Welche Fachkunde und Qualifikation muss ein Datenschutzbeauftragter mitbringen?

 Welche Fachkunde und Qualifikation muss ein Datenschutzbeauftragter mitbringen?

Die Qualifikation des Datenschutzbeauftragten richtet sich nach EG 97 Abs. 3 DSGVO und beschreiben Anforderungen und Fachkunde eines zertifizierten DatenschutzbauftragtenQualifikation des Datenschutzbeauftragten​

Welche Fachkunde und Qualifikation muss ein Datenschutzbeauftragter mitbringen? Diese Frage wird häufig gestellt. Das Gesetz beantwortet diese Frage nicht abschließend. Viele Funktionen benötigen außer der Fachkompetenz, auch die Fähigkeit der optimalen Schnittstellenkommunikation. Aufsichtsbehörden und Gerichte haben einige Punkte entwickelt, die für die Qualifikation des/der Datenschutzbeauftragten wichtig sind.

1.) Die Qualifikation des Datenschutzbeauftragten richtet sich nach EG 97 Abs. 3 DSGVO
2.) Die Datenverarbeitungsvorgänge sind entscheiden und der erforderliche Schutz der Daten
3.) Je höher das Risiko bei der Verarbeitung der Daten desto höher das Schutzbedürfnis
4.) Die Anforderungen an die Qualifikation des Datenschutzbeauftragten ist proportional höher
5.) Nach Art. 37 Abs. 5 DSGVO erfolgt die Benennung auf Grundlage der beruflichen und fachlichen Qualifikation
6.) Kenntnisse im Datenschutzrecht und in der Datenschutzpraxis
7.) Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben

Das erforderliche Fachwissen ist elementar für die Ausübung der Aufgaben des Datenschutzbeauftragten. Weiterhin muss das Wissen ständig aktualisiert und evaluiert werden.

Die Kenntnisse richten sich nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz des Unternehmens.

Für die Einordnung ist die Größe der Organisationseinheit wichtig. Weiterhin die Prozesse der Datenverarbeitung und die Abstimmung mit der IT-Abteilung und eine Risikoanalyse.

Welche Fachkunde sollte der Datenschutzbeauftragte nun besitzen?

Zunächst sind die  Schwerpunkte bei der notwendigen rechtlichen, organisatorischen und technischen Fachkunde zu bestimmen. Der/die Datenschutzbeauftragte sollte umfassende Kenntnisse des Datenschutzrechts haben. Folgende Themen sind wichtig:

1.) Anwendung von technischen und organisatorischen Maßnahmen
2.) Anforderungen an den Datenschutz und Technik
3.) Datenschutzfreundliche Voreinstellungen und Datensicherheit
4.) Risikoanalyse der Einschätzung der Sensibilität der Daten
5.) Fähigkeit, die Kommunikationsschnittstelle zu den Mitarbeitenden und zu dem etwaigen Betriebsrat zu bilden
6.) Fachkompetenz auf dem Gebiet des nationalen und europäischen Datenschutzrechts und der Datenschutzpraxis
7.) Umfassendes Verständnisses der DSGVO
8.) Verständnis der jeweils durchgeführten Verarbeitungsvorgänge
9.) Kenntnisse in den Bereichen IT und Datensicherheit
10.) Kenntnis der jeweiligen Branche und Einrichtung
11.) Fähigkeit, eine Datenschutzkultur innerhalb der Einrichtung zu fördern

Es ist wichtig, dass die/der Datenschutzbeauftragte/r das Verständnis für Datenschutz den Mitarbeitenden näher bringt, ohne dass der Unternehmensalltag zu sehr in der Ablauforganisation geschwächt wird.

Wichtig sind zudem sehr gute Kommunikationsfähigkeiten und Empathie. Es gibt weiterhin noch Auflagen, die durch die Rechtsprechung entwickelt wurden. 

Was sagen die Gerichte zur Fachkunde eines Datenschutzbeauftragten?

Der BGH hebt in der in einer wichtigen Entscheidung hervor, dass der Kern und Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten auf der rechtlichen Ebene liege, auch wenn Sachkunde in weiteren Bereichen erforderlich ist. Der Datenschutzbeauftragte sollte weitreichende Kenntnisse in der Informations- und Kommunikationstechnik sowie in der Betriebswirtschaft und Prozessoptimierung nachweisen können. (BGH-Urteil in NJW 2018, 3701, Rz 71 bis 73)

Folgende Eigenschaften werden in der Rechtsprechung  als wichtig in den Fokus gestellt.

– Umfangreiche juristische Kenntnisse zum Datenschutz
– Kenntnisse der Reglungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes
– Kenntnisse bezüglich der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht
– Umfangreiche technische Kenntnisse auf dem Gebiet der sog. Computer-Hardware und der unterschiedlichen System- und Anwendersoftware
– Pädagogische Fähigkeiten und Kenntnisse für die Schulungen der Mitarbeitenden
– Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen 
– Pflicht zur Weiterbildung und Erhalt der Fachkunde des DSB
– Stetige Weiterbildung im IT- und juristischen Bereich
– Die Fortbildungen müssen durch das Unternehmen gewährleistet werden
– Kompensation etwaiger Defizite durch das mit dem Datenschutz betrauten Team
– Verantwortlicher haftet für fehlende Fachkunde des Datenschutzbeauftragten
– Aus  Art. 38 Abs. 2 DSGVO ergibt sich die gesetzliche Pflicht des Verantwortlichen, das heißt, dass dieser am Ende dafür verantwortlich ist, dass der Datenschutzbeauftragte eine ausreichende Fachkunde besitzt und dass er dem DSB ausreichende Ressourcen zur Verfügung stellt, um diese Fachkunde aufrechtzuerhalten
– Für die rechtlichen und organisatorischen Verstöße des Verantwortlichen haftet der Datenschutzbeauftragte grundsätzlich nicht
– Der Datenschutzbeauftragte/er kann den verantwortlichen Geschäftsführer/in/ oder Inhaber/in nicht zur Umsetzung von Maßnahmen zwingen, die die DSGVO fordert
– Die Verweigerung der Unterstützung kann mit einem Bußgeld  geahndet werden.
– Die Aufsichtsbehörden können das jeweilige Fachwissen des Datenschutzbeauftragten überprüfen 
– Empfehlung: Fachspezifische Nachweise sowie beruflich/fachliche einschlägige Erfahrungen des DB sollten dokumentiert werden

Welche Aufgaben hat ein Datenschutzbeauftragter – und wie werde ich Datenschutzbeauftragter?

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

1.) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten
2.) Überwachung der Einhaltung der Datenschutzvorschriften 
3.) Auftragsverarbeitungsverträge und Verfahrensverzeichnis
4.) Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitenden
5.) Evaluation und Kontrolle
6.) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
7.)Zusammenarbeit mit der Aufsichtsbehörde
8.) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36
9.) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung

Haftungsrisiken wegen fehlender Fachkunde

Wenn die nötige Fachkunde und das Fachwissen des Datenschutzbeauftragten fehlen, kann das unterschiedliche Konsequenzen haben:

– Verhängen einer Geldbuße
– Verfahren stellt einen Verstoß gegen Art. 37 Abs. 5 und Art. 38 Abs. 2 DSGVO dar
– Im Falle von Verstößen gegen die DSGVO steht der Aufsichtsbehörde der vollständige Maßnahmen-Katalog des Art. 58 DSGVO zur Verfügung.
– Verhängung eines Bußgelds nach Art. 83 DSGVO
– Bis 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen

Haftung des Datenschutzbeauftragten

In unseren Seminaren werden wir häufig gefragt, welche Haftungsrisiken es für die/den Datenschutzbeauftragte/n gibt.

Hat der Datenschutzbeauftragte mit einem leicht fahrlässigen Verhalten einen Schaden verursacht, muss er von der Haftung freigestellt werden Anders sieht es bei grober Fahrlässigkeit und Vorsatz aus.

Die Pflichten des Datenschutzbeauftragten bestehen im Wesentlichen darin, Kontrolle über folgende Themen auszuüben:

1.) Korrekte Umsetzung des Datenschutzes im Unternehmen
2.) Prüfung und Beratung, ob die Inhaber oder Geschäftsführer eine geeignete Strategie zur Umsetzung des Datenschutzes verfolgen

Wer haftet bei einem Verstoß gegen diese Punkte?

Grundsätzlich haftet der für den Datenschutz Verantwortliche, also das Unternehmen, welches die Daten verarbeitet, oder ein entsprechender Auftragsverarbeiter. Ein  „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
In den Unternehmen gelten die internen Haftungsrichtlinien. Es haftet die der „Verantwortliche“. Das kann der Inhaber, Geschäftsführeroder Vorstand sein. Es sei denn das Organisationsverschulden wird in ein Individualverschulden umgewandelt.

Kann ein Mitarbeitender aufgrund eines Datenschutzverstoßes bestraft werden?
Verfolgt der Mitarbeiter demnach eigene Zwecke und wird so zum datenschutzrechtlichen Verantwortlichen nach Art. 4 Nr. 7 DSGVO, so droht dem Mitarbeiter bei Datenschutzverstößen ein Bußgeld der Aufsichtsbehörde und/oder ein Schadensersatzanspruch der Betroffenen.

Fortbildung zum Datenschutzbeauftragten vom Bildungsinstitut Wirtschaft

Ihre Ausbildung zum zertifizierten Datenschutzbeauftragten

Last-Minute-Chance und Angebote für letzte Plätze anstehender Termine online oder in Präsenz in Düsseldorf

Unsere Methode ist stark praxisorientiert und hat sich langfristig in vielen Unternehmen und Behörden bewährt.

* * * * *

Publiziert durch connektar.de.

Letzte Nachrichten