Behördlicher Datenschutzbeauftragter

Unter der Datenschutz-Grundverordnung (DSGVO) haben alle Behörden und öffentlichen Stellen einen behördlichen Datenschutzbeauftragten zu benennen. Die jeweiligen datenschutzrechtlichen Landesrechte treffen hierzu noch ergänzende Regelungen. Wir zeigen Ihnen, welche Anforderungen an den behördlichen Datenschutzbeauftragten gestellt werden, wie er zu benennen ist und welche Aufgaben er zu erfüllen hat.

Benennung des behördlichen Datenschutzbeauftragten

Gemäß Art. 37 Abs. 1 Buchst. a DSGVO hat eine Behörde oder öffentliche Stelle auf jeden Fall einen (behördlichen) Datenschutzbeauftragten zu benennen. Ausgenommen hiervon sind die Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln.

Öffentliche Stellen sind Gemeinden, Gemeindeverbände und sonstige der Aufsicht der Länder unterstehenden juristischen Personen des öffentlichen Rechts. Auch außerhalb des Anwendungsbereichs der DSGVO – beispielsweise bei den Sicherheitsbehörden – sehen das Bundesdatenschutzgesetz (BDSG) sowie die Datenschutzgesetze der Länder ebenfalls die Einrichtung von Datenschutzbeauftragten vor.

Öffentliche Stellen sind auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen – ungeachtet der Beteiligung nicht öffentlicher Stellen – eine oder mehrere juristischen Personen des öffentlichen Rechts unmittelbar oder durch eine solche Vereinigung beteiligt sind.

Übrigens: Vor Geltung der DSGVO hatten öffentliche Stellen einen Datenschutzbeauftragten zu bestellen, sofern sie personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiteten oder nutzten. Während ein behördlicher Datenschutzbeauftragter vor der DSGVO zu „bestellen“ war, spricht die Datenschutz-Grundverordnung nunmehr von „benennen“ (weiterlesen: Bestellung eines (externen) Datenschutzbeauftragten).

Die nach dem früheren Recht bestehenden Beschränkungen im öffentlichen Bereich sind in der DSGVO nicht mehr enthalten. Als Datenschutzbeauftragter kann ein Beschäftigter der öffentlichen Stelle oder Behörde benannt werden oder diese greift auf einen externen Datenschutzbeauftragten zurück. Dies ist nun explizit in Art. 37 Abs. 6 DSGVO geregelt. In einigen Landesgesetzen ist auch geregelt, dass der behördliche Datenschutzbeauftragte staatlicher Behörden auch von einer höheren Behörde bestellt werden kann.

Der behördliche Datenschutzbeauftragte muss ebenfalls wie der Datenschutzbeauftragte in einem privaten Unternehmen die entsprechende Fachkunde mit sich bringen und diese auch nachweisen können, damit Datenschutzverstöße in der Behörde vermieden werden. Da für den behördlichen Datenschutzbeauftragten auch noch die jeweiligen Datenschutzgesetze der Bundesländer zu beachten sind, empfiehlt es sich hierbei auf fachliche Expertise eines externen Dienstleisters zurückzugreifen (siehe auch unser Ratgeber zur Auswahl eines externen Datenschutzbeauftragten).

Die Benennung des Datenschutzbeauftragten erfolgt durch die Leitung der Behörde, an die der behördliche Datenschutzbeauftragte auch direkt berichtet. Der Datenschutzbeauftragte darf somit nicht auf den Dienstweg verwiesen werden, sondern kann sich unmittelbar an die Behördenleitung wenden.

Aufgaben des behördlichen Datenschutzbeauftragten

Die Aufgaben des behördlichen Datenschutzbeauftragten decken sich im Wesentlichen mit den Aufgaben eines Datenschutzbeauftragten im Unternehmen. Die Aufgaben sind in erster Linie im Katalog des Art. 39 DSGVO sowie in den Vorschriften in Art. 38 Abs. 4 DSGVO enthalten.

Ergänzungen hierzu finden sich in den Landesrechten. So sieht zum Beispiel das Bayerische Datenschutzgesetz (BayDSG) konkret vor,

  • dass dem behördlichen Datenschutzbeauftragten Zugang zu dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO zu gewähren ist (Art. 12 Abs. 1 Satz 1 Nr. 1 BayDSG),
  • dass ihm die Gelegenheit zur Stellungnahme zu geben ist, bevor ein automatisiertes Verfahren, mit dem personenbezogene Daten verarbeitet werden, erstmals eingesetzt oder wesentlich geändert wird (Art. 12 Abs. 1 Satz 1 Nr. 2 BayDSG) und
  • dass rechtzeitig vor dem Einsatz einer Videoüberwachung der Datenschutzbeauftragte hierzu Stellung nehmen kann (Art. 24 Abs. 5 BayDSG).

Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten zusätzlich wahrnehmen. Es muss jedoch sichergestellt werden, dass die Aufgabenübertragung mit dem gesetzlich vorgesehenen Rollenbild in Einklang steht und dies nicht zu einem Interessenkonflikt führt.

So rät etwa der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in einer Kurz-Information 14 eine mögliche Unvereinbarkeit von Funktionen zu prüfen, wenn ein behördlicher Datenschutzbeauftragter für den Personalrat bei einer bayerischen öffentlichen Stelle kandidiert oder wenn Mitglieder des Personalrats als behördliche Datenschutzbeauftragte benannt werden sollen. In weiterer Ausführung legt der BayLfD dar, dass aus datenschutzrechtlicher Sicht die Funktionen eines behördlichen Datenschutzbeauftragten und eines Personalratsvorsitzenden regelmäßig nicht vereinbar sind.

Fazit: Behörden sollten auf externe Experten setzen

Auch öffentliche Stellen haben einen Datenschutzbeauftragten zu benennen. Hierbei ist zu beachten, dass der Datenschutzbeauftragte, der mit Kontrollfunktionen ausgestattet ist, nicht in die Situation kommt, dass er sich selber kontrollieren muss.

Als Datenschutzbeauftragter sollte zudem nur jemand bestellt werden, der auch die spezifischen landesrechtlichen Regelungen kennt und diese anwenden kann. Die Benennung kann auch durch einen externen Dienstleister erfolgen. Aufgrund des benötigten Fachwissens, insbesondere in den datenschutzrechtlichen Landesgesetzen, ist es sogar empfehlenswert den behördlichen Datenschutzbeauftragten extern zu benennen.

Unsere Experten sind auch bei zahlreichen Behörden als externer Datenschutzbeauftragter bestellt und verfügen über entsprechende Kenntnisse und Erfahrungen!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.