Ulmer Akademie für Datenschutz
und IT-Sicherheit

gemeinnützige Gesellschaft mbH

Mindestanforderungen an die Fachkunde des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)

Beschluss des Düsseldorfer Kreises (Arbeitsgemeinschaft der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich) vom 24./25. November 2010

Feststellung:

  • Fachkunde und Rahmen­bedingungen für die Arbeit der Beauftragten für den Datenschutz (DSB) genügen nicht durchgängig den Anforderungen des Bundes­datenschutz­gesetzes (BDSG).
  • Aus- und Belastung der DSB wird maßgeblich beeinflusst durch
    • Die Größe der verantwortlichen Stelle,
    • die Anzahl der zu betreuenden verantwortlichen Stellen,
    • Besonderheiten branchenspezifischer Datenverarbeitung und den
    • Grad der Schutzbedürftigkeit der zu verarbeitenden personenbezogenen Daten.
  • Veränderungen bei den vorgenannten Faktoren führen regelmäßig zu einer proportionalen Mehr­belastung der DSB.

Forderungen an die Fachkunde:

  • Betrieblichen Datenschutzbeauftragte müssen mindestens über folgende datenschutz­rechtliche und technisch-organisatorische Kenntnisse verfügen:
    • Unabhängig von der Branche und der Größe der verantwortlichen Stelle
      • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeits­rechten der Betroffenen und Mitarbeiter der verant­wortlichen Stelle und
      • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
      • Kenntnisse des Anwendungsbereiches datenschutz­rechtlicher und einschlägiger technischer Vorschriften, der Datenschutz­prinzipien und der Datensicherheits­anforderungen insbesondere nach § 9 BDSG.
    • Abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten
      • Umfassende Kenntnisse der spezialgesetzlichen datenschutz­relevanten Vorschriften, die für das eigene Unter­nehmen relevant sind,
      • Kenntnisse der Informations- und Telekommunikations­technologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerk­sicherheit, Schadsoftware und Schutzmaßnahmen, etc.),
      • betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
      • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechsel­wirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
      • Kenntnisse im praktischen Datenschutz­management einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswer­tung, Risiko­management, Analyse von Sicherheits­konzepten, Betriebsverein­barungen, Videoüberwachungen, Zusam­menarbeit mit dem Betriebsrat etc.).

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorische Mindest­kenntnisse bereits zum Zeitpunkt des Bestellung zum DSB im aus­reichenden Maße vorliegen. Sie können insbesondere auch durch den Besuch geeigneter Aus- und Fortbildungs­veranstaltungen und das Ablegen einer Prüfung erlangt sein.

Um eventuell zu Beginn der Bestellung noch bestehende Informations­defizite auszugleichen, empfiehlt sich der Besuch von geeigneten Fortbildungs­veranstaltungen. Der Besuch solcher Veranstaltungen ist auch nach der Bestellung angezeigt, um auf dem aktuellen, erforder­lichen Informationsstand zu bleiben, und um sich Kennt­nisse über die sich ändernden rechtlichen und technischen Ent­wicklungen anzueignen.

Erfüllung dieser Mindestanforderungen bei udis

Mit der Festlegung der Mindestanforderungen durch die Arbeitsgemeinschaft der Aufsichtsbehörden wurde das Urteil zur Fachkunde von Datenschutzbeauftragten (Ulmer Urteil) von 1990 nicht nur bestätigt, sondern auch noch konkretisiert. Da dieses Urteil von udis-Dozenten erstritten worden ist, versteht sich von selbst, dass udis seine Datenschutzausbildung immer an diesem Urteil orientiert hat. Es war deshalb für udis ein Leichtes, ihre Kurse für Datenschutzbeauftragte an die neuen Mindestanforderungen anzupassen.

So ist dann auch die Ausbildung von zertifizierten, fachkundigen Datenschutzbeauftragten bei udis die erste, die im vollen Umfang die Mindestanforderungen der Datenschutzaufsichtsbehörden erfüllt. Eine tabellarische Aufstellung über die Abdeckung der Inhalte finden Sie hier: Umsetzung der Fachkundekriterien in der udis-Datenschutzausbildung.