Viele Betriebe riskieren hohe Geldbußen, weil sie keinen Datenschutzbeauftragten haben. Dabei vermitteln Einsteigerkurse die nötigen Fachkenntnisse oft recht gut. Neun haben wir getestet.
Alle Testergebnisse für Weiterbildung zum betrieblichen Datenschutzbeauftragten 11/2014
Die Nachricht beunruhigt: Zehn Prozent der Betriebe in Deutschland haben keinen Datenschutzbeauftragten, obwohl sie per Gesetz dazu verpflichtet wären. Zu diesem Ergebnis kommt eine Studie, für die der Tüv Süd und die Ludwig-Maximilians-Universität München vor allem mittelständische Unternehmen befragt haben. „Damit fehlt den Unternehmen nicht nur ein wichtiges Element des Datenschutzmanagements“, heißt es in der Pressemitteilung zur Studie. „Es liegt auch ein Gesetzesverstoß vor, für den hohe Bußgelder verhängt werden können.“
Die meisten Kurse führten gut in die komplexe Materie ein
Laut Bundesdatenschutzgesetz (§4f BDSG) ist die Bestellung eines Datenschutzbeauftragten Pflicht, sobald mindestens zehn Mitarbeiter im Betrieb personenbezogene Daten „automatisiert“, also mithilfe von Computern, verarbeiten. Die Geschäftsführung kann einen externen Experten beauftragen. Möglich ist aber auch, unter den Beschäftigten einen Mitarbeiter zum so genannten betrieblichen Datenschutzbeauftragten zu bestellen, siehe 14 Fragen zum Berufsbild. Die erforderlichen Fachkenntnisse kann sich der auserwählte Mitarbeiter gut per Weiterbildung aneignen, wie unser aktueller Test zeigt. Neun Einsteigerkurse für betriebliche Datenschutzbeauftragte haben die Weiterbildungsexperten der Stiftung Warentest untersucht. Mit Preisen von 590 bis 2 970 Euro waren die Lehrgänge zwar nicht gerade billig, doch die meisten führten gut in die komplexe Materie ein. Beim wichtigsten Prüfpunkt Kursdurchführung – hier wurden die Inhalte, ihre Vermittlung und das Lehrmaterial bewertet – erreichten fünf Lehrgänge eine hohe Qualität. DataSecurity (ehemals Dabulo), konnten wir sogar eine sehr hohe Qualität der Kursdurchführung bescheinigen.
Keine geregelte Ausbildung
Was muss ein betrieblicher Datenschutzbeauftragter wissen und können? Der Gesetzgeber bleibt da vage. „Zuverlässigkeit“ und „Fachkunde“ benötige der Beauftragte für den Datenschutz, heißt es im Gesetz. Doch was genau darunter zu verstehen ist, bleibt offen.
Wo es keine geregelte Ausbildung gibt, füllen Bildungsinstitute mit eigenen Lehrplänen die Lücke. Das Angebot ist verwirrend vielfältig. Preise, Dauer und Inhalte variieren enorm.
Fünf Tage sind das Minimum
© Stiftung Warentest
Die Stiftung Warentest hat den Weiterbildungsmarkt zum Thema durchforstet und 72 Einstiegskurse für betriebliche Datenschutzbeauftragte entdeckt. Außerdem gibt es Kurse zur Vertiefung und solche für den Überblick. Zu den Anbietern gehören vor allem kommerzielle Bildungsinstitute sowie Industrie- und Handelskammern (IHK). Die Grafik zeigt: Die meisten Angebote für Einsteiger sind Kurse mit einer Dauer von ein bis vier Tagen. Für unseren Test haben wir ausschließlich fünftägige Kurse ausgewählt, siehe So haben wir getestet. Denn so viel Zeit muss nach Ansicht der Experten der Stiftung Warentest mindestens sein, um in dieses weite Themenfeld einzuführen.
Einschlägiges Wissen in Recht und IT
Datenschutzbeauftragte benötigen einschlägige juristische Kenntnisse und fundiertes IT-Wissen. Was ein Kurs in fünf Tagen an Inhalten vermitteln sollte, hat die Stiftung Warentest vor dem Test definiert, siehe Was sein guter Test bieten sollte.
Im Hinblick auf die Themen machten fast alle Kurse im Test ihre Sache gut. Die Dozenten behandelten das erforderliche Spektrum an Inhalten – von den Anforderungen an Datenschutzbeauftragte bis zu relevanten Gesetzestexten.
Nur das Thema Datenschutzdokumentation hätte ausführlicher besprochen werden können, genauso wie der technische Datenschutz. Darauf sollte neben dem Datenschutzrecht der zweite inhaltliche Schwerpunkt liegen.
Übungen gab es selten
Was hier und dort künftig besser klappen darf, ist die Vermittlung der Inhalte. Die Gestaltung des Unterrichts beschränkte sich oft auf Powerpoint-Präsentationen und Vorträge der Dozenten. Da wäre mehr Abwechslung gefragt. Vor allem bei der IHK Südthüringen war der Unterricht eintönig und zudem ohne erkennbares Konzept.
Doch nicht nur dort blieben Übungen selten. Dabei sind sie machbar. Bei DataSecurity etwa diskutierten die Teilnehmer anhand der Comic-Zeichnung eines chaotisch anmutenden Büros, wo der Datenschutz missachtet wird. Bei der IHK-Akademie Koblenz und der IHK Zetis übten die Kursbesucher, Datenschutzerklärungen für Webseiten und Newsletter zu formulieren, und erarbeiteten, was beim Umzug einer Firma von einem Bundesland in ein anderes datenschutzrechtlich zu beachten ist.
20 Teilnehmer sind zu viel
Für die Tüv Süd Akademie gab es Abzüge im Prüfpunkt Vermittlung, weil die Teilnehmergruppe mit 20 Personen zu groß war. Auch Filges Datenschutz und die Tüv Rheinland Akademie gaben an, maximal 20 Personen zum Lehrgang zuzulassen. Tatsächlich war die Teilnehmerzahl dann aber niedriger.
Mehr als 15 Teilnehmer sollte die Gruppe nicht umfassen, es sei denn, es sind zwei Dozenten anwesend. Ist der Kreis zu groß, wird es für den Kursleiter schwierig, auf die Bedürfnisse einzelner Personen einzugehen. Das ist aber beim Thema Datenschutz wichtig, denn die Teilnehmer bringen sehr unterschiedliches Vorwissen mit. Unsere geschulten Testpersonen, die die Kurse für uns inkognito besuchten, trafen auf Juristen genauso wie auf IT-Fachkräfte.
Umfangreiches Lehrmaterial
Beim Lehrmaterial gab es überwiegend gute Noten. Unsere Testpersonen erhielten in der Regel recht umfangreiche Skripte von bis zu 1 370 Seiten. Manchmal gab es dazu noch ein Fachbuch. Gut gemachte Unterlagen sind wichtig, weil die Teilnehmer dann nicht nur den Unterricht vor- und nachbereiten können, sondern auch ein Nachschlagewerk für später haben.
Nicht überzeugt hat das Lehrmaterial der IHK Südthüringen – im Prüfpunkt Kursdurchführung ohnehin das Schlusslicht im Test. Als Skript bekam unser Tester dort die kopierte Powerpoint-Präsentation des Dozenten an die Hand. Die etwa 70 Seiten ließen kaum Zusammenhänge erkennen. Eine schlüssige Gliederung fehlte ebenso wie Quellenangaben.
Nachlässig bei der Datensicherheit
Dass ausgerechnet Veranstalter von Kursen für Datenschutzbeauftragte nachlässig in punkto Datensicherheit sind, gehört zu den Kuriositäten dieses Tests. DataSecurity, Filges Datenschutz, die IHK Zetis und die Tüv Rheinland Akademie stellten für Kontaktanfragen oder die Onlineanmeldung keine gesicherte Internetverbindung bereit. Adressen, Geburtsdaten und andere persönliche Daten, die unsere Tester in die Formulare auf den Webseiten dieser Anbieter eintippten, wurden unverschlüsselt übertragen. Das sollte nicht sein.
Viele rechtswidrige Vertragsklauseln
Wenig Anlass zur Freude boten auch die Allgemeinen Geschäftsbedingungen (AGB) der Verträge, die unsere Tester mit den Anbietern abschlossen. Überall entdeckte unser Gutachter rechtswidrige Klauseln, die Kunden benachteiligen. Bei sieben Anbietern waren die Mängel im „Kleingedruckten“ deutlich oder sogar sehr deutlich.
Filges Datenschutz und die IHK Zetis schlossen in ihren AGB Privatverbraucher als Kunden ihres Angebots aus. Das ist zwar nicht verboten, aber die Anbieter müssen dann klar und transparent darauf hinweisen, und zwar nicht nur im „Kleingedruckten“, sondern zum Beispiel auch in ihren Informationen zum Kurs. Das war jedoch nicht der Fall. Außerdem müssen sie dann auch dafür sorgen, dass Verbraucher wirksam als Kunden ausgeschlossen werden. Unsere Testpersonen, die als normale Verbraucher auftraten, konnten sich aber problemlos für die Kurse anmelden.
Faktisch schlossen Filges Datenschutz und die IHK Zetis Privatverbraucher also nicht als Kunden aus – trotz anderslautender AGB. Deshalb haben wir diese AGB nach den gleichen Kriterien bewertet wie alle anderen auch – nach dem strengeren AGB-Recht für Privatverbraucher.
Prüfung meist freiwillig
Die Lehrgänge im Test schlossen mit einer schriftlichen Prüfung ab. Bei DataSecurity und der IHK Südthüringen war die Prüfung ein Muss, bei den anderen Anbietern war sie freiwillig. Meist waren Multiple-Choice-Aufgaben zu lösen oder offene Fragen zu beantworten oder beides. Dauer und Umfang der Prüfungen variierten: Bei der Tüv Süd Akademie hatten die Teilnehmer etwa 40 Minuten Zeit, bei der IHK-Akademie Koblenz und der IHK Zetis rund drei Stunden.
Da keine allgemeingültige Prüfungsordnung existiert, kann jedes Bildungsinstitut seine Prüfung selbst gestalten. Manchmal holen sich die Anbieter auch externe Prüfer ins Haus. Im Test waren das zum Beispiel Filges Datenschutz und Kedua, die die Prüfung der Dekra übertrugen.
Zertifikate wenig aussagekräftig
Nach bestandener Prüfung bekamen unsere Testpersonen ein Zertifikat, das in der Regel nicht viel mehr als die Kursinhalte auswies und die erfolgreiche Teilnahme an der Prüfung bescheinigte. Inhalte, Art, Dauer und Ergebnisse der Prüfung wurden meist nicht dokumentiert.
Damit können Außenstehende anhand des Papiers nicht beurteilen, wie anspruchsvoll die Prüfung war und was der Absolvent weiß und kann. Die Aufsichtsbehörden der Bundesländer, die die Datenverarbeitung in Unternehmen und Behörden kontrollieren, verlassen sich jedenfalls im Zweifel nicht auf ein Zertifikat. Sie prüfen die Kenntnisse von Datenschutzbeauftragten gegebenenfalls selbst.
Eine Prüfung nur des Zertifikats wegen kann man sich also sparen, es sei denn, der Chef besteht auf so einem Nachweis. Andererseits sind Leistungskontrollen natürlich wichtig, weil sie Aufschluss über Lernerfolg und mögliche Lücken geben. Außerdem muss sich der Teilnehmer für die Prüfung noch einmal intensiv mit dem Stoff beschäftigen. Das erhöht die Chance, mehr Wissen aus dem Kurs mitzunehmen.
Ein Einsteigerkurs ist nur der Anfang
Unsere Tester fühlten sich nach den Kursen zwar gewappnet für erste Schritte als Datenschützer, äußerten aber auch großen Respekt vor der Aufgabe. Klar war allen: Wer diesen Job gut machen will, muss sich stetig weiterqualifizieren. Fünftägige Kurse haben nun mal ihre Grenzen. Wie man etwa konkret mit Datenpannen umgeht, lässt sich in so kurzer Zeit nicht behandeln.
Für Unternehmen sollte die Investition in den betrieblichen Datenschutz eine Selbstverständlichkeit sein. Ein gut qualifizierter Mitarbeiter ist immer noch der beste Schutz vor einem Datenskandal, der Bußgelder, negative Schlagzeilen und Imageschäden nach sich ziehen kann.
-
Diese Fördermittel gibts für Wissensdurstige
- Berufliche Weiterbildung ist oft teuer. Für Arbeitnehmer, Arbeitslose und Selbstständige gibt es Fördergelder. Unsere Checkliste hilft bei der Kurs-Suche.
-
Wo niemand mitliest
- WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.
-
EuGH kippt Datenschutzabkommen mit USA
- Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung,...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@dummdiedei
Die Frage wird unter "14 Fragen zum Berufsbild" beantwortet: Ein Datenschutzbeauftragter ist Pflicht, sobald ein Unternehmen personenbezogene Daten „automatisiert“, also mithilfe von Computern, verarbeitet und mit dieser Tätigkeit mindestens zehn Mitarbeiter beschäftigt sind. So fordert es das Bundesdatenschutzgesetz. (aci)
"Wann brauchen Betriebe einen Datenschutzbeauftragten ...?"
Tät' mich schon interessieren, wann denn ein Datenschutzbeauftragter gesetzlich vorgesehen ist, leider ist das in der Einleitung zum Artikel oder anderswo auf Ihren Internetseiten nicht zu finden (oder?). Der § 4f ist für meine bescheidenen Verhältnisse nicht verständlich. Wenn ich Bedarf hätte, dann würde ich den Artikel kaufen; wird die Frage aus der Werbemail im kostenpflichtigen Artikel beantwortet?
@udisAkademie: Wir betonen in dem Artikel ausdrücklich, dass fünftägige Kurse das Minimum für den Einstieg sind und Lehrgänge mit dieser Dauer ihre Grenzen haben. Ein Einsteigerkurs ist nur der Anfang und er genügt nicht, um den Anforderungen als Datenschutzbeauftragter dauerhaft gerecht zu werden, heißt es im Artikel. Wer seinen Job gut machen möchte, muss sich stetig weiterqualifizieren. Zu dieser Auffassung sind wir u.a. durch die Diskussion mit unabhängigen, externen Experten gekommen, z.B. im satzungsgemäß durchgeführten Fachbeirat mit neutralen Vertretern (z.B. Wissenschaftlern und Verbandsvertretern), Anbieter- und Verbrauchervertretern. Insofern ist in der Untersuchung selbstverständlich die Auffassung von unabhängigen Vertretern integriert. (aci)
Kommentar vom Autor gelöscht.
Der Artikel berücksichtigt nicht die Auffassung von unabhängigen Datenschutzexperten z.B. des Berufsverbandes der Datenschutzbeauftagten Deutschlands e.V. (www.bvdnet.de) noch die Mindestanforderungen an die Fachkunde von Datenschutzbeauftragten, wie sie die Aufsichtsbehörden festgelegt haben (siehe Webseite der Bundesbeauftragten für den Datenschutz unter Infothek (www.bfdi.bund.de). Nach einer entsprechenden Studie der Uni Oldenburg sind 3 Wochen das Minimum zum Erwerb der Fachkunde. Im Augenblick gibt es nur 2 Anbieter, die das professionell machen: Die GDD (www.gdd.de) und udis (www.udis.de). Der test-Artikel geht also an den Erfordernissen vorbei. Er ist ausgesprochen schlecht recherchiert.