Leitfaden. Behördliche Datenschutzbeauftragte in der Bundesverwaltung. Fortbildungsgang der BAköV mit Zertifikat unter beratender Mitwirkung des BfDI

Transkript

1 Leitfaden Behördliche Datenschutzbeauftragte in der Bundesverwaltung Fortbildungsgang der BAköV mit Zertifikat unter beratender Mitwirkung des BfDI

2

3 Leitfaden Behördliche Datenschutzbeauftragte in der Bundeverwaltung Fortbildungsgang der BAköV mit Zertifikat unter beratender Mitwirkung des BfDI Brühl / Rheinland Oktober 2014 Version 1.4

4 Hinweis: Wird im Text die männliche Form verwendet, geschieht dies ausschließlich aus Gründen der leichteren Lesbarkeit. Nachdruck, auch auszugsweise, ist genehmigungspflichtig. Dieser Leitfaden wurde erstellt von der Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern (BAköV). Die Inhalte des Fortbildungsganges dürfen ausschließlich in Absprache mit der BAköV verwendet werden. Herausgeber: Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern Willy-Brandt-Str Brühl Telefon: 0228 / / Telefax: 0228 / / Internet: poststelle@bakoev.bund.de Druck: Statistisches Bundesamt 2

5 Vorwort Seit einigen Jahren ist eine rasante Weiterentwicklung von Informations- und Kommunikationstechnologien zu beobachten. Die Nutzung von Neuen Medien ist für viele Menschen selbstverständlich geworden und aus deren Alltag nicht mehr weg zu denken. Leider werden in diesem Zusammenhang den Themen Datenschutz und Datensicherheit häufig zu wenig Beachtung geschenkt. Vor diesem Hintergrund gewinnt die Arbeit von Datenschutzbeauftragten stark an Bedeutung. Regelungen zur Bestellung und zu den Aufgaben eines behördlichen Beauftragten für den Datenschutz sind im Bundesdatenschutzgesetzes 4f und 4g zu finden. Diese Bestimmungen sollen Datenschutzbeauftragte in den Behörden darin unterstützen, ihre Aufgaben zum Schutz personenbezogener Daten optimal auszuüben. Datenschutzbeauftragte sind zugleich Initiatoren und Koordinatoren für datenschutzbezogene Maßnahmen. Zu ihren vielfältigen Aufgabenbereichen zählen unter anderem die Beratung, Mitwirkung und Kontrolle bezüglich datenschutzrechtlicher Maßnahmen, die Unterstützung von Betroffenen bei der Wahrnehmung ihrer Datenschutzrechte sowie die Schaffung von Transparenz in der Datenverarbeitung. Zur optimalen Erfüllung dieser Aufgaben sind entsprechende fachliche Qualifikationen notwendig. Dazu gehören unter anderem die grundlegenden Kompetenzen in den Gebieten Datenschutz und Informationssicherheit, also sowohl Kenntnisse im Datenschutzrecht, als auch Grundkenntnisse in den Bereich Informations- und Kommunikationstechnologie, IT-Grundschutz und Informationssicherheit. Diesen Erfordernissen entsprechend, bietet die Bundesakademie für öffentliche Verwaltung (BAköV) die modularisierte Fortbildung Behördliche Datenschutzbeauftragte in der Bundesverwaltung an. Des Weiteren besteht für Interessierte die Möglichkeit, sich von der BAköV als behördliche Datenschutzbeauftragte zertifizieren zu lassen. Dieses Handbuch enthält Beiträge zu allen Themenbereichen der angebotenen Fortbildung. Es soll den Datenschutzbeauftragten als fundiertes Nachschlagewerk und als Ergänzung zum Präsenzseminar dienen. Bei der Konzeption der Fortbildung und der inhaltlichen Ausgestaltung des Handbuchs hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) beratend mitgewirkt. Unser gemeinsames An- 3

6 liegen ist es, einen anerkannten Standard für das Wirken der Datenschutzbeauftragten in der Bundesverwaltung herzustellen. Mit diesem Angebot der BAköV möchten wir Sie bei Ihrer verantwortungsvollen Arbeit unterstützen. Dr. Alexander Eisvogel Präsident der Bundesakademie für öffentliche Verwaltung 4

7 Inhaltsverzeichnis Vorwort Vorbemerkung Ziel Überblick Bundesdatenschutzgesetz & Anforderungsprofil Fortbildung in der öffentlichen Verwaltung Selbsteinschätzungstest Fortbildungsantrag Lernprozessbegleitung und fachliche Beratung Lernprozessbegleitung Fachliche Beratung Möglichkeiten der Fortbildung und Zertifizierung Behördliche Datenschutzbeauftragte in der öffentl. Verwaltung Theoretischer Teil Behördliche Datenschutzbeauftragten in der öffentlichen Verwaltung (dreiwöchiges Seminar) Datenschutz und Datensicherheit (einwöchiges Kompakt-Seminar) Bereitstellung eines Handbuches Projektarbeit Workshop Projektpräsentation Prüfung und Zertifizierung Zertifikatserhalt und ergänzende Fortbildung Anhang Anhang zu 4.1 (Theoretischer Teil) Behördliche Datenschutzbeauftragten in der öffentlichen Verwaltung (dreiwöchiges Seminar) Behördliche Datenschutzbeauftragten in der öffentlichen Verwaltung (Kompaktseminar) Anhang zu Fortbildungen zum Zertifikatserhalt (Vorschläge) Prüfungsordnung (vom ) Themenvorschläge für die Projektarbeit Hinweise und Empfehlungen zur Anfertigung der Projektarbeit Empfehlungen zur Vorbereitung der Präsentation Formulare Fortbildungsantrag Plan der Projektarbeit - Antrag Änderungs- / Ergänzungsmitteilung Antrag Zertifikatsverlängerung Muster Zertifikat

8

9 1 Vorbemerkung Als das Bundesverfassungsgericht im Jahre 1983 das Volkszählungsurteil 1 erlassen hatte, drang erstmals ein Rechtsgebiet in den Fokus der Öffentlichkeit, das zuvor lediglich in Fachkreisen diskutiert worden war - das Datenschutzrecht. Was war geschehen? Das Bundesverfassungsgericht hatte festgestellt, dass mehrere Regelungen des Gesetzes zur Durchführung einer Volkszählung mit dem Grundgesetz (GG) unvereinbar waren. Zur Begründung entwickelte es ein neues Grundrecht, das das Datenschutzrecht auf eine verfassungsrechtliche Ebene stellte - das Recht auf informationelle Selbstbestimmung". Dabei geht es beim Datenschutz nicht etwa - wie das Wort impliziert - nur um den Schutz der Daten. Vielmehr stehen die Rechte jedes einzelnen Menschen im Vordergrund, über dessen persönliche und sachliche Verhältnisse Auskunft gegeben wird und der dadurch zum Betroffenen wird. Seit der eingangs genannten Entscheidung des Bundesverfassungsgerichts hat das Datenschutzrecht eine rasante Entwicklung genommen. In fast allen Lebenslagen spielt es heute eine nicht zu unterschätzende Rolle. Denn eine Informationsgesellschaft lebt davon, dass fast ständig und überall Daten ausgetauscht werden. Das Internet ist aus dem Leben der meisten Bundesbürger nicht mehr wegzudenken. Die rasante Entwicklung der Informations- und Kommunikationstechniken bestimmt auch die öffentliche Verwaltung wesentlich. Der klassische Schriftverkehr wird durch s ersetzt und besonders jüngere Generationen kommunizieren über soziale Netzwerke wie Facebook und Twitter. Und selbstverständlich werden auch bei jedem Telefongespräch und jeder versandten Kurzmitteilung Telekommunikationsdaten erzeugt und gespeichert. Um in all diesen Bereichen die Rechte der beteiligten Personen zu wahren, muss der Datenschutz stets aktuell bleiben und vor allem den technischen Entwicklungen entsprechen. Dem widmet auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in seinen veröffentlichten Tätigkeitsberichten 2 breiten Raum. Er betont, dass gerade der technologische Datenschutz nicht hoch genug eingeschätzt werden kann und rät dringend 1 BVerfGE, Band 65, S. 1 ff. Volkszählung, abrufbar unter: 2 Vgl. 7

10 an, dass Datenschutz und Informationssicherheit eng zusammenwirken. Durch die technische Entwicklung und öffentlich gewordene Datenschutzskandale ist in den letzten Jahren die Sensibilität für den Datenschutz in breiten Kreisen der Bevölkerung, aber auch in Behörden und Unternehmen, deutlich gestiegen. Das ungeschriebene Grundrecht, das Recht auf informationelle Selbstbestimmung, steht auf einer Stufe mit anderen unveräußerlichen Grundrechten wie den Rechten auf Leben und körperliche Unversehrtheit oder auf Meinungs- und Glaubensfreiheit. Die Wahrung der Grundrechte jedes einzelnen Menschen richtet sich an alle staatlichen Stellen. Dies stellt das Grundgesetz schon in seinem ersten Artikel dar, wonach die Grundrechte Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht binden. Die Behörden der Bundesverwaltung sind daher aufgerufen, den verfassungsrechtlichen Anforderungen in besonderem Maße gerecht zu werden. Die Rolle eines Datenschutzbeauftragten bei den Behörden der Bundesrepublik Deutschland und die sich daraus ergebenden Aufgaben sind unabdingbar für die Umsetzung der Anforderungen an den Datenschutz. Jede Beamtin und jeder Beamte, jede Beschäftigte und jeder Beschäftigte, die diese Aufgaben übernehmen, müssen für diese Aufgabe geeignet und qualifiziert sein. Diesen Erfordernissen entsprechend, hat die Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern (BAköV) mit Unterstützung des Beauftragten für den Datenschutz und die Informationsfreiheit (BfDI) den Fortbildungsgang für behördliche Datenschutzbeauftragte mit Zertifikatserwerb Behördliche Datenschutzbeauftragte in der Bundesverwaltung entwickelt. Mit diesem Leitfaden werden Informationen und Vorlagen zur Vorbereitung und Durchführung der Fortbildung und Zertifizierung unterbreitet. 1.1 Ziel Anliegen ist es, auf der Grundlage einer differenzierten behördenspezifischen Fortbildung einen Standard für das Wirken der Datenschutzbeauftragten in der Bundesverwaltung zu etablieren. Jeder Datenschutzbeauftragte muss über eine entsprechende Qualifikation und Kompetenzen verfügen. Um die Aufgaben erfüllen zu können, 8

11 sollen behördliche Datenschutzbeauftragte über Wissen in den Gebieten Datenschutz und Informationssicherheit verfügen. Darin eingeschlossen sind die erforderlichen Grundkompetenzen im Datenschutzrecht sowie Grundkenntnisse der Informations- und Kommunikationstechnologie. Das vorliegende Fortbildungskonzept soll ein neues, differenziertes Angebot für bereits bestellte und zukünftige behördliche Datenschutzbeauftragte bilden. Das Konzept Fortbildung und Zertifizierung Behördliche Datenschutzbeauftragte in der Bundesverwaltung soll einen Standard der Fortbildung für behördliche Datenschutzbeauftragte begründen. Der Fortbildungsgang richtet sich zunächst an Bedienstete der Bundesverwaltung. 1.2 Überblick Die Konzeption des Fortbildungsganges geht davon aus, dass die Aufgaben innerhalb der Bundesverwaltung für Datenschutzbeauftragte vielfältig sind und das Amt laufbahnübergreifend wahrgenommen wird. Ebenfalls wird berücksichtigt, dass hinsichtlich des Wissensstandes, des Aufgabenfeldes bzw. zukünftigen Einsatzgebietes sowie der Erfahrungen, unterschiedliche Voraussetzungen eingebracht werden. Die Gestaltung der Fortbildung muss für den Einzelnen flexibel sein und den individuellen Vorkenntnissen, Berufserfahrungen und Aufgabenfeldern Rechnung tragen. Daher ist der Fortbildungsgang modular aufgebaut. Das Erstellen eines Lernpfads (Festlegung der zu besuchenden Seminare) ist im Rahmen eines individuellen Fortbildungsplanes möglich. Neben der Lernprozessbegleitung der BAköV unterstützt ein Fachlicher Berater den Praktischen Teil (die Projektarbeit) der Fortbildung. Die fachliche Beratung, von Seiten des BAköV oder der abordnenden Behörde, unterstützt die Festlegung der Projektaufgabe, begleitet beratend den Prozess, die Dokumentation und die Präsentation des Projektes. Das Konzept der Fortbildung zum/zur Datenschutzbeauftragten in der Bundesverwaltung und Zertifizierung umfasst folgende Elemente: Für die Entscheidung über den individuellen Fortbildungsgang besteht die Möglichkeit, einen Selbsteinschätzungstest (elektronisch, Multiple Choice) durchzuführen. Die Fortbildung besteht aus drei Abschnitten mit fünf Modulen, die auch einzeln belegt werden können. Die Entscheidung für 9

12 den Besuch einzelner Abschnitte oder des vollständigen Seminars hängt vom Aufgabenbereich und von den individuellen Vorkenntnissen ab. Für den Erwerb des Zertifikats wird die Fortbildung ergänzt durch einen praktischen Teil. Mit der Unterstützung der fachlichen Beratung (aus der BAköV oder der delegierenden Behörde) wird ein Projekt bzw. eine Projektarbeit innerhalb der Behörde bzw. dem Aufgabenbereich erarbeitet. Dieses Projekt wird im Rahmen eines Präsentationsworkshops präsentiert und ist grundsätzlich Bedingung für die Prüfung. Die Zertifizierung Behördlicher Datenschutzbeauftragter in der Bundesverwaltung schließt mit einer theoretischen Prüfung ab. Die Prüfung erfolgt in Form eines elektronischen Multiple Choice Tests. Das erworbene Zertifikat ist 5 Jahre gültig. Die Verlängerung des Zertifikats ist nur über eine vorgegebene zu erreichende Punktzahl möglich (siehe Punkt 6.2 des Leitfadens). Behördliche Datenschutzbeauftragte in der Bundesverwaltung (BF 250) Der Besuch der nachfolgenden Module hängt von den individuellen Vorkenntnissen (individueller Lernpfad) der Teilnehmenden ab Abschnitt a Modul 1: Datenschutz und Informationssicherheit- warum? Einführung in den Datenschutz Überblick zu Datenschutzbestimmungen Datenschutzkontrolle Vorstellung der Beauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Dauer 15 Tage 5 Tage 2 Tage Modul 2: Behördlicher Datenschutz in der Bundesverwaltung- Grundlagen Anwendungsbereich des BDSG Wesentliche Begriffsbestimmungen Grundsätze des Datenschutzes 3 Tage 10

13 Zulässigkeit der Datenerhebung, -verarbeitung und - nutzung Rechte der Betroffenen Abschnitt b Modul 3: Bedeutende Einzelaspekte im Datenschutz Meldepflicht und Vorabkontrolle automatisierter Datenverarbeitungsverfahren Verzeichnis der Verarbeitungsanlagen, Dateistatut und Verfahrensverzeichnisse Auftragsdatenverarbeitung Personaldatenschutz Informations- und Kommunikationsdienste Videoüberwachung Informationsfreiheit Grenzüberschreitender Datenverkehr Automatisierte Abrufverfahren 5 Tage 3 Tage Modul 4: Der behördliche Datenschutzbeauftragte Bestellung des Datenschutzbeauftragten Anforderungen an den Datenschutzbeauftragten, Rechte und Pflichten Aufgaben des Datenschutzbeauftragten und deren Umsetzung Haftung des Datenschutzbeauftragten 2 Tage Abschnitt c Modul 5: Datensicherheit und Informationssicherheit Sicherheitsmanagement - Überblick zu Standards, Methoden und Werkzeugen Technische und organisatorische Maßnahmen Vorstellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 5 Tage 11

14 Datenschutz und Datensicherheit - Kompaktseminar (BF 210) Tag 1-3 Grundlagen Datenschutz Organisation der Datenschutzkontrolle Datenumgang und Beteiligte Zulässigkeit des Datenumgangs Informationsfreiheitsgesetz/ -beauftragter Grundzüge Personaldatenschutz Kernaufgaben & administrativer Datenschutz Grundzüge Sozialdatenschutz Dauer 4 Tage Tag 4 Datenschutz und Informationssicherheit Projektarbeit Dauer Auf der Grundlage der Inhalte des Seminars und der Anforderungen an den Aufgabenbereich ist ein überschaubares Projekt in- ca. 20 Stunden nerhalb der Behörde zu absolvieren (in Zusammenarbeit mit der fachlichen Beratung). Präsentationsworkshop Dauer (BF 260) Die Teilnahme am Workshop ist Voraussetzung für die Teilnahme 1 Tag am Abschlusstest und damit für die Zertifizierung. Vorstellung der Projektarbeit 30 Minuten Vortrag und Fragen Erfahrungsaustausch Abschlusstest/Zertifikatsverleihung Dauer (BF 270) Abschlusstest (Multiple Choice) 2,5 Std. Verleihung des Zertifikats nach bestandenem Abschlusstest 12

15 2 Bundesdatenschutzgesetz & Anforderungsprofil Die Regelungen des Bundesdatenschutzgesetzes 4f und 4g enthalten Bestimmungen zur Bestellung und zu den Aufgaben eines behördlichen Beauftragten für den Datenschutz und dienen als Grundlage für die Konzeption der Fortbildung. Der Gesetzgeber stellt hohe Anforderungen an den Datenschutz in den Behörden und die fachliche Qualifikation der Datenschutzbeauftragten. Das Anforderungsprofil für Datenschutzbeauftragte in der öffentlichen Verwaltung muss konkret und individuell an die behördenspezifischen Gegebenheiten angepasst werden können. Für die Erledigung der Aufgaben sind sowohl rechtliche und technische als auch organisatorische Anforderungen zu bewältigen. Dem entsprechend wird eine thematisch breite Fortbildung angeboten. 3 Fortbildung in der öffentlichen Verwaltung Die Fortbildung ist modular aufgebaut und beinhaltet die Möglichkeit der individuellen Gestaltung abhängig von dem konkreten Bedarf an Fortbildung des Teilnehmenden. Im Rahmen eines Fortbildungsantrages ist die Möglichkeit gegeben, selbstständig über den Erwerb des Zertifikats zu entscheiden. Ein Lernprozessbegleiter der BAköV, ein Selbsteinschätzungstest und die Seminarübersicht stehen als Entscheidungshilfe zur Verfügung Jeder in der Zielgruppe genannte Angehörige der Bundesverwaltung ist nach vorheriger Anmeldung der Behörde und Vereinbarung des Fortbildungsganges (Fortbildungsplan) zur Teilnahme berechtigt. Der Fortbildungsgang und die Zertifizierung sind für Bundesbedienstete kostenfrei. 13

16 3.1 Selbsteinschätzungstest Zur Überprüfung der Kenntnisse besteht die Möglichkeit, einen Selbsteinschätzungstest zu absolvieren. Der Test ist freiwillig, anonym und kann jederzeit wiederholt werden. Der Test wird online zur Verfügung gestellt und ist nach Registrierung auf der Lernplattform möglich. Der Selbsteinschätzungstest umfasst insgesamt 110 Fragen. Er unterstützt die Beurteilung der Vorkenntnisse und verdeutlicht die Prüfungsanforderungen und damit die Einschätzung des individuellen Fortbildungsbedarfs. Der Aufbau des Tests spiegelt die im Fortbildungskonzept entwickelte modulare Gliederung wider. Die Fragen veranschaulichen, welches Wissen in den einzelnen Arbeitsbereichen eines Datenschutzbeauftragten erforderlich ist sowie fachliche Anforderungen für die Prüfung. Dieser Test ist ein Hilfsmittel zur eigenen Orientierung und sollte unbedingt durch das Gespräch mit der Lernprozessbegleitung ergänzt werden. 14

17 3.2 Fortbildungsantrag Neben dem Selbsteinschätzungstest und dem Anforderungsprofil unterstützt die Lernprozessbegleitung Interessenten, den individuellen Fortbildungsplan festzulegen. Dieser ist Bestandteil des Fortbildungsantrages. Der Fortbildungsantrag dient der vollständigen Dokumentation des individuellen Fortbildungsganges und wird bei der Zertifizierung herangezogen. Der Fortbildungsantrag gibt im Wesentlichen Auskunft über die Erfahrungen, den Verantwortungsbereich und die Erreichbarkeit des Antragstellers. Kern des Dokumentes bildet der Fortbildungsplan. Diesen bespricht der Antragsteller zuerst mit der Fortbildungsstelle und wenn erforderlich, mit dem Vorgesetzten bzw. der Behördenleitung. Dieser Plan entsteht auf der Basis der persönlichen Einschätzung. Es besteht die Möglichkeit, die Lernprozessbegleitung der BAköV in Anspruch zu nehmen. Der Antrag wird mit dem gewünschten Fortbildungsplan der BAköV zugeleitet. Über den Fortbildungsbeauftragten erfolgt eine Rückmeldung, welche Teilnahme zu welchem Zeitpunkt ermöglicht wird. Mit der Bestätigung der Lernprozessbegleitung erfolgt eine verbindliche Zusage der Teilnahme. Die Anmeldung an den Seminaren bzw. Abschnitten muss durch die Fortbildungsstelle in IFOS-BUND zusätzlich erfolgen. Die abschließende Erklärung des Antragstellers enthält die Kenntnisnahme der Prüfungsordnung und die Datenschutzerklärung. Das Thema und Plan der Projektarbeit für die Zertifizierung wird mit der fachlichen Beratung besprochen und von der BAköV bestätigt. Änderungen werden über weitere Formulare mitgeteilt. Die Formulare sind im Anhang des Leitfadens enthalten und stehen im Internet unter zum Abruf zur Verfügung. 3.3 Lernprozessbegleitung und fachliche Beratung Zur Unterstützung der Antragstellung und Begleitung der Umsetzung des individuellen Fortbildungsplanes steht von Seiten der Bundesakademie eine Lernprozessbegleitung zur Verfügung. Aufgabe der fachlichen Beratung ist es, die Auswahl und Durchführung des Projektes fachlich zu unterstützen Lernprozessbegleitung Die Lernprozessbegleitung der BAköV steht zur Auskunft und Beratung, sowohl für die Fortbildungsbeauftragten als auch die Teilnehmenden zur Verfügung. Die Lernprozessbegleitung berät bei der Erstellung des individuellen Lernplanes, koordiniert, unterstützt den individuell festgelegten Fortbildungsgang und steht als Ansprechperson für weitere Qualifizierungen zur Verfügung. 15

18 Gleichzeitig werden von dieser Stelle auch entsprechende Anfragen und Kontakte mit der fachlichen Beratung weitergeleitet und vermittelt. Die Bundesakademie sichert die notwendige Dokumentation entsprechend der rechtlichen Grundlagen Fachliche Beratung Die fachliche Beratung begleitet das Projekt. Ihre Aufgabe ist es, die Auswahl und Durchführung des Projektes fachlich zu unterstützen. Die fachliche Beratung von Seiten der BAköV unterstützt bei der Festlegung der Projektaufgabe, begleitet den Prozess, die Dokumentation und Präsentation und bestätigt die Themenwahl. Die fachliche Beratung kann auch durch die entsendenden Behörde erfolgen. Die Entscheidung darüber wird vom Kandidaten getroffen. 3.4 Möglichkeiten der Fortbildung und Zertifizierung Das Gesamtkonzept der Fortbildung und Zertifizierung für die Behördlichen Datenschutzbeauftragten in der Bundesverwaltung (BDSB) beinhaltet das dreiwöchige Seminar Behördliche Datenschutzbeauftragte in der Bundesverwaltung (optional) oder das einwöchige Kompakt-Seminar Datenschutz und Datensicherheit (optional) das Erstellen einer Projektarbeit, die Präsentation dieser Projektarbeit im Rahmen eines Workshops und den Abschlusstest in Multiple-Choice-Form. Nach erfolgreicher Prüfung wird ein Zertifikat ausgehändigt. Zum Erhalt bzw. zur Verlängerung des Zertifikats sind verschiedene Fortbildungsmaßnahmen erforderlich. 4 Behördliche Datenschutzbeauftragte in der öffentlichen Verwaltung Der Besuch der Seminare bzw. Abschnitte hängt von den individuellen Vorkenntnissen ab und wird im persönlichen Fortbildungsplan festgelegt. Folgende Auswahl steht zur Verfügung: 1. Besuch des gesamten dreiwöchigen Seminars 2. Besuche einzelner Abschnitte des dreiwöchigen Seminars 3. Besuch des Kompakt-Seminars 16

19 4. Im Rahmen der Zertifizierung ist die direkte Anmeldung, nach Absolvierung der Projektarbeit und deren Präsentation in einem Workshop, zur Prüfung für den Zertifikatserwerb möglich. Die Teilnahme an den Abschnitten des Seminars, welche einzeln gebucht werden können, wird bestätigt. 4.1 Theoretischer Teil Die Inhalte der Seminare sind mit dem Handbuch und dem Abschlusstest der Zertifizierung abgestimmt. Damit ist gegeben, dass ein fachliches Wissen vermittelt wird, welches Grundlage und gleichzeitig einheitliche Basis für das Wirken im Sicherheitsmanagement ist. Im Anhang 6.1 sind die Inhalte der Seminare und deren Abschnitte zur Feststellung der eigenen Kenntnisse und Entscheidungsunterstützung aufgeführt Behördliche Datenschutzbeauftragten in der öffentlichen Verwaltung (dreiwöchiges Seminar) Behördliche Datenschutzbeauftragten in der öffentlichen Verwaltung (BF 250) Abschnitt a Modul 1: Datenschutz und Informationssicherheit- warum? Modul 2: Behördlicher Datenschutz in der Bundesverwaltung- Grundlagen Abschnitt b Modul 3: Bedeutende Einzelaspekte im Datenschutz Modul 4: Der behördliche Datenschutzbeauftragte Abschnitt c Modul 5: Datensicherheit und Informationssicherheit Dauer 5 Tage 2 Tage 3 Tage 5 Tage 3 Tage 2 Tage 5 Tage Datenschutz und Datensicherheit (4-tägigies Kompakt- Seminar) Das viertägige Seminar Datenschutz und Datensicherheit - Kompaktseminar ermöglicht, vorhandene Kenntnisse im Bereich Datenschutz zu aktualisieren. 17

20 Datenschutz und Datensicherheit (Kompaktseminar) (BF 210) Grundlagen Datenschutz Organisation der Datenschutzkontrolle Datenumgang und Beteiligte Zulässigkeit des Datenumgangs Informationsfreiheitsgesetz/ -beauftragter Grundzüge Personaldatenschutz Kernaufgaben & administrativer Datenschutz Grundzüge Sozialdatenschutz Datensicherheit und Informationssicherheit Dauer 4 Tage Bereitstellung eines Handbuches Ein Handbuch für das Seminar Behördliche Datenschutzbeauftragten in der öffentlichen Verwaltung wird jedem Teilnehmenden ausgehändigt. Dieses ist inhaltlich den Schwerpunkten des Seminars angepasst und dient der grundlegenden Orientierung. Es kann als Nachschlagewerk für Datenschutzbeauftragte genutzt werden. Gleichzeitig werden für die besuchten Seminare ergänzende Unterlagen zur Verfügung gestellt. 4.2 Projektarbeit Im praktischen Teil der Zertifizierung Behördliche Datenschutzbeauftragte in der öffentlichen Verwaltung soll ein Projekt in der jeweiligen Behörde bearbeitet werden. Begleitet wird der Praktische Teil abgestimmt mit der Lernprozessbegleitung - von der fachlichen Beratung (Berater der BAköV oder behördenintern). Das Thema sollte, wenn möglich, den eigenen Aufgabenbereich betreffen bzw. daraus hervorgehen. Dies kann sowohl eine Vorlage für Entscheidungen der Hausleitung, die Aufbereitung fachlicher Themen aus dem Bereich Datenschutz als auch neue bzw. bevorstehende Projekte umfassen. Anliegen ist es, die Tätigkeit zu unterstützen bzw. die Erstellung von Dokumenten zu begleiten. Zur Bestätigung des Projektthemas wird der Antrag Plan der Projektarbeit (siehe Anhang Punkt 7.2) an die Bundesakademie gesandt und von dort beschieden. Der Zeitaufwand des Projektes sollte mindestens 20 Stunden (ohne Vorbereitung der Präsentation) umfassen. Der Umfang des Projektes wird mit der fachlichen Beratung besprochen und die Dokumentation (siehe Anhang Punkt 6.5) sollte max. 20 Seiten umfassen. Im Anhang 6.4 des Leitfadens ist eine Übersicht von Themenvorschlägen enthalten. 18

21 Projektarbeit Dauer Auf der Grundlage der Inhalte des Seminars bzw. der Inhalte Mind. 20 des Handbuches und den Anforderungen aus dem Aufgabenbereich ist ein überschaubares Projekt innerhalb der Behörde Stunden zu absolvieren (in Zusammenarbeit mit der fachlichen Beratung der BAköV oder der eigenen Behörde). Hinweis: Die positive Beurteilung einer Projektarbeit ersetzt nicht die vollständige QS, ein Audit oder genaue Überprüfung des zugehörigen vollständigen Projektes. 4.3 Workshop Projektpräsentation Die Präsentation der Projektarbeit erfolgt in einem Workshop (BF 260) der Bundesakademie. Die Abgabe der Arbeit muss ausnahmslos spätestens zwei Wochen vor dem Workshop erfolgen. Eine elektronische Abgabe an die Mailadresse ist möglich. Alle Teilnehmenden präsentieren ihre Projektarbeit und führen ein Gespräch darüber. Dieses Gespräch wird - die Präsentation eingeschlossen - jeweils einen Zeitraum von etwa 30 Minuten beanspruchen. Der Workshop wird von der BAköV moderiert. Die Teilnahme am Workshop ist verpflichtend und grundsätzlich Voraussetzung der Prüfung zur Zertifizierung. 4.4 Prüfung und Zertifizierung Im Rahmen der Prüfung (BF 270) wird in einem abschließenden Multiple- Choice-Test das Verständnis für fachliche Zusammenhänge nachgewiesen. Der Test umfasst einen Fragepool von insgesamt 400 Fragen, von denen 100 automatisch ausgewählt werden. Umfang und Schwierigkeitsgrad der Testfragen orientieren sich an den inhaltlichen Schwerpunkten des Seminars bzw. dem Handbuch. Nach bestandener Prüfung wird das Zertifikat Behördliche Datenschutzbeauftragten in der Bundesverwaltung erteilt. Das mit der Prüfung erworbene Zertifikat ist 5 Jahre gültig. Der Erhalt bzw. die Verlängerung des Zertifikats ist über eine vorgegebene zu erreichende Punktzahl möglich. Hierfür werden mit dem Blick auf einen Kompetenzerhalt Seminare und Veranstaltungen (mit Erfahrungsaustausch) von der BAköV angeboten (siehe 6.2). 19

22 5 Zertifikatserhalt und ergänzende Fortbildung Informationstechnik, Anwendungen, Bedrohungsszenarien und Sicherheitstechnik unterliegen einem ständigen Wandel, ebenso das rechtliche und organisatorische Umfeld, in dem Datenschutzbeauftragte tätig sind. Zur Erhaltung der Qualifikation wird daher eine kontinuierliche Fortbildung benötigt, die alle Aspekte ihres Aufgabenbereichs umfasst und sowohl auf eine Erweiterung der fachlichen als auch der sozialen Kompetenzen abzielt. Die Fortbildung zum Kompetenzerhalt wird überwiegend durch Seminare der BAköV ermöglicht. Eine beispielhafte Auflistung dieser Seminare befindet sich im Anhang unter Punkt 6.2. Zum Erhalt oder zur jeweiligen Verlängerung des Zertifikats werden verschiedene Maßnahmen angeboten. Punktesystem für den Werterhalt des Zertifikats Innerhalb von 5 Jahren sollen 50 Punkte erreicht werden. Die zweimalige Teilnahme an der Jahrestagung für Behördliche Datenschutzbeauftragte ist Bedingung. Die Punkte sind über folgende Maßnahmen zu erreichen Punkte Teilnahme an der jährlich stattfindenden Jahrestagung 20 für Behördliche Datenschutzbeauftragte Teilnahme an IT-Seminaren der BAköV aus dem Bereich 15 Datenschutz/IT-Sicherheit Teilnahme an anderen Seminaren der BAköV 12 Teilnahme an IT-Seminaren von externen Anbietern 10 und Kongressen im Bereich Datenschutz (Anerkennung nur nach Absprache mit der BAköV) Teilnahme an anderen Seminaren von externen Anbietern (Anerkennung nur nach Absprache mit der 8 BAköV) Die Zertifikatsverlängerung ist nur auf schriftlichen Antrag möglich. Der Antrag soll 3 Monate vor Ablauf des Zertifikats vorliegen. 20

23 6 Anhang 6.1 Anhang zu 4.1 (Theoretischer Teil) 6.2 Anhang zu 5 (Vorschläge zu Fortbildungen zum Zertifikatserhalt) 6.3 Prüfungsordnung 6.4 Themenvorschläge für die Projektarbeit 6.5 Hinweise und Empfehlungen zur Anfertigung der Projektarbeit 6.6 Empfehlungen zur Vorbereitung der Präsentation 21

24

25 6.1 Anhang zu 4.1 (Theoretischer Teil) Anmerkung: Die Fortbildung befindet sich in der Pilotphase. Anpassungen/Änderungen/Ergänzungen der Inhalte oder des Ablaufs sind möglich Behördliche Datenschutzbeauftragte in der öffentlichen Verwaltung (dreiwöchiges Seminar) Modul 1 Datenschutz und Informationssicherheit warum? # Thema Inhalt 1. Zielgruppe Bestellte behördliche Datenschutzbeauftragte und jene, die mit ähnlichen Aufgaben betraut sind oder betraut werden sollen 2. Lerninhalte Einführung in den Datenschutz Situation des Datenschutzes Geschichte des Datenschutzes Überblick über die Aspekte des Datenschutzes Abgrenzung zwischen Datenschutz und Informationssicherheit Grundsätze des Datenschutzes Datengeheimnis Nachhaltige Umsetzung des Datenschutzes in der Organisation Überblick zu Datenschutzbestimmungen Anwendbarkeit des Bundesdatenschutzgesetzes Anwendbarkeit der Landesdatenschutzgesetze Anwendbarkeit der Spezialgesetze des Bundes (Auszug und Überblick) Datenschutzkontrolle Schnittstellen zu anderen Gesetzen Überblick zu Datenschutzbestimmungen in Europa Datenschutzkontrolle Selbstkontrolle Datenschutzbehörden Aktuelle Entwicklungen in den Bereichen Datenschutz und Informationssicherheit Vorstellung des Beauftragten für den Datenschutz und 23

26 # Thema Inhalt 3. Dauer 2 Tage die Informationsfreiheit (BfDI) Modul 2 Behördlicher Datenschutz in der Bundesverwaltung Grundlagen # Thema Inhalt 1. Zielgruppe Bestellte behördliche Datenschutzbeauftragte und jene, die mit ähnlichen Aufgaben betraut sind oder betraut werden sollen 2. Lerninhalte Anwendungsbereich des BDSG Sachlicher Anwendungsbereich des BDSG Räumlicher Anwendungsbereich Nichtanwendbarkeit des BDSG Struktur des Bundesdatenschutzgesetz Wesentliche datenschutzrechtliche Begriffsbestimmungen Öffentliche und nicht-öffentliche Stellen Personenbezogene Daten und Betroffene Bestimmte oder bestimmbare Personen Sozialdaten (SGB X) Verantwortliche Stelle, Dritter, Empfänger Automatisierte Verarbeitung und nicht automatisierte Datei Rollen der am Datenumgang Beteiligten Umgang mit personenbezogenen Daten Datenerhebung Datenverarbeitung Datennutzung Anonymisierung und Pseudonymisierung Grundsätze des Datenschutzes Verbot mit Erlaubnisvorbehalt Zweckbindung Erforderlichkeit 24

27 # Thema Inhalt 3. Dauer 3 Tage Transparenz Direkterhebungsgrundsatz Zulässigkeit der Datenerhebung, -verarbeitung und - nutzung Zulässigkeit der Datenerhebung, Einwilligung der Betroffenen Geltungsbereich der 12ff. Bundesdatenschutzgesetz Gesetzessystematik Zulässigkeit der Verarbeitung von Beschäftigtendaten Zulässigkeit der Datenerhebung Zulässigkeit der Speicherung, Veränderung und Nutzung Zulässigkeit der Übermittlung Datenübermittlung an öffentliche Stellen Datenübermittlung an nicht-öffentliche Stellen Folgen unzulässiger Übermittlung personenbezogener Daten Rechte der Betroffenen Überblick Benachrichtigung Auskunft Voraussetzungen und Umfang der Benachrichtigung Ausnahmen von der Benachrichtigungspflicht Voraussetzungen und Umfang der Auskunft Ausnahmen von der Auskunftspflicht Berichtigung Löschung und Sperrung Widerspruch Sonstige Rechte des Betroffenen Anrufung des Bundesbeauftragten für den Datenschutz, 21 Bundesdatenschutzgesetz 25

28 Modul 3 Bedeutende Einzelaspekte im Datenschutz # Thema Inhalt 1. Zielgruppe Bestellte behördliche Datenschutzbeauftragte und jene, die mit ähnlichen Aufgaben betraut sind oder betraut werden sollen. Fortbildungsteilnehmer der Module 1 und 2 2. Lerninhalte Meldepflicht und Vorabkontrolle automatisierter Datenverarbeitungsverfahren Meldepflichten Vorabkontrolle Gegenstand Ergebnis und Dokumentation der Vorabkontrolle Verzeichnis der Verarbeitungsanlagen, Dateistatut und Verfahrensverzeichnisse Verfahrensverzeichnisse Verzeichnisse der Datenverarbeitungsanlagen und Dateistatut Auftragsdatenverarbeitung Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung Voraussetzungen der Auftragsdatenverarbeitung Prüfung und Wartung automatisierter Datenverarbeitungssysteme Personaldatenschutz Rechtsgrundlagen im Bereich der Personaldatenverarbeitung Zulässigkeit der Personaldatenverarbeitung Personalaktenrecht Besonderheiten beim Personaldatenschutz im öffentlichen Dienst Mitbestimmungsrechte der Beschäftigtenvertretung Rechtsprechung, arbeits- und dienstrechtliche Grundsätze und Anwendungsbeispiele Informations- und Kommunikationsdienste 26

29 # Thema Inhalt 3. Dauer 3 Tage Gesetzliche Grundlagen (Telekommunikationsgesetz, Telemediengesetz) Nutzung von Informations- und Kommunikationsdiensten durch Beschäftigte Grundlagen Kontrollen bei der Nutzung von Informations- und Kommunikationsdienste Betrieb von Internetseiten Grundlagen zum Newsletter-Versand Videoüberwachung Informationsfreiheit Antragsstellung, Antragsgegenstand, Entscheidung, Rechtsbehelfe Ausschlussgründe Besonderes Verfahren bei Drittbetroffenheit Grenzüberschreitender Datenverkehr Übermittlung von Daten innerhalb der EU/EWR Übermittlung von Daten außerhalb der EU/EWR Datenübermittlung an Stellen ohne angemessenes Datenschutzniveau Automatisierte Abrufverfahren 27

30 Modul 4 Der behördliche Datenschutzbeauftragte # Thema Inhalt 1. Zielgruppe Bestellte behördliche Datenschutzbeauftragte und jene, die mit ähnlichen Aufgaben betraut sind oder betraut werden sollen Fortbildungsteilnehmer der Module Lerninhalte Bestellung zum Datenschutzbeauftragten 3. Dauer 2 Tage Bestellungsform und Rechtsstellung Dauer und Beendigung der Bestellung Anforderungen an Datenschutzbeauftragte, Rechte und Pflichten Fachkunde Zuverlässigkeit Rechte und Pflichten Unabhängigkeit Unterstützungspflicht durch die verantwortliche Stelle Benachteiligungsverbot Verschwiegenheitspflicht Zeugnisverweigerungsrecht und Beschlagnahmeverbot Prüfungspflicht bei Hinweisen Aufgaben des Datenschutzbeauftragten und deren Umsetzung in der Praxis Bestandsaufnahme Planung Gestaltung Beratung und Mitwirkung in Prozessen und Projekten Schulung und Sensibilisierung Prüfung, Kontrollen, sowie Berichtsaufgaben Haftung des Datenschutzbeauftragten 28

31 Modul 5 Datensicherheit und Informationssicherheit # Thema Inhalt 1. Zielgruppe Bestellte behördliche Datenschutzbeauftragte und jene, die mit ähnlichen Aufgaben betraut sind oder betraut werden sollen Fortbildungsteilnehmer der Module Lerninhalte Sicherheitsmanagement - Überblick zu Standards, Methoden und Werkzeugen 3. Dauer 5 Tage IT-Grundschutz Datenschutz im IT-Grundschutz Zertifizierungsmöglichkeiten Technische und organisatorische Maßnahmen Überblick über technische und organisatorische Maßnahmen Technische und organisatorische Maßnahmen anhand von Beispielen Drahtlose Kommunikation Mobile Endgeräte und Datenträger Internetzugang und nutzung Grundlagen der Verschlüsselung Elektronische Identitäten Protokollierung Datensicherung Berechtigungswesen Datenschutzgerechtes Löschen Toolgestütze Umsetzung der technischen und organisatorischen Maßnahmen Vorstellung des Bundesamtes für Sicherheit in der Informationstechnik 29

32

33 6.1.2 Behördliche Datenschutzbeauftragte in der öffentlichen Verwaltung (Kompaktseminar) Tag 1 bis 3 Rechtliche Grundlagen des Datenschutzes # Thema Inhalt 1. Zielgruppe Aktuelle und zukünftige Behördliche Datenschutzbeauftragte und Personen, die mit Aufgaben aus dem Bereich Datenschutz betraut sind 2. Lerninhalte Grundlagen Datenschutz Was ist Datenschutz? Grundregeln Organisation der Datenschutzkontrolle Der Datenschutzbeauftragte Der Personalrat Die BfDI Datenumgang und Beteiligte Phasen der Datenverarbeitung ( 3 III-V BDSG) Beteiligte Zulässigkeit des Datenumgangs BDSG Rechte der Betroffenen Informationsfreiheitsgesetz und -beauftragter Grundzüge Personaldatenschutz Beschäftigtendatenschutz Personalakte Internet und am Arbeitsplatz Videoüberwachung Praxisrelevante Kernaufgaben & administrative Maßnahmen Auftragsdatenverarbeitung Verfahrensverzeichnis Vorabkontrolle Grundzüge Sozialdatenschutz 31

34 Tag 4 Datenschutz und Informations- bzw. IT-Sicherheit # Thema Inhalt 1. Zielgruppe Aktuelle und zukünftige Behördliche Datenschutzbeauftragte und Personen, die mit Aufgaben aus dem Bereich Datenschutz betraut sind 2. Lerninhalte Technische organisatorische Maßnahmen gem. Anlage zu 9 BDSG Sicherheitsorganisation und Standards (ISO 2700X, ITIL und COBIT) BSI Grundschutz BSI-Standards IT-Grundschutz-Katalog Allerlei Wissenswertes 32

35 6.2 Anhang zu Fortbildungen zum Zertifikatserhalt (Vorschläge) Schutz von Personaldaten - Rechtliche Grundlagen - BF 220 Das Informationsfreiheitsgesetz des Bundes BF 320 IT-Sicherheit in der Bundesverwaltung IT 135 Das V-Modell XT Bund - Basis IT 230 Standard zur Gestaltung von IT Service Prozessen - unter Nutzung von IT 250 ITIL V3 Sensibilisierungskampagnen und Schulungen in IT-Sicherheitsfragen - IT 410 Konzeption und Durchführung Verschlüsselung und Elektronische Signatur IT 430 GSTOOL - Arbeiten mit dem IT-Grundschutztool des BSI IT 465 Informationstechnik, Informationssicherheit und Internet in der modernen IT 485 Verwaltung Grundlagen und Anwendungen Betreuung der Anwender von Informationstechnik inkl. Umgang mit IT 510 schwierigen Anwendern Methodik und Didaktik von Schulungen in der Informationstechnik IT 520 Halten von Folienvorträgen mit Hilfe digitaler Präsentationstechniken IT 555 Grundlagenwissen für Systemadministratoren in der öffentlichen Verwaltung IT Abschnitt A (Netzwerke und Informationssicherheit) IT-Sicherheitsaspekte in heterogenen Netzen IT 607 Datensicherheit beim Einsatz mobiler Geräte IT 630 Computer-Forensik in Theorie und Praxis IT 680 Ermittlung und Auswertung von Internetaktivitäten IT 690 Kommunizieren und kooperieren KO 110 Konflikte erkennen und konstruktiv bewältigen KO 210 Besprechungen leiten KO 310 Reden und Kurzvorträge halten KO 330 Teams zielorientiert leiten FÜ 250 Jahrestagung IT-SiBe SO 505 Jahrestagung BDSB (ab 2014) SO

36

37 6.3 Prüfungsordnung (vom ; geändert am ) I. Allgemeines 1 Geltungsbereich Diese Prüfungsordnung gilt für die Fortbildungsmaßnahme Behördliche Datenschutzbeauftragte in der Bundeverwaltung. Sie regelt die Zertifizierung der Abschlüsse dieser Fortbildungsmaßnahme. 2 Zweck der Prüfung, Zertifizierung Die Abschlussprüfung bildet den Abschluss der in 1 dieser Prüfungsordnung genannten Fortbildungsmaßnahme. Nach erfolgreicher Absolvierung der Prüfung erhalten die Absolventinnen bzw. Absolventen ein Zertifikat, durch das bescheinigt wird, dass sie aus Sicht des Prüfungsausschusses i. S. d. 9 dieser Prüfungsordnung die notwendigen Kenntnisse und Fähigkeiten besitzen, um die Tätigkeit eines bzw. einer Datenschutzbeauftragten auszuüben. II. Behördliche Datenschutzbeauftragte in der Bundesverwaltung 3 Zulassung zur Fortbildungsmaßnahme Berechtigt zur Teilnahme an der in 1 dieser Prüfungsordnung genannten Fortbildungsmaßnahme sind Angehörige der öffentlichen Verwaltung aus dem höheren, gehobenen und mittleren Dienst. Es muss sich um Bedienstete bzw. Beschäftigte handeln, welche die Funktion eines/einer Datenschutzbeauftragten wahrnehmen oder für die Übernahme dieser Aufgabe vorgesehen sind. 4 Lehrgangsinhalt und dauer (1) Die in 1 dieser Prüfungsordnung genannte Fortbildungsmaßnahme ist modular aufgebaut und beinhaltet die Möglichkeit der individuellen Gestaltung abhängig von dem konkreten Bedarf an Fortbildung der Teilnehmenden. (2) Zur Vorbereitung auf die in 2 dieser Prüfungsordnung genannte Prüfung können die Teilnehmenden folgende Fortbildungsmaßnahmen alternativ oder kumulativ absolvieren. 35

38 a) Abschnitt a (BF 250 a) bestehend aus einem zweitägigen Seminar (Modul 1) zu der Einführung in den Datenschutz, einem Überblick zu Datenschutzbestimmungen und der Datenschutzkontrolle und einem dreitägigen Seminar (Modul 2) zu dem Anwendungsbereich des BDSG, wesentlichen datenschutzrechtlichen Bestimmungen, Grundsätze des Datenschutzes, Zulässigkeit der Datenerhebung, -verarbeitung und - nutzung und Rechte der Betroffenen. b) Abschnitt b (BF 250b) bestehend aus einem dreitägigen Seminar (Modul 3) zu bedeutenden Einzelaspekten im Datenschutz (z.b. Auftragsdatenverarbeitung, Personaldatenschutz, Informationsfreiheit usw.) und einem zweitägigen Seminar (Modul 4) zur Bestellung zum Datenschutzbeauftragten, den Anforderungen, Rechte und Pflichten des Datenschutzbeauftragten und den Aufgaben des Datenschutzbeauftragten und deren Umsetzung in der Praxis. c) Abschnitt c (BF 250c) bestehend aus einem fünftägigen Seminar (Modul 5) zu Themenkomplex Datensicherheit und Informationssicherheit. Die Teilnahme an allen vorstehend genannten Veranstaltungen ist freiwillig. (3) Eine Alternative bildet ein fünftägiger Kompaktkurs Datenschutz und Datensicherheit (BF 210), der der Auffrischung der bereits im beruflichen Umfeld erworbenen Kenntnisse dient. (4) Schließlich ist Teil der Fortbildungsmaßnahme auch ein eintägiger Workshop. Die Teilnahme hieran ist obligatorisch. 5 Projektarbeit (1) Die Absolventinnen und Absolventen müssen eine Projektarbeit zu einem Datenschutzthema erstellen. Dabei können sie sich von der BAköV oder/und einer von der BAköV akzeptierten Person aus ihrer Behörde beraten lassen. Die Projektarbeit soll einen Umfang von etwa zwanzig Seiten umfassen. Die Projektarbeit enthält eine Erläuterung aller wesentlichen Bestandteile des Projekts; die Absolventin bzw. der Absolvent bestätigt gegenüber dem Prüfungsausschuss i. S. d. 9 dieser Prüfungsordnung mit ihrer bzw. seiner Unterschrift unter der Projektarbeit, dass diese von ihr bzw. ihm tatsächlich und eigenverantwortlich angefertigt wurde. Die Projektarbeit muss grundsätzlich vor der Anmeldung zur Abschlussprüfung vorgelegt werden. 36

39 (2) Voraussetzung für den Erhalt des Zertifikats nach 10 dieser Prüfungsordnung ist eine etwa 30 Minuten umfassende Präsentation der Projektarbeit gem. Absatz 1. Diese erfolgt grundsätzlich im Rahmen des Workshops nach 4 Abs. 4 dieser Prüfungsordnung. 6 Abschlussprüfung Zur Abschlussprüfung i. S. v. 2 zugelassen werden alle Angehörigen des in 3 dieser Prüfungsordnung genannten Personenkreises, die ihre Projektarbeit nach 5 Abs. 2 dieser Prüfungsordnung präsentiert haben. III. Die Abschlussprüfung 7 Umfang und Inhalt der Abschlussprüfung (1) Die Abschlussprüfung ist eintägig. (2) Gegenstand der Prüfungen i. S. d. 2 sind Inhalte aus den in 4 Abs. 2 lit. a) bis c) dieser Prüfungsordnung aufgeführten Themen. 8 Form und Durchführung der Abschlussprüfung (1) Die Abschlussprüfung findet in Form eines schriftlichen Multiple- Choice-Verfahrens statt (Abschlusstest). (2) Die Abschlussprüfung ist nicht öffentlich. 9 Verantwortliche für die Auswertung der Abschlussprüfung Verantwortlich für die Auswertung der Abschlussprüfung ist der Prüfungsausschuss. Der Prüfungsausschuss wird von Mitarbeitern bzw. Mitarbeiterinnen der Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern aus den Lehrgruppen 2 und 5 gebildet. 37

40 10 Bewertung der Prüfungsleistung (1) Eine Differenzierung nach Noten findet bei der Bewertung der Prüfungsleistung nicht statt. Die Prüfung gilt vielmehr als bestanden oder nicht bestanden. (2) Die Abschlussprüfung gem. den 7 und 8 dieser Prüfungsordnung gilt als bestanden, wenn mindestens 75 Prozent der möglichen Punktzahl erreicht werden. 11 Wiederholungsmöglichkeiten Die Abschlussprüfung kann einmal wiederholt werden. Die Wiederholung soll in der Regel innerhalb von zwölf Monaten nach dem erfolglosen Versuch stattfinden. 12 Versäumnis, Rücktritt, Täuschung, Ordnungsverstoß (1) Die Prüfungsleistung gilt als nicht bestanden, wenn der Prüfling zu einem Prüfungstermin ohne triftige Gründe nicht erscheint oder nach Beginn der Prüfung ohne triftige Gründe von der Prüfung zurücktritt oder die Prüfungsleistung nicht vor Ablauf der Prüfung erbringt. (2) Die für den Rücktritt oder das Versäumnis geltend gemachten Gründe müssen dem Prüfungsausschuss unverzüglich schriftlich angezeigt und glaubhaft gemacht werden. Bei Krankheit kann die Vorlage eines ärztlichen Attestes verlangt werden. Erkennt der Prüfungsausschuss die Gründe an, so kann die Zulassung zu der entsprechenden Prüfungsleistung erneut beantragt werden. (3) Versucht der Prüfling, das Ergebnis seiner Prüfungsleistung durch Täuschung oder Benutzung nicht zugelassener Hilfsmittel zu beeinflussen, gilt die betreffende Prüfungsleistung als nicht bestanden. Wer als Prüfling den ordnungsgemäßen Ablauf der Prüfung stört, kann von der jeweiligen Aufsicht in der Regel nach Abmahnung von der Fortsetzung der Prüfungsleistung ausgeschlossen werden; in diesem Fall gilt die betreffende Prüfungsleistung als nicht bestanden. Die Gründe für den Ausschluss sind aktenkundig zu machen. Erfolgt ein Ausschluss von der weiteren Erbringung einer Prüfungsleistung, kann verlangt werden, dass diese Entscheidung vom Prüfungsausschuss überprüft wird. Dies gilt entsprechend bei Feststellungen gemäß Satz 1. 38

41 13 Zertifikat, Gültigkeitsdauer (1) Über die bestandene Abschlussprüfung wird unverzüglich, möglichst innerhalb von zwei Wochen nach der Prüfung, ein Zertifikat ausgestellt. (2) Das Zertifikat ist vom Präsidenten der Bundesakademie oder seinem Vertreter zu unterzeichnen. Das Zertifikat trägt das Datum des Tages, an dem die Prüfung bestanden worden ist. (3) Das Zertifikat hat eine Gültigkeitsdauer von fünf Jahren, beginnend mit dem Tag der erfolgreich bestandenen Abschlussprüfung. 14 Ungültigkeit von Prüfungen (1) Hat der Prüfling im Rahmen der Abschlussprüfung gem. den 7 und 8 dieser Prüfungsordnung getäuscht und wird diese Tatsache erst nach der Aushändigung des Zertifikats nach 13 dieser Prüfungsordnung bekannt, so kann der Prüfungsausschuss nachträglich die Abschlussprüfung für nicht bestanden erklären. (2) Das unrichtige Zertifikat nach 13 dieser Prüfungsordnung ist einzuziehen und gegebenenfalls neu zu erteilen. 15 Rechtsmittel Gegen die Entscheidungen des Prüfungsausschusses ist die Beschwerde möglich. Sie ist innerhalb von vier Wochen nach Bekanntgabe der Entscheidung beim Prüfungsausschuss schriftlich einzureichen. Dieser entscheidet über die Beschwerde. IV. Abschlussvorschriften 16 Datenschutzerklärung (1) Die von den Angehörigen des in 3 dieser Prüfungsordnung genannten Personenkreises zur Verfügung gestellten personenbezogenen Daten werden ausschließlich zum Zweck der Lehrgangsverwaltung einschließlich aller mit der Durchführung der Abschlussprüfung zusammenhängenden Maßnahmen verwendet. (2) Eine Weitergabe, Verkauf oder sonstige Übermittlung dieser personenbezogenen Daten an Dritte erfolgt nicht. Ausgenommen sind lediglich Mitteilungen an die Entsendungsbehörden über Entscheidungen des Prüfungsausschusses. 39

42 (3) Die personenbezogenen Daten werden bei der Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern aufbewahrt. 10 Jahre nach der Entscheidung über das Bestehen oder Nichtbestehen der Prüfung werden die Daten vernichtet. Personenbezogene Daten von Angehörigen des in 3 dieser Prüfungsordnung genannten Personenkreises, die sich nicht zur Prüfung anmelden, werden 10 Jahre nach der letzten Teilnahme an einer Fortbildungsmaßnahme i. S. d. 4 Absätze 2 oder 3 dieser Prüfungsordnung vernichtet. 17 Inkrafttreten und Veröffentlichung Diese Prüfungsordnung tritt am 1. Juni 2013 in Kraft. 40

43 6.4 Themenvorschläge für die Projektarbeit Aus allen Gebieten, mit denen sich Datenschutzbeauftragte beschäftigen, können Themen für Projektarbeiten formuliert und den Teilnehmern zur Ausarbeitung (und späteren Präsentation) gestellt werden: # Themenvorschlag Anforderungen Hinweise zur Bearbeitung 1. Erstellen Sie für Ihre Behörde ein Datenschutzkonzept. Die Erarbeitung eines vollständigen Datenschutzkonzepts ist im Rahmen der Projektarbeit nicht möglich. Daher sollte eine überblicksartige Inhaltsangabe erfolgen und auf drei Beispielkapitel eingegangen werden. Es ist ein Inhaltsverzeichnis für ein vollständiges Datenschutzkonzept zu erstellen. Es ist zu begründen, warum diese Aspekte Gegenstand eines Datenschutzkonzeptes sind. Bei der Erarbeitung der drei Beispielskapitel kann unter anderem auf folgende Aspekte eingegangen werden: Umfang und Verarbeitung der zu verarbeitenden personenbezogenen Daten unter Berücksichtigung besonderer Datenarten Rechtsgrundlage der Verarbeitung beziehungsweise Zweckbindung der Datenverarbeitung Einhaltung von Datensparsamkeit und Datenvermeidung Recht auf Auskunft, Berichtigung oder Sperrung von Betroffenen Regelung der Verantwortlichkeiten im Datenschutz Vertragliche Regelungen einer Auftragsdatenverarbeitung Bestellung und Aufgaben eines Datenschutzbeauftragten Prozess zur Aktualisierung des Datenschutzkonzepts sowie Berücksichtigung der Auswirkungen auf andere Dokumente 41