Arbeitshilfen – Ausbildung und Ausstattung festlegen
von Dipl.-Ök. Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft Freie Berufe mbH
In Kanzleien werden häufig eigene Mitarbeiter zum Kanzlei-Datenschutzbeauftragten bestellt. Neben der Einführung eines Datenschutzmanagements umfassen seine Aufgaben die Umsetzung und Überwachung der Datenschutzregelungen. Meist soll dies der Datenschutzbeauftragte nebenher erledigen, weshalb es wichtig ist, die Ausbildung und die Ausstattung des Datenschutzbeauftragten in der Kanzlei festzulegen.
Das Bundesdatenschutzgesetz (BDSG) erschöpft sich auf wenige praxisorientierte Anhaltspunkte zu den Fragen der Ausbildung und Ausstattung eines Datenschutzbeauftragten. So heißt es hier unter anderem, dass nur derjenige zum Datenschutzbeauftragten bestellt werden darf, der die „zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet“ (§ 4f Abs. 2 BDSG). In dem Beschluss des LG Ulm vom 31.10.1990, dem sogenannten Ulmer Urteil, werden die gesetzlichen Anforderungen an einen Datenschutzbeauftragten konkretisiert. Dort heißt es:
Der Datenschutzbeauftragte wendet die Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften an.
- Er hat Kenntnisse über die Organisation der Kanzlei.
- Er verfügt über didaktische Fähigkeiten.
- Er verfügt über psychologisches Einfühlungsvermögen.
- Er verfügt über organisatorische Fähigkeiten.
- Er verfügt über einen angemessenen Umgang mit Konflikten um seine Person, seine Funktion und seine Aufgaben.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat sich zu den Anforderungen an einen internen Datenschutzbeauftragten in Apotheken geäußert, was sich auch als Vorbild für Steuerkanzleien anbietet. Demnach sollte der interne Datenschutzbeauftragte im Rahmen der Fachkunde über Kenntnisse
- der daten- und berufsrechtlichen Regelungen
- der technischen und organisatorischen Maßnahmen
- über die organisatorischen Abläufe in der Praxis und ihre Umsetzung in der EDV
verfügen.
Dieser Katalog dürfte analog auch als Mindestanforderung für einen internen Kanzlei-Datenschutzbeauftragten gelten. Um mehr Rechtssicherheit für Datenschutzbeauftragte zu schaffen, hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. einen Vorschlag zur Normierung der Berufsgrundsätze gemacht (http://www.bvdnet.de/). Im Rahmen einer kleinen Anfrage (BTDruck 16/4090) hat die Bundesregierung in ihrer Antwort (BT-Druck. 16/4249) klargestellt, dass sie keinen Handlungsbedarf bei der Festlegung einer einheitlichen Berufsordnung und verbindlicher Leistungsanforderungen sehe. Stattdessen hält sie die gesetzlich formulierten Anforderungen für ausreichend und bewährt. Dennoch wäre eine einheitliche Berufsordnung für den Markt der externen Datenschutzbeauftragten begrüßenswert und würde auch internen Datenschutzbeauftragten Rechtssicherheit bringen. Das hier genannte Angebot an Ausund Fortbildung, Literatur und Hilfsmitteln erhebt nicht den Anspruch auf Vollständigkeit. Die Informationen sollen dem Datenschutzbeauftragten als Orientierung und Hilfe bei seiner Tätigkeit nützlich sein.
Ausbildung
Die Anzahl der Anbieter von Kursen zur Ausbildung zum Datenschutzbeauftragten ist groß. Exemplarisch werden drei Anbieter genannt:
- Die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD, http://www.gdd.de/) bietet zur Ausbildung als Datenschutzbeauftragter das Konzept „GDDcert“ an.
- Die Ulmer Akademie für Datenschutz und IT-Sicherheit gGmbH (Udis, http://www.udis.de/) bildet Datenschutzbeauftragte in 16 Tagen aus.
- Die TÜV Nord Akademie (www.tuev-nord.de) bietet einen dreitägigen Lehrgang zur Ausbildung „Datenschutzbeauftragter (Tüv)“
Hinweise:
- Bei den genannten Anbietern schließen die Ausbildungen mit einer Prüfung ab.
- Die Angebote von GDD und Udis zielen eher auf die Ausbildung externer Datenschutzbeauftragter ab.
- Zur Auswahl eines optimalen Kurses und eines seriösen Seminaranbieters lässt sich auch die zuständige Aufsichtsbehörde befragen.
- Die Ausbildung zum Datenschutzbeauftragten sollte unbedingt vor der Bestellung erfolgen, da der Datenschutzbeauftragte mit seiner Bestellung seine Tätigkeiten erfüllen muss. Das BDSG kennt keine „Schonfrist“ für neu bestellte Datenschutzbeauftragte.
Fortbildung
Um fachkundig zu bleiben, muss sich der Datenschutzbeauftragte laufend fortbilden. Deswegen muss er auch die Fortentwicklung und die Änderungen im Datenschutzrecht verfolgen. Hier kann ein regelmäßiger Blick auf die Homepage der Aufsichtsbehörde „Virtuelles Datenschutzbüro“ (http://www.datenschutz.de/) hilfreich sein – hier finden Interessenten Meldungen und Hintergrundinformationen zum Thema. Mitgliedern bietet die Gesellschaft für Datenschutz und Datensicherung sogenannte Erfahrungsaustausch-Kreise (Erfa-Kreise) zur fachlichen Fortbildung und zum Austausch datenschutzrechtlicher Probleme an. Für weitere Fortbildungsveranstaltungen muss auf die große Anzahl der Seminaranbieter verwiesen werden. Hier gilt das oben Gesagte.
Literatur
Die Anzahl und der Umfang an Fach- und Lehrbüchern, Fachzeitschriften und Kommentarliteratur sind in den letzten Jahren stark gestiegen. Datenschutzbeauftragte sind inzwischen nicht mehr darauf angewiesen, auf ein Werk zurückzugreifen, falls es zu einer Fragestellung überhaupt Literatur gab. Allerdings sollte jeder DSB über die relevanten Gesetze in gedruckter Form verfügen. Dennoch kann nicht jede Kanzlei den entsprechenden Gesetzestext vorhalten, weswegen ein Blick auf www.gesetze-im-internet.de hilfreich ist. Für den europäischen Bereich empfiehlt sich das Angebot der Europäischen Union www.ec.europa.eu/justice_home/fsj/privacy/index_de.htm.
Arbeitshilfen
Zwei Online-Werke sollten einem Datenschutzbeauftragten auf jeden Fall vorliegen:
Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) hat den sogenannten Baustein 1.5 Datenschutz herausgegeben. Anhand eines Musterprozesses erläutert der BfDI die Umsetzung des Datenschutzprozesses.
Für den Bereich der technischen und organisatorischen Maßnahmen sei auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) verwiesen. Die IT-Grundschutz-Kataloge geben Hilfestellung zu den technischen und organisatorischen Maßnahmen (§ 9 BDSG). Außerdem lässt sich eine „Überleitungsrechnung“ der Maßnahmen der IT-Grundschutz-Kataloge zu technischen und organisatorischen Maßnahmen (§ 9 BDSG) auf den Seiten des BfDI abrufen. Die Umsetzung der technischen und organisatorischen Maßnahmen muss dann kanzleiindividuell erfolgen. Weitere Arbeitshilfen zu Spezialthemen lassen sich auf den Seiten der Aufsichtsbehörden abrufen.
Software
Das Software-Angebot für Datenschutzbeauftragte wächst ebenfalls ständig, allerdings unterscheiden sich Qualität und Funktionsumfang der angebotenen Programme erheblich voneinander. Bei der Auswahl der Software empfiehlt es sich deswegen, auf Folgendes zu achten: Nicht nur die einzelnen Aspekte des Datenschutzkonzepts sollen sich damit abbilden lassen, wie etwa die Dokumentation der technischen und organisatorischen Maßnahmen.
Teilweise werden gesammelte Word-Dokumente als Software angeboten. Hier stellt sich das Problem einer strukturierten Ablage der Revisionsdokumente. Außerdem sind in Word-Dokumenten Plausibilitätsprüfungen nur eingeschränkt möglich. Einen ganzheitlichen Ansatz hingegen verfolgt etwa die Software Prime Datenschutz (http://www.primedatenschutz.de/).
Diplom-Ökonom Stephan Rehfeld,
Geschäftsführer der scope & focus GmbH,
der IT-Tochter des Steuerberaterverbands Niedersachsen Sachsen-Anhalt e.V.,
externer Datenschutzbeauftragter, Datenschutzbeauftragter (TÜV)
Veröffentlicht in: Steuer-Consultant 9/2008, Seite 56 f.
