DPOcert – eine akkreditierte Personenzertifizierung für Datenschutzbeauftragte
Die Stiftung Datenschutz und der BvD haben gemeinsam eine akkreditierte Zertifizierung für Datenschutzbeauftragte in Deutschland entwickelt. Sowohl Datenschutzbeauftragte, die einen transparenten Nachweis ihrer Fachkunde benötigen, als auch Unternehmen, die nach einem qualifizierten Datenschutzbeauftragten suchen, können davon profitieren. Start der Zertifizierung ist 2025.
Für Datenschutzbeauftragte ist es mitunter schwierig ihre Fachkunde in Deutschland angemessen nachzuweisen. Es ist dabei ein wenig verwunderlich: Einerseits besteht in Deutschland der größte Markt für Schulungen und Qualifizierungsmöglichkeiten in einem Mitgliedsstaat der Europäischen Union. Dieser hat aber andererseits noch keine Standardisierungen der Nachweise für die Eignung für Datenschutzbeauftragter hervorgebracht. Die Fachkunde als Teil der Eignung wird daher in Deutschland auf unterschiedlichste Weise nachgewiesen. Am Ausbildungsmarkt teilnehmende Anbieter für Schulungen prüfen nicht selten selbst nach eigenen Überlegungen ohne jegliche Abstimmung mit geeigneten Interessengruppen. Die Qualitätskriterien sind dabei in keiner Weise offengelegt. Die Prüfungen werden mitunter mehr am eigenen Inhaltskanon der Schulungen ausgerichtet als an den Bedarfen des Berufs. Die Anforderungen an Datenschutzbeauftragte unterliegen zudem einem merklichen Wandel, der ebenfalls nicht nachvollzogen wird.
Für viele andere Berufe bestehen hingegen anerkannte Zertifizierungen, mit denen die Nachweise transparent geführt werden. Internationale Normen liefern dafür die wesentliche Basis. Für Personenzertifizierungen stellt die Norm ISO 17024 international anerkannte Anforderungen. In Deutschland ist diese Norm aber für die Zertifizierung von Datenschutzbeauftragten bisher noch nicht mit einem anerkannten Programm in der Anwendung. Die Folge sind die oben genannten unterschiedlichsten „Zertifikate“ deren Qualitätsgehalt nicht unabhängig prüfbar ist.
Es existiert eine unüberschaubare Vielfalt an proprietären Zertifikaten einzelner Institute. Das ist zunächst ein Problem für diejenigen, die nach einer Möglichkeit suchen, sich ausbilden zu lassen. Woran erkennt man Anbieter, bei denen am Ende einer umfänglichen Ausbildung die Fachkunde nicht nur aufgebaut wurde, sondern auch nachweisbar ist? Weiterhin erschwert die Vielfalt der Angebote den Organisationen, die Datenschutzbeauftragte suchen, die Güte einer Zertifizierung einzuschätzen.
Die französische Aufsichtsbehörde CNIL und die spanische Aufsichtsbehörde AEPD haben es vorgemacht: mit einem abgestimmten „Konformitätsbewertungsprogramm“ nach ISO 17024, das normgerecht die Anforderungen an Datenschutzbeauftragte definiert, können Schulungsanbieter auf Prüfungen vorbereiten, die dann standardgerecht von unabhängigen Stellen durchgeführt werden. Die Inhalte dieser Prüfungen wurden aus der Datenschutzgesetzgebung und aus der Praxis abgeleitet. Wichtiges grundlegendes Dokument ist das WP-243 des europäischen Datenschutzausschusses (ehem. Art. 29 WP) zu den Anforderungen an die Datenschutzbeauftragten. Berufsverbände aus den jeweiligen Ländern wurden von den Aufsichtsbehörden für diese Zertifizierungen konsultiert. Diese Programme sind als Standard nun öffentlich verfügbar (in französischer und spanischer Sprache) und Stellen, die damit arbeiten wollen, können sich für Ausbildung und Zertifizierung akkreditieren lassen. Für Unternehmen wie für Datenschutzbeauftragte ist damit klar: mit einer Zertifizierung nach diesem Standard ist die grundlegende Fachkunde gegenüber den Aufsichtsbehörden nachzuweisen.
In Frankreich und Spanien gehören die Bereitstellung solcher Zertifizierungen zu den gesetzlichen Aufgaben der Datenschutzaufsichtsbehörden. Das ist in Deutschland als Auftrag nicht direkt formuliert. Aber auch für Deutschland und für andere Mitgliedsstaaten der EU ist eine solche Zertifizierung nach diesen französischen und spanischen Vorbildern aufgrund der genannten Situation wünschenswert. Der Ausschuss Berufsbild des BvD hat sich daher initial seit 2019 mit dem Programm DPOcert beschäftigt. Die Stiftung Datenschutz ist inzwischen Partner. Das Programm liegt in den ersten Entwürfen seit 2020 vor und ist seit Mitte 2021 in der Programmprüfung der deutschen Akkreditierungsstelle (DakkS), die voraussichtlich in Kürze abgeschlossen wird.
Organisationsstruktur
Die normgerechte Konstruktion solcher Programme (Konformitätsbewertungsprogramme) sieht dabei verschiedene Rollen vor, deren prinzipielle Unabhängigkeit insgesamt für die Qualität verbürgt. In Deutschland sind anerkannte Zertifizierungsverfahren durch die DAkkS, die deutsche Akkreditierungsstelle, zu akkreditieren. Das gilt einerseits für ein Programm, das die Anforderungen und die Abläufe entsprechend der Norm ISO 17024 darlegt. Die Akkreditierungsstelle akkreditiert ebenfalls Zertifizierungsstellen, die normgerechte und programmgerechte Prüfungsverfahren implementieren müssen.
Zertifizierer bzw. Zertifizierungsinstitutionen überprüfen entlang der in einem Programm definierten Anforderungen.
Als Zertifizierer kommen grundsätzlich alle für die Norm ISO 17024 allgemein für Personenzertifizierung akkreditierten Zertifizierungsinstitutionen in Frage. Damit eine unabhängige Prüfung möglich ist, werden durch das Programm DPOcert die Anforderungen objektiviert beschrieben. Für Schulungsanbieter sind die Anforderungen nicht ganz so hoch wie für Zertifizierer: für den Zugang zu detaillierten Informationen und die Möglichkeit nach DPOcert auszubilden, ist eine Lizensierung erforderlich, die jedoch keine wesentlichen Hürden aufbaut. DPOcert ist dafür offen gestaltet: die Beteiligung steht Weiterbildungsinstitute ebenso offen, wie Zertifizierern. Die Programmeigner sind sich einig, dass die Verbreitung nicht durch Lizenzkosten behindert werden soll. Stiftung Datenschutz und BvD haben ein in den Satzungen verankertes Interesse an dem Standard. Die späteren laufenden Kosten sollen sich jedoch selbst tragen.
Das Programm ist dabei nicht statisch: Die Programmeigner Stiftung Datenschutz und der BvD organisieren ein Programmkommittee, in dem Vertreter der beteiligten Rollen die Anforderungen des Zertifizierungsprogramms fortschreiben. Schulungsdienstleister und Zertifizierer bringen hier ihre Erfahrungen ein und gemeinsam wird das Programm an sich ändernde Anforderungen angepasst.
DPOcert Anforderungen
Wie bei den Programmen der französischen und spanischen Datenschutzaufsichtsbehörden steht auch bei DPOcert zunächst das Grund- und Basiswissen im Vordergrund. Durch praktische Anwendung werden dann Fertigkeiten und Kompetenzen ergänzt.
DPOcert berücksichtigt die drei Kompetenzbereiche, die auch bereits im Berufsbild der Datenschutzbeauftragten adressiert werden. Das juristische Datenschutzwissen ist erwartungsgemäß ein wesentlicher Baustein. Das Wissen in diesem Bereich muss für anwendungsspezifisch sein, es geht also auch um die Übersetzung rechtlicher Vorgaben für die praktische Anwendung. Ein weiterer relevanter Bereich ist die Informationstechnik. Die generelle Funktionsweise aber auch die Informationssicherheit müssen verstanden werden. Den dritten Bereich bildet die fachliche Seite. Datenschutzberatung muss für die fachlichen Inhalte spezifisch sein. Im Rahmen des Programms geht es vor allem um den Datenschutz in allgemein üblichen Unternehmensabläufen. Der Nachweis der Kenntnisse in diesen drei Säulen erfolgt dabei nicht nur durch eine abschließende Prüfung, sondern auch durch den Nachweis entsprechender Voraussetzungen. Konkreter werden daher Voraussetzungen für die Zulassung zur Prüfung gefordert. Diese gehen von den Anforderungen des Beruf aus, die sich wiederum auf Standards (Europäischer Qualifizierungsrahmen) beziehen müssen. Grundlage ist zunächst das allgemeine Bildungsniveau. Ein abgeschlossenes Studium mit einer thematisch grundlegenden Fachrichtung ist grundsätzlicher Standard. Andere geeignete Ausbildungshintergründe können perspektivisch einbezogen werden. Darüber hinaus werden Anforderungen an die allgemeine und datenschutzspezifische Berufspraxis gestellt.
Entscheidend für die Kompetenzentwicklung ist sicherlich eine mehrjährige Berufspraxis, auch mit Bezug zum Datenschutz. Schließlich wird eine spezielle Qualifizierung zum Datenschutzbeauftragten im Umfang von mindestens 30 Stunden gefordert. Dabei sollte klar sein, dass dies eher eine zeitliche Untergrenze darstellt. Es sind aktuell Qualifizierungen am Markt verfügbar, die fundierter in erheblich mehr Zeit auch mit Blick auf die Zertifizierung passend ausbilden. Orientierung für diese Vorgabe in DPOcert wurde durch die entsprechende Anforderung der französischen Aufsichtsbehörde gegeben.
Den Abschluss der Zertifizierung bildet eine 180 minütige Prüfung, die alle Kompetenzbereiche umfasst.
Die Rezertifizierung für DPOcert erfolgt nach drei Jahren: Dabei muss erstens Berufspraxis im Bereich Datenschutz nachgewiesen werden. Zweitens muss die Aktualität des Wissens durch Schulungsnachweise belegt werden.
Wie es weiter geht
Die Akkreditierung durch die DAkkS wird in Kürze erwartet. Danach wird das Programm öffentlich verfügbar sein. Insbesondere Zertifizierer werden dann über den aktuellen Stand informiert und können mit dem Aufbau entsprechender Prüfprozesse beginnen. Wir erwarten, dass nach der Akkreditierung binnen weniger Monate Angebote zur Zertifizierung am Markt verfügbar sind und erste Zertifizierungen vorgenommen werden können.
Fazit
Die Stiftung Datenschutz und der BvD haben sich gemeinsam auf den Weg gemacht eine akkreditierte Personenzertifizierung für Datenschutzbeauftragte in Deutschland zu entwickeln. Diese steht sowohl Ausbildern als auch Zertifizierern offen. Der Markt für Ausbildungen in Deutschland ist derzeit sehr unübersichtlich. Sowohl Datenschutzbeauftragte, die einen transparenten Nachweis ihrer Fachkunde benötigen, als auch Unternehmen, die einen qualifizierten Datenschutzbeauftragten suchen, können von einer solchen anerkannten Zertifizierung profitieren. Im Jahr 2025 kann die Zertifizierung starten und wird sich dann hoffentlich schnell verbreiten und den verschiedenen Marktteilnehmern auf dem Qualifizierungsmarkt für Datenschutz Orientierung geben können.
