Fachkunde des betrieblichen Datenschutzbeauftragten, Art. 37 Abs. 5 DSGVO
„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikationen und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt…“ Daraus folgt, dass die erforderliche Fachkunde des betrieblichen Datenschutzbeauftragten (bDSb) nach dem Willen des Gesetzgebers bereits zum Zeitpunkt seiner Bestellung vorhanden sein muss und nicht erst nach erfolgter Bestellung erworben werden kann. Hiermit im Einklang befindet sich die Regelung des Art. 38 Abs. 2 DSGVO, welchem dem bereits bestellten bDSB einen Anspruch auf die zur Erhaltung seiner Fachkunde erforderliche Fortbildung (aber eben nicht die zu deren Erlangung erforderliche Ausbildung) gewährt.
Inhalte und -tiefe für die Ausbildung des Datenschutzbeauftragten nennt das Gesetz bewusst nicht. Diese richten sich stark nach den spezifischen Belangen des Verantwortlichen, die insbesondere im Bereich der privaten Wirtschaft sehr unterschiedlich sein können. Insbesondere aber dann, wenn ein Unternehmen verpflichtet ist, eine Datenschutzfolgenabschätzung vorzunehmen, werden die Anforderungen an das Fachwissen des bDSB als besonders hoch einzustufen sein.
Grundsätzlich ergeben sich die Anforderungen an die Fachkunde aus den konkreten (betrieblichen) Umständen einerseits (s. o.) sowie der gesetzlichen Aufgabenbeschreibung aus Art. 39 DSGVO andererseits. Somit besteht zunächst darüber Einigkeit, dass der bDSB über Kenntnisse anwendbaren Datenschutz-Regelungen, insbesondere also DSGVO, BDSG und ggf. LDSG in den jeweils anwendbaren Bereichen, aber auch einschlägiger spezialgesetzlicher Regelungen, verfügen muss. Da die gesetzlichen Bestimmungen durch die zu ihrer Einhaltung erforderlichen technischen und organisatorischen Maßnahmen umgesetzt werden müssen, bedarf es darüber hinaus organisatorischer Fähigkeiten sowie eines gewissen (EDV-)technischen Grundverständnisses. Selbst einrichten und umsetzen muss der bDSB aber nicht, so dass diesbezügliche Fähigkeiten weitestgehend verzichtbar sind.
Neben diesen allgemeinen Kenntnissen und Fähigkeiten muss der bDSB auch noch über Kenntnisse der innerbetrieblichen Verfahren und Abläufe verfügen, jedenfalls soweit, wie diese einen Personenbezug aufweisen. Hier liegen die spezifische Stärke des internen und die typische Schwäche des externen bDSB. Aber auch interne bDSB werden zumeist nicht über die erforderliche Tiefe der Detailkenntnisse aller relevanter Abteilungen und Bereiche des Unternehmens verfügen. Hier besteht die Möglichkeit, sich die erforderliche Fachkunde zeitnah nach der Bestellung im Zuge der Ausbildung des Datenschutzbeauftragten anzueignen. Gleiches gilt für spezielle Regelungen, welche mitunter erst nach dem Erwerb der Grundfachkunde als solche erkannt und gewürdigt werden können. In großen Unternehmen und bei externen bDSB geht die Tendenz zur Ernennung so genannter „Datenschutzkoordinatoren“, also Beschäftigte des Unternehmens, die die Kontaktpersonen zu den jeweiligen Fachbereichen darstellen und über die erforderlichen Kenntnisse der dortigen Vorgänge verfügen. Datenschutzkoordinatoren arbeiten dem bDSB zu.
Die nachfolgende Aufzählung benennt die Mindestanforderungen an die Fachkunde eines betrieblichen Datenschutzbeauftragten. Je nach betrieblichem Belang können darüber hinaus weitere Punkte im Sinne der Datenschutzbeauftragten-Ausbildung erforderlich werden:
- Grundkenntnisse bezüglich der verfassungsrechtlich garantierten Persönlichkeitsrechte von Betroffenen und Beschäftigten des Verantwortlichen,
- umfassende Kenntnisse der für den Datenschutz des Verantwortlichen einschlägigen Regelungen der DSGVO, des BDSG sowie ggf. bereichsspezifischer Vorschriften, auch technisch/organisatorischer Natur,
- Kenntnisse der Anwendungsbereiche datenschutzrechtlicher sowie einschlägiger technischer Regeln, von Datenschutzprinzipien und Datensicherheitsanforderungen, insbesondere im Hinblick auf Art. 32 DSGVO,
- Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Netzwerksicherheit, Kryptographie, Schadsoftware und Schutzmaßnahmen, etc.),
- Grundkompetenzen im Bereich der Betriebswirtschaftslehre, insbesondere in den Bereichen Personal, Controlling, Vertrieb, Finanzwesen, Management und Marketing,
- einschlägige Kenntnisse im praktischen Datenschutzmanagement des Verantwortlichen, wie Beratung, strategische Planung, Umsetzung und Dokumentation von Maßnahmen, Durchführung von Kontrollen, Erstellung und Führung von Verzeichnissen, Langzeitauswertungen, Risikoanalyse und -management, Analyse von Sicherheitskonzepten, ggf. Videoüberwachung, Betriebsvereinbarungen, Zusammenarbeit mit dem Betriebsrat des Verantwortlichen.
Wie bereits oben erwähnt, steht dem (internen) bDSB gem. Art. 38 Abs. 2 DSGVO zur Aufrechterhaltung seiner Fachkunde ein Anspruch auf Fortbildung gegenüber dem Verantwortlichen zu. Auch dieser Anspruch ist nicht weiter konkretisiert. Es besteht Einigkeit darüber, dass er sich auf die Bezahlung einschlägiger Fortbildungsmittel und –maßnahmen (Lehrbücher, Fachzeitschriften, Seminare, Workshops, etc.) einerseits und die Bereitstellung des hierfür aufzuwendenden Arbeitszeitkontingents (inklusive etwaiger Reisezeiten und -kosten, soweit erforderlich) erstreckt.
Fehlt einem bDSB die erforderliche Fachkunde, führt dies nicht automatisch zur Nichtigkeit der Bestellung (str.). Jedoch kann hierdurch der Tatbestand einer Ordnungswidrigkeit erfüllt sein, Art. 83 Abs. 4 lit. a) DSGVO, was ein gegen den Verantwortlichen zu verhängendes Bußgeld von bis zu 10.000.000 EUR oder 2 % des Konzern-Jahresumsatzes zur Folge haben kann.
Den Aufsichtsbehörden steht im Rahmen ihrer Kontrollkompetenz Art. 57 Abs. 1 lit. a) DSGVO) auch das Recht zu, die Fachkunde des bDSB zu prüfen. Ob und ggf. wie sie hiervon Gebrauch macht, liegt im behördlichen Ermessen. Dies kann z. B. durch die Vorlage von Aus- und Fortbildungsnachweisen, aber auch durch ein Fachgespräch (= Prüfungsgespräch) erfolgen.