Alle Behörden und viele Unternehmen sind zur Benennung einer oder eines Datenschutzbeauftragten verpflichtet. Diese oder dieser muss über genügende fachliche Qualifikation verfügen. Die Ausbildung zum Datenschutzbeauftragten ist aber nicht reglementiert. Zur besseren Orientierung wurden vorliegend verschiedene Lehrgangsangebote in einer Marktübersicht zusammengefasst und der rechtlichen Rahmen von Benennungspflicht, Überprüfung und Zertifikaten umrissen. Vorliegender Beitrag wiederholt und und aktualisiert den Beitrag Johannes/Preusse,ZD–Aktuell 2022, 01115.
Paul C. Johannes, 20.03.2024
Die Voraussetzungen, die zur Pflicht führen, eine oder einen betrieblichen oder behördlichen Datenschutzbeauftragten (DSB) zu benennen, sind in Art. 37 Abs. 1 der Datenschutzgrundverordnung (DSGVO) sowie in §§ 5, 38 des Bundesdatenschutzgesetzes (BDSG) und in den Datenschutzgesetzen der Länder (vgl. z.B. § 4 BlnDSG, § 5 HDSIG, § 58 NDSG, § 37 LDSG RhPf, § 58 SchlHLDSG, § 13 ThürDSG, § 31 DSG NRW) geregelt. Die Pflicht trifft – wenn die jeweiligen gesetzlichen Voraussetzungen vorliegen– den Verantwortlichen und den Auftragsverarbeiter. Grundsätzlich müssen alle öffentlichen Stellen sowie alle Unternehmen in denen 20 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, eine oder einen Datenschutzbeauftragten benennen.
Nach Art. 37 Abs. 5 DSGVO wird die oder der Datenschutzbeauftragte auf der Grundlage ihrer oder seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das sie oder er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage ihrer oder seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben. Das erforderliche Fachwissen orientiert sich am Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten (Erwägungsgrund 97). Je mehr Daten von der verantwortlichen Stelle verarbeitet werden und je sensibler die Daten sind, desto höhere Anforderungen sind an die Qualifikation der Datenschutzbeauftragten zu stellen (vgl. Art. 29-Gruppe, Working Paper 243 rev.01, 2017).
Unabhängig von Branche und Größe der verantwortlichen Stelle müssen die Datenschutzbeauftragten über Grundkenntnisse zum verfassungsrechtlich garantierten informationellen Selbstbestimmungsrecht der Betroffenen und der Beschäftigten der verantwortlichen Stelle sowie umfassende Kenntnisse der einschlägigen Regelungen der DSGVO, des BDSG und anderer datenschutzrechtlicher Bestimmungen verfügen. Darüber hinaus sind Kenntnisse der einschlägigen technischen Vorschriften (IT), der Datenschutzgrundsätze nach Art. 5 DSGVO, und der Datensicherheitsanforderungen insbesondere nach Art. 25, 32 DSGVO erforderlich. Einrichtungsspezifisch sind des Weiteren Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, der Informations- und Telekommunikationstechnologie und der Datensicherheit, der Sicherheitsrisiken, der betriebswirtschaftlichen Zusammenhänge, der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle sowie im praktischen Datenschutzmanagement der verantwortlichen Stelle notwendig (vgl. z.B. Drewes in Simitis/Hornung/Spiecker gen. Döhmann 2019, Art. 37 Rn. 46; LfDI BW, Praxisratgeber Die/der Beauftragte für den Datenschutz Teil II, 2019; LfDI Hessen, Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht, 2017).
Der Begriff der Fähigkeit zur Erfüllung der der oder dem Datenschutzbeauftragten obliegenden Aufgaben ist sowohl im Sinne ihrer oder seiner persönlichen Eigenschaften (z.B. Integrität, Zuverlässigkeit, Belastbarkeit) und Kenntnisse als auch ihrer oder seiner Position innerhalb der Stelle zu verstehen. Die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse sollten grundsätzlich bereits zum Zeitpunkt der Benennung zur oder zum Datenschutzbeauftragten im ausreichenden Maße vorhanden sein.
Befähigungsnachweis durch Schulung?
Wie die Marktübersicht zeigt, gibt es im Bereich der Ausbildung oder Schulung Datenschutzbeauftragter viele Anbietern von Schulungen, Aus- und Fortbildungen sowie ausgestellten Zertifikaten. Das liegt auch daran, dass das Berufsbild der oder des Datenschutzbeauftragten staatlich nicht reglementiert ist. Weder die DSGVO noch das BDSG noch das sonstige Bundesrecht oder das Recht der Länder macht Vorgaben im Hinblick auf die konkrete Aus- und Fortbildung einer oder eines Datenschutzbeauftragen. Das Vorhandensein spezieller Zertifikate oder Abschlüsse wird seitens der Datenschutzaufsichtsbehörde zudem nicht gefordert. Sie empfehlen auch keine bestimmten Fortbildungsmaßnahmen.
Seitens der Aufsichtsbehörde wird das jeweilige Fachwissen eines oder einer Datenschutzbeauftragten nur im Einzelfall überprüft, zum Beispiel im Rahmen eines Beschwerdeverfahrens oder bei einer Kontrolle. Die Prüfung erfolgt ebenfalls individuell und im Lichte des Umfangs und der Formen der jeweiligen Datenverarbeitungen beim Verantwortlichen oder Auftragsverarbeiters.
Im Zuge dessen können von den Aufsichtsbehörden jedoch auch Zertifikate oder ähnliche Ausbildungs- und Befähigungsnachweise herangezogen werden und für den Verpflichteten tatsächlich entlastend wirken. Ihre Wirk- und Überzeugungskraft dürfte allerdings wohl sehr unterschiedlich sein. Zur Erfüllung der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO wird dem Verantwortlichen empfohlen, fachspezifische Nachweise sowie beruflich/fachlich einschlägige Erfahrungen der oder des Datenschutzbeauftragten zu dokumentieren (LfDI BW a.a.O). Dies gilt entsprechend für Prüfungen im Rahmen von Zertifizierungen nach Art. 42 DSGVO oder Audits von Auftragsverarbeitern oder anderen Vertragspartnern.
Abschlüsse
Die Marktschau hat gezeigt, dass die überwiegende Anzahl der Anbieter von Schulungen oder Lehrgängen für Datenschutzbeauftragte den Teilnehmenden die Möglichkeit zum Erhalt einer qualifizierten Bescheinigung über die Teilnahme bieten. Diese wird in der Regel als Zertifikat bezeichnet. Ein solches Zertifikat ist auf den Teilnehmenden der Ausbildung personalisiert. Es wird in der Regel erst nach Abschluss einer Prüfungsleistung am Ende der Schulung erteilt und soll so den Fähigkeitsnachweis erlauben.
Zertifikat ist nicht gleich Zertifizierung
Die erworbenen Zertifikate sind jedoch keinesfalls mit einer Zertifizierung des Teilnehmenden oder gar seines Arbeitgebers zu verwechseln. Als Zertifizierung wird nach allgemeinem Verständnis ein Verfahren bezeichnet, mit dessen Hilfe die Einhaltung bestimmter Anforderungen an Produkte oder Dienstleistungen einschließlich der Herstellungsverfahren nachgewiesen werden kann. Zertifizierungen werden von unabhängigen Stellen vergeben und müssen sich nach festgelegten Standards richten. Der Begriff der Zertifizierung besagt nicht, dass sie von einer amtlichen Stelle vergeben worden ist. (BGH GRUR 2012, 215 Rn. 12 – Zertifizierter Testamentsvollstrecker). Ein Zertifikat zu einer Schulung oder einem Lehrgang ist dagegen nach allgemeinem Verständnis eine qualifizierte Teilnahmebescheinigung, die ausgestellt wird, um eine bestandene individuelle Überprüfung der Leistung zu bestätigen. Es bescheinigt keine praktische Erfahrung.
Zu Recht weisen einige der Anbieter von Schulungen für Datenschutzbeauftragte daher drauf hin, dass die Verleihung eines Zertifikats den Empfänger nicht dazu berechtigt, sich nach außen als zertifiziert zu bezeichnen und damit zu werben (vgl. z.B. BvD, MMR-Aktuell 2010, 311271; siehe auch https://www.ihk-krefeld.de/de/media/pdf/weiterbildung/merkblatt-ihk-zertifikat.pdf), was vor allem für externe Datenschutzbeauftragte von Bedeutung sein dürfte. Die Werbung als zertifizierter Datenschutzbeauftragter dürfte dazu geeignet sein, bei einem erheblichen Teil des angesprochenen Verkehrskreises eine unrichtige Vorstellung zur Qualifikation und Erfahrung des Werbenden im Sinne von § 5 UWG hervorzurufen (vgl. z.B. BGH a.a.O; OLG Hamm GRUR-RR 2012, 285 (286) – Qualitätsmanagement. Wir sind zertifiziert; LG Kiel GRUR-RR 2009, 184). Im datenschutzrechtlichen Zusammenhang ist dies von besonderer Bedeutung, wird die Zertifizierung von Datenverarbeitungsvorgängen doch sogar ausdrücklich im Gesetz geregelt (Art. 42 DSGVO), was die Gefahr der Irreführung sogar noch erhöht (siehe auch Maier/Pawlowska/Lins/Sunyaev, Die Zertifizierung nach der DS-GVO, ZD 2020, 445). Es ist daher wenigstens bedenklich, wenn Anbieter von Schulungen für Datenschutzbeauftragte damit werben, man könne sich von ihnen „zertifizieren“ lassen (so auch noch BvD, MMR-Aktuell 2010, 311271).
Keine Einheitlichkeit der Ausbildung
Die Marktübersicht hat hinsichtlich der Inhalte und des durch die Lehrgänge vermittelten Fachwissens ein sehr uneinheitliches Bild ergeben. Dies zeigt sich unbeschadet dessen, dass uns zum Vergleich natürlich nur die Kursbeschreibungen und -überblicke der Anbieter im Sinne von Werbematerialen zu Verfügung standen. Auch bei nur kursorischem Vergleich dieser, fallen Unterschiede hinsichtlich Praxisbezugs, Dauer der Ausbildung, Qualifikation der Ausbilder, Transparenz der Prüfungsinhalte sowie Schwere und Dauer der Prüfungen auf. Eine Vergleichbarkeit der verschiedenen Angebote kann so nicht angenommen werden. Es obliegt dem Einzelnen, die Angebote auf seine Bedürfnisse hin zu vergleichen und sich genauer nach Ausbildern, Lehrinhalten und Schulungsmaterialien zu erkundigen (dazu empfiehlt der LfDI BW a.a.O pragmatisch „Man sollte sich daher, soweit vorhanden, den Internetauftritt des jeweiligen Anbieters genau ansehen und auch nach Referenzen fragen – oder persönlichen Empfehlungen folgen.“). Entsprechend dieser Lücke gibt es die Forderung den Beruf des Datenschutzbeauftragten und dessen Ausbildung zu professionalisieren (zu den Bemühungen und Forderungen des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. vgl. Spaeing, ZD 2014, 437).
Marktübersicht
Zur besseren Orientierung wurden vorliegend verschiedene Lehrgangsangebote in einer Marktübersicht zusammengestellt.
Die Marktuntersuchung hat hinsichtlich der Inhalte und des durch die Lehrgänge vermittelten Fachwissens ein sehr uneinheitliches Bild ergeben. Dies zeigt sich unbeschadet dessen, dass uns zum Vergleich natürlich nur die Kursbeschreibungen und -überblicke der Anbieter iSv Werbematerialen zu Verfügung standen. Auch bei deren nur kursorischem Vergleich fallen Unterschiede hinsichtlich Praxisbezugs, Dauer der Ausbildung, Qualifikation der Ausbilder, Transparenz der Prüfungsinhalte sowie Schwere und Dauer der Prüfungen auf. Eine Vergleichbarkeit der verschiedenen Angebote kann so nicht angenommen werden.
Die Marktübersicht erhebt keinen Anspruch auf Vollständigkeit. Angabe zu Preis und Dauer stammen aus den Werbematerialen der Anbieter. In die mit *gekennzeichneten Preise, wurden von uns die von den Anbietern angegebenen zusätzlichen Kosten einer Prüfung und Erteilung eines Zertifikats eingerechnet. Bei den anderen Anbietern ist der Lehrgang inklusive Prüfung. Bei Mitgliedschaften in bestimmten Berufs- und Interessenverbänden, räumen einige Anbieter Rabatte auf die Lehrgangspreise ein. Die verlinkten Angebotsseiten wurden von uns zuletzt am 20.03.2024 aufgerufen.
Anbieter | Beworben als Ausbildung für | Preis € zzgl. USt | Dauer |
Akademie Herkert | Betrieblich | 1.595,- | 3 Tage |
Bitkom Akademie | Betrieblich und behördlich | 1.750,-* | 3 Tage |
BvD eV über udis | Betrieblich und behördlich | 4.675,- | 17 Tage |
datenschutz nord GmbH | Betrieblich | 1.550,-* | 5 Tage |
DEKRA Akademie | Betrieblich | 2.915,50 | 3 Tage |
DELST | Betrieblich | 714,- | Flexibel (online) |
DGI Deutsche Gesellschaft für Informationssicherheit AG | Betrieblich | 1.800,-* | 3 Tage |
Datenschutz e.V. | Betrieblich | 1.050,- | flexibel (40 Stunden) |
FFD Marke der WEKA GmbH | Betrieblich | ab 5.107,-* | 10 Tage |
GDD eV über DATAKONTEXT | Betrieblich | 1.050,- | 1 Tag |
HAUFE Akademie | Betrieblich | 1.840,- | 2,5 Tage |
IHK Darmstadt | Betrieblich | 1.790,- | 5 Tage |
IHK Rhein-Neckar | Betrieblich | 1.790,- | 5 Tage |
IHK-Zentrum für Weiterbildung Heilbronn-Franken | Betrieblicher | 1.790,- | 5 Tage |
LUTOP Datenschutz Akademie | Betrieblich | 1.549,- | flexibel, online |
Manager Institut | Betrieblich | 1.390,- | 2 Tage |
TA Bildungszentrum | Betrieblich | 995- | 3 Tage |
TÜV Nord | Betrieblich und extern | 2.500,-* | 3 Tag |
TÜV SÜD Akademie | Betrieblich und extern | 2.440,- | 5 Tage |
TÜV Rheinland | Betrieblich | 2.650- | 5 Tage |
TÜV Rheinland | Extern (Auf betriebliche Ausbildung aufbauend) | 2.120,- | 3 Tage |
TÜV Thüringen | Betrieblich | 2.315,- | 4 Tage |