> Landesdatenschutzgesetze

Übersicht Landesdatenschutzgesetze (LDSG) – interner oder externer behördlicher Datenschutzbeauftragter

Interner oder externer behördlicher DatenschutzbeauftragterEin behördlicher Datenschutzbeauftragter gewinnt, wie bereits im Fachbeitrag „Interner / externer behördlicher Datenschutzbeauftragter“ ausführlich erläutert, für öffentliche Stellen zunehmend an Bedeutung. Entscheidungsträger werden daher vermehrt mit der Frage, wann überhaupt ein behördlicher Datenschutzbeauftragter bestellt werden muss und ob ein interner oder externer behördlicher Datenschutzbeauftragter bestellt werden sollte, konfrontiert.

Ist die Rede von öffentlichen Stellen, so wird zwischen öffentlichen Stellen des Bundes oder des Landes unterschieden. Erheben, verarbeiten oder nutzen öffentliche Stellen des Bundes personenbezogene Daten, so sollte sich diese insbesondere an das Bundesdatenschutzgesetz halten, wobei für öffentliche Stellen des Landes jeweils das entsprechende Landesdatenschutzgesetz maßgebend ist. Ein wesentlicher Unterschied, der sich aus den unterschiedlichen Datenschutzvorschriften ergibt, ist die Bestellpflicht des Datenschutzbeauftragten.

Ihr externer Datenschutzbeauftragter erklärt im Folgenden, wann ein interner oder externer behördlicher Datenschutzbeauftragter bestellt werden sollte und liefert Ihnen die entsprechende Übersicht über die einzelnen Landesdatenschutzgesetze.

Interner oder externer Datenschutzbeauftragter – Bestellpflicht im Bundesdatenschutzgesetz (BDSG)

Bevor auf öffentliche Stellen des Landes und somit auf die Landesdatenschutzgesetze eingegangen wird, möchten wir Ihnen kurz erläutern, welche Regelungen das Bundesdatenschutzgesetz für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen vorsieht.

Eine interner / externer betrieblicher Datenschutzbeauftragter sollte durch nicht-öffentliche Stellen bestellt werden, wenn …

  • mindestens 10 Personen personenbezogene Daten automatisiert verarbeiten oder
  • die automatisierte Verarbeitung eine Vorabkontrolle erfordert oder
  • die automatisierte Verarbeitung zum Zweck der (anonymisierten) Übermittelung dient oder
  • die automatisierte Verarbeitung zum Zweck der Markt- und Meinungsforschung erfolgt oder
  • mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.

Ein interner / externer behördlicher Datenschutzbeauftragter sollte durch öffentliche Stellen des Bundes bestellt werden, wenn …

  • personenbezogene Daten automatisiert verarbeitet werden oder
  • mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.

Das BDSG regelt zwar, ab wann ein betrieblicher und behördlicher Datenschutzbeauftragter bestellt werden sollte, allerdings lässt das BDSG die Entscheidung, ob ein interner oder externer Datenschutzbeauftragter bestellt werden soll, bei der verantwortlichen Stelle.

Interner oder externer behördlicher Datenschutzbeauftragter – Bestellpflicht in den Landesdatenschutzgesetzen (LDSG)

Im Folgenden stellen wir Ihnen zunächst eine Übersicht über die einzelnen Landesdatenschutzgesetze und die Landesdatenschutzbeauftragten zur Verfügung.

BundeslandGesetzLandesdatenschutz-beauftragte/r
Baden-WürttembergGesetz zum Schutz personenbezogener Daten (LDSG)Jörg Klingbeil - Ruhestand, Nachfolger noch nicht bekannt
BayernBayerisches Datenschutzgesetz (BayDSG)Prof. Dr. Thomas Petri
BerlinBerliner Datenschutzgesetz (BlnDSG)Maja Smoltczyk
BrandenburgBrandenburgisches Datenschutzgesetz (BbgDSG)Dagmar Hartge
BremenBremisches Datenschutzgesetz (BremDSG)Imke Sommer
HamburgHamburgisches Datenschutzgesetz (HmbDSG)Prof. Dr. Johannes Caspar
HessenHessisches Datenschutzgesetz (HDSG)Prof. Dr. Michael Ronellenfitsch
Mecklenburg-VorpommernGesetz zum Schutz des Bürgers bei der Verarbeitung seiner Daten (DSG M-V)Reinhard Dankert
NiedersachsenNiedersächsisches Datenschutzgesetz (NDSG)Barbara Thiel
Nordrhein-WestfalenDatenschutzgesetz Nordrhein-Westfalen (DSG NRW)Helga Block
Rheinland-PfalzLandesdatenschutzgesetz (LDSG)Prof. Dr. Dieter Kugelmann
SaarlandSaarländisches Gesetz zum Schutz personenbezogener Daten (SDSG)Monika Grethel
SachsenGesetz zum Schutz der informationellen Selbstbestimmung im Freistaat Sachsen (SächsDSG)Andreas Schurig
Sachsen-AnhaltGesetz zum Schutz personenbezogener Daten der Bürger (DSG LSA)Dr. Harald von Bose
Schleswig-HolsteinSchleswig-Holsteinisches Gesetz zum Schutz personenbezogener Informationen (Landesdatenschutzgesetz - LDSG -)Marit Hansen
ThüringenThüringer Datenschutzgesetz (ThürDSG)Dr. Lutz Hasse

Einige Landesdatenschutzgesetze überlassen die Entscheidung, ob ein interner oder externer behördlicher Datenschutzbeauftragter bestellt wird, ebenfalls den verantwortlichen Stellen, wobei wiederum andere LDSG genaue Regelungen, ob interner oder externer behördlicher Datenschutzbeauftragter, treffen. Auch unterscheiden sich die einzelnen Landesdatenschutzgesetze in der Frage, ob und wann überhaupt ein behördlicher Datenschutzbeauftragter bestellt werden soll. In der folgenden Übersicht haben wir aus diesem Grund aufgeführt, ob die öffentliche Stelle zur Bestellung verpflichtet ist („haben“) oder selbst entscheiden kann, ob sie einen behördlichen Datenschutzbeauftragten („können“) bestellen möchte. Einige Landesdatenschutzgesetze sehen die Verpflichtung zur Verschwiegenheit des behördlichen Datenschutzbeauftragten vor. Wie Sie im Folgenden aus der Übersicht entnehmen können, weisen Sie auch Unterschiede bei der Frage, ob einer Vertreter für den behördlichen Datenschutzbeauftragten bestellt werden muss, auf.

BundeslandBestellungintern/externVertreterSchriftform    
Baden-Württembergöffentliche Stellen "können"grds. intern, auch Bediensteter der Aufsichtsbehörde mit deren Zustimmung. +
Bayernöffentliche Stellen, die personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiten oder nutzen, "haben"intern, bei Staatsbehörden ist auch eine Bestellung durch eine höhere Behörde möglich
BerlinBehörden und sonstige öffentliche Stellen "haben"grds. intern, muss in einem Dienst- oder Arbeitsverhältnis bei einer Behörde oder sonstigen öffentlichen Stelle des Landes Berlin oder einer landesunmittelbaren Körperschaft, Anstalt oder Stiftung stehen + +
BrandenburgDaten verarbeitende Stellen "haben"grds. intern, können einen Bediensteten einer anderen datenverarbeitenden Stelle bestellen
Bremenöffentliche Stellen "haben"extern möglich, auch die Bestellung eines Bediensteten der verantwortlichen Stelle ist zulässig
Hamburgdie in § 2 Abs. 1 S. 1 HmbDSG genannten Stellen "können"grds. intern, Bestellung eines Beschäftigten einer anderen in § 2 Abs. 1 Satz 1 HmbDSG genannten Stelle zulässig
Hessendie datenverarbeitende Stelle "hat"auch extern, dies ist dem Hessischen Datenschutzbeauftragten mitzuteilen + +
Mecklenburg-Vorpommerndie Daten verarbeitende Stelle "hat"grds. intern ("soll Beschäftigter der Daten verarbeitenden Stelle sein"), unter gewissen Voraussetzungen/Gründen extern möglich + +
Niedersachsenjede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet, "hat"auch extern
Nordrhein-Westfalenöffentliche Stellen, die personenbezogene Daten verarbeiten, "haben"intern + +
Rheinland-Pfalzöffentliche Stellen, bei denen mindestens zehn Beschäftigte regelmäßig personenbezogene Daten verarbeiten, "haben"auch extern, mit Zustimmung der zuständigen Aufsichtsbehörde auch ein Bediensteter anderer öffentlicher Stellen +
Saarlandöffentliche Stellen, die personenbezogene Daten verarbeiten, "können"auch extern +, kann +
Sachsenöffentliche Stellen im Sinne des § 2 Abs. 1 und 2 SächsDSG "können"auch extern +, kann +
Sachsen-Anhalt~ öffentliche Stellen "haben" bei Einsatz automatisierter Verfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, soweit es sich nicht ausschließlich um Verfahren im Sinne des § 14 Abs. 4 Nr. 2 DSG LSA handelt
~ die Einsetzung kann auch durch die Dienstaufsichtsbehörde erfolgen
~ Notare und die in § 3 Abs. 1 Satz 2 DSG LSA genannten Stellen haben erst, wenn mindestens fünf Personen bei der automatisierten Erhebung, Verarbeitung oder Nutzung beschäftigt werden
auch extern, Einsetzung kann auch durch Dienstaufsichtsbehörde erfolgen +
Schleswig-Holsteindie datenverarbeitende Stelle "kann"intern, durch einen Beschäftigten oder eine Beschäftigte der datenverarbeitenden Stelle +
Thüringen~ Daten verarbeitende Stellen, die personenbezogene Daten mit Hilfe automatisierter Verfahren verarbeiten oder nutzen, "haben"
~ einer Bestellung bedarf es nicht, wenn in der Daten verarbeitenden Stelle ausschließlich Verfahren der in § 34 Abs. 3 ThürDSG genannten Art eingesetzt werden
~ Notare und die in § 2 Abs. 2 Satz 3 ThürDSG genannten Stellen haben einen Beauftragten erst dann einzusetzen, wenn mindestens fünf Personen bei der automatisierten Verarbeitung oder Nutzung personenbezogener Daten beschäftigt werden
intern, für staatliche Schule kann die Aufsichtsbehörde einen ihrer Beschäftigten bestellen +

Vorträge ob zum Datenschutz, zur IT oder tangierter – auch regelmäßig ganz alltäglicher – Bereiche enthalten immer mehr Begriffe wie „Digitalisierung“, die klar auf mehr Technik, einen verstärkten Einsatz von IT-Systemen und damit automatisierter Verfahren hinweisen. Ein Behördlicher Datenschutzbeauftragter muss zu einer Vielzahl von Fragestellungen Auskunft geben und nach Prüfung hierzu auch beraten können.

Typische Themenfelder können z. B. sein:

  • Dienstvereinbarungen
    • Dienstvereinbarungen zur Zeiterfassung
    • Dienstvereinbarungen zur Nutzung von E-Mails und Internet
    • Dienstvereinbarungen zu IT und Datenschutz
  • Entwicklung / Bekanntmachung von hausinternen Datenschutzrichtlinien und damit verbundene Sensibilisierung der Beschäftigten
  • Beratung von Mitarbeitern, dem Personalrat und der Behördenleitung zu Datenschutzfragen
  • Prozessberatung im Datenschutz
  • Bearbeitung sowie Erteilung von Auskunftsersuchen von Betroffenen (z. B. Beschäftigten / Mitarbeitern und Bürgern)
  • Risikoanalyse und Bewertung von Verfahren zur Datenverarbeitung
  • Erstellung von Verfahrensverzeichnissen
  • Durchführung von Datenschutz-Kontrollen
  • Prüfung von Dienstleistern
  • Beratung zum Einsatz von Auftragsdatenverarbeitern (Auftragsdatenverarbeitung)
  • Beratung und Kontrolle der gesetzeskonformen Aufbewahrung und Vernichtung von Akten und Datenträgern
  • Erstellung eines Tätigkeitsberichtes

Fachkundige und zuverlässige externe Dienstleister sowie deren Unterstützung ist hierbei häufig gar nicht mehr wegzudenken.

Nutzen Sie daher die Möglichkeit und besetzen Sie die Funktion des behördlichen Datenschutzbeauftragten extern oder sorgen Sie für zielgerichteten Support Ihres internen Datenschutzbeauftragten durch einen Datenschutz-Berater. Die Datenschutzberatung setzt genau dort an, wo Ihr interner behördlicher Datenschutzbeauftragter Unterstützung benötigt.

Haben Sie weitere Fragen zum Thema „interner oder externer behördlicher Datenschutzbeauftragter“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie gerne direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.