Ein behördlicher Datenschutzbeauftragter gewinnt für öffentliche Stellen zunehmend an Bedeutung. Entscheidungsträger werden daher vermehrt mit der Frage, wann überhaupt ein behördlicher Datenschutzbeauftragter bestellt werden muss und ob ein interner oder externer behördlicher Datenschutzbeauftragter bestellt werden sollte, konfrontiert.
Ist die Rede von öffentlichen Stellen, so wird zwischen öffentlichen Stellen des Bundes oder des Landes unterschieden. Erheben, verarbeiten oder nutzen öffentliche Stellen des Bundes personenbezogene Daten, so sollte sich diese insbesondere an das Bundesdatenschutzgesetz halten, wobei für öffentliche Stellen des Landes jeweils das entsprechende Landesdatenschutzgesetz maßgebend ist. Ein wesentlicher Unterschied, der sich aus den unterschiedlichen Datenschutzvorschriften ergibt, ist die Bestellpflicht des Datenschutzbeauftragten.
Interner oder externer Datenschutzbeauftragter – Bestellpflicht im Bundesdatenschutzgesetz (BDSG)
Bevor auf öffentliche Stellen des Landes und somit auf die Landesdatenschutzgesetze eingegangen wird, möchten wir Ihnen kurz erläutern, welche Regelungen das Bundesdatenschutzgesetz für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen vorsieht.
Eine interner / externer betrieblicher Datenschutzbeauftragter sollte durch nicht-öffentliche Stellen bestellt werden, wenn …
- mindestens 10 Personen personenbezogene Daten automatisiert verarbeiten oder
- die automatisierte Verarbeitung eine Vorabkontrolle erfordert oder
- die automatisierte Verarbeitung zum Zweck der (anonymisierten) Übermittelung dient oder
- die automatisierte Verarbeitung zum Zweck der Markt- und Meinungsforschung erfolgt oder
- mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.
Ein interner / externer behördlicher Datenschutzbeauftragter sollte durch öffentliche Stellen des Bundes bestellt werden, wenn …
- personenbezogene Daten automatisiert verarbeitet werden oder
- mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.
Das BDSG regelt zwar, ab wann ein betrieblicher und behördlicher Datenschutzbeauftragter bestellt werden sollte, allerdings lässt das BDSG die Entscheidung, ob ein interner oder externer Datenschutzbeauftragter bestellt werden soll, bei der verantwortlichen Stelle.
Interner oder externer behördlicher Datenschutzbeauftragter – Bestellpflicht in den Landesdatenschutzgesetzen (LDSG)
Im Folgenden stellen wir Ihnen zunächst eine Übersicht über die einzelnen Landesdatenschutzgesetze und die Landesdatenschutzbeauftragten zur Verfügung.
Einige Landesdatenschutzgesetze überlassen die Entscheidung, ob ein interner oder externer behördlicher Datenschutzbeauftragter bestellt wird, ebenfalls den verantwortlichen Stellen, wobei wiederum andere LDSG genaue Regelungen, ob interner oder externer behördlicher Datenschutzbeauftragter, treffen. Auch unterscheiden sich die einzelnen Landesdatenschutzgesetze in der Frage, ob und wann überhaupt ein behördlicher Datenschutzbeauftragter bestellt werden soll. In der folgenden Übersicht haben wir aus diesem Grund aufgeführt, ob die öffentliche Stelle zur Bestellung verpflichtet ist („haben“) oder selbst entscheiden kann, ob sie einen behördlichen Datenschutzbeauftragten („können“) bestellen möchte. Einige Landesdatenschutzgesetze sehen die Verpflichtung zur Verschwiegenheit des behördlichen Datenschutzbeauftragten vor. Wie Sie im Folgenden aus der Übersicht entnehmen können, weisen Sie auch Unterschiede bei der Frage, ob einer Vertreter für den behördlichen Datenschutzbeauftragten bestellt werden muss, auf.
| Bundesland | Bestellung | intern/extern | Vertreter | Schriftform | ||||
|---|---|---|---|---|---|---|---|---|
| Baden-Württemberg | öffentliche Stellen „können“ | grds. intern, auch Bediensteter der Aufsichtsbehörde mit deren Zustimmung. | + | |||||
| Bayern | öffentliche Stellen, die personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiten oder nutzen, „haben“ | intern, bei Staatsbehörden ist auch eine Bestellung durch eine höhere Behörde möglich | ||||||
| Berlin | Behörden und sonstige öffentliche Stellen „haben“ | grds. intern, muss in einem Dienst- oder Arbeitsverhältnis bei einer Behörde oder sonstigen öffentlichen Stelle des Landes Berlin oder einer landesunmittelbaren Körperschaft, Anstalt oder Stiftung stehen | + | + | ||||
| Brandenburg | Daten verarbeitende Stellen „haben“ | grds. intern, können einen Bediensteten einer anderen datenverarbeitenden Stelle bestellen | ||||||
| Bremen | öffentliche Stellen „haben“ | extern möglich, auch die Bestellung eines Bediensteten der verantwortlichen Stelle ist zulässig | ||||||
| Hamburg | die in § 2 Abs. 1 S. 1 HmbDSG genannten Stellen „können“ | grds. intern, Bestellung eines Beschäftigten einer anderen in § 2 Abs. 1 Satz 1 HmbDSG genannten Stelle zulässig | ||||||
| Hessen | die datenverarbeitende Stelle „hat“ | auch extern, dies ist dem Hessischen Datenschutzbeauftragten mitzuteilen | + | + | ||||
| Mecklenburg-Vorpommern | die Daten verarbeitende Stelle „hat“ | grds. intern („soll Beschäftigter der Daten verarbeitenden Stelle sein“), unter gewissen Voraussetzungen/Gründen extern möglich | + | + | ||||
| Niedersachsen | jede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet, „hat“ | auch extern |
Vorträge ob zum Datenschutz, zur IT oder tangierter – auch regelmäßig ganz alltäglicher – Bereiche enthalten immer mehr Begriffe wie „Digitalisierung“, die klar auf mehr Technik, einen verstärkten Einsatz von IT-Systemen und damit automatisierter Verfahren hinweisen. Ein Behördlicher Datenschutzbeauftragter muss zu einer Vielzahl von Fragestellungen Auskunft geben und nach Prüfung hierzu auch beraten können.
Typische Themenfelder können z. B. sein:
- Dienstvereinbarungen
- Dienstvereinbarungen zur Zeiterfassung
- Dienstvereinbarungen zur Nutzung von E-Mails und Internet
- Dienstvereinbarungen zu IT und Datenschutz
- Entwicklung / Bekanntmachung von hausinternen Datenschutzrichtlinien und damit verbundene Sensibilisierung der Beschäftigten
- Beratung von Mitarbeitern, dem Personalrat und der Behördenleitung zu Datenschutzfragen
- Prozessberatung im Datenschutz
- Bearbeitung sowie Erteilung von Auskunftsersuchen von Betroffenen (z. B. Beschäftigten / Mitarbeitern und Bürgern)
- Risikoanalyse und Bewertung von Verfahren zur Datenverarbeitung
- Erstellung von Verfahrensverzeichnissen
- Durchführung von Datenschutz-Kontrollen
- Prüfung von Dienstleistern
- Beratung zum Einsatz von Auftragsdatenverarbeitern (Auftragsdatenverarbeitung)
- Beratung und Kontrolle der gesetzeskonformen Aufbewahrung und Vernichtung von Akten und Datenträgern
- Erstellung eines Tätigkeitsberichtes
Fachkundige und zuverlässige externe Dienstleister sowie deren Unterstützung ist hierbei häufig gar nicht mehr wegzudenken.
