Selbstverständlich werden auch in öffentlichen Stellen personenbezogene Daten zunehmend (automatisiert) verarbeitet, wodurch ein behördlicher Datenschutzbeauftragter an Bedeutung gewinnt. Um eine ordnungsgemäße und datenschutzkonforme Datenerhebung, -verarbeitung und -nutzung zu gewährleisten, sollten öffentliche Stellen einen behördlichen Datenschutzbeauftragten bestellen. Für öffentliche Stellen des Bundes sind hierbei die Regelungen des Bundesdatenschutzgesetzes ausschlaggebend und für öffentliche Stellen der Länder ist das jeweilige Landesdatenschutzgesetz maßgeblich. Durch die unterschiedlichen gesetzlichen Grundlagen weichen die Vorgaben für die Bestellung eines behördlichen Datenschutzbeauftragten sowie die Anforderungen an die Position „behördlicher Datenschutzbeauftragte“ durchaus voneinander ab. Allerdings gibt es auch einige Merkmale, die allen Regelungen gemein sind.
Funktion „behördlicher Datenschutzbeauftragter“ und wesentliche Anforderungen
Sowohl im Bundesdatenschutzgesetz als auch in den Landesdatenschutzgesetzen wird vom behördlichen Datenschutzbeauftragen die nötige Fachkunde und Zuverlässigkeit gefordert.
- Fachkunde umfasst hierbei sowohl die Kenntnis des Datenschutzrechts als auch der organisatorischen Strukturen der öffentlichen Stelle und der technischen Abläufe.
- Zuverlässigkeit bezieht sich auf die persönliche Eignung. Ein hohes Maß an Integrität, Verantwortungsbewusstsein und Offenheit bzw. Sensibilität gegenüber den verschiedenen Interessenlagen ist gefragt, da ein behördlicher Datenschutzbeauftragter als unabhängige Vertrauensperson agiert. Daher rührt auch, dass einige Länder explizit in die Regelung zum behördlichen Datenschutzbeauftragten aufgenommen haben, dass sich aus der Arbeit als Datenschutzbeauftragter und aus den anderen Arbeitsaufgaben kein Interessenskonflikt ergeben darf. Daher kommen insbesondere Behördenleiter oder die Leiter der Personal- oder IT-Abteilungen regelmäßig nicht für die Position des behördlichen Datenschutzbeauftragten infrage.
In seiner Funktion arbeitet ein behördlicher Datenschutzbeauftragter direkt mit der Behördenleitung und dem Landesdatenschutzbeauftragten zusammen, ist aber nicht weisungsgebunden. Außerdem ist der behördliche Datenschutzbeauftragte der Ansprechpartner für datenschutzrechtliche Fragestellungen für alle Mitarbeiter der öffentlichen Stelle. Daher darf der behördliche Datenschutzbeauftragte wegen seiner Arbeit als Datenschutzbeauftragter auch nicht benachteiligt werden. Teilweise wird dies dadurch abgesichert, dass ein eventueller Widerruf der Bestellung zum behördlichen Datenschutzbeauftragten nur unter entsprechender Anwendung des § 626 Bürgerliches Gesetzbuch (BGB), also bei Vorliegen eines wichtigen Grundes, möglich ist. Im Bundesdatenschutzgesetz (BDSG) und im Land Berlin finden sich sogar gesonderte Kündigungsschutzregelungen für den behördlichen Datenschutzbeauftragten.
Behördlicher Datenschutzbeauftragter – Die Bestellung
Eine Verpflichtung zur Bestellung eines behördlichen Datenschutzbeauftragten wird überwiegend durch die Landesdatenschutzgesetze (LDSG) auferlegt. Diese kann noch an weitere Voraussetzungen geknüpft sein, wie zum Beispiel, dass die öffentlichen Stellen Daten automatisiert erheben, verarbeiten sowie nutzen oder dass eine bestimmte Anzahl der Mitarbeiter mit der automatisierten Datenverarbeitung beschäftigt sind. In Baden-Württemberg, Hamburg, Saarland, Sachsen und Schleswig-Holstein wird es den öffentlichen Stellen allerdings freigestellt, ob sie einen behördlichen Datenschutzbeauftragten bestellen wollen. Auch wenn die Position „behördlicher Datenschutzbeauftragter“ nicht durch das Gesetz auferlegt wird, sollte dennoch nicht auf die fachliche Expertise verzichtet werden. Zu den Aufgaben des Datenschutzbeauftragen zählt nicht nur die Kontrolle, sondern auch die Beratung der Geschäfts- oder Behördenleitung, des Personalrates sowie jedes einzelnen Mitarbeiters bzw. Bediensteten.
Abweichende Regelungen gibt es auch für die Frage, ob der behördliche Datenschutzbeauftragte ein Mitarbeiter oder Bediensteter der öffentlichen Stelle sein muss oder ob auch ein externer Datenschutzbeauftragter diese Aufgaben übernehmen kann. In ungefähr der Hälfte der Bundesländer und beim Bund ist die Bestellung der Funktion externer behördlicher Datenschutzbeauftragter möglich („externer Datenschutzbeauftragter“). Bei den übrigen Bundesländern kann zwischen denjenigen unterschieden werden, bei denen auch die Bestellung eines Mitarbeiters oder Bediensteten einer anderen Stelle zulässig ist und denjenigen, bei denen ein behördlicher Datenschutzbeauftragter Mitarbeiter oder Bediensteter der öffentlichen Stelle selbst sein muss.
Die Bestellung zum behördlichen Datenschutzbeauftragten bedarf meist der Schriftform. Mitunter wird gefordert, dass zusätzlich zum behördlichen Datenschutzbeauftragten auch ein Vertreter bestellt werden muss. Für diesen gelten die gleichen Voraussetzungen wie für den behördlichen Datenschutzbeauftragten.
Behördlicher Datenschutzbeauftragter – Seine Aufgaben
Die Aufgaben des behördlichen Datenschutzbeauftragten bestehen im Wesentlichen darin
- die öffentliche Stelle bei der Umsetzung und Einhaltung der Datenschutzvorschriften, unter anderem der technischen und organisatorischen Maßnahmen, zu unterstützen,
- die Mitarbeiter, welche mit personenbezogenen Daten arbeiten, mit den einschlägigen Vorschriften vertraut zu machen,
- Vorabkontrollen durchzuführen
- und Verfahrensverzeichnisse zu führen.
Teilweise haben die Bundesländer explizit festgehalten, dass der behördliche Datenschutzbeauftragte im notwendigen Umfang von anderen Arbeitsaufgaben freizustellen ist und dass ihm die erforderlichen Mittel für seine Arbeit zur Verfügung zu stellen und Weiterbildungen zu ermöglichen sind. Zum Teil werden Einsichtsrechte unterschiedlichen Umfangs gewährt. Dies führt dazu, dass regelmäßig ein externer behördlicher Datenschutzbeauftragter bestellt werden sollte. Gründe hierfür sind unter anderem ein Know-how-Vorteil sowie die Kostenersparnis durch den externen Dienstleister.
Weiterhin halten die meisten Landesdatenschutzgesetze sowie das Bundesdatenschutzgesetz fest, dass der behördliche Datenschutzbeauftragte extern oder intern zur Verschwiegenheit verpflichtet ist. Diese Verschwiegenheitspflicht gilt oftmals auch über den eigentlichen Beschäftigungszeitraum als interner / externer behördlicher Datenschutzbeauftragter hinaus und soll die Unabhängigkeit der Position sicherstellen.