Der neue Weg zum berufsfördernden und wissensdokumentierenden Zertifikat führt mittlerweile immer häufiger über internetbasierte Lehrgänge und Tests. Im Bereich der IT-basierten Berufsfelder hat die GECO Systems GmbH in Zusammenarbeit mit der IDG Communications Media AG unter dem Internetauftritt certbycels.com die sog. CeLS-Zertifikate entwickelt, die den Absolventen insbesondere Basis- oder sogar Expertenwissen als Datenschutzauditor bescheinigen sollen. Wir haben uns diese Zertifikate einmal genauer angesehen.
Der Inhalt im Überblick
Die CeLS-Zertifikate
CeLS-Zertifikate gibt es für diverse Berufsfelder (z.B.: IT-Recruiter, ISO 27001 ISMS Consultant, IT-Forensik Professional und auch für den Datenschutzauditor). Sie werden in Zusammenarbeit mit Professionals aus dem jeweiligen Bereich entwickelt und unterteilen sich jeweils nach Basic- und Expert-Abschluss. GECO stellt die Testplattform und die Autorenwerkzeuge zur Verfügung und unterstützt Kandidaten und Autoren mit Support. Der Fragenkatalog für die Zertifizierung auf das Berufsbild des Datenschutzauditors wurde von der Projekt29 GmbH & Co. KG entwickelt.
Mutig bewerben die beteiligten Unternehmen diese Zertifikate mit dem Slogan:
„Der neue Zertifizierungsstandard der IT-Community.“
Hierfür gab es sogar den Innovationspreis-IT der initiative Mittelstand 2015.
Tiefgehendes Fachwissen?
Aber wie aussagekräftig sind diese Zertifikate? Können Sie tatsächlich eine belastbare Beurteilungsgrundlage für den Wissenstand eines Probanden liefern und ihm die Befähigung zu einem bestimmten Berufsbild bescheinigen?
In der Berufsbildbeschreibung heißt es hier:
„Der Datenschutzauditor verfügt über tiefgehendes Fachwissen zum Thema Datenschutz, dem Bundesdatenschutzgesetz und verwandten Regelungen. Er besitzt praktische Erfahrung bei der Auditierung von Managementsystemen und ist mit generellen betrieblichen und rechtlichen Abläufen vertraut. Er besitzt sowohl didaktische als auch rhetorische Fähigkeiten und ist in der Lage selbständig Berichte und Reportings zu erstellen.“
Im Rahmen des Zertifizierungsverfahrens muss der Proband zur Erreichung des „Basiszertifikats“ innerhalb von 15 Minuten 24 Multiple-Choice-Wissensfragen aus dem Bereich Datenschutz beantworten. Für das Zertifikat „Expert“ kommt nochmals ein 15-minütiger Persönlichkeitstest mit ca. 50 Selbsteinschätzungsfragen hinzu, der offenbar die Soft-Skills des Probanden beleuchten soll.
Am Ende erhält der Proband per E-Mail die Mitteilung, ob er das Zertifikatsziel erreicht hat und mit dieser E-Mail das auf ihn ausgestellte Zertifikat.
Das Datenschutzwissen
Die Wissensfragen behandeln in beiden Zertifikatsformen Fragen wie:
- Welchen Inhalt müssen Auftragsdatenverarbeitungen gem. § 11 BDSG haben?
- Was ist Inhalt des internen Verfahrensverzeichnisses?
- Welche Voraussetzungen hat die Veröffentlichung von Mitarbeiterfotos?
- Welche Maßnahmen sind Inhalt der Zugriffskontrolle gem. § 9 BDSG?
Nicht näher eingegangen wird auf vertiefte datenschutzrechtliche Einzelfragen wie z.B.: der Videoüberwachung oder konkrete technische Umsetzungen zur Datensicherheit. Auch werden die Aspekte, die normalerweise Inhalt einer Auditorenausbildung sind, wie z.B. die Methodik und Durchführung von Audits, Gesprächsführung etc. nicht angesprochen.
Das Persönlichkeitsprofil
Auch das Persönlichkeitsprofil bleibt mit zu bewertenden Aussagen wie
- Ich kann gut an verschiedenen Themen gleichzeitig arbeiten.
- Ich bin stets offen für Neues.
- Ich kann gut zuhören und mich gut in andere hineinversetzen.
- Ich helfe gerne meinen Bekannten bei der Bewältigung ihrer privaten Probleme.
eher generell und oberflächlich.
Anforderung an anerkannte Auditoren
Anerkannte Zertifizierer, wie z.B. das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) oder EuroPrise ebenso wie die IRCA stellen an ihre Auditoren weitaus höhere Anforderungen, als die erfolgreiche Absolvierung eines einzelnen Tests.
So muss ein Auditor für seine Anerkennung folgende Mindestvoraussetzungen erfüllen:
- Rechtliche und technische Fachkunde (z.B. durch entsprechenden Hochschulabschluss (IT/Recht), Ausbildung mit entsprechender fachlicher Weiterbildung oder 5 Jahre spezifische Berufserfahrung)
- Nachgewiesene 3 Jahre Berufserfahrung auf dem betreffenden Gebiet Datenschutz/Datensicherheit
- Absolvierung von Zusatzfortbildungen mit mindestens 40 Stunden im Fachthema (Auditorenausbildung)
- Teilweise Anfertigung eines Probegutachtens oder Tätigkeit als „Auditor in training“ (vgl.: IRCA)
Die CeLS schreibt in Ihren AGB zum Zertifizierungsinhalt:
„Qualitätsstandards werden von der GECO-Gruppe entwickelt. Demgemäß wird das Qualitätsprofil der Probanden am Maßstab eigener Qualitätsstandards bewertet.“
Bewertung
Nach unserer Einschätzung behandelt das Zertifikatsverfahren lediglich notwendiges Basiswissen, keinesfalls jedoch „tiefgehendes Fachwissen“ aus allen relevanten Bereichen.
Mehr kann bei einem Prüfungsumfang von 15 bzw. 30 Minuten und einem Multiple-Choice-Aufbau auch nicht erwartet werden. Gerade die komplexen Fragen des Datenschutzes, die vielfach eine Abwägung verschiedener Vorgaben und Interessen erfordern, können schwerlich nur mit „Ja“ oder „Nein“ beantwortet werden. Gerade die Beantwortung derartiger Spezialfragen macht jedoch die Qualifikation eines Datenschutzberaters oder -auditors aus. Zusätzlich muss ein Datenschutzauditor gerade durch die gezielte Art der Fragestellungen die Schwachstellen im zu auditierenden Unternehmen aufdecken. Unerheblich ist in diesem Zusammenhang soziale Empathie und die Fähigkeit der zwischenmenschlichen Problembehandlung.
Inhaltlich dürfte das Prüfverfahren zum CeLS-Datenschutzauditor nicht genug sein, um tatsächlich Aussagen über die Befähigung der Probanden nach allgemein akzeptierten Standards zu treffen. Dem Probanden wird mit dem Zertifikat gerade nicht der „Abschluss“ als Datenschutzauditoren bescheinigt. Nichts desto trotz kann dieses Verfahren durch die Probanden dazu genutzt werden, erste Erfahrungen und das Vorhandensein von Basiswissen zu dokumentieren.
