Die eMail der DEKRA, die mich gestern erreichte hat mich etwas mit Stolz erfüllt: Ich hab die am 10.7. in Overath abgelegte Prüfung erfolgreich bestanden und darf mich jetzt “Fachkraft für Datenschutz” nennen und als externer oder (so ich es auf eine Festanstellung anlegen würde) interner Datenschutzbeauftragter in Betrieben tätig werden.
Datenschutz war mir schon immer eine Herzensangelegenheit. Ich werde nicht müde selbstgehostete Dienste statt beliebiger – meist auch noch US-getriebener Services – anzupreisen. WordPress statt Facebook, ownCloud statt Dropbox, Fever statt Google News (ok – hat sich eh erledigt 😉 ), Kanboard statt Trello, … die Liste liesse sich beliebig fortsetzen.
Datensicherheit ist auch Datenschutz
Und auch sämtliche Tätigkeiten rund um die Datensicherheit, so wie z.B. AdminPress, sind letztlich auch eine Grundlage, um damit die Einhaltung von Datenschutz zu gewährleisten. Ein erfolgreicher Angriff auf eine solche selbstgehostete Installation liefert einem Angreifer i.d.R. nicht nur Ressourcen, sondern auch private Daten. Oft genug nicht nur vom Betreiber selbst – was schlimm genug ist -, sondern auch von anderen Dritten.
Spätestens mit dem Inkrafttreten der EU-GDPR (DSGVO) war für mich klar, dass das Thema Datenschutz über die akute Betrachtung hinaus, eines ist, das nur mit passender, nachgewiesener Expertise zuverlässig anzugreifen ist. Für alle, die sich ebenfalls mit dem Thema auseinandersetzen möchten, daher hier eine kurze Zusammenfassung meines Wegs zur Zertifizierung.
Der Weg zur Zertifizierung
Einen ersten Überblick über Zugangsvoraussetzungen und Inhalte der Prüfung gibt die DEKRA selbst: https://www.dekra-personenzertifizierung.de/de/fachkraft-datenschutz
Über das dort verlinkte Kontaktformular bekommt man weitere Informationen, wie z.B. auch die anstehenden Prüfungstermine und -standorte. Für 2018 sind diese terminiert:
Allgemein gilt: eine Anmeldung muss 14 Tage vor dem Prüfungstermin erfolgen. Stand heute (08.08.2018) wären damit noch die Termine von September bis Dezember buchbar.
Prüfungsvorbereitung
Zur Vorbereitung auf die Prüfung bieten sich diverse Schulungsunternehmen im Internet an. Die oben verlinkte Seite zur DEKRA listet einige davon auf. Die 3-, 4-, manchmal sogar 5-tägigen Vorbereitungsseminare kosten ab 1.000 € aufwärts und können auch schon mal die 2.500 € Marke reissen (dann zumeist inkl. notwendiger Hotelaufenthalte). Im Prinzip ist das wie eine Fahrschule, von der man anschliessend vom Fahrlehrer beim TÜV zur Führerscheinprüfung angemeldet wird. Anders als bei der Fahrprüfung gibt es für die Fachkraft Datenschutz aber keine Pflichtstunden, die vorher absolviert werden müssen. D.h.: die notwendigen Kenntnisse darf man sich auch gerne im Selbststudium beibringen! Wer als Jurist und/oder ITler bereits über einiges an Vorwissen verfügt, wird sich dabei nicht allzu schwer tun.
Auf jeden Fall empfehlenswert ist die Lektüre der einschlägigen Gesetze. Also des Bundesdatenschutzgesetz in der Fassung von 2018 (BDSG neu) und der Datenschutzgrundverordnung (DSGVO). Beide Gesetzestexte sind (in gedruckter Form, unkommentiert) auch als Hilfsmittel bei der Prüfung zugelassen. Ebenso zugelassen sind die Schulungsunterlagen der o.g. Anbieter von Vorbereitungskursen. Ob das die oben erwähnte größere 4-stellige Investition rechtfertigt, mag jeder für sich entscheiden. Mir war es das nicht wert!
Prüfung
Die Prüfung selbst dauert 3 Stunden und umfasst 40 Multiple-Choice (MC) Fragen, die mit je einem Punkt bewertet werden, sowie 5 freien Textfragen, die mit je 5 Punkten bewertet werden. Maximal können so 65 Punkte erreicht werden. Zum Bestehen der Prüfung müssen mindestens 60 % der Fragen korrekt beantwortet werden, was 39 Punkten entspricht. Die MC-Fragen geben 4 Antworten vor. Es ist angegeben, ob eine oder mehrere Antworten richtig sind. Mehrere heisst dann, 2 oder 3 Antworten können richtig sein, es sind nie alle 4 korrekt. Auch diesen Hinweis gab es vorab vom Prüfer. Für eine erste Einschätzung, wie solche Fragen aussehen können, bietet sich dieser Test an: http://34a-jack.de/uebungsaufgaben/uebungsfragen-datenschutz/. Die Fragen sind zwar andere, aber in etwa trifft es den Aufbau recht gut.
Spätestens für die Textfragen helfen einem dann die oben erwähnten Gesetzestexte enorm weiter. Faktisch geht es um eine Interpretation der jeweiligen Paragraphen wenn z.B. Fragen wie “Welche Rechte hat ein Betroffener?” oder “Welche Maßnahmen sind nach einem Datenschutzverstoß zu ergreifen?” gestellt würden.
Entgegen meiner Erwartung fand die Prüfung nicht in einem großen Bürogebäude mit dicken Leuchtbuchstaben statt, sondern im HomeOffice des Prüfingenieurs. Insgesamt waren 6 Prüflinge erschienen, die Atmosphäre war bei aller Anspannung sehr angenehm, aufgrund der räumlichen Situation fast familiär. Die Erstkorrektur nahm unser Prüfer noch im Anschluß der Prüfung vor. Es erfolgt dann in der DEKRA Zentrale in Berlin eine Zweitkorrektur, die aktuell aufgrund der Nachfrage nach dieser Zertifizierung schon mal – wie in meinem Fall – 4 Wochen dauern kann. Im Fall des Scheiterns ist eine einmalige Wiederholung (gegen Extragebühr) der Prüfung möglich. Die Zertifizierung ist für 3 Jahre gültig und bedarf danach (idealerweise kurz vor Auslaufen) einer Re-Zertifizierung um den Titel weiterhin führen zu dürfen.
Fazit
Mit dem Inkrafttreten der DSGVO kann sich niemand mehr des Themas Datenschutz im Unternehmen entziehen. Nicht jedes Unternehmen braucht explizit einen Datenschutzbeauftragten, aber die Erfahrungen, die ich im Mai, als der DSGVO Hype hochschwappte machen durfte lautet: es herrscht allgemein eine große Unsicherheit über die zu treffenden Maßnahmen und deren korrekter Umsetzung. Hier kann ein externer Datenschutzbeauftrager hilfreich sein, um mit gezielten Tipps und ein paar Handreichungen auch kleinere Unternehmen im Umgang mit der DSGVO und dem BDSG sattelfest zu machen. Wer aufgrund der gesetzlichen Vorschriften einen betrieblichen Datenschutzbeauftragen (DSB) zu stellen hat, ist ebenfalls gut beraten, nicht einfach mit dem Finger auf den nächstbesten Mitarbeiter zu zeigen, sondern sich wirkliche Expertise ins Haus zu holen. Unabhängig von der Benennung des DSB ist immer der Inhaber/Vorstand/Aufsichtsrat der Verantwortliche im Sinne des Gesetzes. Da hilft es qualifizierte Berater an der Seite zu wissen.