Seit dem Inkrafttreten der DSGVO am 25.05.2018 gelten für die Bestellung eines behördlichen Datenschutzbeauftragten die gleichen Voraussetzungen wie für die Bestellung eines betrieblichen Datenschutzbeauftragten: Nach Art. 37 Abs. 1 lit. a DSGVO ist auch von Behörden und öffentlichen Stellen ein Datenschutzbeauftragter zu bestellen, wenn
„die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,“
Gemäß Art. 37 Abs. 1 lit. a DSGVO gilt also die Pflicht zur Ernennung des Datenschutzbeauftragten unabhängig von der Art und dem Umfang der verarbeiteten Daten und der Größe der Behörde oder öffentlichen Einrichtung.
Für wen ist ein behördlicher Datenschutzbeauftragter verpflichtend?
Der Begriff der „Behörden und öffentlichen Stellen“ schließt landesweite, regionale und lokale Behörden ein, beinhaltet aber auch noch eine Reihe weiterer Stellen, die dem öffentlichen Recht unterliegen. Öffentliche Aufgaben und öffentliche Gewalt werden nicht nur von öffentlichen Einrichtungen und Behörden ausgeübt, sondern auch von natürlichen und juristischen Personen in Bereichen wie z. B. Wasser- und Energieversorgung, öffentliches Transportwesen, Verkehrsinfrastruktur etc., auf welche das öffentliche Recht anwendbar ist. Obwohl in solchen Fällen die Bestellung des Datenschutzbeauftragten nicht obligatorisch ist, empfiehlt die Artikel-29-Datenschutzgruppe (Leitlinien in Bezug auf Datenschutzbeauftragte) auch für private Einrichtungen, die öffentliche Aufgaben wahrnehmen, die Bestellung eines Datenschutzbeauftragten.
Möglichkeit der Benennung eines gemeinsamen behördlichen Datenschutzbeauftragten
Die DSGVO ermöglicht die Benennung eines gemeinsamen Datenschutzbeauftragten, falls es sich bei dem Verantwortlichen oder Auftragsverarbeiter um mehrere Behörden oder öffentliche Stellen handelt (vgl. Art. 37 Abs. 3 DSGVO). Die Benennung für mehrere solcher Behörden oder Stellen ist unter Berücksichtigung ihrer jeweiligen Organisationsstruktur und Größe möglich. Ergibt eine entsprechende Überprüfung, dass eine ordnungsgemäße Aufgabenerfüllung durch einen einzigen Datenschutzbeauftragten aus organisatorischen oder zeitlichen Gründen nicht gewährleistet werden kann, sollte auf die Benennung des gemeinsamen Datenschutzbeauftragten verzichtet werden.
Stellung eines externen Datenschutzbeauftragten innerhalb einer öffentlichen Stelle
Der Datenschutzbeauftragte kann gem. Art. 37 Abs. 6 DSGVO Beschäftigter der Behörde sein oder seine Aufgaben auf der Grundlage des Dienstleistungsvertrages in Form eines Geschäftsbesorgungsvertrages erfüllen. Somit kann seit Inkrafttreten der DSGVO für Behörden auch ein externer Datenschutzbeauftragter benannt werden, was zuvor in einigen Bundesländern nicht möglich war. Dabei setzt Art. 37 Abs. 5 DSGVO voraus, dass der Datenschutzbeauftragte die berufliche Qualifikation und entsprechende Fachkenntnisse auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Der behördliche Datenschutzbeauftragte sollte hinsichtlich seiner Qualifikation die allgemeinen Abläufe der öffentlichen Verwaltung und den spezifischen Tätigkeitsbereich des Verantwortlichen kennen. Zwecks Wahrnehmung seiner Aufgaben sollte er Zugang zu sensiblen Daten und zur technischen und organisatorischen Infrastruktur der Behörde haben.
Welche Aufgaben hat ein behördlicher Datenschutzbeauftragter?
Die gesetzlich zugewiesenen Aufgaben eines behördlichen Datenschutzbeauftragten sind in erster Linie dem Katalog des Art. 39 DSGVO und dem Art. 38 Abs. 4 DSGVO zu entnehmen. Die u. a. vorgesehenen Mindestaufgaben sind:
- Die öffentliche Stelle oder Behörde hinsichtlich ihrer datenschutzrechtlichen Pflichten zu beraten und zu unterrichten;
- den Verantwortlichen beim Führen und Vorhalten des Verzeichnisses der Verarbeitungstätigkeiten gem. Art. 30 DSGVO zu unterstützen;
- die Ordnungsmäßigkeit der Datenverarbeitung und die Einhaltung der technischen und organisatorischen Maßnahmen (TOM) zu überwachen;
- die Vertragsgestaltung mit externen Dienstleistern zu begleiten, sofern diese z. B. Personal- oder Bürgerdaten verarbeiten;
- die Mitarbeiter in datenschutzrechtlichen Fragen zu schulen;
- die betroffenen Personen, Beschäftigten und Bürger bei Auskunftsersuchen zu unterstützen;
- bei der Durchführung von Datenschutz-Folgenabschätzungen zu beraten, sofern bei der Datenverarbeitung besondere Risiken bestehen;
- öffentliche Stellen als Verantwortliche bei der Kommunikation und Zusammenarbeit mit der Aufsichtsbehörde zu unterstützen.
Gemäß Art. 38 Abs. 2 DSGVO hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben umfassend zu unterstützen. Für seine Aufgabenerfüllung wird der Datenschutzbeauftragte mit den nötigen Ressourcen ausgestattet. Er berichtet dabei unmittelbar der Leitung der öffentlichen Stelle (vgl. Art. 38 Abs. 3 S. 3 DSGVO).
In welchem Umfang können wir Sie hierbei unterstützen?
Die datenschutz nord Gruppe kann Ihren internen behördlichen Datenschutzbeauftragten bei der Ausübung seiner Tätigkeit unterstützen, d. h. Schulungsmaßnahmen oder gezielte Sicherheitsanalysen durchführen, wie auch in Einzelfragen beratend tätig sein. Auf Wunsch stellt die datenschutz nord Gruppe auch selbst den behördlichen Datenschutzbeauftragten.
Für Ihre Anfragen stehen Ihnen unsere Berater aus dem Team „Behördlicher Datenschutz“ gerne zur Verfügung.
Hinweis: In der vorherigen Version des Textes hatte sich im zweiten Aufzählungspunkt im Absatz zu den Aufgaben des behördlichen Datenschutzbeauftragten ein Fehler eingeschlichen. Wir haben diesen Fehler korrigiert.
Martin
6. September 2021 @ 9:18
Zu den Aufgaben der/des bDSB:
Soweit mir bekannt „führt“ der bDSB das Verzeichnis von Verarbeitungstätigkeiten nicht selbst. Art. 30 Abs. 1 EU-DSGVO schreibt diese Aufgabe der verantwortlichen Stelle zu.
Auch Art. 39 erwähnt das VV nicht direkt. Der Begriff „Beratung“ (Abs. 1 lit a) wird nur hinsichtlich der DSFA konkretisiert (lit. c) und das nur „auf Anfrage“.
Selbstverständlich beinhalten die allgemeinen Beratungsaufgaben hinsichtlich der Pflichten nach DSGVO (lit. a) eine Beratung zum VV.
In der Praxis führt die/der bDSB das VV dann möglicherweise tatsächlich – ich würde das aber ehrlich gesagt nicht als „(Mindest)Aufgabe“ bezeichnen.
Maryna Vasylieva
6. September 2021 @ 12:29
Vielen Dank für Ihren Hinweis. Wir haben die Formulierung im zweiten Aufzählungspunkt im Absatz zu den Aufgaben des behördlichen Datenschutzbeauftragten geändert. Gem. Art. 30 DSGVO gehört das Erstellen und Führen des Verzeichnisses der Verarbeitungstätigkeiten selbstverständlich zu den Pflichten des Verantwortlichen.