Das Missverständnis über den zertifizierten Datenschutzbeauftragten

Die Niederländische Datenschutzbehörde hat am 31. Januar ihren ersten Newsletter (Niederländisch) für Datenschutzbeauftragte (DSBs) veröffentlicht. Der Newsletter geht unter anderem kurz auf ein Missverständnis rund um die DSBs ein.

Ein sehr häufiges Missverständnis, das immer wieder diskutiert wird, ist die Annahme, dass der DSB für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Diese Verantwortung liegt aber bei dem höheren Management. Die Aufgabe der DSB besteht vielmehr darin, sicherzustellen, dass die Organisation auf dem richtigen Weg ist, und Rat und Tat zur Verfügung zu stellen, um auf eine datenschutzfreundliche Organisationskultur hinzuarbeiten. In diesem Blog werde ich auf ein weiteres Missverständnis über DSBs eingehen, nämlich die Notwendigkeit einer Zertifizierung.

Immer öfter treffen Sie im Internet auf teure Schulungen für zertifizierte DSBs oder Stellenangebote, bei denen eine der Jobanforderungen für den Kandidaten darin besteht, dass er ein zertifizierter DSB ist. Es ist allerdings eher irreführend, wenn Programme mit "zertifizierten DSBs" werben. Das liegt daran, dass es sich um eine Zertifizierung gemäß Artikel 42 der Datenschutz-Grundverordnung (DSGVO) handelt. Die Datenschutzbehörde stellt jedoch in Deutschland keinerlei Zertifikate für DSBs aus und hat keine Kriterien für die Zertifizierung von DSBs durch externe Organisationen oder Weiterbildungseinrichtungen genehmigt. Die Datenschutzbehörde kann dies ebenfalls nicht tun, da die DSGVO-Zertifizierung gemäß Artickel 42 nur für eine Verarbeitung und nicht für Einzelpersonen möglich ist. Die DSGVO stellt die folgenden Anforderungen an die Expertise von DSBs:

  • Professionelle Qualifikationen;
  • Expertise im Bereich der Gesetzgebung und Praxis in Bezug auf Privatsphäre und Datenschutz;
  • Die Fähigkeit, die mit der Position eines DSBs verbundenen Aufgaben zu erfüllen. Zu den Aufgaben des DSBs gehören beispielsweise die Information und Beratung über die Bestimmungen der DSGVO, die Einhaltung dieser Bestimmungen sowie die Beratung und Überwachung der Durchführung einer Datenschutz-Folgenabschätzung (DSFA).

Wenn ein DSB zertifiziert ist, bedeutet dies, dass der DSB einen Kurs mit dem Namen "zertifiziert" besucht hat, oder dass der DSB ein Zertifikat für einen solchen Kurs erhalten hat. Und manchmal bezieht sich die Zertifizierung auf das Bildungsinstitut, das diese Ausbildung angeboten hat. Nur der Zusatz "zertifiziert" sagt aber nichts über die Qualitäten oder Erfahrungen eines DSB aus. Dabei sind es gerade die beruflichen Anforderungen, die bei einem guten Datenschutzbeauftragten eine Rolle spielen. Dort arbeiten viele gute DSBs, die nicht im Besitz eines Zertifikats sind, aber über jahrelange Erfahrung und die erforderlichen Qualitäten verfügen.

Hier sind einige Tipps, die einen Hinweis darauf geben können, ob eine DSB für die Position oder den Beratungsauftrag geeignet ist:

  • Schauen Sie sich die Anzahl der Jahre an, in denen ein DSB über umfangreiche Erfahrungen mit Datenschutz verfügt;
  • Kenntnisse der Informationssicherheit sind von Vorteil, reichen aber allein nicht aus, um Kenntnisse über den Datenschutz zu erlangen;
  • Fragen Sie nach Referenzprojekten, bei denen ein DSB gearbeitet hat;
  • Erkundigen Sie sich bei der Firma, die den Service anbietet, um sich ein Bild von deren Kompetenz und Professionalität zu machen.
Author image
Jill Baehring
Datenschutzberaterin und externe DSB bei Privacy Company