Ein Plädoyer für den DSB

Von der eierlegenden Wollmilchsau

Die Anforderungen an den Datenschutzbeauftragten sind hoch. Glaubt man dem ein oder anderen Kunden und Unternehmer, sieht der Lebenslauf des typischen Datenschutzbeauftragten, genau so aus:

Der Datenschutzbeauftragte:

  • ist Volljurist mit mindestens 10 Jahren branchenspezifischer Berufserfahrung,
  • ist Inhaber eines Master-Titels in IT Security Management,
  • hat sieben Intensiv-Seminare zum Thema Menschenführung und Gesprächs-Psychologie hinter sich gebracht
    [wenn kein Psychologie-Studium abgeschlossen wurde]
  • spricht vier Weltsprachen fließend,
  • hat einen „heißen Draht“ zur Aufsichtsbehörde UND zu legislativen Behörden, um Kundenwünsche an entsprechender Stelle in richtige Bahnen lenken zu können und
  • kostet nicht mehr als ein Apfel und ein Ei vom Wochenmarkt.

Nun ist es an der Zeit, dass der Leser sich kurz hinsetzt. Jetzt werden offene Worte gesprochen: Dem ist nicht so – der Lebenslauf des Datenschutzbeauftragten sieht häufig anders aus. Wir sind unter anderem Quereinsteiger. Der Datenschutzbeauftragte ist häufig NUR ein Techniker, NUR ein ausgebildeter Kaufmann. Manchmal sind die Beauftragten für den Datenschutz aber wirklich Voll- oder Wirtschaftsjuristen – dies ist aber nicht die Regel. Was zu hoffen ist: Der Datenschutzbeauftragte kann eine entsprechende Zertifizierung vorweisen.

Klartext:

Die Arbeit am Kunden, die Tätigkeiten rund um den Datenschutz, verlangen per Gesetz keine akademischen Jura- oder IT-Abschlüsse. Hätte der Gesetzgeber nach Volljuristen verlangt, so wäre dies in der DSGVO auch genau so niedergeschrieben worden. Mehr noch: Wäre dem so, würden die meisten Unternehmen, noch heute, nach einem Datenschutzbeauftragten suchen.

Braucht man Kenntnisse aus den Fachbereichen Jura und Informatik? Muss man wissen, welche Verfahren in Unternehmen gelebt werden? Sollte man Kenntnisse zum Thema Gesprächspsychologie haben? Diese Fragen sind mit einem definitiven JA zu beantworten.

Der Gesetzgeber, in diesem Fall die europäische Kommission, verlangt gemäß Art. 37 Absatz 5 DSGVO genau folgendes: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ [DSGVO, Stand 29.08.2019].

Das heißt, dass keinerlei Pflicht-Abschlüsse explizit genannt, beziehungsweise gefordert werden. Die Bezeichnung „Datenschutzbeauftragter“ ist nicht mal ein geschützter Beruf. Was zu beachten ist: Der Datenschutzbeauftragte sollte sehr wohl ein Zertifikat vorweisen können, welches aufzeigt, dass ihm die Arbeit, unter anderem mit den Gesetzestexten und den Erwägungsgründen, gelingt. Weiterhin sollte der Datenschutzbeauftragte auch in Sachen Technik eine Affinität, mindestens jedoch ein gewisses Grundverständnis und Interesse aufzeigen.

Dazu äußerte sich auch der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Baden Württemberg Dr. Stefan Brink1 in einem Podcast.

Die – so kommt es in der Kommunikation, mit bundesweit verteilten Kollegen, immer wieder raus – Anspruchshaltung des Kunden an den DSB darf zurechtgerückt werden. Auch Quereinsteiger, Techniker der ersten Stunde, Kaufleute, und so weiter, können sehr wohl in der Lage sein, juristische Arbeitstechniken anzuwenden. Auch Datenschutzbeauftragte ohne Staatsexamen, sind in der Lage zu erkennen, ob eine IT-Infrastruktur sicher ist, oder ob Maßnahmen zu empfehlen sind.

Selbst wenn der Beauftragte für den Datenschutz diese Expertisen zum Teil nicht abbilden kann, so wird er auf Dritte zurückgreifen. Es gibt externe IT-Dienstleister, Anwälte und Sicherheitsunternehmen, die sich freuen, diese Teildisziplin zu übernehmen. Anders machen das die großen Anwaltskanzleien auch nicht: Sie bestellen externe Dienstleister, wenn die eigenen Kompetenzen an der Grenze sind.

Nicht immer sind es Kompetenzen, die nach Dritten verlangen – zum Teil geht es auch um Kapazitäten. Man sieht dies beispielsweise in unserer Rubrik „Kooperationen“. Dort ist nicht ohne Begründung ein echter Wettbewerber, die Firma b.it.s Beratung aus Erfurt, als offizieller Partner der Stöhr & Schöttner data shield GbR genannt. Unternehmerisches Vertrauen ist ein Schlüssel in der deutschen Wertschöpfungskette. War es immer und wird es immer sein. Warum sollte dies im Datenschutz-Sektor anders geregelt sein? Warum sollten Datenschutzbeauftragte nicht auch Synergie-Effekte nutzen?

Abschließend sei gesagt, dass der Datenschutzbeauftragte sehr häufig, sehr viel Zeit in die formaljuristische Recherche, die Suche nach adäquaten technischen Lösungen und in die Erstellung von Dokumentationen investiert, um den Anforderungen des Kunden und der DSGVO nach bestem Wissen und Gewissen gerecht zu werden. Und das häufig genug zu vernünftigen Preisen, die deutlich unterhalb anwaltlicher Gebührenvereinbarungen liegen.


1 Siehe https://www.datenschutz-praxis.de/fachartikel/zukunft-des-dsb-podcast-folge-02/

Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.