Behördlicher Datenschutzbeauftragter nach DSGVO: Aufgaben, Eingruppierung und Qualifikation

06.07.2020 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
© dp@pic – stock.adobe.com
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet öffentliche Stellen in jedem Fall, einen (externen) behördlichen Datenschutzbeauftragten (DSB) zu benennen. Die mit dem Datenschutz beauftragte Person trägt in erster Linie dazu bei, Datenschutzverstößen innerhalb der öffentlichen Stelle vorzubeugen. Die Behörde als datenschutzverantwortliche Stelle ist für die Benennung und die (optionale) Aufgabenverteilung des Datenschutzbeauftragten zuständig.

 

Inhaltsverzeichnis

  1. Behördlicher Datenschutzbeauftragter nach DSGVO, BDSG und den Landesdatenschutzgesetzen – Aufgaben
  2. Stellung des Datenschutzbeauftragten in der Behörde
  3. Qualifikation des behördlichen Datenschutzbeauftragten
  4. Eingruppierung – keine Vorgaben aus dem Datenschutzrecht
  5. Benennung des behördlichen DSB hängt von Qualifikation ab
  6. Behördlicher und betrieblicher Datenschutzbeauftragter – Was ist der Unterschied?

Behördlicher Datenschutzbeauftragter nach DSGVO, BDSG und den Landesdatenschutzgesetzen – Aufgaben

Die Aufgaben von behördlichen Datenschutzbeauftragten ergeben sich in erster Linie aus den einschlägigen Bundes- und Landesdatenschutzgesetzen. Diese Gesetze definieren die Mindestaufgaben, die behördliche Datenschutzbeauftragte aus rechtlicher Sicht zu erfüllen haben:

  • Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten
  • Überwachung der Einhaltung aller Vorgaben zum Datenschutz
  • Beratung betroffener Personen
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Beratung bei der Erstellung der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO und Überwachung der datenschutzkonformen Durchführung
  • Mitarbeiterschulungen im Datenschutz sowie Sensibilisierung der Beschäftigten 

Die Behörde oder der Verantwortliche, der für die Benennung des behördlichen Datenschutzbeauftragten zuständig ist, kann dem DSB zusätzlich optionale Aufgaben zuweisen. Diese müssen jedoch mit dem den Vorschriften des Datenschutzes zugrunde liegenden Rollenbild des DSB vereinbar sein, dürfen keinen Interessenskonflikt auslösen und die zeitlichen Ressourcen des behördlichen Datenschutzbeauftragten nicht überreizen.

  • Das Führen des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Für die Erarbeitung und die Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten bleibt jedoch weiterhin der Verantwortliche zuständig.
  • Ein behördlicher Datenschutzbeauftragter kann zudem die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde im Namen der Behörde oder verantwortlichen Stelle übernehmen.
  • Bei der Erfüllung von Betroffenenrechten gemäß Art. 12 DSGVO kann der DSB die Beratungs- und Überwachungsaufgabe übernehmen.

Auch wenn die Leitung einer Behörde bzw. öffentlichen Stelle diese oder andere Aufgaben an den behördlichen Datenschutzbeauftragten delegiert, bleibt sie aber die nach den genannten Datenschutzgesetzen verantwortliche Stelle und ist deshalb zur Einhaltung sämtlicher Datenschutzvorgaben verpflichtet.

Stellung des Datenschutzbeauftragten in der Behörde

Bei der Erfüllung seiner Aufgabe ist der behördliche Datenschutzbeauftragte weisungsfrei und darf wegen dieser Aufgabe weder abberufen noch benachteiligt werden. Weiterhin ist er zur Verschwiegenheit über seine Arbeit verpflichtet. Der Verantwortliche nach DSGVO muss ihm ausreichend Zeit, die benötigte Infrastruktur und die Möglichkeit zur Fortbildung gewähren, damit die erforderlichen Fachkompetenzen aus den Bereichen Datenschutzrecht und Datenschutzpraxis stets auf dem neuesten Stand sind.

Außerdem muss die Leitung der Behörde bzw. öffentliche Stelle den Datenschutzbeauftragten unterstützen und sicherstellen, dass er frühzeitig in alle Belange eingebunden wird, die den Datenschutz betreffen. Der Verantwortliche steht dem behördlichen Datenschutzschutzbeauftragten stets als Ansprechpartner zur Verfügung, denn Datenschutz ist auch in Behörden bzw. öffentlichen Stellen Chefsache und kann nicht auf den Datenschutzbeauftragten „abgewälzt“ werden.

Qualifikation des behördlichen Datenschutzbeauftragten

Wer behördlicher Datenschutzbeauftragter werden will, muss in jedem Fall die erforderliche Qualifikation mit sich bringen: Die Person sollte zum einen die Arbeitsweise und praktischen Anforderungen der öffentlichen Verwaltung kennen und zum anderen das notwendige Fachwissen auf dem Gebiet des Datenschutzrechts mitbringen bzw. in entsprechenden Seminaren erlangen und auf dem neuesten Stand halten.

Das dreitägige Seminar „Behördlicher/r Datenschutzbeauftragte/r“ der Akademie Herkert ist so konzipiert, dass sowohl neu benannte als auch interne und externe behördliche Datenschutzbeauftragte das nötige Know-how erlangen bzw. auffrischen. Das Seminar kann online oder als Präsenzveranstaltung in verschiedenen Bundesländern wie NRW, Baden-Württemberg, Bayern, Berlin oder Hessen besucht werden. Nach Bestehen einer Klausur erhalten die Teilnehmer ein Zertifikat.

 

Eingruppierung – keine Vorgaben aus dem Datenschutzrecht

Hinsichtlich der Eingruppierung behördlicher Datenschutzbeauftragter macht das Datenschutzrecht keine Vorgaben. Hier lohnt sich der Blick in die einzelnen Bundesländer. Laut dem Landesbeauftragten für Datenschutz und Informationsfreiheit NRW muss der Verantwortliche bei den dienst- und arbeitsrechtlichen Überlegungen beachten, dass die Aufgabe des behördlichen Datenschutzbeauftragten mit besonderen Fachkenntnissen, Selbstständigkeit und Unabhängigkeit verbunden ist. Auch Umfang und Komplexität der Aufgabe können bei der Eingruppierung Berücksichtigung finden.

Laut Landesbeauftragten für den Datenschutz Niedersachsen ist für die Eingruppierung nach Tarif der Zeitbedarf für einzelne Arbeitsvorgänge bzw. für Mischtätigkeiten zu ermitteln.

Benennung des behördlichen DSB hängt von Qualifikation ab

Alle Behörden bzw. öffentliche n Stellen sind nach Art. 37 DSGVO verpflichtet, einen (behördlichen) Datenschutzbeauftragten zu benennen. Ausnahmen und Spezialvorschriften regeln die datenschutzrechtliche Aufsicht über Ermittlungs- und Justizbehörden. Auch die landesspezifischen Datenschutzregelungen der Bundesländer sind hier zu beachten. Das Bayerische Datenschutzgesetz (BayDSG) regelt z.B. auch, dass bei staatlichen Behörden die Benennung eines Datenschutzbeauftragten durch eine höhere Behörde erfolgen kann.

Doch wen zum Datenschutzbeauftragten benennen? Möglich ist ein Mitarbeiter der Behörde bzw. öffentlichen Stelle, aber auch ein externer behördlicher Datenschutzbeauftragter kann für eine Behörde oder öffentliche Stelle benannt werden. Es ist nicht zwingend erforderlich, dass ein behördlicher Datenschutzbeauftragter in Vollzeit benannt wird. Je nach Größe der Behörde, Anzahl der Beschäftigten sowie dem Umfang und der Komplexität der Verarbeitung kann diese Aufgabe auch in Teilzeit bzw. im Rahmen vereinbarter Stundenkontingente ausgeführt werden.

Unter „Berücksichtigung ihrer Organisationsstruktur und ihrer Größe“ ist es mehreren Behörden außerdem auch nach DSGVO möglich, einen gemeinsamen behördlichen Datenschutzbeauftragten zu benennen, wenn dieser von allen Standorten aus unmittelbar erreicht werden kann.

Muster für Benennung von Datenschutzbeauftragten

Die Behörde bzw. öffentliche Stelle muss die Benennung des Datenschutzbeauftragten anhand eines Benennungsdokuments dokumentieren. Entsprechende Muster bietet die „Formularmappe Datenschutz in öffentlichen und kirchlichen Einrichtungen“. Greift der Verantwortliche auf einen externen behördlichen Datenschutzbeauftragten zurück, ist zudem eine entsprechende vertragliche Vereinbarung notwendig, die die praktischen Bedürfnisse der auftraggebenden Behörde adäquat wiedergibt.

Behördlicher und betrieblicher Datenschutzbeauftragter – Was ist der Unterschied?

Zwischen der Tätigkeit eines betrieblichen und eines behördlichen Datenschutzbeauftragten gibt es erhebliche Unterschiede, schon allein wenn es um die zu beachtenden gesetzlichen Vorgaben geht: Neben dem allgemein geltendem Datenschutzrecht aus der DSGVO hat die Behörde und ebenfalls deren Datenschutzbeauftragter auch die Landesdatenschutzgesetze der jeweiligen Bundesländer zu beachten.

Manche dieser Landesdatenschutzgesetze setzen z. B. voraus, dass der behördliche Datenschutzbeauftragte – im Gegensatz zum betrieblichen Datenschutzbeauftragten – bei einer Behörde bzw. öffentlichen Stelle des Bundes beschäftigt ist und somit Kenntnisse der Verwaltungsorganisation mitbringt.

Quellen: Akademie Herkert GmbH, DSGVO

Mehr zu den Themen: DSGVO