Mindestanforderungen

Die Anforderungen an die Person und Fachkunde des Datenschutzbeauftragten sind sehr umfangreich. Lange Zeit gab es keine genaue Definition über die Mindestanforderungen an den DSB, vielen Unternehmen fehlte es an Klarheit und sie waren oft unsicher bei der Auswahl der richtigen Person. Daher hat der Düsseldorfer Kreis, die oberste Aufsichtsbehörde für den Datenschutz im privatwirtschaftlichen Bereich, Ende November 2010 einen konkreten Beschluss hinsichtlich der Mindestanforderungen an die Fachkunde des DSB gefasst. Einen Auszug des Beschlusses führen wir hier auf, den gesamten Inhalt können Sie auf der Webseite des Bundesbeauftragten für den Datenschutz und Informationssicherheit unter diesem Link herunterladen:

Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)
Auszug aus dem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
(Düsseldorfer Kreis am 24./25. November 2010)

___________________________________________________________
I. Erforderliche Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG
§ 4 f Abs. 2 Satz 1 BDSG legt fest, dass zum Beauftragten für den Datenschutz (DSB) nur
bestellt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Weitere
Ausführungen dazu enthält das Gesetz nicht. Vor dem Hintergrund der gestiegenen Anforderungen an die Funktion des DSB müssen diese mindestens über folgende datenschutzrechtliche und technisch-organisatorische Kenntnisse verfügen:

  1. Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der verantwortlichen Stelle
    • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle und
    • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
    • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG.
  1. Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten
    • Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind,
    • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),
    • betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
    • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
    • Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen
Mindestkenntnisse bereits zum Zeitpunkt des Bestellung zum DSB im ausreichenden
Maße vorliegen. Sie können insbesondere auch durch den Besuch geeigneter Aus- und
Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt sein. Um eventuell zu
Beginn der Bestellung noch bestehende Informationsdefizite auszugleichen, empfiehlt sich
der Besuch von geeigneten Fortbildungsveranstaltungen. Der Besuch solcher  Veranstaltungen ist auch nach der Bestellung angezeigt, um auf dem aktuellen, erforderlichen Informationsstand zu bleiben, und um sich Kenntnisse über die sich ändernden rechtlichen und technischen Entwicklungen anzueignen.

 

Schreibe einen Kommentar