Datenschutzbeauftragter
© SMI
Die Anwendung der Datenschutz-Grundverordnung bringt auch Veränderungen im Hinblick auf die Benennung, Stellung und Aufgaben der Datenschutzbeauftragten mit sich. Die hierfür bisher geltenden Regelungen in § 11 Sächsisches Datenschutzgesetz sind nun durch Artikel 37 bis 39 Datenschutz-Grundverordnung abgelöst.
Mit Artikel 37 Absatz 1 Datenschutz-Grundverordnung wurde erstmals eine europaweit geltende gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten für Behörden und öffentliche Stellen eingeführt. Damit soll die datenschutzrechtliche Selbstkontrolle öffentlicher Stellen gestärkt werden. Bisher war für die öffentlichen Stellen im Freistaat Sachsen die Bestellung eines Datenschutzbeauftragten gemäß § 11 Absatz 1 Sächsisches Datenschutzgesetz nicht verpflichtend, sondern fakultativ. Nach der Datenschutz-Grundverordnung muss nun jeweils ein Datenschutzbeauftragter benannt werden. Da keine Frist bestimmt ist, besteht diese Pflicht seit 25. Mai 2018.
Wichtig: Jede öffentliche Stelle, die bisher noch keinen Datenschutzbeauftragten hatte, musste bis zum 25. Mai 2018 einen Datenschutzbeauftragten benennen.
Aufgaben und Benennung des Datenschutzbeauftragten nach der Datenschutz-Grundverordnung entsprechen im Kern den bisherigen Vorgaben nach dem Sächsischen Datenschutzgesetz . Allerdings führt die Datenschutz-Grundverordnung teilweise zu einer Verschiebung der datenschutzrechtlichen Zuständigkeiten und Verantwortlichkeiten bei den datenverarbeitenden Stellen. So verantwortet der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung nicht mehr operative Aufgaben wie die Mitarbeiterschulung und die datenschutzrechtliche Vorabkontrolle, sondern nimmt verstärkt die Stellung eines Beratungs- und Kontrollorgans ein.
- Soweit noch kein Datenschutzbeauftragter bestellt worden ist, ist ein solcher unverzüglich zu bennnen (vgl. Checkliste Benennung Datenschutzbeauftragter).
- Bestehende Bestellungen von Datenschutzbeauftragten sollten auf ihre Konformität mit den neuen Datenschutzbestimmungen hin überprüft werden. Da der Aufgaben- und Befugnisbereich des Datenschutzbeauftragten verändert wurde, empfiehlt sich, die Bestellungen in der bisher empfohlenen Weise unter Nennung der konkreten Aufgaben vorzunehmen und auf die Vorschriften der Datenschutz-Grundverordnung zu verweisen. Nach altem Recht bestellten Datenschutzbeauftragten sollte so mit einem erneuernden Akt ebenfalls in Bezug auf ihren Rechtsstatus Gewissheit verschafft werden.
- Die Kontaktdaten des Datenschutzbeauftragten sind im Intranet und Internet zu veröffentlichen und dem Sächsischen Datenschutzbeauftragten zu melden.
- Es ist zu prüfen, ob der nach der Datenschutz-Grundverordnung zu benennende bzw. bereits nach Sächsischem Datenschutzgesetz bestellte Datenschutzbeauftragte die beruflichen und persönlichen Voraussetzungen erfüllt. Gegebenenfalls ist ihm Gelegenheit zu entsprechender Qualifizierung zu geben.
- Durch Organisationsregelungen, die allen Beschäftigten bekanntzugeben sind, ist die ordnungsgemäße und frühzeitige Beteiligung des Datenschutzbeauftragten bei allen Datenschutzfragen, insbesondere auch die Einbeziehung bei einer Datenschutz-Folgenabschätzung, sicherzustellen. Es empfiehlt sich, die organisatorische Stellung des Datenschutzbeauftragten innerhalb der Behörde bzw. öffentlichen Stelle und dessen direktes Berichtsrecht transparent im Organigramm darzustellen (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“).
- Es ist zu überprüfen, ob dem Datenschutzbeauftragten ausreichende Ressourcen für seine Aufgabenerfüllung zur Verfügung stehen. Ggf. sind sie dem Bedarf anzupassen (vgl. "Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“ ).
