Universität Oldenburg: Unter 3 Wochen geht es nicht

Kurzzeitausbildungen werden den Anforderungen an Datenschutzbeauftragte nicht gerecht

Im Dezember 2011 hat die Carl von Ossietzky Universität Oldenburg in Kooperation mit dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. eine Studie zum Selbstbild und Fremdbild von Datenschutzbeauftragten (DSB) vorgelegt.

Nach dieser Studie halten sich 40 von 100 Datenschutzbeauftragten gemessen an ihren Aufgaben für "zu gering" oder "eher zu gering" qualifiziert.

Die Studie führt weiter aus, "dass in Bezug auf die Ausbildung eines Datenschutzbeauftragten ein hohes Qualitätsniveau erwartet wird. ... Die Top-Antwort aus der Perspektive der DSB ist der 3-wöchige Lehrgang... Dreiwöchige Ausbildungen wie von der UDIS (Ulmer Akademie für Datenschutz und IT-Sicherheit) oder der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) zählen nach Aussagen des BvD e.V. zu den (im Vergleich mit anderen realen Ausbildungen) renommierten Ausbildungen..." (Abschnitt E: Die Ausbildung des Datenschutzbeauftragten, Seite 40f).

Fazit der Studie ist unter anderem: "Deutlich wurde eine Negierung von Kurzzeitausbildungen, welche die 3-wöchige Ausbildungsdauer unterschreiten" (Abschnitt A: Die Studie im Überblick, Seite 12).

Eine Kurzform der Studie findet sich unter www.bvdnet.de.

Betriebswirtschaft für Datenschutzbeauftragte

Aufsichtsbehörden verlangen Grundkenntnisse in BWL für Datenschutzbeauftragte

Vor dem Hintergrund der gestiegenen Anforderungen an die Funktion der Beauftragten für den Datenschutz (DSB) haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 24./25. November 2010 Mindestanforderungen an die Fachkunde und Unabhängigkeit der Beauftragten für den Datenschutz festgelegt.

Neu ist in diesem Zusammenhang unter anderem, dass die Datenschutzbeauftragten auch über eine betriebswirtschaftliche Grundkompetenz in Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing usw. verfügen müssen. Mit dem udis Refresher-Seminar Betriebswirtschaft für Datenschutzbeauftragte kann diese zusätzliche Grundkompetenz erworben werden.

Grundkenntnisse in Betriebswirtschaft sollte ein Datenschützer schon allein deshalb haben, weil die fundierte Einschätzung, ob der Einsatz der Mittel für den Datenschutz noch verhältnismäßig ist, nicht alleine dem verantwortlichen Management und deren Zwängen überlassen werden sollte. Danach stärken betriebswirtschaftliche Kenntnisse nicht zuletzt auch die Unabhängigkeit von Datenschutzbeauftragten im Sinne von § 4f Abs. 3 und der EG-Datenschutzrichtlinie.

Mindestanforderungen an die Fachkunde von betrieblichen und behördlichen Datenschutzbeauftragten

Die im Düsseldorfer Kreis zusammengeschlossenen deutschen Datenschutz-Aufsichtsbehörden haben in einem Beschluss vom 24./25. November 2010 Mindestanforderungen an Fachkunde und Unabhängigkeit der Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) festgelegt. Darin wurde festgestellt, dass die Fachkunde und die Rahmenbedingungen für die Arbeit der Beauftragten für den Datenschutz in vielen Untenehmen und Behörden „angesichts zunehmender Komplexität automatisierter Verfahren zum Umgang mit personenbezogenen Daten nicht durchgängig den Anforderungen des BDSG genügen“.

Darüber hinaus stellten die obersten Aufsichtsbehörden für den Datenschutz fest, dass grundsätzlich alle Datenschutzbeauftragten die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt der Bestellung zum Datenschutzbeauftragten in ausreichendem Maße vorliegen müssen. Diese Kenntnisse sollen insbesondere durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt werden.

udis, die Ulmer Akademie für Datenschutz und IT-Sicherheit begrüsst diesen Beschluss sehr. Zum einen, weil udis von allen Datenschutz-Aufsichtsbehörden als Anbieter geeigneter Aus- und Fortbildungsveranstaltungen anerkannt ist. Zum anderen, weil es die Begründer von udis waren, die bereits 1990 Mindestanforderungen an die Fachkunde von Datenschutzbeauftragten formuliert hatten, die diesem Beschluss der Aufsichtsbehörden entsprechen. Diese Mindestanforderungen an die Fachkunde wurden aber bereits im Oktober 1990 vom Landgericht Ulm im berühmten „Ulmer Urteil“ (Az.: 5T 153/90-01 LG Ulm) bestätigt.

Es versteht sich von selbst, dass udis seitdem und bis heute nach diesen Kriterien seine Ausbildung zu geprüften, fachkundigen Datenschutzbeauftragten gestaltet – natürlich angepasst an die rasante Weiterentwicklung der Informationstechnik und an eine leider nur sehr langsam darauf reagierende Datenschutzgesetzgebung.

Der betriebliche Datenschutzbeauftragte setzt sich in der EU immer mehr durch

Der französische Verband der Datenschutzbeauftragten AFCDP (vergleichbar mit dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.) hat am 6. Februar 2012 eine Studie über 12 Staaten der Europäischen Union veröffentlicht, in welchen die Funktion von betrieblichen / behördlichen Datenschutzbeauftragten vorgesehen ist. In tabellarischer Form sind dort Rechte, Pflichten und sonstige Rahmenbedingungen vergleichend aufgeführt. Sehr interessant!

udis ERFA-Kreis wird immer größer

Demnächst dürfte die Kapazitätsgrenze erreicht sein.

Im Jahre 2001 wurde von den Absolventen der Datenschutz-Ausbildung nach dem Ulmer Modell der udis ERFA-Kreis gegründet. Ziel dieses Kreises ist es, ERFAhrungen auszutauschen. Erfahrungen, die man vor Ort in den einzelnen Betrieben und Behörden mit der Umsetzung der bei udis erworbenen Fachkunde macht oder gemacht hat. Man holt sich für die einzelnen Meetings nach eigenen Vorstellungen eigene Referenten, die bei der Lösung neu aufkommender Probleme helfen sollen. Man tauscht aber auch Tipps und Tricks aus und bespricht Probleme, die man in der Firma oder der Behörde mit der Umsetzung des Datenschutzes hat. Oder man feiert bei einem guten Essen und einem guten Tropfen einfach das Wiedersehen. So ist im Laufe der Jahre ein Netzwerk von kompetenten Datenschützerinnen und Datenschützern entstanden, welches durch die stets neu hinzukommenden Absolventen der Ulmer Kaderschmiede immer größer wird. Es hat sich gezeigt, dass vor allem für die vielen „Einzelkämpfer“ unter den Datenschützern ein solches Netzwerk von großer Wichtigkeit ist (mehr...).

Der udis ERFA-Kreis trifft sich unter der engagierten Leitung des udis-Absolventen Malte Kaspar zweimal im Jahr, meist im April und Oktober. Die Tagungskosten sind niedrig. Sie sollen nur die tatsächlich entstehenden Kosten decken.

Zunächst fanden die Treffen in Steinach bei Rothenburg o.d. Tauber statt. Inzwischen ist der ERFA-Kreis jedoch einige Kilometer weiter nach Bad Windsheim umgezogen, weil in Steinach die jährlich wachsende Teilnehmerzahl nicht mehr bewältigt werden konnte.

So findet nun das nächste Treffen des udis ERFA-Kreises am 27. Und 28. April 2012 in Bad Windsheim statt. Da auch hier demnächst die Kapazitätsgrenze erreicht sein dürfte, empfiehlt sich eine rechtzeitige Anmeldung direkt bei Malte Kaspar unter malte-michael.kaspar@ergodirekt.de.

Gerhard Kongehl: Vortrag zum Datenschutz im Senat der französischen Republik

Am 8. April 2011 fand im berühmten Palais du Luxembourg, dem Sitz des Senats der französischen Republik, eine Anhörung zum Thema Datenschutz statt. Konkret ging es im Senat um Status, Aufgabe und Ausbildung von betrieblichen Datenschutzbeauftragten in französischen Unternehmen. Der betriebliche Datenschutzbeauftragte wurde in Frankreich vor fünf Jahren mit Blick auf Deutschland eingeführt und entwickelt sich dort offensichtlich zu einem Erfolgsmodell.

Jetzt ist man so weit, dass man zum ersten Mal Bilanz ziehen kann und wissen möchte, wo Frankreich inzwischen im Vergleich zu Deutschland steht und wie es in Bezug auf die Fachkunde von Datenschutzbeauftragten in beiden Ländern aussieht.

Als einer der Hauptredner wurde ganz bewusst Prof. Dr. Gerhard Kongehl von udis in den französischen Senat geladen, weil udis auch in Frankreich als eine der besten und engagiertesten Institutionen in der Ausbildung von Datenschutz­beauftragten gilt. Von ihm wollte man aber nicht nur wissen, wie man in Deutschland zu einem professionellen Datenschutz­beauftragten wird. Er sollte auch noch einmal darlegen, wie es in Deutschland überhaupt zu einerm solchen Organ der Selbstkontrolle ("auto-contrôl") gekommen ist, wo es in Deutschland klemmt und wie man sich in Bezug auf die kommende neue Datenschutz­richtlinie der EU in Sachen betriebliche Datenschutz­beauftragte positionieren sollte.

Der Vortrag liegt sowohl im französischen Original als auch in deutscher Übersetzung zum Nachlesen vor. Eine kleine Anmerkung zum Verständnis: auf Französisch heisst der DSB (Datenschutzbeauftragte) CIL (Correspondant de l'informatique et libertés).

Verfügbare Versionen des Vortrags von Prof. Dr. Kongehl:

• Vortrag französisch
• Vortrag deutsch
• Vortrag französisch-deutsch (auf jede französische Originalfolie folgt die deutsche Übersetzung)

udis^zert: Das udis-Gütesiegel zum Nachweis der Fachkunde als Datenschutzbeauftragte(r)

Bei udis ausgebildete Datenschutzbeauftragte gelten in Deutschland, vor allem auch bei den Kontrollinstanzen des Datenschutzes als optimal fachkundig. Absolventen dieser Ausbildung möchten deshalb auch gerne nach außen hin deutlich machen, dass sie bei udis zu geprüften fachkundigen Datenschutzbeauftragten ausgebildet worden sind. Deshalb hat udis jetzt auf vielfachen Wunsch ein Gütesiegel entwickelt. Durch dieses Gütesiegel sollen alle Absolventinnen und Absolventen, die die Datenschutzausbildung erfolgreich abgeschlossen haben (und damit udis-zertifizierte Datenschutzbeauftragte sind), ihre Datenschutzqualifikation glaubwürdig darstellen können. Etwa gegenüber den Institutionen der Datenschutzkontrolle, gegenüber ihrem Unternehmen, gegenüber ihren Kunden und Geschäftspartnern und natürlich auch gegenüber der Öffentlichkeit.

Gemeinsames Ausbildungskonzept von udis und GDD stößt auf breite Zustimmung in der Fachwelt

Mehr als zwei Jahre lang haben udis und die Gesellschaft für Datenschutz und Datensicherung (GDD) e.V. an einem gemeinsamen Konzept zur Ausbildung von fachkundigen Datenschutzbeauftragten gearbeitet. Ziel war es, einen Katalog des Wissens und der Fähigkeiten zu entwickeln, der beinhaltet, was Datenschutzbeauftragte immer wissen und können müssen, egal ob sie für einen Kleinbetrieb oder einen Großkonzern tätig sind. Dieser Minimalkatalog legt darüber hinaus fest, wie viel Zeit im Rahmen einer Ausbildung mindestens investiert werden muss, um dieses Wissen und diese Fähigkeiten zu erlangen. Dieser Katalog entspricht im Wesentlichen in Inhalt und Dauer der bisherigen Ausbildung zu geprüften, fachkundigen Datenschutzbeauftragten nach dem Ulmer Modell bei udis. Bis in alle Einzelheiten ist in diesem Katalog festgelegt, wie viele Unterrichtseinheiten eingesetzt werden müssen, um ein bestimmtes Themengebiet des Datenschutzes zu vermitteln. Zählt man die einzelnen Stunden und Minuten zusammen, ergibt sich zur Erlangung der Fachkunde ein Zeitaufwand von mindestens 120 Unterrichtseinheiten, was einer Ausbildungsdauer von mindestens 15 Seminartagen entspricht. Wohlgemerkt: Es handelt sich hier um einen Minimalkatalog, der je nach dem, in welchem Bereich ein(e) Datenschutzbeauftragte(r) tätig ist, durch zusätzliche Themenschwerpunkte und Ausbildungszeiten ergänzt werden muss.

Neue Hoffnungen für den Datenschutz in Baden-Württemberg

In der Koalitionsvereinbarung zwischen Bündnis 90 / Die Grünen und der SPD Baden-Württemberg, die zusammen bekanntlich die neue Landesregierung bilden, gibt es interessante Vereinbarungen zum Datenschutz, die wir Ihnen hier nicht vorenthalten wollen:

Unabhängigen Datenschutz stärken

Angetrieben durch die damalige Opposition und auf der Basis eines Oppositionsantrags sind CDU und FDP zum Ende der vorangegangenen Legislaturperiode endlich die Novellierung des Landesdatenschutzgesetzes angegangen. Die von uns seit Jahren geforderte Zusammenlegung des Datenschutzes für den öffentlichen und den nichtöffentlichen Bereich und dessen Bündelung beim Landesbeauftragten für den Datenschutz ist nun seit dem 1. April 2011 Wirklichkeit.

Diese Novellierung blieb in einigen Punkten hinter unseren Erwartungen und Forderungen zurück. Um unsere Vorstellung von einem völlig unabhängigen, bürgernahen und effizienten Datenschutz zu verwirklichen, streben wir eine rasche Novellierung an. Dabei soll die beim Landtag angesiedelte Datenschutzbehörde bei angemessener Ausstattung mit Personal und Sachmitteln den Status einer obersten Landesbehörde erhalten mit eigenen Sanktionsbefugnissen für die Verfolgung und Ahndung von Ordnungswidrigkeiten.

Datenschutz ist auch eine Bildungsaufgabe. Regelungen zur Vermittlung von Datenschutzbewusstsein müssen deshalb nicht nur in den Datenschutzgesetzen, sondern auch in den Lehrplänen von Bildungseinrichtungen verankert werden.

Wir wollen auch die behördlichen und betrieblichen Datenschutzbeauftragten als wichtiges Element der Eigenkontrolle stärken. Sie sollen ihre Aufgaben unabhängig, kompetent und mit ausreichenden Möglichkeiten wahrnehmen können.

Wir werden bei einer Novellierung des Datenschutzgesetzes des Landes auch die sehr kurzfristig in das Gesetz aufgenommene Videoüberwachung im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts neu regeln und dabei insbesondere die Forderungen des Landesdatenschutzbeauftragten umsetzen.

Datenschutz ist Grundrechtsschutz. Die Wahrung des Grundrechts auf informationelle Selbstbestimmung ist in der modernen digitalen Welt Grundvoraussetzung für die demokratische Verfassung einer Informations- und Wissensgesellschaft des 21. Jahrhunderts. Wir werden deshalb auch über den Bundesrat Initiativen auf den Weg bringen, um den grundrechtlich verbürgten Datenschutz in allen Lebensbereichen wirksam, transparent und bürgernah zu verankern.

Dies gilt zuvorderst für die Entwicklung eines modernen Beschäftigtendatenschutzes im Hinblick auf Videoüberwachung, Überwachung von E-Mails, die Kontrolle der Internetnutzung am Arbeitsplatz, beim Detektiveinsatz gegenüber Beschäftigten und beim Informantenschutz.

Wir werden auch initiativ werden, um die Erarbeitung eines internetfähigen Datenschutzrechts, das sich den Gegebenheiten der globalen Netzwelt anpasst, voranzutreiben. Dabei gilt: Das vom Bundesverfassungsgericht neu entwickelte Grundrecht der Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme muss unverletzt bleiben. Die Kommunikationsdaten von Geheimnisträgern dürfen nur unter hohen Auflagen untersucht werden.

Bei der Vorratsdatenspeicherung setzen wir uns dafür ein, die Vorgaben des Bundesverfassungsgerichts präzise einzuhalten. Das Sperren von Internetseiten lehnen wir ab und vertreten stattdessen das wirksamere und effizientere Prinzip „Löschen statt Sperren“.