Fortbildung als Datenschutzbeauftragter: Wie oft sollte (und muss) nachgeschult werden?

Datenschutzbeauftragte werden angesichts steigender Cyber-Kriminalität und aktiverer Aufsichtsbehörden in den Unternehmen permanent gefordert. Daher ist eine regelmäßige Fortbildung ratsam, allerdings (noch) nicht gesetzlich vorgeschrieben.

Wer als interner oder externer Datenschutzbeauftragter benannt ist, hat selbstverständlich ein anerkanntes Ausbildungs-Zertifikat erworben. Beim Blick in die Schulungsprogramme der großen Anbieter, wie TÜV SÜD, Haufe-Akademie oder Bitkom-Akademie, ist das einmalig erworbene Zertifikat in der Regel für drei Jahre gültig. Nach Ablauf dieser Frist bieten die Schulungsunternehmen dann einen Auffrischungskurs an. Wird diese Nachschulung absolviert und bestanden, wird das Zertifikat um drei weitere Jahre verlängert.

Die rechtliche Grundlage hierfür ist zwar in der DSGVO definiert, allerdings eher schwammig und ohne eine konkrete Nennung von Fristen:

„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ (Art. 37 Abs. 5 DSGVO)

Im Artikel 39, der die Aufgaben eines Datenschutzbeauftragten auflistet, sind ebenfalls keine Fristen gesetzt worden. Allerdings gibt ein Blick in den Abschnitt 1a) Auskunft darüber, dass prinzipiell von einer permanenten Weiterbildung des Datenschutzbeauftragten auszugehen ist. Hier lautet es:

„(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;“

Permanente Fortbildung erscheint sinnvoll, ist aber nicht vorgeschrieben

Im Artikel 39 DSGVO sind also keine Fristen oder Maßnahmen für regelmäßige Fortbildungen von Datenschutzbeauftragten definiert. Noch ist die DSGVO auch nicht novelliert worden, aber Experten und Wissenschaftler gehen von ersten Vorschriftsnovellen aus, die schon bald in Kraft treten könnten. Spätestens dann sollten alle, die sich professionell mit dem Datenschutz beschäftigen, ihr Wissen auf den neuesten Stand bringen. Da der Datenschutzbeauftragte ja unter anderem auch dafür verantwortlich ist, Schäden vom Unternehmen abzuwenden, empfiehlt sich auf jeden Fall eine regelmäßige Lektüre aktueller Urteile, bei denen gegen Unternehmen beispielsweise Bußgelder verhängt werden. Die Gerichte schaffen immer wieder Präzedenzfälle, die in abgewandelter Form für viele ähnlich positionierte Unternehmen in Betracht kommen.

Für eine den Aufgaben angemessene dauerhafte Expertise empfiehlt es sich, mindestens einmal im Jahr eine Fortbildung bei einem anerkannten Schulungsanbieter zu besuchen. Es gibt inzwischen eine große Anzahl von Ausbildungsinstituten, die Datenschutz-Seminare und Workshops anbieten. Dabei spielt es überhaupt keine Rolle, ob die Fortbildung im Rahmen eines Online-Seminars stattfindet oder als Präsenzveranstaltung. Darüber hinaus bieten die einschlägigen Infoportale sowie die Landesdatenschutz-Behörden stets aktuelle Information zum Datenschutz, gesetzlichen Änderungen sowie Urteilen. Parallel zur regelmäßigen Fortbildung sollte der Datenschutzbeauftragte auch regelmäßig ausreichend Zeit fürs „Selbststudium“ einplanen.

Exemplarisch: Rezertifizierung bei TÜV SÜD

Wer seine Datenschutz-Expertise beispielsweise bei TÜV SÜD erworben hat und das Zertifikat „Datenschutzbeauftragter (TÜV)“ erworben hat, kann innerhalb der dreijährigen Frist eine Rezertifizierung absolvieren. TÜV SÜD bietet das in verschiedenen Varianten an. Der Datenschutzbeauftragte hat die Wahl, sich für ein Kompaktseminar zur Rezertifizierung zu entscheiden. Dieses Seminar umfasst 16 Unterrichtseinheiten und erfüllt die Bedingungen zur Erhaltung der erforderlichen Fachkunde gemäß BDSG und EU-DSGVO.

Alternativ kann die Fachkunde auch über mehrere Einzelseminare nachgewiesen und erhalten werden, dazu sind seitens TÜV SÜD mindesten acht Unterrichtseinheiten zu absolvieren und mit einem Abschlusstest zu bestehen.

Fazit: Obwohl die DSGVO keine rechtliche Grundlage für die Ausbildung zum Datenschutzbeauftragten sowie zur regelmäßigen Fortbildung vorsieht, lässt sich die Funktion des Datenschutzbeauftragten ohne regelmäßige Weiterbildung nicht gewissenhaft ausfüllen.