Der behördliche Datenschutzbeauftragte – Stellung und Aufgaben nach Inkrafttreten der Datenschutz-Grundverordnung

6 Bewertungen

4. Ausgabe Oktober 2016


Countdown 19 Monate.jpg

Kapitel IV Abschnitt 4 der Datenschutz-Grundverordnung (DSGVO) enthält in den Artikeln 37 bis 39 Vorschriften dafür, unter welchen Voraussetzungen nach der DSGVO ein Datenschutzbeauftragter benannt werden muss, was seine Stellung ist und welche Aufgaben er hat. Für die Datenschutzbeauftragten bei bayerischen Behörden und öffentlichen Stellen wird sich dadurch nach Inkrafttreten der DSGVO und der Anpassung des bayerischen Landesrechts einiges ändern. Vieles an der Stellung und den Aufgaben des Datenschutzbeauftragten nach der DSGVO erinnert aber auch an die derzeit geltenden Regelungen des BayDSG. Die behördlichen Datenschutzbeauftragten können deshalb auch nach Inkrafttreten der DSGVO auf ihre bisherigen Erfahrungen und Kenntnisse im Datenschutz aufbauen. Im Folgenden soll insbesondere auch dargestellt werden, wo sich der Datenschutzbeauftragte nach der DSGVO vom behördlichen Datenschutzbeauftragten nach Art. 25 ff. BayDSG unterscheidet.


  1. Welche Behörden und öffentlichen Stellen haben einen Datenschutzbeauftragten zu bestellen?

    Eine der umstrittenen Fragen bei den Verhandlungen um die Datenschutz-Grundverordnung war, ob Behörden und Unternehmen einen internen behördlichen bzw. betrieblichen Datenschutzbeauftragten bestellen – in der Sprache der DSGVO „benennen“ – müssen. Der europäische Gesetzgeber hat sich letztlich dafür entschieden, dass Behörden und öffentliche Stellen stets einen Datenschutzbeauftragten zu benennen haben (Art. 37 Abs. 1 Buchst. a DSGVO). Im nicht-öffentlichen Bereich müssen Verantwortliche und Auftragsverarbeiter, die besonders sensible Daten verarbeiten oder systematische Überwachung vornehmen, einen Datenschutzbeauftragten benennen (Art. 37 Abs. 1 Buchst. a DSGVO). Die DSGVO überlässt es den Mitgliedsländern, ob auch andere nicht-öffentliche Stellen einen Datenschutzbeauftragten benennen müssen (Art. 37 Abs. 4 Satz 1 DSGVO). Der Bund hat bereits erkennen lassen, dass er auch im nicht-öffentlichen Bereich an der Verpflichtung zur Benennung eines Datenschutzbeauftragten im bisherigen Umfang festhalten möchte (vgl. § 4f Abs. 2 Satz 1 BDSG).

    Eine Befugnis, Ausnahmen von der Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch Erlass einer Rechtsverordnung zu ermöglichen, wie dies Art. 28 Abs. 2 BayDSG vorsieht, enthält die DSGVO nicht. Öffentliche Stellen in Bayern sind daher zur Benennung eines Datenschutzbeauftragten verpflichtet (Art. 37 Abs. 1 Buchst. a DSGVO), wenn sie eine Verarbeitung personenbezogener Daten durchführen. Ausnahme sind die Gerichte, „die im Rahmen ihrer justiziellen Tätigkeit handeln“ – die Gerichte haben daher zwar einen Datenschutzbeauftragten zu bestellen, der allerdings nur für die nicht-justizielle Tätigkeit zuständig ist.


  2. Voraussetzungen für die Bestellung

    Die Benennung des Datenschutzbeauftragten erfolgt auf Grundlage seiner Qualifikation und seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung der in Artikel 39 ausführlich geschilderten Aufgaben des Datenschutzbeauftragten (Art. 37 Abs. 5 DSGVO). Die Fachkenntnis in Fragen des Datenschutzes und der Datensicherung ist bereits in § 4f Abs. 2 Satz 1 BDSG und Nr. 3 der Vollzugsbekanntmachung zum BayDSG (AllMBl. 2001, Seite 127) als Voraussetzung für die Bestellung zum behördlichen Datenschutzbeauftragten enthalten. Inwieweit die mit dem Inkrafttreten der DSGVO erhöhte Komplexität des Datenschutzrechts und die technische Entwicklung künftig zu höheren Anforderungen an diese Fachkunde führen wird, bleibt abzuwarten.

    Nach Art. 37 Abs. 6 DSGVO kann der Datenschutzbeauftragte Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein, er kann seine Aufgaben aber auch auf der Grundlage eines Dienstleistungsvertrags erfüllen. Der Datenschutzbeauftragte einer Behörde oder öffentlichen Stelle muss also nach Inkrafttreten der DSGVO nicht mehr – wie bisher – ein Beschäftigter der öffentlichen Stelle sein. Auch eine Person, die nicht bei der jeweiligen Behörde oder öffentlichen Stelle beschäftigt ist, kann künftig benannt werden. Ob ein möglicher externer Datenschutzbeauftragter über das erforderliche Fachwissen in Fragen des Datenschutzrechts und der Datenschutzpraxis nach Art. 37 Abs. 5 DSGVO verfügt, muss vor der Bestellung geprüft werden; neben der Kenntnis des auf die jeweilige Behörde oder öffentliche Stellen anzuwendenden Datenschutzrechts sind dafür auch intensive Kenntnisse des Verwaltungsablaufs der öffentlichen Stelle erforderlich. Gerade der letzte Gesichtspunkt spricht für behördliche Datenschutzbeauftragte aus der Verwaltung.

    Wie bisher kann für mehrere Behörden oder öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden (Art. 37 Abs. 3 DSGVO). Der gemeinsame Datenschutzbeauftragte darf künftig auch ein Beschäftigter einer anderen öffentlichen Stelle sein, z. B. ein Beschäftigter des Landratsamtes für die Gemeinden des Landkreises, ohne dass er gleichzeitig auch Datenschutzbeauftragter des Landratsamtes ist. Dies löst die bisher im BayDSG nicht geregelten Fälle, bei denen der Datenschutzbeauftragter eines großen Landratsamtes wegen Arbeitsüberlastung die Aufgabe für die Gemeinden nicht miterledigen kann und ein anderer Beschäftigter des Landratsamtes die Gemeinden betreut. Diese Lösung ist aber durchaus sinnvoll.


  3. Stellung des Datenschutzbeauftragten

    Die Stellung des Datenschutzbeauftragten nach Art. 38 DSGVO ist mit der Stellung des behördlichen Datenschutzbeauftragten nach Art. 25 Abs. 2 bis 4 BayDSG vergleichbar.

    Der Datenschutzbeauftragte ist frühzeitig in alle mit der Verarbeitung personenbezogener Daten zusammenhängende Fragen einzubinden (Art. 38 Abs. 1 DSGVO). Er ist von der Behörde oder öffentlichen Stelle bei seinen Aufgaben zu unterstützen; ihm sind die dafür erforderlichen Ressourcen (Sachmittel, Personal) zur Verfügung zu stellen (Art. 38 Abs. 2 DSGVO).

    Bei der Erfüllung seiner Aufgaben ist der Datenschutzbeauftragte unabhängig, unterliegt damit nicht den fachlichen Weisungen des Verarbeiters oder Auftragsverarbeiters und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Art. 38 Abs. 3 Sätze 1 und 2 DSGVO). Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters (Art. 38 Abs. 3 Satz 3 DSGVO, vgl. Art. 25 Abs. 3 Satz 1 BayDSG).

    Explizit klargestellt ist nunmehr in Art. 38 Abs. 4 DSGVO, dass sich betroffene Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten unmittelbar an den Datenschutzbeauftragten wenden können. Der Datenschutzbeauftragte ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten an die Geheimhaltung oder die Vertraulichkeit gebunden (Art. 38 Abs. 5 DSGVO, vgl. auch § 203 Abs. 2a StGB).


  4. Aufgaben des Datenschutzbeauftragten

    a) Aufgaben nach der DSGVO

    Die gesetzlichen Mindestaufgaben des Datenschutzbeauftragten enthält Art. 39 DSGVO:

    • die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten (Art. 39 Abs. 1 a DSGVO).

      Diese Unterrichtung oder Beratung wird in der Regel im Einzelfall vorgangsbezogen – z.B. im Rahmen einer Mitzeichnung – erfolgen.

    • die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften und Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter (Art. 39 Abs. 1 Buchst. b DSGVO).

      Durch die Forderung nach einer „Überwachung“ der Einhaltung“ datenschutzrechtlicher Vorschriften nimmt die DSGVO den Datenschutzbeauftragten stärker in die Verpflichtung als Art. 25 Abs. 4 Satz 1 BayDSG, der bislang dem behördlichen Datenschutzbeauftragten lediglich verpflichtete, auf die Einhaltung datenschutzrechtlicher Vorschriften „hinzuwirken“.

    • die Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 (Art. 39 Abs. 1 c DSGVO).

      Die Datenschutz-Folgenabschätzung selbst ist Aufgabe des Verantwortlichen (zum Begriff des „Verantwortlichen“ vgl. Art. 4 Nr. 7 DSGVO). Dies ergibt sich etwa daraus, dass der Verantwortliche bei einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 2 DSGVO „der Rat des Datenschutzbeauftragten“ – also dessen Stellungnahme – einzuholen hat.

      Die Datenschutz-Folgenabschätzung löst das bisherige datenschutzrechtliche Freigabeverfahren nach Art. 26 BayDSG ab. Eine ausführliche Darstellung dieses komplexen Prüfungsverfahrens ist einem der kommenden Newsletter vorbehalten. Aus Sicht des Datenschutzbeauftragten ist wesentlich, dass mit der Durchführung des Verfahrens durch den Verantwortlichen nicht mehr – wie beim Freigabeverfahren – faktisch eine datenschutzrechtliche Genehmigung eines Verfahrens durch den Datenschutzbeauftragten erfolgt. Der Datenschutzbeauftragte nimmt künftig lediglich Stellung und trägt nicht mehr die Verantwortung für den Einsatz eines Verfahrens.

    • die Zusammenarbeit mit der Aufsichtsbehörde (Art. 39 Abs. 1 d DSGVO) und

    • die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 (Art. 39 Abs. 1 e DSGVO).


    b) Übertragung anderer Aufgaben auf den Datenschutzbeauftragten

    Dem Datenschutzbeauftragten können nach Art. 38 Abs. 6 DSGVO andere Aufgaben übertragen werden, deren Übertragung allerdings nicht in einem Interessenkonflikt mit seinen Aufgaben als Datenschutzbeauftragter führen dürfen. Der Grundsatz, dass die Übertragung anderer Aufgaben nicht zu Interessenskonflikten führen darf, war im BayDSG bislang nicht explizit enthalten, ergab sich aber nach allgemeiner Auslegung aus den Vorgaben für dessen Weisungsfreiheit und Unabhängigkeit (Art. 25 Abs. 3 Sätze 2 bis 5 BayDSG).

    Keine originäre Aufgabe des Datenschutzbeauftragten nach der DSGVO ist die Führung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30. Diese Aufgabe kann ihm allerdings im Rahmen des Art. 38 Abs. 6 DSGVO übertragen werden, ein Konflikt mit seinen sonstigen Aufgaben ist dabei nicht zu befürchten. Ob bereits der bayerische Gesetzgeber die Führung des Verzeichnisses der Verarbeitungstätigkeiten auf den Datenschutzbeauftragten überträgt oder dies den Behörden und öffentlichen Stellen vor Ort überlässt, bleibt abzuwarten.


  5. Veröffentlichung der Kontaktdaten und Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde

    Nach Art. 37 Abs. 7 DSGVO hat der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

    Zu veröffentlichen – z.B. im Internetauftritt der Behörde oder öffentlichen Stelle – sind die dienstliche Postanschrift, E-Mail-Adresse, Telefonnummer des Datenschutzbeauftragten. In welcher Form die Mitteilung an den Landesbeauftragten zu übermitteln ist und welche Kontaktdaten und ggf. weitere Daten dabei übermittelt werden sollen, ist noch offen. Ob dazu ein elektronisches Eingabeformular eingesetzt werden kann, wird derzeit vom Landesbeauftragten geprüft.


Anton Knoblauch
Autor des Kommentars zum Bay. Datenschutzgesetz

Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Fortsetzungspreis‎ 199,99 €
Loseblattwerk zzgl. Aktualisierungslieferungen
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
HJR_355pxbreit_Beitragsseitenbanner_mitRand2px-min.jpg
Banner_Homeofficeaktion_355px_April2021.jpg
Banner Quizwelt_min.jpg
banner-datenschutz.png
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • Montag - Donnerstag 8-17 Uhr
  • Freitag 8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

 

 

Unsere Themen und Produkte

 

Service

 

Rechtliches

Ihre Vorteile

Folgen Sie uns

Partner der


Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung