Überblick
Datenschutz ist kein einmaliges Projekt, sondern ein dauerhaftes Programm, das in Organisationen strukturell verankert sein muss. Der CIPM — Certified Information Privacy Manager — ist die führende IAPP-Zertifizierung für Fachkräfte, die genau diese Aufgabe übernehmen: Datenschutz-Programme aufbauen, steuern und kontinuierlich verbessern. Dieser Kurs bereitet systematisch auf die offizielle CIPM-Prüfung der IAPP (International Association of Privacy Professionals) vor. Die Inhalte reichen von der Rechtsgrundlage unter der DSGVO über Data Mapping und Records of Processing Activities bis zu Privacy-by-Design-Prinzipien, Incident-Response-Plänen und internationalen Datentransfer-Mechanismen. Wer den CIPM erwirbt, kann nachweisen, dass er Datenschutz nicht nur versteht, sondern organisational wirksam umsetzt.
Kursinhalte & Lernziele
Modul 1 — Grundlagen des Datenschutz-Programm-Managements Datenschutz als Programm zu verstehen bedeutet, über einzelne Compliance-Anforderungen hinaus zu denken und eine nachhaltige Governance-Struktur zu schaffen. Dieser Einstiegsblock legt das konzeptionelle Fundament: Welche Rollen sind für Datenschutz verantwortlich, wie wird ein Datenschutz-Budget geplant, wie berichten Datenschutzverantwortliche an die Unternehmensleitung, und welche Reifegrade kann ein Datenschutzprogramm durchlaufen?
- Rollen und Verantwortlichkeiten: DSB, Privacy Officer, Privacy Team und ihre Schnittstellen
- Datenschutz-Reifegradmodelle und ihre Nutzung für die Programmplanung
- Governance-Strukturen: Datenschutz in Unternehmenshierarchien verankern
- Datenschutz-Strategie entwickeln und mit Unternehmenszielen verbinden
- Ressourcenplanung, Budget und Reporting für Datenschutz-Programme
- Interessengruppen identifizieren und für Datenschutzbelange sensibilisieren
Modul 2 — DSGVO-Anforderungen und rechtliche Grundlagen Die DSGVO ist das zentrale europäische Datenschutzrecht und Kernreferenz für den CIPM. Dieser Abschnitt erarbeitet die wesentlichen Rechtspflichten — von den Rechtsgrundlagen der Verarbeitung über Betroffenenrechte bis zu den Pflichten von Verantwortlichen und Auftragsverarbeitern — und übersetzt sie in operative Anforderungen für das Programm-Management.
- Rechtsgrundlagen der Verarbeitung: Einwilligung, Vertrag, berechtigtes Interesse
- Rechte der betroffenen Personen und ihre operative Umsetzung
- Verantwortlicher vs. Auftragsverarbeiter: Pflichten, AVV und Haftung
- Datenschutzbeauftragter: Benennungspflicht, Aufgaben, Unabhängigkeit
- Aufsichtsbehörden: Meldepflichten, Behördenkontakte und Kooperationspflicht
- Bußgeldrahmen und Haftungsrisiken nach DSGVO Art. 83/84
Modul 3 — Data Mapping, RoPA und Datenschutz-Folgenabschätzung Wer Datenschutz steuern will, muss wissen, welche personenbezogenen Daten wo verarbeitet werden. Dieses Modul trainiert die systematische Erfassung von Datenflüssen, die Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten (RoPA) und die strukturierte Durchführung von Datenschutz-Folgenabschätzungen (DPIA) für risikohafte Verarbeitungen.
- Data-Mapping-Methodik: Interviews, Systemanalysen, Datenfluss-Diagramme
- RoPA nach DSGVO Art. 30 aufbauen und aktuell halten
- Hochrisikokriterien nach DSGVO Art. 35 erkennen und bewerten
- DPIA-Workflow: Erforderlichkeit feststellen, Risiken bewerten, Sicherheitsvorkehrungen dokumentieren
- Technische und organisatorische Sicherheitsvorkehrungen als DPIA-Ergebnis festlegen
- Privacy by Design in Systemarchitekturen und Prozessentwürfen implementieren
Praxis-Block — Incident Response, internationale Datentransfers, Audit und Prüfungsvorbereitung Der abschließende Block deckt die operativen Kernkompetenzen ab, die den Datenschutz-Manager im Krisenfall und im internationalen Kontext handlungsfähig machen. Parallel wird die CIPM-Prüfungslogik trainiert: wie Prüfungsszenarien aufgebaut sind, welche Entscheidungslogik bei Fallstudien hilft und wie Teilnehmende ihre Prüfungssicherheit bis zum Testtag ausbauen.
- Incident-Response-Pläne entwickeln: Erkennung, Eskalation, Eindämmung, Meldung
- Meldepflicht nach DSGVO Art. 33/34: 72-Stunden-Frist und Betroffenenkommunikation
- Forensische Sicherung und Nachverfolgung von Datenpannen
- Internationale Datentransfer-Mechanismen: Standardvertragsklauseln (SCCs), Angemessenheitsbeschlüsse, BCRs
- Datentransfers in die USA: Konsequenzen von Schrems II und aktueller Rechtsrahmen
- Drittländer-Transfers praktisch einordnen: welche Mechanismen für welche Situation?
- Datenschutz-Audit: Planung, Durchführung, Befunddokumentation
- Auditbericht erstellen und Sicherheitsvorkehrungen priorisieren
- CIPM-Prüfungsformat: Aufbau, Domänengewichtung, Fragetypen
- Fallstudienmethode: komplexe Szenarien in der Prüfung strukturiert bearbeiten
- Kernkonzepte der CIPM-Domänen im Schnelldurchlauf
- Abschlussübung: Datenschutz-Programm-Review für eine Musterorganisation
Alle Praxisblöcke arbeiten mit realistischen Szenarien aus dem Unternehmensalltag — von der Datenpanne in einem Cloud-System bis zum internationalen Datentransfer an einen US-amerikanischen Auftragsverarbeiter. Teilnehmende verlassen den Kurs mit einem vollständigen Bild des CIPM-Anforderungsprofils und konkreten Werkzeugen für ihre eigene Praxis.
Lernziele:
- Datenschutz-Programme in Organisationen strukturiert aufbauen, steuern und weiterentwickeln
- DSGVO-Anforderungen auf organisatorische Prozesse und IT-Systeme anwenden
- Data Mapping durchführen und ein vollständiges Verzeichnis von Verarbeitungstätigkeiten (RoPA) erstellen
- Privacy by Design und Privacy by Default in Projekten und Produkten operationalisieren
- Datenschutz-Folgenabschätzungen (DPIA) strukturiert durchführen und dokumentieren
- Datenpannen erkennen, nach DSGVO-Anforderungen melden und Vorfälle nachverfolgen
- Internationale Datentransfer-Mechanismen (SCCs, Adequacy Decisions, BCRs) korrekt anwenden
- Sicherheitsvorkehrungen für personenbezogene Daten technisch und organisatorisch ausgestalten
- Datenschutz-Audits planen und durchführen
- Betroffenenrechte (Auskunft, Löschung, Widerspruch) operativ umsetzen
- CIPM-Prüfungsinhalte in allen Domänen sicher beherrschen
- Datenschutz-Governance-Strukturen in unterschiedlichen Organisationstypen aufsetzen
Zielgruppe & Voraussetzungen
Der CIPM richtet sich an Datenschutzprofis mit operativer Verantwortung, die ihre Kompetenz international anerkannt zertifizieren möchten.
- Datenschutzbeauftragte und stellvertretende DSBs in Unternehmen und Behörden
- Compliance Manager mit Datenschutzschwerpunkt
- Legal Counsels und Syndikusanwälte im Datenschutzbereich
- IT-Sicherheitsverantwortliche, die ihr Datenschutzwissen zertifizieren wollen
- Beraterinnen und Berater, die Datenschutzmandate in Kanzleien oder Beratungsgesellschaften übernehmen
Grundkenntnisse der DSGVO und praktische Erfahrung im Datenschutzbereich — zum Beispiel als DSB, Datenschutzkoordinator oder in einer Compliance-Funktion — sind empfehlenswert, da die Inhalte auf dem Verständnis der Grundlagen aufbauen. Der CIPM ist kein Einsteigerkurs, sondern richtet sich an Fachkräfte mit mindestens grundlegender Datenschutzerfahrung.
Ablauf & Abschluss
Der Kurs verbindet strukturierte Fachblöcke mit Fallstudienarbeit, Kleingruppenübungen und prüfungsnahen Szenarien. Komplexe rechtliche und organisatorische Konzepte werden an realistischen Unternehmensszenarien erarbeitet, um den Transfer in den eigenen Arbeitsalltag zu erleichtern. Ein besonderer Schwerpunkt liegt auf der Prüfungsmethodik der IAPP, die auf fallbasiertem Entscheiden, nicht auf reinem Faktenabruf, basiert.
Der Kurs umfasst mehrere Lerntage, die alle Prüfungsdomänen des CIPM systematisch abdecken. Präsenz- und Online-Formate sind verfügbar; die genaue Stundenzahl variiert je nach Anbieter und Durchführungsformat. Das offizielle IAPP-Studienmaterial wird üblicherweise separat erworben und ergänzt den Kursinhalt.
Der Kurs bereitet auf die offizielle CIPM-Prüfung der IAPP vor. Die Prüfung wird direkt bei der IAPP in einem autorisierten Testcenter oder online abgelegt. Nach bestandener Prüfung erhalten Teilnehmende das CIPM-Zertifikat der IAPP, das international als führender Berufsnachweis im Datenschutz-Programm-Management gilt. Die Zertifizierung muss alle zwei Jahre durch Continuing Privacy Education (CPE) aufrechterhalten werden.
Nutzen & Perspektiven
Der CIPM ist weltweit einer der am stärksten nachgefragten Nachweise für Datenschutzverantwortliche in Unternehmen. Während der CIPP/E das rechtliche Datenschutzwissen zertifiziert, belegt der CIPM operatives Programm-Management — die Fähigkeit, Datenschutz nicht nur zu kennen, sondern in Organisationen wirksam zu verankern. Wer beide Zertifikate kombiniert, deckt das vollständige Kompetenzprofil eines modernen Datenschutzbeauftragten ab. In der Praxis verschaffen CIPM-Zertifizierte ihren Organisationen einen klaren Vorteil: Datenschutz-Programme mit definierten Prozessen, messbaren Reifegraden und belastbarer Dokumentation überstehen Behördenprüfungen besser und schaffen intern Vertrauen. Sicherheitsvorkehrungen, die aus einem strukturierten Programm-Management heraus entwickelt werden, sind konsistenter und lückensicherer als Ad-hoc-Reaktionen auf regulatorische Anforderungen. Für die eigene Karriereentwicklung ist der CIPM ein anerkanntes Unterscheidungsmerkmal auf einem wachsenden und zunehmend regulierten Markt. Datenschutz ist kein temporäres Compliance-Thema mehr, sondern ein dauerhaftes Geschäftsfeld — und CIPM-zertifizierte Fachkräfte sind entsprechend gefragt.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen CIPM und CIPP/E?
Der CIPP/E (Certified Information Privacy Professional/Europe) zertifiziert das rechtliche Datenschutzwissen nach europäischem Recht, insbesondere der DSGVO. Der CIPM (Certified Information Privacy Manager) zertifiziert das operative Programm-Management — also wie man Datenschutz in Organisationen aufbaut, steuert und audiert. Viele DSBs erwerben beide Zertifikate kombiniert.
Wie oft muss der CIPM erneuert werden?
Das CIPM-Zertifikat muss alle zwei Jahre durch den Nachweis von Continuing Privacy Education (CPE) erneuert werden. Die IAPP verlangt 20 CPE-Credits alle zwei Jahre; diese können über Webinare, Konferenzen, Veröffentlichungen und andere anerkannte Aktivitäten gesammelt werden.
Kann ich die CIPM-Prüfung online ablegen?
Ja, die IAPP bietet Online-Proctoring an, sodass die Prüfung remote und ohne Reise zu einem Testcenter abgelegt werden kann. Alternativ ist die Prüfung bei einem autorisierten Pearson-VUE-Testzentrum möglich.
Brauche ich den CIPP/E als Voraussetzung für den CIPM?
Nein. Der CIPM hat keine formale Voraussetzung an vorangegangene IAPP-Zertifizierungen. Allerdings wird praktische Erfahrung im Datenschutzbereich empfohlen, da die Prüfung anwendungsorientiert ist und von Grundlagenwissen der DSGVO ausgeht.
Welche IAPP-Studienmaterialien werden für die Prüfungsvorbereitung benötigt?
Die IAPP bietet ein offizielles Body of Knowledge und Textbooks zum CIPM an, die direkt bei der IAPP erworben werden können. Diese Materialien ergänzen den Kurs und sind für eine vollständige Prüfungsvorbereitung empfehlenswert, aber separat zu beschaffen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Wirtschaftsinformatik (grundständig)395 Stellen
- IT-Manager/IT-Managerin114 Stellen
- Chief-Information-Security-Officer7 Stellen