Die Länder der Europäischen Union (EU) haben sich auf eine gemeinsame Datenschutzverordnung geeinigt. In Artikel 99 Abs. 1 DSGVO, der Datenschutz-Grundverordnung, heißt es: „Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft“. Abs. 2 führt aus: „Sie gilt ab dem 25. Mai 2018“.
Unternehmen, die nicht ausreichend für den Schutz der personenbezogenen Informationen ihrer Kunden, Beschäftigten, Vertragspartner etc. sorgen, drohen ab diesem Datum innerhalb der EU grenzübergreifend drastische Strafen. Eine entsprechende Datenschutz Schulung des bestellten Datenschutzbeauftragten sorgt dafür, dass die Umsetzung des Datenschutzes gemäß Verordnung erfolgt und dem Unternehmen keine rechtlichen Konsequenzen aufgrund von unbewussten Datenschutzverstößen drohen.
Datenschutzbeauftragte: Aufgaben, Pflichten und Verantwortung
Datenschutzbeauftragten fällt die Aufgabe zu, so für die Sicherheit von personenbezogenen Informationen zu sorgen, dass alle Anforderungen gemäß Datenschutz-Grundverordnung erfüllt sind. Er ist nicht nur Ansprechpartner innerhalb des Unternehmens, sondern auch für die Kontrolle und Überwachung des Datenschutzes zuständig.
Zudem gehört die Datenschutz-Schulung der Mitarbeiter zu seinen Aufgaben. Im Außenverhältnis stellt der Datenschutzbeauftragte die Schnittstelle zu den zuständigen Behörden dar. Um den Anforderungen gerecht zu werden, benötigt ein Datenschutzbeauftragter eine Schulung, die sich gezielt mit den technischen und juristischen Besonderheiten beim Schutz von personenbezogenen Daten befasst.
Die Bestellung des Datenschutzbeauftragten: Wann ein Unternehmen verpflichtet ist
Artikel 37 der DSGVO und § 38 Abs. 1 BDSG regeln, welche Unternehmen einen Datenschutzbeauftragten bestellen müssen. Demnach sind alle Betriebe betroffen, die personenbezogenen Daten wie beispielsweise Namen, Bankverbindung, E-Mail-Adressen und Ähnliches automatisiert nutzen.
Eine Ausnahme bilden Unternehmen, bei denen weniger als zehn Mitarbeiter die Informationen auf elektronischem Weg verwenden. Es sei denn, Sie machen von Daten Gebrauch, die eine Daten-Folgenabschätzung benötigen, beziehungsweise Firmen, die personenbezogene Daten an Dritte weitergeben oder verarbeiten. Zum Beispiel der klassische Adressenhandel und Markt-/Meinungsforschungsinstitute.
Als Verarbeitung von personenbezogenen Daten gilt in diesem Fall bereits die Eingabe einer E-Mail-Adresse. Die datenschutzrelevante Mitarbeiterzahl ergibt sich aus den beschäftigten Vollzeitkräften zuzüglich Teilzeitkräfte, Praktikanten, Auszubildende und/oder Minijobber, sofern sie einen Computer benutzen.
Profil des Datenschutzbeauftragten: Die Anforderungen und Vorraussetzungen
Wer die Datenschutz-Grundverordnung liest und versucht, daraus ein Profil für den idealen Datenschutzbeauftragten zu erstellen, könnte ungefähr nachfolgende Beschreibung erhalten:
Der ideale Datenschutzbeauftragte ist juristisch ausgebildet und weiß, welche Anforderungen die Behörden im Rahmen einer Überprüfung stellen. Zudem besitzt er ein überragendes technisches Wissen und ein tiefgreifendes Verständnis für die EDV. Er kann nicht nur mit Computern umgehen, sondern sie auch programmieren. Seine Kenntnisse über sämtliche bekannten Sicherheitslücken ermöglichen es ihm, diese schnell zu schließen. Außerdem weiß er, wie Hacker denken und arbeiten.
Selbstverständlich besitzt der ideale Datenschutzbeauftragte entsprechende diplomatische und kommunikative Fähigkeiten, mit deren Hilfe er den Unternehmer spielend von wichtigen Umstellungen überzeugt. Seine Datenschutz-Schulung für Mitarbeiter mit Präsentation ist so durchdacht, und verständlich aufbereitet, dass die Teilnehmer in kürzester Zeit alles Wichtige zum Datenschutz verstehen und anwenden können.
Dieses Bild ist natürlich völlig überzeichnet und oft weit ab von der Realität. Es zeigt jedoch, welch hohe Anforderungen an Datenschutzbeauftragte gestellt werden. In ihrer Funktion benötigen sie umfangreiche Kenntnisse in verschiedenen Bereichen. Um ihre Aufgabe erfüllen zu können, ist eine intensive Schulung für Datenschutz gemäß der EU-DSGVO unumgänglich
Die richtige Schulung für den Datenschutzbeauftragten
Kosten und Ausbildungsumfang richten sich nach den Vorkenntnissen der Kursteilnehmer. Ein Volljurist mit Fachgebiet Verwaltungsrecht dürfte auf einem Lehrgang mit Schwerpunkt Verwaltungsrecht sicherlich genauso fehl am Platz sein, wie der IT-Spezialist auf einem umfangreichen Lehrgang für Computertechnik.
Ein Auffrischungskurs oder Kurse, die auf vorangegangene Lehrgänge aufbauen, sind zudem günstiger als komplette Neuausbildungen und Lehrgänge, die zu einer Spezialisierung führen. Die Preisspanne für Lehrgänge, Seminare und Kurse ist breit. Einzelkurse gibt es bereits ab 180 Euro, die Ausbildung zum Information-Security Manager mit CISM-Zertifizierung liegt bei mehr als 6.000 Euro.
Einwöchige Schulungen im Datenschutz wie beispielsweise die Ausbildung zum Security Manager mit CISM-Zertifizierung wurden für die Zielgruppe wie Auditoren, Datenschutzbeauftragte, Datenschutzberater, IT-Sicherheitsberater, IT-Revisoren, IT-Administratoren, IT-Leiter und Informationssicherheitsbeauftragte konzipiert. Der Kurs befähigt die Teilnehmer, alle die Informationssicherheit und den Datenschutz betreffende Belange sowohl in Unternehmen als auch von Behörden umzusetzen. Einzelkurse und Tagesseminare stellen im Grunde nichts anderes als Auszüge aus den Intensivkursen dar.
Schulungen und Seminare im Datenschutz – die wichtigsten Themen
Zu den typischen Themen von Datenschutzlehrgänge gehören:
- Cyber-Security und systemische Risiken
- Auswirkungen von systemischen Risiken und strategische Schocks
- Erkennen von systemischen Risiken
- Krisenmanagement
- Datenschutz unter Berücksichtigung der DSGVO
- Aufgaben des Datenschutzbeauftragten, gesetzliche Pflichten und Rechtsstellung
- Auftragsdatenverarbeitung
- Beschäftigtendatenschutz
- Datenschutzorganisation
- Datenschutzrecht
- Datenschutzschulungen (Gesetzliche Anforderungen und Vorbereitung von Datenschutzsensibilisierungen)
- Datenweitergabe an Aufsichtsbehörden/Rechnungshöfe
- Gesetzlichen Entwicklungen, Rechtsgrundlagen, Zulässigkeiten
- Interne und externe Videoüberwachung
- Personalrat bzw. Betriebsrat und Datenschutz (Zusammenarbeit Personalrat und Datenschutzbeauftragter)
- Rechte der Betroffenen und deren gesetzliche Ansprüche
- Verfahrensdokumentationen
- Umgang mit Aufsichtsbehörden, speziell Umgang mit Datenschutzpannen
- Technische und organisatorische Maßnahmen (TOM), Datenschutz und IT-Sicherheit, insbesondere Zugangs-, Zutritts- und Zugriffskontrolle sowie digitale Poststelle
- Dokumentation
- Anforderungen an die Dokumentation
- Dokumente IT-Sicherheit
- Dokumentation operativer IT-Betrieb
- Dokumentation und deren Strukturierung im IT-Bereich
- Prüfung durch Wirtschaftsprüfer und Revisoren
- notwendige Dokumente der IT-Notfalldokumentation
- Umgang mit Informationssicherheit und Notfallmanagement
- Zuständigkeit Dokumentation von Applikationen
- Infrastruktursicherheit
- Einbruchschutz und IT-Sicherheit
- IT-Grundschutz nach BSI Sicherung der Infrastruktur
- Maßnahmenkatalog
- Nachrüstung elektronischer Sicherungseinrichtungen, Einbruchmeldeanlagen, Videoüberwachungsanlagen, Zugangskontrollsysteme
- Zahlen, Daten, Fakten zum Thema Einbruch, Tätervorgehensweise, Schwachstellen
- Sicherungseinrichtungen, einbruchhemmende Produkte
- Initiierung und Umsetzung von Informationssicherheit-Managementsystemen (ISMS)
- Aufbau von Organisationsstrukturen zur ISMS-Umsetzung
- Dokumentation
- Erstellung von Informationssicherheitslinien
- Grundlagen der Informationssicherheit nach ISO mit Standards und Grundschutzkatalog
- Risikoanalyse
- Schutzbedarfsfeststellung
- Sensibilisierung von Mitarbeitern
- Strukturanalyse
- IT-Forensik
- Ablauf IT-Forensik-Untersuchung
- Analyse von Malware, Verbindungen, Netzwerke, Social Engineering
- Anwendung IT-Forensik
- Basics Dateisysteme
- Betriebskonzept/Sicherheits-/Backup- /Notfallkonzept
- Beweissicherungsprozess in Unternehmen
- Branchenschwerpunkte
- Cybercrime, Datenspuren
- Dokumentation, Reproduzierbarkeit
- IT-Sicherheitsvorfall, IT-Sicherheitsgesetz
- Metadaten, Zeitstempel
- Nachstellung virtuelles Netzwerk
- Technische Anforderungen an die Datenaufbereitung
- IT-Sicherheit
- Industrielle Innovation von und mit IT-Sicherheit
- Effektivität und Effizienz von Sicherheitstechnologien
- Kommunikation von IT-Sicherheitsrisiken
- Risiken und ihre Bedeutung für den Return on Security Invest
- Netzwerksicherheit
- Angriffe UNIX/Linux Modul, Netzwerkdienste, Drahtlosnetzwerke (WLAN), Windows-Hacking
- Aufspüren von Servern, Diensten und Anwendungen
- Angriffsplanung, Informationssammlung
- Denial of Service und destruktive Angriffe
- Enumeration Erkennen und Auswerten
- Exploitationen von Schwachstellen erkennen und ausnutzen
- Firewalls, IDS und Honeypots
- Physikalische Angriffe
- Planung, Organisation, Durchführung von Penetrationstests
- Sniffing, aktives, passives Mitlesen
- Viren, Trojaner, Malware und Rootkits, Spuren vernichten
Das Repertoire eines Datenschutzbeauftragten kann also sehr umfangreich sein. Mit unseren Artikeln und Produkten versuchen wie Sie bestmöglich zu unterstützen.