IT-Recht. Am 25. Mai tritt sie in Kraft: die Datenschutzgrundverordnung 2018, kurz DSGVO. Nicht alle, die sich damit beschäftigen müssen, sind schon hinreichend informiert.
Die europäische Datenschutz-Grundverordnung (DSGVO) soll primär dafür sorgen, dass die Bürger darüber informiert sind, was mit ihren personenbezogenen Daten geschieht. Für Firmen bedeutet allein die künftige Verpflichtung, zertifizierte Datenschutzbeauftragte namhaft zu machen, zusätzliche Anstrengungen an Weiterbildung – ganz abgesehen von den Inhalten der Verordnung, mit denen sich viele erst vertraut machen müssen.
Die wohl umfassendste Ausbildung zum Thema ist das Certified Program Datenschutz und Privacy der Donau-Universität Krems, das als einziger Lehrgang 18Vorlesungstage in einem Semester beansprucht und im Herbst 2018 zum dritten Mal startet. „Wir gehen dabei auch über das Thema DSGVO hinaus und behandeln komplementäre Rechtsbereiche, wie etwa Persönlichkeitsschutz oder Privacy im Telekommunikationsbereich“, sagt Clemens Appl, der den Fachbereich Geistiges Eigentum und Datenschutz leitet. „Der Lehrgang soll vor allem Personen, die sich zum Datenschutzbeauftragten qualifizieren möchten, das erforderliche Fachwissen vermitteln.“
Fundiert, aber nur theoretisch
Obwohl diese Universitätsausbildung im Datenschutzrecht als besonders fundiert gilt, betont Appl, nicht zum Datenschutzbeauftragten im Sinn der DSGVO auszubilden. Schließlich erfordere das Berufsbild des Datenschutzbeauftragen laut DSGVO nicht nur fachlich-theoretische Kompetenzen, sondern vor allem auch Praxis. Sehr kritisch sieht Appl daher sowohl den derzeitigen „Wildwuchs“ an Programmen unterschiedlicher Qualität als auch die Praxis österreichischer Zertifizierungsstellen, für die Personenzertifizierung zum Datenschutzbeauftragten nicht zwingend Erfahrung in der Datenschutzpraxis zu verlangen, sondern sich als Alternative zu einer mindestens zweijährigen Berufserfahrung mit einer Ausbildung im Mindestausmaß von 24Stunden zu begnügen.
Fünf Tage dauert die Vorbereitung zur Personenzertifizierung an der Akademie für Recht, Steuern & Wirtschaft (ARS). Dort findet die Akademie Betriebliche/r Datenschutzbeauftragte/r statt. Neben dem Überblick über die aktuelle Rechtslage wird hier aufgezeigt, wie die Bestimmungen auf die wichtigsten Teilbereiche im Unternehmen anzuwenden sind, insbesondere im Marketing und HR-Management.
Anpassungen bei AGB
In zahlreichen weiteren Veranstaltungen widmet sich die ARS Spezialfragen. Am 2. Juli gibt etwa der Rechtsanwalt und Spezialist für IT- und Datenschutzrecht, Johannes Juranek, Informationen zur künftigen Ausgestaltung der Allgemeinen Geschäftsbedingungen. In seinem Seminar Datenschutzklauseln in AGB besteht die Möglichkeit, aktuelle Beispielfälle zu besprechen. So postuliere die DSGVO etwa das sogenannte Kopplungsverbot, erklärt Juranek. „Das bedeutet, dass vertragliche Leistungen nicht davon abhängig gemacht werden dürfen, dass man der Übermittlung von Daten zustimmen muss, die für die Erfüllung des Vertrags gar nicht gebraucht werden.“
Einen Überblick über die Neuerungen und praktische Umsetzungstipps für Unternehmen gibt es an der ARS auch bereits bei einem eintägigen Seminar Ende Mai (EU-DSGVO Kompakt). Mitte Juni findet ein zweitägiges Seminar mit dem Titel EU-DSGVO intensiv statt, bei dem am zweiten Tag das theoretische Wissen in einer Fallstudie angewendet wird.
Zertifizierungsprüfung
Einen fünftägigen Zertifikatslehrgang für Mitarbeiter, die in Unternehmen tätig sind und sich zu Datenschutzbeauftragten nach EU-Recht ausbilden lassen wollen, bietet seit vergangenem Jahr das Wifi an. Das Skriptum für den Lehrgang wird derzeit neu gestaltet. Nach dem Abschluss aller Module sollen die Teilnehmer auf die Prüfung durch die Wifi-Zertifizierungsstelle vorbereitet sein. Schwerpunkt des Lehrgangs ist der Umgang mit (Letztverbraucher-)Kundendaten. „Der Datenschutzbeauftragte ist somit kein Datenschutzexperte, der sich mit dem Themenfeld IT-Sicherheit auf technischer Ebene befasst“, sagt Dietmar Schönfuß, Leiter der Wifi-Zertifizierungsstelle. „Dies ist nicht Gegenstand unserer Zertifizierung.“ Es gehe also nicht um das Fachwissen, wie die Daten eines Unternehmens zu sichern seien oder welche Prozesse und welche Infrastruktur erforderlich seien.
Auch wenn mehrtägige Lehrgänge mancher Weiterbildungsinstitutionen das verlangte Mindesterfordernis einer 24-Stunden-Ausbildung überschreiten, würde Universitätsprofessor Appl zusätzlich die Berufspraxis als Muss-Voraussetzung verankern. „Damit wäre Unternehmern sehr geholfen, weil diesen in der Regel die Erfahrung fehlt, die berufliche Qualifikation eines möglichen Datenschutzbeauftragten belastbar nachzuprüfen“, meint der Experte.
Web:www.donau-uni.ac.at, www.ars.at
("Die Presse", Print-Ausgabe, 12.05.2018)