Nicht über­zeugt hat das Lehr­material der IHK Südthüringen – im Prüf­punkt Kurs­durch­führung ohnehin das Schluss­licht im Test. Als Skript bekam unser Tester dort die kopierte Powerpoint-Präsentation des Dozenten an die Hand. Die etwa 70 Seiten ließen kaum Zusammenhänge erkennen. Eine schlüssige Glie­derung fehlte ebenso wie Quellen­angaben.

Nach­lässig bei der Daten­sicherheit

Dass ausgerechnet Veranstalter von Kursen für Daten­schutz­beauftragte nach­lässig in punkto Daten­sicherheit sind, gehört zu den Kuriositäten dieses Tests. DataSecurity, Filges Daten­schutz, die IHK Zetis und die Tüv Rhein­land Akademie stellten für Kontakt­anfragen oder die Online­anmeldung keine gesicherte Internet­verbindung bereit. Adressen, Geburts­daten und andere persönliche Daten, die unsere Tester in die Formulare auf den Webseiten dieser Anbieter eintippten, wurden unver­schlüsselt über­tragen. Das sollte nicht sein.

Viele rechts­widrige Vertrags­klauseln

Wenig Anlass zur Freude boten auch die Allgemeinen Geschäfts­bedingungen (AGB) der Verträge, die unsere Tester mit den Anbietern abschlossen. Über­all entdeckte unser Gutachter rechts­widrige Klauseln, die Kunden benach­teiligen. Bei sieben Anbietern waren die Mängel im „Klein­gedruckten“ deutlich oder sogar sehr deutlich.

Filges Daten­schutz und die IHK Zetis schlossen in ihren AGB Privatverbraucher als Kunden ihres Angebots aus. Das ist zwar nicht verboten, aber die Anbieter müssen dann klar und trans­parent darauf hinweisen, und zwar nicht nur im „Klein­gedruckten“, sondern zum Beispiel auch in ihren Informationen zum Kurs. Das war jedoch nicht der Fall. Außerdem müssen sie dann auch dafür sorgen, dass Verbraucher wirk­sam als Kunden ausgeschlossen werden. Unsere Test­personen, die als normale Verbraucher auftraten, konnten sich aber problemlos für die Kurse anmelden.

Faktisch schlossen Filges Daten­schutz und die IHK Zetis Privatverbraucher also nicht als Kunden aus – trotz anders­lautender AGB. Deshalb haben wir diese AGB nach den gleichen Kriterien bewertet wie alle anderen auch – nach dem strengeren AGB-Recht für Privatverbraucher.

Prüfung meist freiwil­lig

Die Lehr­gänge im Test schlossen mit einer schriftlichen Prüfung ab. Bei DataSecurity und der IHK Südthüringen war die Prüfung ein Muss, bei den anderen Anbietern war sie freiwil­lig. Meist waren Multiple-Choice-Aufgaben zu lösen oder offene Fragen zu beant­worten oder beides. Dauer und Umfang der Prüfungen variierten: Bei der Tüv Süd Akademie hatten die Teilnehmer etwa 40 Minuten Zeit, bei der IHK-Akademie Koblenz und der IHK Zetis rund drei Stunden.

Da keine allgemeingültige Prüfungs­ordnung existiert, kann jedes Bildungs­institut seine Prüfung selbst gestalten. Manchmal holen sich die Anbieter auch externe Prüfer ins Haus. Im Test waren das zum Beispiel Filges Daten­schutz und Kedua, die die Prüfung der Dekra über­trugen.

Zertifikate wenig aussagekräftig

Nach bestandener Prüfung bekamen unsere Test­personen ein Zertifikat, das in der Regel nicht viel mehr als die Kursinhalte auswies und die erfolg­reiche Teil­nahme an der Prüfung bescheinigte. Inhalte, Art, Dauer und Ergeb­nisse der Prüfung wurden meist nicht dokumentiert.

Damit können Außen­stehende anhand des Papiers nicht beur­teilen, wie anspruchs­voll die Prüfung war und was der Absolvent weiß und kann. Die Aufsichts­behörden der Bundes­länder, die die Daten­ver­arbeitung in Unternehmen und Behörden kontrollieren, verlassen sich jedenfalls im Zweifel nicht auf ein Zertifikat. Sie prüfen die Kennt­nisse von Daten­schutz­beauftragten gegebenenfalls selbst.

Eine Prüfung nur des Zertifikats wegen kann man sich also sparen, es sei denn, der Chef besteht auf so einem Nach­weis. Anderer­seits sind Leistungs­kontrollen natürlich wichtig, weil sie Aufschluss über Lern­erfolg und mögliche Lücken geben. Außerdem muss sich der Teilnehmer für die Prüfung noch einmal intensiv mit dem Stoff beschäftigen. Das erhöht die Chance, mehr Wissen aus dem Kurs mitzunehmen.

Ein Einsteigerkurs ist nur der Anfang

Unsere Tester fühlten sich nach den Kursen zwar gewappnet für erste Schritte als Daten­schützer, äußerten aber auch großen Respekt vor der Aufgabe. Klar war allen: Wer diesen Job gut machen will, muss sich stetig weiterqualifizieren. Fünf­tägige Kurse haben nun mal ihre Grenzen. Wie man etwa konkret mit Daten­pannen umgeht, lässt sich in so kurzer Zeit nicht behandeln.

Für Unternehmen sollte die Investition in den betrieblichen Daten­schutz eine Selbst­verständlich­keit sein. Ein gut qualifizierter Mitarbeiter ist immer noch der beste Schutz vor einem Daten­skandal, der Bußgelder, negative Schlagzeilen und Image­schäden nach sich ziehen kann.

4

Mehr zum Thema

4 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Profilbild Stiftung_Warentest am 28.11.2014 um 08:29 Uhr
Kein Etikettenschwindel

@dummdiedei
Die Frage wird unter "14 Fragen zum Berufsbild" beantwortet: Ein Daten­schutz­beauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „auto­matisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätig­keit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundes­daten­schutz­gesetz. (aci)

dummdiedei am 27.11.2014 um 19:02 Uhr
Etikettenschwindel?

"Wann brauchen Betriebe einen Datenschutzbeauftragten ...?"
Tät' mich schon interessieren, wann denn ein Datenschutzbeauftragter gesetzlich vorgesehen ist, leider ist das in der Einleitung zum Artikel oder anderswo auf Ihren Internetseiten nicht zu finden (oder?). Der § 4f ist für meine bescheidenen Verhältnisse nicht verständlich. Wenn ich Bedarf hätte, dann würde ich den Artikel kaufen; wird die Frage aus der Werbemail im kostenpflichtigen Artikel beantwortet?

Profilbild Stiftung_Warentest am 27.11.2014 um 16:28 Uhr
In 5 Tagen keine Fachkunde im Datenschutz

@udisAkademie: Wir betonen in dem Artikel ausdrücklich, dass fünftägige Kurse das Minimum für den Einstieg sind und Lehrgänge mit dieser Dauer ihre Grenzen haben. Ein Einsteigerkurs ist nur der Anfang und er genügt nicht, um den Anforderungen als Datenschutzbeauftragter dauerhaft gerecht zu werden, heißt es im Artikel. Wer seinen Job gut machen möchte, muss sich stetig weiterqualifizieren. Zu dieser Auffassung sind wir u.a. durch die Diskussion mit unabhängigen, externen Experten gekommen, z.B. im satzungsgemäß durchgeführten Fachbeirat mit neutralen Vertretern (z.B. Wissenschaftlern und Verbandsvertretern), Anbieter- und Verbrauchervertretern. Insofern ist in der Untersuchung selbstverständlich die Auffassung von unabhängigen Vertretern integriert. (aci)

mieterverein am 27.11.2014 um 12:32 Uhr

Kommentar vom Autor gelöscht.

udisAkademie am 27.11.2014 um 12:29 Uhr
In 5 Tagen keine Fachkunde im Datenschutz

Der Artikel berücksichtigt nicht die Auffassung von unabhängigen Datenschutzexperten z.B. des Berufsverbandes der Datenschutzbeauftagten Deutschlands e.V. (www.bvdnet.de) noch die Mindestanforderungen an die Fachkunde von Datenschutzbeauftragten, wie sie die Aufsichtsbehörden festgelegt haben (siehe Webseite der Bundesbeauftragten für den Datenschutz unter Infothek (www.bfdi.bund.de). Nach einer entsprechenden Studie der Uni Oldenburg sind 3 Wochen das Minimum zum Erwerb der Fachkunde. Im Augenblick gibt es nur 2 Anbieter, die das professionell machen: Die GDD (www.gdd.de) und udis (www.udis.de). Der test-Artikel geht also an den Erfordernissen vorbei. Er ist ausgesprochen schlecht recherchiert.