Hauptinhalt

Benennung

Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung hat jede öffentliche Stelle seit 25. Mai 2018 einen Datenschutzbeauftragten zu benennen.

Um Rechtssicherheit zu erlangen, ist eine Anpassung der Bestellung unter Verweis auf die Datenschutz-Grundverordnung anzuraten. Bereits bestellte Datenschutzbeauftragte bleiben in ihrer Funktion. Sie dürfen wegen des bestehenden Benachteiligungsverbots keinesfalls mit Verweis auf die neuen Bestimmungen der Datenschutz-Grundverordnung abberufen oder entlassen werden, wenn sie die gesetzlichen Anforderungen weiterhin erfüllen - das Amt ist also nicht neu zu besetzen. Vor dem Hintergrund der nach der Datenschutz-Grundverordnung nicht mehr erforderlichen Schriftform kann allerdings die bisher konstitutiv wirkende Unterzeichnung der Bestellurkunde nun nur noch deklaratorische Wirkung entfalten. Bestehende schriftliche Dokumente sollten auf ihre Konformität mit den neuen Datenschutzbestimmungen hin überprüft werden. Insbesondere Stellung und Aufgaben des Datenschutzbeauftragten haben sich nun an der Datenschutz-Grundverordnung auszurichten. Insofern wird eine (lediglich formale) Neubestellung zur Klarstellung unter der neuen Rechtslage empfohlen.

Interner, externer oder gemeinsamer Datenschutzbeauftragter

Der Datenschutzbeauftragte kann gemäß Artikel 37 Absatz 6 Datenschutz-Grundverordnung auch ein Externer sein, der auf der Grundlage eines Dienstleistungsvertrages tätig wird. Die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen, bestand auch schon nach § 11 Absatz 1 Satz 4 Sächsisches Datenschutzgesetz.

Es besteht gemäß Artikel 37 Absatz 3 Datenschutz-Grundverordnung auch die Möglichkeit, für mehrere öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten zu benennen. Dies war bereits nach § 11 Absatz 1 Satz 3 Sächsisches Datenschutzgesetz möglich. Der Verantwortliche muss jedoch nunmehr unter anderem sicherstellen, dass der gemeinsame Datenschutzbeauftragte auch in der Lage ist, die ihm in Bezug auf sämtliche öffentlichen Stellen übertragenen Aufgaben zu erfüllen.

Wie nach bisheriger Rechtslage kann auch nunmehr nur eine natürliche Person als Datenschutzbeauftragter benannt werden, nicht jedoch eine juristische Person.

Der zum Datenschutzbeauftragten benannten Person kann auch Hilfspersonal zugewiesen werden, wie etwa Vertreter, Datenschutzansprechpartner und Koordinatoren. In diesem Fall empfiehlt es sich, die Aufgabenverteilung klar zu dokumentieren und festzulegen, ob und in welchem Umfang die Rechte des Datenschutzbeauftragten auf ein Mitglied seines Teams Anwendung finden.

Anforderungen an die Benennung

Formale Voraussetzungen

Die Datenschutz-Grundverordnung spricht in Artikel 37 von einer Benennung des Datenschutzbeauftragten. Insofern ist eine Schriftform, wie sie derzeit in § 11 Absatz 1 Satz 2 Sächsisches Datenschutzgesetz für die Bestellung geregelt ist, nicht mehr zwingend vorgeschrieben. Vielmehr besteht eine Veröffentlichungs- und Mitteilungspflicht.

Empfehlung: Aus Beweisgründen und zur Rechtsklarheit wird eine schriftliche Dokumentation der Benennung des Datenschutzbeauftragten dennoch empfohlen. Neben dem Zeitpunkt des Wirksamwerdens der Benennung sollten auch die gesetzlichen und ggf. zusätzlich vereinbarten Aufgaben des Datenschutzbeauftragten, dessen Zeitkontingent sowie ggf. die zur Verfügung gestellten Ressourcen schriftlich fixiert werden, damit sich Verantwortlicher und Datenschutzbeauftragter über diese im Klaren sind.

Berufliche Qualifikation, Fachwissen und persönliche Voraussetzungen des Datenschutzbeauftragten

Nach der bisherigen Regelung in § 11 Absatz 2 Sächsisches Datenschutzgesetz musste der Datenschutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzen. Die Datenschutz-Grundverordnung bestimmt nun in Artikel 37 Absatz 5, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 Datenschutz-Grundverordnung genannten Aufgaben.

Der Begriff der beruflichen Qualifikation wird in der Datenschutz-Grundverordnung nicht weiter erklärt und auch für das erforderliche Fachwissen fehlt eine dezidierte Beschreibung. Jedenfalls verlangt aber die Vorschrift Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis.  Hierzu gehören fundierte Kenntnisse der datenschutzrechtlichen Grundlagen, insbesondere der Datenschutz-Grundverordnung, des Sächsischen Datenschutzdurchführungsgesetzes, bereichsspezifischer Datenschutzbestimmungen und der jeweils anzuwendenden Verwaltungsvorschriften, wie auch Kenntnisse über die internen Prozesse in der öffentlichen Stelle, solides Fachwissen in Bezug auf das IT-System und IT-Sicherheitsmaßnahmen. Das jeweils erforderliche Niveau des Fachwissens richtet sich insbesondere nach den durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz der personenbezogenen Daten, die die öffentliche Stelle verarbeitet. Je komplexer die Datenverarbeitungen im Einzelfall sind oder je größer die Menge sensibler Daten ist, desto höher sind die Anforderungen an das notwendige Fachwissen des Datenschutzbeauftragten. Dies verlangte im Übrigen auch die bereits bisher nach Sächsischem Datenschutzgesetz geforderte Sachkunde.

Das bisher geltende Erfordernis der persönlichen Zuverlässigkeit wird zwar in der Datenschutz-Grundverordnung nicht ausdrücklich geregelt, ergibt sich aber aus der Aufgabenstellung des Datenschutzbeauftragten, Ansprechpartner der Behörde bzw. öffentlichen Stelle und der betroffenen Personen zu sein. Hierfür sind nach wie vor ein hohes Maß an persönlicher Integrität, Berufsethik und Kommunikationsfähigkeit erforderlich. So kommen z. B. Personen für eine Benennung nicht in Frage, die bereits Datenschutzverstöße begangen oder Verschwiegenheitspflichten verletzt haben.

Die bisher nach § 11 Absatz 1 Satz 4 Sächsisches Datenschutzgesetz geltende Anforderung, wonach der Datenschutzbeauftragte die formellen Voraussetzungen für die Berufung in das Beamtenverhältnis auf Zeit erfüllen musste, ist entfallen.

Kein Interessenkonflikt

Der Verantwortliche hat gemäß Artikel 38 Absatz 6 Datenschutz-Grundverordnung sicherzustellen, dass vom Datenschutzbeauftragten ggf. wahrzunehmende andere Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Dies war bereits nach § 11 Absatz 2 Satz 1 Sächsisches Datenschutzgesetz zu gewährleisten. Die bisherigen Grundsätze zur Interessenkollision bleiben gültig.

Danach ist z. B. die Benennung des Leiters der IT- oder der Personalabteilung, von Mitarbeitern in leitender Position mit besonderer Nähe zur Behördenleitung, des Geheimschutzbeauftragten oder von Vorstandsmitgliedern von Personalräten unzulässig. Generell gilt der Grundsatz, dass der zu Kontrollierende nicht selbst der Kontrolleur sein darf.

Veröffentlichung der Kontaktdaten und Mitteilung an die Aufsichtsbehörde

In formeller Hinsicht wird die Benennung des Datenschutzbeauftragten mit der Veröffentlichung von dessen Kontaktdaten und die Mitteilung an den Sächsischen Datenschutzbeauftragten vollzogen (Artikel 37 Absatz 7 Datenschutz-Grundverordnung). Bisher waren gemäß § 11 Absatz 1 Sätze 4 und 5 Sächsisches Datenschutzgesetz dem Sächsischen Datenschutzbeauftragten innerhalb eines Monats nach Bestellung lediglich der Name des Datenschutzbeauftragten und der Tag seiner Bestellung mitzuteilen.

Zu den durch den Verantwortlichen zu veröffentlichenden und der Aufsichtsbehörde mitzuteilenden Kontaktdaten des Datenschutzbeauftragten gehören mindestens folgende:

  • Postadresse
  • Telefonnummer und
  • E-Mail-Adresse.

Die Kontaktdaten sind sowohl innerhalb der Organisation der öffentlichen Stelle (Intranet, Geschäftsverteilungspläne) als auch auf deren Internetseite zu veröffentlichen und dem Sächsischen Datenschutzbeauftragten mitzuteilen. Der Sächsische Datenschutzbeauftragte stellt für die Meldung der Kontaktdaten auf seiner Internetseite  einen Online-Service bzw. ein Formular bereit.

Obwohl die Veröffentlichung oder Mitteilung des Namens des Datenschutzbeauftragten nach der Datenschutz-Grundverordnung nicht zwingend ist, wird die Bekanntgabe des Namens zumindest gegenüber Aufsichtsbehörden und innerhalb der öffentlichen Stelle empfohlen.

zurück zum Seitenanfang