Sign In

Welcome, Login to your account.

Datenschutz, KMU & Freiberufler, IT / Kommunikation | So, 25.03.2018 13:41

Welche Qualifikation benötigt ein Datenschutzbeauftragter?

Von: Tabea Knabe

Der 25. Mai 2018 rückt näher. Unternehmen, die bislang hinsichtlich der dann in Kraft tretenden Datenschutzgrundverordnung noch nichts unternommen haben, geraten langsam in Zugzwang. Eine erste Maßnahme ist die Benennung eines Datenschutzbeauftragten, wobei auch die Möglichkeit besteht einen externen zu beauftragen. Doch welche Voraussetzungen gibt es?


Nach Art. 37 Abs. 1 lit. B und c der DSGVO ist die Bestellung eines Datenschutzbeauftragten notwendig, wenn das Unternehmen als Kernaktivität umfangreich und systematisch Betroffene überwacht. Auch bei der umfangreichen Verarbeitung sensitiver Daten ist ein Datenschutzbeauftragter zu bestellen. Aufgrund dessen ist umstritten, ob auch Arztpraxen gleich welcher Größe zwingend einen Datenschutzbeauftragten benötigen. Hier kommt es tatsächlich dann auf die Auslegung der DSGVO an.

Darüber hinaus schreibt das BDSG (neu) in § 38 vor, dass aber ab zehn Personen, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ein Datenschutzbeauftragter gestellt und der Behörde benannt werden muss. Die Aufgaben kann der Datenschutzbeauftragte auch in Teilzeit erfüllen.

Eine Voraussetzung für die Auswahl des Datenschutzbeauftragten ist die berufliche Qualifikation. Die DSGVO verlangt nach Art. 37 Abs. 5 Fachwissen im Datenschutzrecht und der Datenschutzpraxis. Demzufolge muss er sich gut mit dem europäischen Datenschutzrecht, insbesondere der DSGVO, auskennen. Ebenso sind profunde Kenntnisse im nationalen Recht erforderlich. Diese betrifft vor allem das neue Bundesdatenschutzgesetz (BDSG). Doch es reicht nicht nur die Gesetze zu kennen, sondern diese auch in der Praxis anzuwenden, d.h. die konforme Umsetzung des Rechtes. Managementkenntnisse sind dahingehend notwendig, so es doch darum geht ein Datenschutzmanagement aufzubauen und dauerhaft aufrecht zu erhalten. Dazu gehört nach Artikel 39 DSGVO, der die Aufgaben des Datenschutzbeauftragten regelt, auch die Beratung der Verantwortlichen, Auftragsverarbeiter und Beschäftigten. Hinzu kommt die Zusammenarbeit mit der Aufsichtsbehörde.

Um die ordnungsgemäße Datenverarbeitung zu gewährleisten bedarf es nach Artikel 32 DSGVO technischer und organisatorischer Maßnahmen (TOMs). Also muss sich der Datenschutzbeauftragte auch damit auskennen, um seine Aufgaben zu erfüllen. Mittels der TOMs soll z.B. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitung gewährleistet werden. Artikel 32 nimmt auch Bezug auf die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Darüber hinaus geht es auch um die Verfügbarkeit von Daten und deren rasche Wiederherstellung bei Zwischenfällen. Mit der Zuhilfenahme technische und organisatorischer Maßnahmen soll dauerhaft ein DSGVO-konformes Datenschutzmanagement erreicht werden. Dafür ist es auch erforderlich getroffene Maßnahmen regelmäßig auf deren Wirksamkeit zu überprüfen und ggf. anzupassen. Eine große Rolle spielt dabei auch der aktuelle Stand der Technik. So entspricht beispielsweise der unverschlüsselte Versand von E-Mail nach Meinung des sächsischen Datenschutzbeauftragten nicht mehr dem aktuellen Stand der Technik.

Hieraus lässt sich ableiten, welche Qualifikation ein Datenschutzbeauftragter außer Kenntnissen des Datenschutzrechts noch braucht. Es sind fundierte IT-Kenntnisse zwingend erforderlich. Ohne diese wird es schwierig die Aufgaben zuverlässig zu erfüllen. Objektiv gesehen reicht nicht mal juristisches und informationstechnisches Wissen aus, vielmehr ist auch noch organisatorisches-betriebswirtschaftliches Wissen notwendig. Die Verarbeitungsvorgänge, die mitunter auch vor allem in größeren Organisationen sehr komplex sein können, müssen nachvollzogen werden können.

Also ist der ideale Datenschutzbeauftragte weder Jurist noch Informatiker. Wirtschaftsinformatiker bzw. Wirtschaftsingenieure oder Betriebswirte mit guten IT-Kenntnissen, welche sich mit den rechtlichen Fragestellungen beschäftigt haben, scheinen sehr gut für die Rolle als Datenschutzbeauftragter geeignet zu sein. Durch Zertifikate oder Schulungen kann das Fachwissen nachgewiesen werden.