Datenschutzbeauftragter (DSB)

Ursprung und Entwicklung

Das Berufsbild des Datenschutzbeauftragten (kurz: DSB, im Englischen »Data Protection Officer«) hat eine etwas längere Geschichte: Es bildete sich bereits in der ersten Hälfte des letzten Jahrzehntes, als Unternehmen, die in besonderem Maße personenbezogene Daten verwalteten gemäß dem in den Jahren 2009 und 2010 novelliertem Bundesdatenschutzgesetz neue Datenschutzregeln beachten mussten. Hierzu gehörten beispielsweise das Führen eines Verfahrensverzeichnisses und die Umsetzung technisch organisatorischer Maßnahmen (sog. TOMs). Da für diese Aufgaben besondere Kenntnisse der Datenschutzvorgaben und firmeninternen Datenstrukturen notwendig waren und die Umsetzung entsprechender Maßnahmen über längere Zeit kontinuierlich erfolgen musste, wurde die Zuständigkeit für dieses Aufgabengebiet firmenintern oder extern einem Hauptverantwortlichen übertragen. Dieser übernahm dann die Aufgabe, dafür zu sorgen, dass intern die Datenschutzbestimmungen eingehalten wurden — gleichzeitig war er auch Ansprechpartner in Datenschutzfragen z. B. gegenüber externen Dienstleistern, Partnern und Kunden. Bereits damals entstanden Qualifizierungsprogramme für Datenschutzbeauftragte (beispielweise beim TÜV). Der Datenschutzbeauftragte (DSB) war von Anfang an weder weisungsgebunden noch weisungsbefugt.

Veränderungen in den Anforderungen des Berufsbildes im Zuge des Inkraftretens der Datenschutz-Grundverordnung: Nach alter Rechtslage gehörte es z.B. zu den Hauptaufgaben des DSB, ein Verarbeitungsverzeichnis (das hieß damals noch »Verfahrensverzeichnis«) zu führen oder auch die technisch-organisatorischen Maßnahmen (sog. TOMs) zu dokumentieren. Seit Einführung der DSGVO muss das jemand anders übernehmen, den der DSB dann kontrollieren kann. Diese Aufgabe erfüllt in der Regel der sog. »Datenschutzmanager«, dessen Berufsbild sich von dem des DSB z.B darin unterscheidet, dass er dem DSB zuarbeitet und nicht die Gesamtverantwortung als Datenschutzbeauftragter trägt. Hier ist in aller Regel die Geschäftsleitung in der Verantwortung, setzt das aber natürlich nicht selbst in die Praxis um, sondern delegiert diese Aufgabe an den Datenschutzbeaugftragten.

Neben den o. g. zentralen Änderungen im Vergleich zur vorherigen Rechtslage, den deutlich gestiegenen Bußgeldern sowie der Beweislastumkehr durch das Accountability-Prinzip (Rechenschaftspflicht), ist insbesondere der Umfang der Dokumentationspflichten stark angestiegen. Nicht nur der bürokratische Aufwand ist dabei enorm: Viele Unternehmen sind mit der Vielzahl und Komplexität der Datenschutz-Regelungen überfordert und benötigen hier kompetente fachliche Beratung und Unterstützung für die notwendigen Umstellungen der Prozesse. Ob intern oder extern besetzt bzw. beauftragt: Der Datenschutzbeauftragte (DSB) spielt in den Unternehmen mittlerweile eine zentrale Rolle und ist gegenüber der früheren Aufgabenstellung und Position keine Randfigur mehr. Dabei trägt er eine große Verantwortung: Unterlaufen ihm Fehler, übersieht er Regelungen etc. kann daraus schnell ein hohes Risiko für das Unternehmen entstehen — bis hin zu evtl. Abmahnungen und Bußgeldern. Es ist also enorm wichtig, dass der DSB in allen Belangen und Regeln der DSGVO up-to-date ist und darüberhinaus auch in der Lage ist, sich entsprechend auf dem aktuellen Stand zu halten. Umgekehrt muss nach Art. 38 Abs. 1 DSGVO sichergestellt werden, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

In Bezug auf die Voraussetzungen für seine Haftung hat sich die Stellung des DSB im Wesentlichen aber nicht verändert.

Jahresrückblick: Entwicklung der Nachfrage auf dem deutschen Stellenmarkt

Nachfrage nach Datenschutzbeauftragten

Die Nachfrage nach Experten für Datenschutz (Skillset) und nach Datenschutzbeauftragten (Jobrole) auf dem deutschen Stellenmarkt wurde im August 2020 in die Datenerhebung der WE-Arbeitsmarktanalysen aufgenommen und zeigt, dass die Nachfrage nach der Jobrole zu Beginn der Corona-Pandemie im Jahre 2020 zunächst etwas eingebrochen war. Im Verlauf der 2. Jahreshälfte 2020 stieg sie jedoch wieder deutlich an. Im Mai 2022 stieg die Nachfrage im Vergleich zum Sommer 2021 auf fast das doppelte an.

Nachfrage nach Experten mit Erfahrungen im Bereich Datenschutz

Die Nachfrage nach Arbeitnehmern mit Erfahrung im Bereich Datenschutz stieg im April 2022 im Vergleich zum Vorjahr um gut ein Drittel an und erreicht derzeit ähnlich wie bei der Job-Role-Nachfrage einen Höhepunkt. Gründe sind die laufend steigenden Anforderungen im Bereich Datenschutz und die generell deutlich gestiegene Anzahl an Stellenausschreibungen und Verbesserung der Situation auf dem Arbeitsmarkt.

Suchanfragen-Verlauf in der Google-Suche weltweit

Suchanfrage Data Privacy Officer

Der weltweite Suchanfragen-Verlauf in der Google-Suche für die internationale Berufsbezeichnung »Data Privacy Officer« seit Anfang 2010 zeigt, dass das Interesse für das Berufsbild, dessen Aufgabengebiete inkl. entsprechender Stellenausschreibungen vor allem in den Jahren der Verabschiedung und Einführung der Datenschutz-Grundverordnung (EU-DSGVO, engl. GDPR) in den Jahren 2016-2018 sprunghaft angestiegen ist und seit dem stabil auf einem deutlich höheren Niveau liegt, als in den Jahren davor.

Gebrauch

Die Berufsbezeichnung Datenschutzbeauftragter bzw. DSB ist in Deutschland, Österreich und der Schweiz keine gesetzlich geschützte Berufsbezeichnung. Damit kann der Begriff von jeder Person legal als Berufsbezeichnung geführt werden und kommt z.B. auch häufig in Stellenanzeigen vor. International ist die Berufsbezeichnung Data Privacy Officer am üblichsten.

Wer den Begriff jedoch im Berufsleben (z.B. bei Bewerbungen oder Vertragsabschlüssen) verwendet, ohne über eine entsprechende Qualifikation zu verfügen, verstößt u.U. gegen bestimmte Gesetze, in Deutschland z.B. gegen das Gesetz gegen den Unlauteren Wettbewerb (UWG) im Sinne einer irreführenden Werbung. Unter bestimmten Umständen kann die Verwendung der Berufsbezeichnung „Datenschutzbeauftragter“ auch den Straftatbestand des Betrugs (in Deutschland gem. § 263 StGB) erfüllen, z.B. in Form von Anstellungsbetrug.

Arbeitsumfelder, Aufgabenbereiche und Tätigkeitschwerpunkte

Der DSB sollte ein gutes Allgemein- bzw. Querschnittswissen haben und sich in den einzelnen Abteilungen des Unternehmens, der Behörde, des Vereins etc. sehr gut auskennen.

Die gesetzlich verankerten Kernaufgaben des DSB sind (Art. 39 Abs. 1 DSGVO):

• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer entsprechenden Pflichten sowie nach sonstigen Datenschutzvorschriften der Europäischen Union bzw. der Mitgliedstaaten
• Überwachung der Einhaltung dieser Verordnung und anderer Datenschutzvorschriften der Europäischen Union bzw. der Mitgliedstaaten
• Überwachung der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und den diesbezüglichen Überprüfungen
• Auf Anfrage: Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß DSGVO-Artikel 35
• Zusammenarbeit mit der zuständigen Aufsichtsbehörde
• Anlaufstelle/Ansprechpartner für die zuständige Aufsichtsbehörde in mit der Datenverarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß DSGVO-Artikel 36
• Gegebenenfalls Beratung zu allen sonstigen Datenschutz-Fragen

Kompetenzen

Generell muss ein DSB Kenntnisse auf den Gebieten des Datenschutzrechts und der Datenschutzpraxis besitzen (Art. 37 Abs. 5 DSGVO). Datenschutz ist geprägt von den einschlägigen rechtlichen Grundlagen einerseits und dem großen Bereich der IT-Sicherheit andererseits. Es wird daher allgemein angenommen, dass ein DSB entweder Jurist (mit Kenntnissen im Datenschutzrecht) sein und/oder mindestens über gute EDV- und IT-Kenntnisse verfügen sollte. Ideal ist eine entsprechende Vor- oder Zusatzbildung als Netzwerktechniker, Internet- und IT-Sicherheitsexperte, Experte für Cybersecurity o. ä.

Als fachliche Kernkompetenzen sind u.a. zu nennen:

• Sehr gute Kenntnisse des Datenschutzrechts insbesondere der Datenschutz-Grundverordnung (EU-DSGVO) und angrenzender Rechtsgebiete wie z. B. des Online-Rechts und Persönlichkeitsrechts
• Umfassende Kenntnisse des Internets und der Internettechnologien (z.B. der Internetprotokolle und -Verschlüsselungsverfahren SSL, TLS etc.) und generell gutes Netzwerk- und IT-Wissen
• Tiefes Verständnis der Daten- und Informationssicherheit sowie möglicher Sicherheitslücken in der Datenhaltung und im Internet-Datenverkehr
• Ausgeprägte analytische Fähigkeiten, strukturierte Arbeitsweise und gute Selbstorganisation
• Sprachen: Sehr gute Deutsch und Englischkenntnisse
• Ausgezeichnete Computer- und EDV-Kenntnisse
• Sehr gute Kommunikationsfähigkeit (Schnittstellenfunktion) und Durchsetzungsfähigkeit

Voraussetzungen

Personen, die eine Ausbildung zum Datenschutzbeauftragten anstreben, sollten folgende Voraussetzungen mitbringen:

Schulische Voraussetzungen

Hochschulreife, Fachhochschulreife oder ein mittlerer Bildungsabschluss.

Bildung

In den Stellenausschreibungen wird häufig verlangt, dass der Bewerber eines der folgende Fachgebiete studiert hat oder über einen vergleichbaren Abschluss verfügt:

• Informatik
• Informationsrecht
• Ingenieurwissenschaften
• Naturwissenschaften
• Wirtschaftswissenschaften
• Rechtswissenschaften

EDV-/PC-Kenntnisse

Die Interessenten sollten mehrjährige Erfahrung mit dem Internet, PCs und Smartphones haben und mit mindestens einem Betriebssystem (z. B. Windows oder Mac OS X) sowie den Standard-Office-Anwendungen (Tabellenkalkulation, Textverarbeitung, Präsentation) vertraut sein. Idealerweise haben sie auch Grundkenntnisse in der Web-Programmierung.

Internet-Anwenderkenntnisse

Die Tätigkeit setzt ganz allgemein eine hohe Affinität zum Medium Internet und besonders zum Themengebiet Datenerhebung, Datenhaltung, Datenverschlüsselung voraus. Interessenten sollten also mindestens Grundwissen in bezug auf Internet-Technik und Internetprogrammierung (HTML, Javascript, serverseitige Programmiersprachen wie z.B. PHP etc.) vorweisen können.

Kommunikative und soziale Kompetenz

Kommunikation in all ihren Ausprägungen und häufig auch Teamfähigkeit steht im Zentrum der Tätigkeit als DSB. Er steht oft vor der Herausforderung, die teilweise komplizierten Sachverhalte und Anforderungen seiner Tätigkeit für Laien z. B. in Teamsitzungen, Gesprächen, Vorträgen und Workshops nachvollziehbar und überzeugend zu vermitteln. Weiterhin gehört auch die klare schriftliche und mündliche Kommunikation, Sorgfalt und ein hohes Verantwortungsbewußtsein dazu.

Da ein DSB oft auch schwierig umzusetzende und unangenehme Punkte ansprechen muss, sollte er für die Tätigkeit eine entsprechende Belastbarkeit, Durchsetzungsfähigkeit und Geduld.

Sprachkenntnisse

Sehr gute Deutsch- und Englischkenntnisse in Wort und Schrift, möglichst verhandlungssicher. Weitere Sprachen sind häufig bei international agierenden Unternehmen erwünscht.

Aus- und Weiterbildung

Zahlreiche Institute wie beispielsweise der TÜV sowie einige Bildungszentren bieten eine Vielzahl von Zertifizierungen, Einführungs- und Fortbildungs-Kursen, Seminaren und Lehrgängen für Datenschutzbeauftragte an. Die Spannweite reicht von Kursen von nur wenigen Tagen („Crashkurse“) mit sehr eingegrenztem Themenspektrum, bis hin zu mehrwöchigen Vollzeit-Ausbildungen. Interessenten können dabei zwischen Präsenzveranstaltungen, Fern- und Onlinekursen wählen.

Die Webmasters Fernakademie Nürnberg bietet im Fachbereich Datenschutz eine Weiterbildung zum zertifizierten Datenschutzbeauftragten (Certified Data Protection Officer / CDPO) inklusive Zertifizierung beim Webmasters Europe e.V. an, die auch ausführlich auf die neuen Regelungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) eingeht.