JurPC Web-Dok. 19/2011 - DOI 10.7328/jurpcb/201126219

Florian Albrecht / Sebastian Dienst *

Fach- und Sachkunde der Beauftragten für den Datenschutz
Praktische Hinweise zu § 4f BDSG

JurPC Web-Dok. 19/2011, Abs. 1 - 36


Die Funktion des Beauftragten für den Datenschutz hat sich mittlerweile zu einem gefestigten Berufsbild entwickelt. Gleichwohl wird auf kaum einem anderen Betätigungsfeld eine so anspruchsvolle Tätigkeit ausgeübt, ohne dass konkrete Vorgaben zur Aus- und Fortbildung bestehen würden. Der nachfolgende Beitrag liefert praktische Hinweise zur Stärkung des Datenschutzes in Behörden und Unternehmen. Er zeigt auf, dass sich die leider noch immer weit verbreitete Praxis des Einsatzes sog. „Ein-Euro-Datenschutzbeauftragten“ mit der Rechtslage nicht vereinbaren lässt. JurPC Web-Dok.
19/2011, Abs. 1

Inhaltsübersicht

A.Einleitung: Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz
B.Qualifikationdes Beauftragten für den Datenschutz
I.Fachkunde des Beauftragten für den Datenschutz
1.Juristische Kenntnisse
2.Informationstechnisches Wissen
3.Betriebsspezifische Kenntnisse
4.Betriebswirtschaftliche Kenntnisse
5.Pädagogische und mediatorische Eignung
6.Mediatorische Fähigkeiten
II.Folgen fehlender Fachkunde des Beauftragten für den Datenschutz
C.Die Aus- und Fortbildung des Beauftragten für Datenschutz
I.Ausbildung des Beauftragten für den Datenschutz
II.Fortbildung des Beauftragten für Datenschutz
III.Recht auf Fortbildung und Pflicht der verantwortlichen Stelle zur Kostenübernahme
IV.Nachweis der erforderlichen Fachkunde
V.Überblick und Bewertung der Aus- und Fortbildungsangebote
D.Schlussfolgerungen

A. Einleitung: Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz

§ 4f BDSG verpflichtet öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen zur Bestellung eines Beauftragten für den Datenschutz. Eine gesetzliche Verpflichtung zur Bestellung eines solchen Beauftragten kann sich für private und öffentliche Stellen aber auch aus bereichsspezifischen Datenschutzvorschriften ergeben. Hinzuweisen ist insoweit insbesondere auf § 81 Abs. 4 SGB X, wonach Sozialleistungsträger (§ 35 SGB I) einen Datenschutzbeauftragten bestellen müssen.Hierbei haben sie sich nach den für das BDSG maßgeblichen Vorstellungen zu richten. Darüber hinaus sind ggf. auch kirchliche Einrichtungen zur Bestellung eines Datenschutzbeauftragten aufgrund eigenständiger Regelungen verpflichtet (vgl. § 22 DSG-EKD bzw. § 16 KDO). Betreffend die Anforderungen an die Auswahl und die Aufgabenstellung orientieren sich diese Vorschriften allerdings ebenso am BDSG.(1)Abs. 2
Die Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz aus § 4f Abs. 1 BDSG trifft grundsätzlich gleichermaßen öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen. Jedoch ist bei den Voraussetzungen für die Pflicht zur Bestellung zwischen öffentlichen und nicht-öffentlichen Stellen zu differenzieren: Öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben unabhängig von der Anzahl der hiermit beschäftigten Personen stets einen Beauftragten für den Datenschutz zu bestellen (vgl. § 4f Abs. 1 Satz 1 BDSG). Dagegen haben nicht-öffentliche Stellen bei der automatisierten Datenverarbeitung grundsätzlich nur dann einen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel damit mindestens 10 Personen ständig beschäftigen (vgl. § 4f Abs. 1 Satz 4 BDSG). Soweit nicht-öffentliche Stellen jedoch automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle (§ 4d Abs. 5 BDSG) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie ebenfalls unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen stets einen Beauftragten für den Datenschutz zu bestellen (§ 4f Abs. 1 Satz 6 BDSG). Datenverarbeitende Stellen (öffentlich und nicht-öffentlich), die „auf andere Weise“, also nicht automatisiert, personenbezogene Daten verarbeiten, haben einen Datenschutzbeauftragten nur dann zu bestellen, wenn sie in der Regel damit mindestens 20 Personen beschäftigen (§ 4f Abs. 1 Satz 3 BDSG). Letztere Fallgruppe entbehrt jedoch mehr und mehr an praktischer Relevanz, da schon die Benutzung von Internet und E-Mailregelmäßig eine automatisierte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten bedeutet.(2)Abs. 3
Der Beauftragte für den Datenschutz ist einer bestimmten öffentlichen bzw. nicht-öffentlichen Stelle zugeordnet. Anknüpfungspunkt ist insoweit jeweils die rechtlich spezifische Einheit. Soweit ein Unternehmen mehrere, rechtlich selbstständige Einheiten umfasst, ist demnach jede von ihnen separat zur Bestellung eines eigenen Beauftragten verpflichtet.(3)Im Konzernverbund muss insoweit jedes Unternehmen eigenständig einen Beauftragten bestellen, bei dem es sich jedoch durchaus um ein- und dieselbe Person handeln kann.(4)Für den öffentlichen Bereich gestattet dagegen § 4f Abs. 1 Satz 5 BDSG ausdrücklich die bereichsübergreifende Bestellung eines Beauftragten für den Datenschutz für mehrere Behörden. Abs. 4
Der Beauftragte bei nicht-öffentlichen Stellen ist gemäß § 4f Abs. 1 Satz 2 BDSG spätestens binnen eines Monats nach dem Eintreten der Voraussetzungen zu bestellen. Für öffentliche Stellen ist eine solche Frist im Gesetz nicht vorgesehen, so dass der Pflicht zur Bestellung eines Beauftragten für den Datenschutz bei Schaffung der Behörde bzw. bei Entstehen der Voraussetzungen unverzüglich nachzukommen ist.(5)Abs. 5
Bei dem (vorsätzlichen oder fahrlässigen) Verstoß gegen die Pflicht zur Bestellung eines Beauftragten für den Datenschutz handelt es sich gemäß § 43 Abs. 1 Nr. 2 BDSG um eine Ordnungswidrigkeit. Nach § 43 Abs. 3 BDSG kann diese mit einer Geldbuße bis zu 50.000 Euro geahndet werden, wobei die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll. Reicht der genannte Betrag hierfür nicht aus, so kann er auch überschritten werden. Abs. 6

B. Qualifikation des Beauftragten für den Datenschutz

I.  Fachkunde des Beauftragten für den Datenschutz

Die Bestellung zum betrieblichen und behördlichen Datenschutzbeauftragten hat gemäß § 4f Abs. 2 Satz 1 BDSG u.a. zur Voraussetzung, dass nur eine Person bestellt werden darf, welche die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde besitzt.(6)Welche Kenntnisse zur Fachkunde gerechnet werden, lässt sich nach h.M. in Anlehnung an die Aufgaben des Datenschutzbeauftragten gem. § 4g BDSG bestimmen.(7)Fachkunde besitzt demnach derjenige, der in der Lage ist, die ihm durch Gesetz auferlegten Aufgaben ordnungsgemäß zu erfüllen.(8)Der gesetzliche Aufgabenkatalog umfasst folgende Wirkungsfelder:
  • Hinwirken auf die Einhaltung der Regelungen des BDSG und anderer Vorschriften über den Datenschutz, insbesondere Aufsicht über Prozesse der Verarbeitung personenbezogener Daten;
  • Kommunikation mit Stellen der Datenschutzaufsicht;
  • Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen über die Erfordernisse des Datenschutzes.
Abs. 7
Hierbei kommt es allerdings nicht darauf an, dass die zu bestellende Person über umfassende Kenntnisse zur Umsetzung des gesetzlichen Aufgabenkatalogs in jeder Lage und Situation aufweist. Entscheidend ist vielmehr, dass sie den Aufgaben gewachsen ist, die in der von ihr besetzten, konkreten Stelle erfüllt werden müssen.(9)So bestimmt auch § 4f Abs. 2 Satz 2 BDSG, dass sich „das Maß der erforderlichen Fachkunde […] insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf personenbezogener Daten, die die verantwortliche Stelle erhebt oder verwendet [bestimmt].“ Die Anforderungen, denen der Beauftragte für den Datenschutz gerecht werden muss, bleiben grundsätzlich komplex und anspruchsvoll, können durch diese Einschränkung im Einzelfall aber erheblich reduziert werden.(10)Abs. 8
Während anfangs noch sehr zweifelhaft war, wie sich das Erfordernis der Fachkunde näher konkretisieren lässt, hat sich mit der zunehmenden Professionalisierung und der Herausbildung eines eigenständigen Berufsbilds des Beauftragten für den Datenschutz(11)das Anforderungsprofil geschärft. Die insoweit maßgeblichen Kriterien sind keinesfalls fixiert, sondern entwickeln sich mit dem technischen Fortschritt und den an das Berufsbild des Beauftragten für den Datenschutz geknüpften Erwartungshaltungen fort.(12)Abs. 9

1. Juristische Kenntnisse

Die juristische Kompetenz nimmt im Kontext der Fachkunde des Beauftragten für den Datenschutz den höchsten Stellenwert ein.(13)Sie ist nur dann gegeben, wenn der zum Beauftragten für den Datenschutz zu Bestellende über gute juristische(14)und insbesondere datenschutzrechtliche Kenntnisse verfügt.(15)Die Beurteilung der Zulässigkeit einer datenschutzrechtlich relevanten Handlung gestaltet sich angesichts der komplizierten Datenschutztatbestände schwierig. Sie setzt einen sicheren Umgang mit den Ermächtigungsgrundlagen sowie eingehende Kenntnis der juristischen Arbeitsweisen voraus.(16)Hinzu kommt, dass neben Kenntnissen der Regelungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes Kenntnisse bezüglich der bereichsspezifischen Datenschutzregelungen im Zivil-, Straf-, Steuer, Sozial-, Arbeits- Verwaltungs- und Europarecht(17)vorausgesetzt werden.(18)Wenngleich ein juristischer Studienabschluss nicht zwingend erforderlich ist, wäre er insoweit angesichts der Bedeutung der juristischen Kenntnisse für die Arbeit des Beauftragten für den Datenschutz gleichwohl sehr hilfreich. Abs. 10

2. Informationstechnisches Wissen

Hinzukommen muss ein hohes Maß an technischem Wissen, das sich auf Datenverarbeitungsprozesse, das Gebiet der sog. Computer-Hardware sowie der unterschiedlichen System- und Anwendungssoftware beziehen muss.(19)Erst diese Kenntnisse ermöglichen es dem Beauftragten für den Datenschutz bereits in der Planungsphase neuer Datenverarbeitungsvorhaben, die datenschutzrechtlichen Risiken zu beurteilen und steuernd einzugreifen.(20)Abs. 11
Das LG Ulm geht sogar soweit, dass es einen Wissensstand fordert, der den Beauftragten für den Datenschutz zum „Computerexperten“ macht.(21)Der Begriff Experte bezeichnet eine Person, die über überdurchschnittlich umfangreiches Wissen auf einem Sachgebiet verfügt.(22)Angesichts der geringen Verbreitung und Intensität informationstechnischen Wissens lässt sich sicherlich darüber streiten, wann der Beauftragte für den Datenschutz das Expertenstadium erreicht hat. Abs. 12
Gemäß der gebotenen Einzelfallbetrachtung werden vertiefte Kenntnisse der Datenverarbeitung jedenfalls in größeren öffentlichen oder nicht-öffentlichen Stellen dann notwendig sein, wenn dem Beauftragten für den Datenschutz kein speziell geschultes Personal zu seiner Unterstützung und Beratung zugewiesen wurde.(23)Abs. 13
In Einzelfällen kann sich der Beauftragte für den Datenschutz die notwendigen informationstechnischen Kenntnisse auch nach seiner Bestellung noch erarbeiten.(24)Bis zu dem Zeitpunkt, zu dem er selbst über das informationstechnische Wissen verfügt, ist es notwendig, den erforderlichen Sachverstand mittels entsprechend kundiger Berater einfließen zu lassen.(25)Abs. 14

3. Betriebsspezifische Kenntnisse

Zudem bedarf es betriebsspezifischer Kenntnisse. Der Beauftragte für den Datenschutz muss die Aufgaben und Abläufe der von ihm betreuten Organisation kennen und die „Datenströme“ nachvollziehen können.(26)Die insoweit notwendigen Kenntnisse werden in der Praxis häufig unterschätzt. Das LG Köln stellt insoweit fest, dass ein einwöchiges Seminar bezüglich der erforderlichen betriebsspezifischen Kenntnisse nur Anstöße vermitteln kann.(27)Zu fordern sind daher mit Abel wohl gute Kenntnisse über die formellen Organisations- und Entscheidungsstrukturen.(28)Sinnvoll scheint daher auch die Auswahl einer Person, die selbst über Erfahrung im Umgang mit personenbezogenen Daten verfügt.(29)Abs. 15

4. Betriebswirtschaftliche Kenntnisse

Zum Teil wird außerdem gefordert, dass der Beauftragte für den Datenschutz auch über betriebswirtschaftliche Grundkenntnisse verfügen muss.(30)Während rechtliche, technische und organisatorische Kenntnisse für die Ausübung des Datenschutzauftrages jedenfalls nach einhelliger Meinung unabdingbar sind, scheint es indes nicht angebracht, über die betriebsspezifischen organisatorischen Kenntnisse hinausgehende Fachkenntnissein der Betriebswirtschaft zu fordern. Es muss vielmehr genügen, dass der Beauftragte die betrieblichen Entscheidungsabläufe und Entscheidungsstrukturen nachzuvollziehen in der Lage ist, um seinem Datenschutzauftrag nachkommen zu können. Abs. 16

5. Pädagogische und mediatorische Eignung

Desweiteren muss der betriebliche Datenschutzbeauftragte die pädagogische und didaktische Eignung aufweisen, um andere Personen gem. § 4g Abs. 1 Satz 4 Nr. 2 BDSG mit den rechtlichen und tatsächlichen Erfordernissen des Datenschutzrechts vertraut zu machen.(31)Lehrerfahrung wäre von Vorteil. Abs. 17

6. Mediatorische Fähigkeiten

Die Arbeit des Beauftragten für den Datenschutz wird häufig als hinderlich empfunden und stößt daher nicht selten auf Unverständnis. Insoweit ist der Beauftragte auf psychologisches Einfühlungsvermögen(32)und mediatorische Fähigkeiten angewiesen, die es ihm ermöglichen, „mit Konflikten um seine Position, seine Funktion und Aufgabe […] in angemessener Art und Weise umgehen [zu]können.(33)Abs. 18

II. Folgen fehlender Fachkunde des Beauftragten für den Datenschutz

Gemäß § 43 Abs. 1 Nr. 2 BDSG handelt ordnungswidrig, wer vorsätzlich oder fahrlässig entgegen § 4f Abs. 1 Satz 1 oder 2 BDSG, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt. Von dem Tatbestandsmerkmal „nicht in der vorgeschriebenen Weise“ sollen nach einer Ansicht im Schrifttum auch Fälle erfasst sein, in denen es der zum Beauftragten für den Datenschutz bestellen Person an der erforderlichen Qualifikation mangelt (vgl. § 4f Abs. 2 Satz 1 BGSG).(34)Nach wohl herrschender Meinung dürfte eine Person, der es an der erforderlichen Fachkunde oder Zuverlässigkeit fehlt, jedoch schon gar nicht wirksam bestellt werden können, so dass ein Rückgriff auf dieses Tatbestandsmerkmal gar nicht erforderlich wäre.(35)Ein Verstoß gegen die Pflicht zur Auswahl einer Person mit der erforderlicher Fachkunde und Zuverlässigkeit (§ 4f Abs. 2 Satz 1 BDSG) stellt aber nach beiden Ansichten eine Ordnungswidrigkeit im Sinne des § 43 Abs. 1 Nr. 2 BDSG dar, die mit Geldbuße geahndet werden kann (§ 43 Abs. 3 BDSG).(36)Abs. 19
Darüber hinaus kann die zuständige Aufsichtsbehörde nach § 38 Abs. 5 Satz 2 BDSG die Abberufung eines solchen Datenschutzbeauftragten verlangen, dem es an der nötigen Fachkunde oder Zuverlässigkeit mangelt. Abs. 20
Daneben kann ein Verstoß gegen § 4f Abs. 2 Satz 1 BDSG aber insbesondere Schadensersatzpflichten auslösen. Diese können zum einen die verantwortliche Stelle selbst nach § 7 BDSG oder wegen einer Verletzung ihrer Organisationspflicht nach § 823 Abs. 1 BGB treffen, wenn den Betroffenen bei der Verarbeitung ihrer Daten durch die mangelnde Fachkunde oder Zuverlässigkeit des Beauftragten Schäden verursacht wurden. Zum anderen kann in diesen Fällen auch der Datenschutzbeauftragte selbst etwaigen Schadensersatzansprüchenausgesetzt sein.(37)Abs. 21

C. Die Aus- und Fortbildung des Beauftragten für Datenschutz

Während nach wohl herrschender Meinung die Bestellung einer nicht fachkundigen Person als unwirksam anzusehen ist (vgl. oben), kann nach Auffassung von Schaffland/Wiltfang zum Beauftragten für den Datenschutz auch wirksam bestellt werden, wer noch nicht über die notwendige Fachkunde verfügt, aber die erforderliche Lernfähigkeit aufweist, um sich diese anzueignen.(38)Angesichts der hinsichtlich des Begriffs der Fachkunde bestehenden, erheblichen Unsicherheiten und der notwendigen Bestimmung der Fachkunde unter Berücksichtigung der Umstände des Einzelfalles lässt sich die notwendige Bestimmtheit des § 43 Abs. 1 Nr. 2 BDSG durchaus bezweifeln, so dass auch eine mangels Fachkunde unwirksame Bestellung letztendlich ohne Konsequenzen bleiben müsste. Jedenfalls wird der Mangel der Bestellung aber ex nunc geheilt, wenn der Datenschutzbeauftragte die fehlende Fachkunde oder Zuverlässigkeit durch zusätzliche Aus- bzw. Fortbildungsmaßnahmen beseitigen kann.(39)Abs. 22
Gleichwohl dürfte es für verantwortliche Stellen auch vor dem Hintergrund möglicher Schadensersatzforderungen ratsam sein, nur Personen zum Beauftragten für den Datenschutz zu bestellen, die über eine angemessene Ausbildung verfügen. Deren Wissensstand ist angesichts der ständigen Fortentwicklung des Rechts und der technischen Möglichkeiten durch eine beständige Fortbildung auf aktuellem Stand zu halten. Abs. 23

I. Ausbildung des Beauftragten für den Datenschutz

Der Gesetzgeber hat sich mit der Voraussetzung der erforderlichen Fachkunde gegen die Vorgabe einer bestimmten Ausbildung entschieden. Gleichwohl lässt sich den vom Beauftragten für den Datenschutz zu erfüllenden Aufgaben entnehmen, dass dieser in gewisser Weise über „Allround-Wissen“ verfügen muss.(40)Wie er sich dieses „Allround-Wissen“ verschaffen kann, ist ungewiss. So wurde seitens des LG Köln angenommen, dass demBeauftragten für den Datenschutz bereits mittels eines einwöchigen Seminars das „erforderliche allgemeine Grundwissen“ vermittelt werden kann.(41)Angesichts der Komplexität allein schon des Datenschutzrechts kann dieser Auffassung nur eingeschränkt gefolgt werden. Abs. 24
Aufgrund der Vielzahl an Kenntnissen und Fertigkeiten, die ein Beauftragter für den Datenschutz aufweisen muss, könnte man vielmehr meinen, der Datenschutzbeauftragte sei ein Alleskönner(42), der über Kenntnisse auf dem Niveau eines Hochschulstudiums verfügen muss. In diese Richtung tendiert auch der BFH, der feststellt, dass der Beruf des Beauftragten für den Datenschutz nur dann ordnungsgemäß ausgeübt werden kann, „wenn theoretisches Grundwissen erworben wird, welches den Lehrinhalten verschiedener Hochschul- bzw. Fachhochschulstudiengänge (Ingenieur-. Rechtswissenschaften, Betriebswirtschaftslehre und Pädagogik) zugeordnet ist. Dabei erstreckt sich der erforderliche interdisziplinäre Wissensstand aber nur auf Teilbereiche dieser Studiengänge, so dass es weder der Absolvierung noch des Abschlusses eines dieser Hoch- bzw. Fachhochschulstudiengänge bedarf.(43)Abs. 25
Erforderlich scheinen daher solide Grundkenntnisse, wie sie beispielsweise durch ein rechtswissenschaftliches Studium vermittelt werden können.(44)Hinzukommen müssen ferner berufsspezifische Schulungen, die dem künftigen Beauftragten für den Datenschutz Kenntnisse auf allen Einsatzgebieten vermitteln. Dieses Ideal findet sich in der betrieblichen Realität nur selten wieder.(45)Zu den Schulungsaufgaben der Beauftragten für den Datenschutz muss es daher auch gehören, die Entscheidungsträger innerhalb der Behörden und Unternehmen auf die insoweit bestehenden Erfordernisse aufmerksam zu machen und für die Vorteile eines qualitativ hochwertigen Datenschutzes hinzuweisen. Abs. 26

II. Fortbildung des Beauftragten für Datenschutz

Den Bestimmungen des Datenschutzrechts kann eine ausdrückliche Verpflichtung der Beauftragten für den Datenschutz zur Fortbildung nicht entnommen werden. Gleichwohl nimmt die Komplexität der datenschutzrechtlichen Regeln beständig zu und die aus datenschutzrechtlicher Sicht relevanten Technologien entwickeln sich beständig fort.(46)Eine ordnungsgemäße Aufgabenwahrnehmung fordert vom Beauftragten für den Datenschutz, dass er sich mit diesen Entwicklungen vertraut macht. Abs. 27
So bestimmt § 4f Abs. 3 Satz 7 BDSG, dass die verantwortliche Stelle dem Beauftragten für den Datenschutz zur Erhaltung der erforderlichen Fachkunde die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen hat. Hierbei handelt es sich um einen Konkretisierung der aus § 4f Abs. 5 Satz 1 BDSG folgenden Unterstützungspflicht.(47)Abs. 28
Ob sich der Beauftragte für den Datenschutz zu Zwecken der Fortbildung für Seminare, Kongresse, Tagungen usw. entscheidet ist ebenso irrelevant wie die Frage, welchen Veranstalter eines solchen Angebots er wählt.(48)Allein entscheidend ist, dass es sich um eine Veranstaltung handelt, die aus objektiver Sicht geeignet ist, zur Fort- und Weiterbildung beizutragen. Dem Beauftragten für den Datenschutz steht hinsichtlich der Auswahl der Fortbildungsveranstaltung ein Beurteilungsspielraum zu,(49)so dass selbst die Teilnahme an Erfahrungsaustauschkreisen nicht unzulässig sein dürfte.(50)Freilich steht es dem Beauftragten für den Datenschutz auch zu, sich gegen eine externe Schulung zu entscheiden und die notwendige Fortbildung im Rahmen des Eigenstudiums zu betreiben.(51)Schließlich kann auf verschiedene Arten des e- und blended-learnings, wie sie mittlerweile von verschiedenen Fernstudien-Anbietern angeboten werden, zurückgegriffen werden. Abs. 29

III. Recht auf Fortbildung und Pflicht der verantwortlichen Stelle zur Kostenübernahme

Das Recht der Beauftragten für den Datenschutz zur Fortbildung wird mittels § 4f Abs. 3 Satz 7 BDSG abgesichert. Hiernach hat die verantwortliche Stelle die vollständigen Kosten der Fortbildung zu übernehmen. Hierzu gehören Teilnahmegebühren, Anreise- und Unterbringungskosten sowie eine angemessene Verpflegung.(52)Abs. 30
Der Besuch von mehreren Fortbildungsveranstaltungen im Monat(53)und selbst ein bis zwei Wochen dauernden Seminarveranstaltungen kann je nach Komplexität der zu bewältigenden Aufgabe durchaus angemessen sein.(54)Allerdings ist der zu betreibende Schulungs- und Fortbildungsaufwand an die Erfordernisse des Einzelfalls (§ 4f Abs. 2 Satz 2 BDSG) anzupassen.(55)Der Besuch der einzelnen Veranstaltung darf z.B. auch aus Kostengründen nicht schlicht unvertretbar erscheinen.(56)Von zwei gleichwertigen Angeboten zum selben Thema ist das preiswertere zu wählen.(57)Abs. 31
Schließlich beinhaltet das Recht auf Fortbildung auch einen Anspruch auf Zurverfügungstellung der erforderlichen Fachliteratur(58)sowie einen Anspruch auf Zugang zu juristischen Datenbanken. Abs. 32

IV. Nachweis der erforderlichen Fachkunde

Der Nachweis der erforderlichen Fachkunde sollte primär durch die Vorlage von Seminar- und Fortbildungsbescheinigungen erfolgen. Die Vorlage angeschaffter und angeblich durchgearbeiteter Fachliteratur dürfte als Nachweis regelmäßig nicht genügen.(59)Ein Eigennachweis wird regelmäßig nur dann anerkannt werden können, wenn er zeitnah geführt wurde und Auskunft darüber gibt, wann und zu welcher Zeit welche Literatur und Schulungsmaterialien durchgearbeitet wurden. Die erfolgreiche Teilnahme an einem Fernstudium ist mittels Rücksendeaufgaben oder Präsenzklausuren zu dokumentieren. Abs. 33

V. Überblick und Bewertung der Aus- und Fortbildungsangebote

Eine Auflistung möglicher Fortbildungsveranstaltungen findet sich im „Virtuellen Datenschutzbüro“ unter http://www.datenschutz.de/veranstaltungen/fortbildung/. Abs. 34

D. Schlussfolgerungen

Unternehmen müssen damit rechnen, bei Datenschutzverstößen zunehmend mit Schadensersatzforderungen konfrontiert zu werden. Die Auswahl der Beauftragten für den Datenschutz sollte daher besonders sorgfältig erfolgen. Sinnvoll scheint es zudem, deren Fachkunde zu dokumentieren, damit im Schadensfall dem Vorwurf des Auswahlverschuldens angemessen begegnet werden kann.(60)Abs. 35
Fehlt dem Beauftragten für den Datenschutz die erforderliche Fachkunde, so ist der Betriebsrat berechtigt, die Zustimmung zur Bestellung zu verweigern.(61)Der Betriebsrat nimmt insoweit eine Überwachungsfunktion wahr.(62)
JurPC Web-Dok.
19/2011,   Abs. 36

Fußnoten:

(1)Simitis, in: ders., BDSG, 6. Auflage 2006, § 4f Rn. 11; Gola/Schomerus, BDSG, 10. Auflage 2010, § 4f Rn. 6.
(2)Scheja, in: Taeger/Gabel, BDSG, 2010, § 4f Rn. 10.
(3)Simitis, in: ders., BDSG, 6. Auflage 2006, § 4f Rn. 32ff.
(4)Scheja, in: Taeger/Gabel, 2010, BDSG, § 4f Rn. 15; Gola/Schomerus, BDSG, 10. Auflage 2010, § 4f Rn. 7f.
(5)Gola/Schomerus, BDSG, 10. Auflage 2010, § 4f Rn. 15.
(6)Vertiefend Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 36 ff.
(7)Schaffland/Wiltfang, BDSG, § 4f, Rn. 21.
(8)Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 37; Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 95;
(9)Ehmann, in: Abel, BDSG, 5. Auflage 2009, S. 134.
(10)Vgl. Ehmann, in: Abel, BDSG, 5. Auflage 2009, S. 134.
(11)Simitis, in: ders., BDSG, 6. Auflage 2006, § 4f Rn. 83.
(12)Simitis, in: ders., BDSG, 6. Auflage 2006, § 4f Rn. 84f.
(13)Scheja, in: Taeger/Gabel, BDSG, 2010, § 4f Rn. 61.
(14)Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 95.
(15)Gola/Schomerus, BDSG, 10. Auflage 2010, § 4f Rn. 20.
(16)Vgl. Scheja, in: Taeger/Gabel, BDSG, 2010, § 4f Rn. 61.
(17)Hierzu auch Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 39f.
(18)BFH, Urt. v. 05.06.2003 – IV R 34/01, DStRE 2003, 1159, 1161; LG Ulm, CR 1991, 103, 104.
(19)BFH, Urt. v. 05.06.2003 – IV R 34/01, DStRE 2003, 1159, 1161.
(20)Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 41.
(21)LG Ulm, CR 1991, 103, 104.
(22)http://de.wikipedia.org/wiki/Experte, zuletzt abgerufen am 13.12.2010.
(23)Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 96.
(24)Schaar, http://www.bfdi.bund.de/cae/servlet/contentblob/416308/publicationFile/88786/INFO4.pdf, zuletzt abgerufen am 09.12.2010.
(25)Vgl. Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 42.
(26)Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 95.
(27)LG Köln, Beschl. v. 19.05.2000 – 84 O 49/00, RDV 2000, 174 L.
(28)Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 43.
(29)Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 95.
(30)So jedenfalls Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 95 und Gola/Schomerus, BDSG, 10. Auflage 2010, § 4f Rn. 20.
(31)Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 95; Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 28.
(32)LG Ulm, CR 1991, 103, 104.
(33)LG Ulm, CR 1991, 103, 104.
(34)Mackenthun, in: Taeger/Gabel, BDSG, 2010, § 43 Rn. 12.
(35)Simitis, in: ders., BDSG, 6. Auflage 2006, § 4f Rn. 111; Klebe, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 43 Rn. 7; Gola/Schomerus, BDSG, 10. Auflage 2010, § 43 Rn. 6.
(36)Simitis, in: ders., BDSG, 6. Auflage 2006, § 4f Rn. 111.
(37)Simitis, in: ders., BDSG, 6. Auflage 2006, § 4f Rn. 111.
(38)Schaffland/Wiltfang, BDSG, § 4f Rn. 24; a.A. Gola/Klug, NJW 2007, 118, 120.
(39)Scheja, in: Taeger/Gabel, BDSG, 2010, § 4f Rn. 72.
(40)Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 28.
(41)LG Köln, Beschl. v. 19.05.2000 – 84 O 49/00, RDV 2000, 174 L.
(42)Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 38.
(43)BFH, Urt. v. 05.06.2003 – IV R 34/01, DStRE 2003, 1159, 1161; so auch BFH, Urt. v. 26.06.2003 – IV R 41/01 (NV) – BeckRS 2003 25002381.
(44)Idealer noch wäre ein Jurist mit einem zusätzlichen Abschluss in Informatik, Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 44.
(45)Ehmann, CR 1991, 104, 105.
(46)Vgl. Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 90; Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 61a.
(47)Gola/Schomerus, BDSG, 10. Auflage 2010, § 4f Rn. 21a.
(48)Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 61c.
(49)Ausschlaggebend sei insoweit, dass er selbst insoweit seine Bedarfslage am besten einschätzen kann, Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 61d.
(50)Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 34.
(51) Abel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6 Rn. 34.
(52)Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 61g.
(53)Scheja, in: Taeger/Gabel, BDSG, 2010, § 4f Rn. 65.
(54)Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 61e.
(55)Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 91.
(56)Vgl. Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 61d und Rn. 61f.
(57)Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Auflage 2010, § 4f Rn. 61f.
(58)Abel, MMR 2002, 289, 293.
(59)A.A. Schaffland/Wiltfang, BDSG, § 4f Rn. 24.
(60)Vgl. Schaffland/Wiltfang, BDSG, § 4f Rn. 21; zudem scheinen Nachweise der Fachkunde im Hinblick auf Kontrollen der Aufsichtsbehörde (§ 38 BDSG) ratsam Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 97.
(61)Bergmann/Möhrle/Herb, BDSG, § 4f Rn. 94.
(62)Weichert/Kilian, in: Kilian/Heussen, Computerrecht, Grundrechtsschutz durch Verfahren, Rn. 53.
* Akademischer Rat a.Z. Florian Albrecht, M.A. ist Geschäftsführer der Forschungsstelle für Rechtsfragen der Hochschul- und Verwaltungsmodernisierung (ReH..Mo). Sebastian Dienst ist Mitarbeiter der Forschungsstelle. Beide Universität Passau.
[ online seit: 08.02.2011 ]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.

Top 10

Klassiker

JurPC App