Datenschutzbeauftragter: Lohnt sich die Ausbildung?

Der Bedarf an qualifizierten Datenschutzbeauftragten boomt! Seit Inkrafttreten der DSGVO im Jahr 2018 ist die Nachfrage ungebrochen. Aber lohnt sich die Ausbildung zum Datenschutzbeauftragten wirklich? In diesem Artikel beleuchten wir die Karrierechancen in diesem spannenden und zukunftsträchtigen Berufsfeld.

Das Wichtigste in Kürze

  • Datenschutzbeauftragter ist kein klassischer Ausbildungsberuf. Die Datenschutzgesetze fordern nur eine „ausreichende Qualifikation“.
  • Ob ein interner Datenschutzbeauftragter aus Unternehmenssicht günstiger ist als ein externer, lässt sich pauschal nicht sagen.
  • Interne Datenschutzbeauftragte genießen eine arbeitsrechtliche Sonderstellung und sind quasi unkündbar.
  • Stichwort Haftung: Unternehmen bleiben als verantwortliche Stellen im juristischen Sinne immer verantwortlich.
  • Der Beruf des Datenschutzbeauftragten ist sowohl inhaltlich als auch finanziell attraktiv.

In diesem Beitrag



Wann darf man sich Datenschutzbeauftragter nennen?

Datenschutzbeauftragter ist kein klassischer Ausbildungsberuf. Die Berufsbezeichnung ist daher wenig reguliert. Immerhin hat das Landgericht Ulm schon 1990 im sog. „Ulmer Urteil“ die Tätigkeit eines Datenschutzbeauftragten als eigenständigen Beruf geregelt und Kriterien für die Fachkunde festgelegt.

Weiterhin schreibt die Datenschutzgesetzgebung in Form der DSGVO vor, dass betriebliche Datenschutzbeauftragte über eine ausreichende Qualifikation verfügen müssen. Dazu zählen neben umfassenden Kenntnissen des Datenschutzrechts und seiner Anwendung (einschließlich technischer und organisatorischer Maßnahmen) auch die Fähigkeit, Überprüfungen, Konsultationen, Dokumentationen und Protokolldateianalysen durchzuführen. Hinzu kommen vielfältige branchenspezifische Kenntnisse. Diese Qualifikation lässt sich beispielsweise durch entsprechende Ausbildungsnachweise belegen.

Auch wenn manche dieser Ausbildungszertifikate unbegrenzt gültig sind, muss sich der Datenschutzbeauftragte dennoch kontinuierlich weiterbilden. Auch die Rechtsprechung entwickelt sich schließlich kontinuierlich weiter und aktuelle Urteile oder Empfehlungen der Aufsichtsbehörden haben deutliche Auswirkungen auf die betriebliche und berufliche Praxis.


Wie lange dauert die Ausbildung zum Datenschutzbeauftragten?

Nicht-Juristen müssen eine Ausbildung zum Datenschutzbeauftragten absolvieren und sich zertifizieren lassen. Bei der Dauer der Ausbildung reicht das Spektrum von dreitägigen Crashkursen über flexibel abrufbare Onlineseminare und einwöchige Schulungen bis hin zu mindestens 16-tägigen Intensivkursen vor Ort. Alle Ausbildungskonzepte bereiten auf die Fachkundeprüfung vor und schließen damit ab.

Wer bildet Datenschutzbeauftragte aus?

Zu den wichtigsten Anbietern gehören Industrie und Handelskammern sowie technische Überwachungsvereine wie der TÜV Süd und DEKRA. Hinzu kommen Anbieter auf dem freien Markt – in Deutschland ist dies allen voran die UDIS gGmbH in Ulm. UDIS genießt in Fachkreisen den besten Ruf. Zu Recht: Die gemeinnützige Gesellschaft ist seit 1987 in der Ausbildung von Experten für Datenschutz und IT-Sicherheit aktiv und hierzulande der Pionier für die Ausbildung von zertifizierten fachkundigen Datenschutzbeauftragten.

Gut zu wissen: Die UDIS vergibt an Absolventen ein eigenes Gütesiegel, das sogenannte „udiszert“. Wer alle Prüfungen besteht, darf das mit einer ID-Nummer versehene Gütesigel als fachkundiger Datenschutzbeauftragter führen. Vorteil: Anhand der ID-Nummer können Unternehmen auf der UDIS-Website jederzeit einsehen, wie lang das Zertifikat noch gültig ist. Dies erhöht für Unternehmen die Sicherheit bei der Auswahl und Benennung eines externen Datenschutzbeauftragten.

Was ist günstiger: einen Mitarbeiter zum Datenschutzbeauftragten auszubilden oder einen externen Dienstleister zu benennen?

Auf diese Frage gibt es keine pauschale Antwort. Sowohl interne als auch externe Datenschutzbeauftragte haben ihre Vor- und Nachteile.

Ein interner Datenschutzbeauftragter kennt die Strukturen und Prozesse der Organisation und hat kurze Dienstwege. Ein externer Datenschutzbeauftragter muss das Unternehmen und seine Prozesslandschaft erst einmal kennenlernen - meist mithilfe von Audits und in Gesprächen. Zudem ist sicherzustellen, dass der externe Datenschutzbeauftragte bei jeder datenschutzrelevanten Veränderung informiert und eingebunden wird – das kann die Nutzung einer neuen Software sein, eine Produktinnovation oder der Einbau einer Zugangsschleuse.

Erfahrungsgemäß funktioniert die Einbindung des externen Datenschutzbeauftragten bei prozessorientierten Unternehmen recht gut. Unterstützung benötigen eher Firmen, die sich Auftrags- und Output-orientiert organisieren. Bei diesen muss der Datenschutzbeauftragte intern gut vernetzt sein oder mithilfe geeigneter Tools und Maßnahmen sicherstellen, dass er informiert und eingebunden wird.

Vorteile bietet ein externer Datenschutzbeauftragter im Hinblick auf die Personalressourcen, die Aus- und Weiterbildungspflichten und die technische Ausstattung. Externe Anbieter müssen diese Voraussetzungen auf eigene Kosten schaffen und entwickeln.

Bei einer internen Lösung kommen auf das Unternehmen dagegen schwer kalkulierbare Kosten zu: für die Ausbildung und Zertifizierung eines Mitarbeiters, für regelmäßige Fortbildungen, Bücher, Spesen sowie für die zeitweise Freistellung des Mitarbeiters. Schon bei kleinen Betrieben kann dies schnell mal 50 Prozent der Arbeitszeit kosten. Zudem benötigt ein interner Datenschutzbeauftragter, ähnlich wie Betriebsräte, eine räumliche und technische Geschäftsausstattung, auf die der Arbeitgeber keinen Zugriff hat.

Mehr zum Thema:

Was kostet ein externer Datenschutzbeauftragter?

Was sollten Sie bei der Benennung beachten?

Die Vor- und Nachteile einer internen oder externen Lösung

Haben interne Datenschutzbeauftragte arbeitsrechtlich eine Sonderstellung?

Unabhängigkeit gehört zu den Voraussetzungen für die Arbeit eines externen und auch internen Datenschutzbeauftragen. Er übernimmt Managementaufgaben, berät, überwacht, berichtet und informiert – auch die Aufsichtsbehörde, wenn datenschutzrelevante Vorfälle zu melden sind.

Dies erfordert hohes Durchsetzungsvermögen in der Zusammenarbeit mit der Geschäftsführung und den Kollegen. Interne Datenschutzbeauftragte genießen daher besonderen Kündigungsschutz. Die Benennung zum Datenschutzbeauftragten ist der Aufsichtsbehörde schriftlich mitzuteilen. Das Mandat gilt – im Zweifelsfall sogar über eine etwaige Kündigung hinaus.

Kann jeder Mitarbeiter betrieblicher Datenschutzbeauftragter werden?

Die Ausbildung zum qualifizierten Datenschutzbeauftragten und das Fachkunde-Zertifikat kann jeder machen. Aber nicht jeder im Unternehmen darf die Funktion des betrieblichen Datenschutzbeauftragten ausfüllen. Ausgenommen sind Geschäftsführer, Personalleiter oder IT-Verantwortliche. Bei diesen Personen bestehen klare Interessenskonflikte. Infrage und häufig zum Einsatz kommen in dieser Funktion aber interne Justiziare, Complianceleiter und Informationssicherheitsbeauftragte.

Es ist nicht zielführend, in Teilen der Wirtschaft aber leider immer noch verbreitet, kurzerhand Mitarbeiter ohne Verwendung für das Unternehmen auf ein Seminar zu schicken und als interne Datenschutzbeauftragte zu benennen oder auf dieser Position zu parken. Wer als Unternehmen so handelt, verhält sich fahrlässig.

Das könnte Sie auch interessieren: Wie wird ein Datenschutzbeauftragter zum kompetenten Partner?

Wer haftet eigentlich für Schäden, der Datenschutzbeauftragte oder das Unternehmen?

Es kommt darauf an. Juristisch ist und bleibt immer das Unternehmen die verantwortliche Stelle. Es muss vor der Benennung eines Mitarbeiters oder externen Dienstleisters zum Datenschutzbeauftragen sicherstellen, dass dieser über die nötige Qualifikation und Fachkunde verfügt. Wer dies nicht tut, verstößt bereits mit der Benennung gegen die DSGVO.

Achtung: Bei einem Verstoß gegen Datenschutzgesetze hat das Bußgeld immer das Unternehmen zu zahlen. Mit entsprechenden Nachweisen kann es auf zivilrechtlichem Weg aber versuchen, sich die Bußgeldzahlungen vom Datenschutzbeauftragten zurückzuholen. Bei einem internen Datenschutzbeauftragten ist dies nur eingeschränkt möglich. In puncto Haftung sind Unternehmen mit einem externen Datenschutzbeauftragten oftmals besser beraten.

Erfahren Sie alles darüber, ob es eine Pflicht ist, einen Datenschutzbeauftragten zu ernennen.

Welche Kompetenzen und Fähigkeiten sollte ein Datenschutzbeauftragter mitbringen?

Wer die Ausbildung zum Datenschutzbeauftragten absolvieren und in der Rolle des Datenschutzbeauftragten erfolgreich sein will, sollte ein gutes Sprachverständnis und hohes Abstraktionsvermögen mitbringen. Allein die DSGVO umfasst in Deutschland 173 Erwägungsgründe sowie 99 Artikel. Hinzu kommen die 86 Paragrafen des aktuellen Bundesdatenschutzgesetzes. Diese bilden den Rahmen, hinzu kommen regalmeterweise Kommentierungen und immer wieder neue Urteile, die es zu rezipieren und verstehen gilt.

Die Aufgaben eines Datenschutzbeauftragten sind vielfältig: Den juristischen Rahmen und die gesetzlichen Vorgaben sollte ein Datenschutzbeauftragter für seine Kunden bzw. Kollegen im Unternehmen verständlich erklären und in die Praxis übersetzen können. Dies erfordert zudem ein sehr hohes technisches Grundverständnis – etwa im Hinblick auf die Rechteverwaltung in IT-Systemen, auf Backups, Kryptografie oder die Funktionsweise von Firewalls.

 

DataGuard Newsletter

Sichern Sie Ihren Erfolg.

Abonnieren Sie praxisnahe Experten-Tipps!

Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.

Jetzt abonnieren

 

Wieviel verdient ein Datenschutzbeauftragter?

Finanziell lohnt sich die Ausbildung: Berufsanfänger dürfen Jahresgehälter zwischen 50.000 und 60.000 Euro erwarten. Bei externen Datenschutzbeauftragten sind Tagessätze von 1.200 Euro üblich. Allerdings gibt es auf dem freien Markt große Spielräume. Einige Dienstleister treten bereits für 120 Euro am Tag an, andere verlangen weit über 3.000 Euro.

Woran erkennen Unternehmen einen qualifizierten externen Datenschutzbeauftragen?

Zwar sind die Ausbildung und der Beruf des Datenschutzbeauftragten kaum geregelt, es gibt aber Berufsverbände, deren Mitglieder sich einem schriftlich fixierten beruflichen Leitbild verpflichten.

Dazu gehören beispielsweise der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Können externe Dienstleister ihre Mitgliedschaft in diesen Verbänden nachweisen, ist dies schon mal ein guter Indikator für Qualität und das Vorliegen der nötigen Qualifikationen.

Dennoch gehen die Empfehlung und der dringende Rat an alle Unternehmen, sich vor der Benennung eines externen Datenschutzbeauftragten einen Nachweis der Fachkunde und geeignete Referenzen vorlegen zu lassen. Ein seriöser Dienstleister wird diese Nachweise gerne erbringen, kann absolvierte Fort- und Weiterbildungen belegen und seine Kompetenzen anhand von Referenzen glaubhaft machen.

Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Andreas Rübsam Andreas Rübsam
Andreas Rübsam

Als Head of Privacy (SMB) unterstützt Andreas Rübsam kleine und mittelständische Unternehmen dabei, das Thema Datenschutz einfach und pragmatisch umzusetzen. Seine Berufung bringt dieser Satz auf den Punkt: „Wenn Daten das Öl des 21. Jahrhunderts sind, dann ist Datenschutz der Umweltschutz des 21. Jahrhunderts.“ Nach seinem Informatikstudium Anfang der Neunziger Jahre war er unter anderem IT-Leiter des damals größten Internetunternehmens Yahoo! und baute eine erfolgreiche Beratungsfirma für Datenschutz und Informationssicherheit auf. Dort schulte er sowohl Selbständige als auch Mitarbeiter und Datenschutzkoordinatoren diverser Unternehmen und unterstützte als Security Manager Konzerne wie BMW. Bevor er zu DataGuard wechselte, war er Director Data Protection beim TÜV SÜD, wo er Kunden aller Branchen bundesweit beriet. Abseits der Arbeit schaltet er am liebsten auf dem Golfplatz oder beim Segeln ab.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000