Immer am Ball bleiben: Wie sinnvoll sind regelmäßige Fortbildungen für Datenschutzbeauftragte?

Mehr Cyber-Kriminalität und bessere Aufsichtsbehörden in den Unternehmen – Datenschutzbeauftragte sind so gefragt wie nie. Feste Fortbildungsmaßnahmen sind unumgänglich, vom Gesetzgeber trotzdem momentan (noch) nicht geregelt.

Ein offizielles Ausbildungs-Zertifikat ist die Grundvoraussetzung, um als externer oder interner Datenschutzbeauftragte ernannt werden zu können. Beim Blick in die Schulungsprogramme der großen Anbieter, wie TÜV SÜD, Haufe-Akademie oder Bitkom-Akademie, ist das einmalig erworbene Zertifikat in der Regel für drei Jahre gültig. Nach Ablauf dieser Frist bieten die Schulungsunternehmen dann einen Auffrischungskurs an. Wird diese Nachschulung absolviert und bestanden, wird das Zertifikat um drei weitere Jahre verlängert.

Die rechtliche Grundlage hierfür ist zwar in der DSGVO definiert, allerdings eher schwammig und ohne eine konkrete Nennung von Fristen:

„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ (Art. 37 Abs. 5 DSGVO)

Im Artikel 39, der die Aufgaben eines Datenschutzbeauftragten auflistet, sind ebenfalls keine Fristen gesetzt worden. Allerdings gibt ein Blick in den Abschnitt 1a) Auskunft darüber, dass prinzipiell von einer permanenten Weiterbildung des Datenschutzbeauftragten auszugehen ist. Hier lautet es:

„(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;“

Regelmäßige Fortbildung wichtig, dennoch nicht obligatorisch

Der Artikel 39 DSGVO nennt also keine zwingenden Fortbildungsmaßnahmen für Datenschutzbeauftragte. Noch ist die DSGVO auch nicht novelliert worden, aber Experten und Wissenschaftler gehen von ersten Vorschriftsnovellen aus, die schon bald in Kraft treten könnten. Spätestens dann sollten alle, die sich professionell mit dem Datenschutz beschäftigen, ihr Wissen auf den neuesten Stand bringen. Da der Datenschutzbeauftragte ja unter anderem auch dafür verantwortlich ist, Schäden vom Unternehmen abzuwenden, empfiehlt sich auf jeden Fall eine regelmäßige Lektüre aktueller Urteile, bei denen gegen Unternehmen beispielsweise Bußgelder verhängt werden. Die Gerichte schaffen immer wieder Präzedenzfälle, die in abgewandelter Form für viele ähnlich positionierte Unternehmen in Betracht kommen. Für eine den Aufgaben angemessene dauerhafte Expertise empfiehlt es sich, mindestens einmal im Jahr eine Fortbildung bei einem anerkannten Schulungsanbieter zu besuchen. Es gibt inzwischen eine große Anzahl von Ausbildungsinstituten, die Datenschutz-Seminare und Workshops anbieten. Dabei spielt es überhaupt keine Rolle, ob die Fortbildung im Rahmen eines Online-Seminars stattfindet oder als Präsenzveranstaltung. Darüber hinaus bieten die einschlägigen Infoportale sowie die Landesdatenschutz-Behörden stets aktuelle Information zum Datenschutz, gesetzlichen Änderungen sowie Urteilen. Neben den festen Fortbildungsmaßnahmen ist das „Selbststudium“ für einen Datenschutzbeauftragten ein wichtiger Bestandteil, um stets auf dem aktuellen Wissensstand zu bleiben.

Ein Beispiel: TÜV SÜD bietet Rezertifizierung an

Das Zertifikat „Datenschutzbeauftragter (TÜV)“ bekommt man, wenn man beispielsweise bei TÜV SÜD eine Datenschutz-Fortbildung bestritten hat. Der TÜV bietet an, innerhalb einer dreijährigen Frist eine Rezertifizierung zu absolvieren. TÜV SÜD bietet das in verschiedenen Varianten an. Der Datenschutzbeauftragte hat die Wahl, sich für ein Kompaktseminar zur Rezertifizierung zu entscheiden. Dieses Seminar umfasst 16 Unterrichtseinheiten und erfüllt die Bedingungen zur Erhaltung der erforderlichen Fachkunde gemäß BDSG und EU-DSGVO.

Acht Unterrichtseinheiten und ein bestandener Abschlusstest sind notwendig, um sich seitens TÜV SÜD das Fachwissen über Einzelseminare anzueignen.

Fazit: Aus rechtlicher Sicht stellt die DSGVO zwar keine direkte Forderung nach festen Fortbildungsmaßnahmen, dennoch sind regelmäßige Fortbildungen unumgänglich, um den Aufgaben des Datenschutzbeauftragten gerecht zu werden.