Datenschutzbeauftragte und Datenschutzorganisation

Hier können Themen mit Bezug zu den Funktionen und Aufgaben von betrieblichen oder behördlichen Datenschutzbeauftragten und Konzepte zur Organisation von Datenschutz diskutiert werden.

2 Likes

Gibt es eigentlich Zahlen, ob einem Datenschutzbeauftragten schon einmal im Nachhinein sein Zertifikat aberkannt wurde bzw. er nachschulen musste wg. grober Fahrlässigkeit? Theoretisch müsste das möglich sein.

2 Likes

Ich gehe mal davon aus dass es um die betrieblichen Datenschutzbeauftragten geht.
Brauchen diese überhaupt ein Zertifikat? Ich konnte dazu außer verschiedenen Firmen die Schulungen dazu anbieten nicht viel finden.

Gerade bei innerbetrieblichen Datenschutzbeauftragten fände ich die Frage interessanter ob es Unternehmen schon mal richtig weh getan hat, einen innerbetrieblichen “billigen” Datenschutzbeauftragten zu nehmen, der dann keine Zeit für seinen Job hat. Wenn der Geschäftsführer sagt man soll kein Datenschutz machen, ist man als Angestellter doch sehr begrenzt in seiner “Gegenwirkung” außer dann zur Petze beim Landesdatenschutzbeauftragten zu werden.

1 Like

Edit: Nein
Es dürfte zumindest keine Person als Datenschutzbeauftragter bestellt werden, die nicht die notwendige Fachkunde besitzt. Dazu lautet Art. 38 Abs. 5 DSGVO:

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Bis jetzt gibt es keine staatliche Zertifizierung für Datenschutzbeauftragte, die im Nachhinein aberkannt werden könnte. (Art. 43 DSGVO, Art. 42 DSGVO)

…dann verhält er sich rechtswidrig und verdient sich einen Wink mit dem Gesetz. Schön hierzu, die Landesdatenschutzbeauftragte für Niedersachsen Datenschutzbeauftragte bei Unternehmen und Unternehmensgruppen

Dennoch ist eine Zertifizierung m.E. weder notwendig noch hinreichend, wobei es natürlich für das “normale” Geschäft ein guter Nachweis ist.

4 Likes

Dem würde ich zustimmen. Ich habe es zwar noch nie näher geprüft, aber bestimmte Ausbildungen haben ja qua Definition die nötige Fachkunde. Ein Jurist mit der Befähigung zum Richteramt braucht keine gesonderte Zertifizierung oder ähnliches. Dieser Automatismus ist vielleicht auch noch auf andere einschlägige allgemeine Berufsqualifikationen übertragbar.

1 Like

Da es noch keine Akkretiderung gibt kann auch keine Akkreditierung aberkannt werden.
Zerfikate sind “freiwillig” - können jedoch als Nachweis gegenüber der Aufsichtsbehörde helfen, die Qualifikation nachzuweisen.

Im BDSG-ALT gab es dazu noch eine Regelung in §38(5)
“Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.”

Wenn dann kann die Aufsichtsbehörde auf den Betrieb einwirken die Benennung abzuerkennen

" Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben."

Heute geht doch nichts über Zertifikate :wink:
Ich denke für alle, die nicht aus dem juristischen Bereich kommen, ist ein Nachweis für die Einhaltung der Qualifikationserfordernisse eines DSB nach Art. 39 sicherlich beruhigend - falls mal jemand Nachfragen sollte. :innocent:

also manche Zertifikate sind meiner Meinung nach nicht mal das Papier wert auf sie gedruckt wurden… Ich wurde selber mal vom damaligen Chef “genötigt” eine ‘Ausbildung’ durchzuführen…

@DtnSchtz
Stimmt! Aber jede Ausbildung birgt auch das Risiko einer mangelnden Umsetzungsfähigkeit und schützt auch nicht vor Fehlern. Es ist zumindest a.) ein Nachweis und b.) die Hoffnung, dass sich derjenige mit den Regeln auseinandergesetzt hat und weiter auseinandersetzt.

Ich würde auch keck behaupten, dass zwischen dem DSB und der Datenschutzorganisation durchaus auch ein Unterschied besteht.

Zum Beispiel zwischen

  • Betrieb eines Datenschutzmanagement-Systems und echten DSB Aufgaben
  • Erstellen von DSFAs und deren Review

Ich weiss nicht ob eine Fokussierung auf den DSB hier immer hilft. - Auch weil im Zweifelsfall ja immer andere die Verantwortung tragen bzw. die Zwecke und Mittel bestimmen.

(DSBs sind natürlich wichtig … - aber soooo wichtig?)

@Stefan.Keller @DtnSchtz
Vielleicht sollte ich ergänzen, dass ich verstärkt an Freiberufler, Selbstständige und KMU denke.
Sagen wir es mal so: “Da kann ein Datenschutzberater oder -beauftragter schon hilfreich sein!” :wink:

Nur ein Anwalt kann ein Datenschutzberater sein aufgrund des Rechtsdienstleistungsgesetzes.
Ein für ein Unternehmen benannter DSB darf Rechtsberatung im Sinne der DSGVO für das Unternehmen durchführen. Die Aufgaben sind in der DSGVO geregelt und sind höherwertiger als das RDG.

An welche Art aberkennungswürdiges Zertifikat dachtest Du hier?
Es gibt Fälle, in denen die Benennung eines/einer DSB wegen Interessenskonflikts als unwirksam erklärt wurde (müsste ich jetzt aber recherchieren - das ist jetzt frei aus der Erinnerung behauptet). Das Argument war aber regelmäßig “Interessenkonflikt” bei Personalleitung, IT-Leitung, Geschäftsführung u. dergl.
Über derartige Konsequenzen bei Falschberatung oder anderen Kompetenzmängeln habe ich noch nichts gehört. Ich rede jetzt nicht über Ansprüche eines Verantwortlichen gg. ein DSB, sondern Intervention aus Richtung Aufsichtsbehörde.

@DtnSchtz
Ja, da ist ein schmaler Grat aufgemacht. Der Datenschutz gilt ja für alle, die Daten verarbeiten, große wie kleine Unternehmen bis Solo - Selbstständige. Die bei der Umsetzung und Dokumentation (nennen wir es nicht Beratung, sondern) Unterstützung benötigen. Da kann ein geschulter (zertifizierter) im Datenschutz hilfreich sein. Natürlich ist bei Annäherung an den “schmalen Grat” ein fachlicher, juristischer Rat einzuholen.

@KallNapp
Nach Art. 37 (5)

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

ist m. E. noch nicht einmal ein Zertifikat erforderlich, es soll nur die Qualifikation nachweisen. Danach könnte eine Aufsichtsbehörde wenn, die Qualifikation des/dem DSB absprechen. Gehört oder gelesen habe ich diesen Fall allerdings auch noch nicht.

Die Datenschutzbeauftragten haben in der Regel das Wissen, dürfen es aber nicht “eigentlich” nicht beratend weitergeben. Liegt auch an der annahme, dass ein DSB günstiger als ein Anwalt ist. Mit der DSGVO sind die ganzen individuellen Webseiten-Checks von Nicht-Anwäten verschwunden (weil Rechtsberatung).
Gerade jetzt wo die Aufsichtsbehörden Fragebögen bezüglich Schrems-II versenden, werden DSB’s wieder um Hilfe gebeten.

Von ein Abberufung eines DSB’s wurde mir nur berichtet. Denke diesen Umstand gibt kaum jemand zu.

Ich denke ein DSB hat auch jenseits von rechtlichen Beratungen sehr viel zu tun.
Da sehe ich in letzter Zeit eher eine Differenzierung zwischen der Rechtsberatung
und den anderen eigentlichen DSB Tätigkeiten…

(External legal counsels haben ja auch Existenzgründe.)

Wahre Worte.

Nehmen wir mal die “Zertifizierung” beim TÜV Rheinland als DSB. Es handelt sich um einen Multiple Choice-Test, dessen Antworten man von den Kursleitern diverser Bildungszentren frei Haus geliefert bekommt. Nichtsdestotrotz steht die Vertriebsangestellte, die offensichtlich auch nach dem Kurs keine Ahnung von Datenschutz(recht) hat, auf einer Stufe mit dem Juristen, der sogar versteht, wie Gesetze aufgebaut sind und wie man sie auslegt. Beide dürfen sich DSB nennen.

Hier läuft etwas ganz gewaltig schief. Zur Sicherung grundlegender Standards könnte ein reguliertes Zertifizierungsverfahren durchaus Abhilfe schaffen.