Hauptinhalt

Sonstige Pflichten des Verantwortlichen

Pflicht zur Unterstützung des Datenschutzbeauftragten

Pflicht zur ordnungsgemäßen und frühzeitigen Einbindung des Datenschutzbeauftragten

Erstmals wird mit Artikel 38 Absatz 1 Datenschutz-Grundverordnung der Verantwortliche gesetzlich verpflichtet, den Datenschutzbeauftragten ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Dies ist auch zwingend erforderlich, damit der Datenschutzbeauftragte seinen Beratungs- und Überwachungsaufgaben gerecht werden kann.

Gegebenenfalls sollte der Verantwortliche im Datenschutzkonzept oder in sonstigen organisatorischen Regelungen festlegen, wann und in welchen Fällen der Datenschutzbeauftragte zu Rate zu ziehen ist. Z. B. könnte u. a. bestimmt werden,

  • dass der Datenschutzbeauftragte den maßgeblichen Arbeitsgruppen angehört, die mit Datenverarbeitungstätigkeiten innerhalb der Behörde bzw. öffentlichen Stelle befasst sind,
  • er zur Teilnahme an den regelmäßigen Besprechungen der Leitungsebene eingeladen wird,
  • er bei einer Verletzung datenschutzrechtlicher Bestimmungen oder einem sonstigen Vorfall unverzüglich hinzuzuziehen ist.

Wichtig: Durch Organisationsregelungen, die allen Beschäftigten bekanntzugeben sind, ist die ordnungsgemäße und frühzeitige Beteiligung des Datenschutzbeauftragten bei allen Datenschutzfragen sicherzustellen.

Pflicht zur Bereitstellung von Ressourcen

Wie bisher nach § 11 Absatz 2 Satz 4 Sächsisches Datenschutzgesetz hat der Verantwortliche auch nach Artikel 38 Absatz 2 Datenschutz-Grundverordnung den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben im erforderlichen Umfang zu unterstützen. Die dem Verantwortlichen in diesem Zusammenhang obliegenden Pflichten sind:

  • Bereitstellen der erforderlichen Ressourcen wie ausreichend Arbeitszeit, Räume, ggf. weitere Mitarbeiter
  • Ermöglichung des Zugangs zu personenbezogenen Daten und Verarbeitungsvorgängen, z. B. Zugang zu anderen Abteilungen wie Personal, Recht, IT und Sicherheit, um ggf. dort Unterstützung und Anregungen zu erhalten
  • Bereitstellen der zur Erhaltung des Fachwissens erforderlichen Ressourcen wie Fachliteratur, Ermöglichung der Teilnahme an Fortbildungen und am Erfahrungsaustausch mit anderen Datenschutzbeauftragten

Auch hier gilt: Je komplexer und sensibler die Datenverarbeitungsvorgänge sind, desto mehr Ressourcen müssen dem Datenschutzbeauftragten zur Verfügung gestellt werden.

Wichtig: Überprüfen Sie, ob dem Datenschutzbeauftragten ausreichende Ressourcen für seine Aufgabenerfüllung zur Verfügung stehen, ggf. sind sie dem Bedarf anzupassen. (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“)

Gewährleistung der Unabhängigkeit des Datenschutzbeauftragten

Weisungsfreiheit

Bereits nach § 11 Absatz 2 Satz 2 Sächsisches Datenschutzgesetz war der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben weisungsfrei. Auch nach Artikel 38 Absatz 3 Satz 1 Datenschutz-Grundverordnung ist nunmehr die Weisungsfreiheit Kernstück der Unabhängigkeit des Datenschutzbeauftragten. Erwägungsgrund 97 stellt diesbezüglich klar: „Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“ Dem Datenschutzbeauftragten dürfen somit keine Weisungen in seiner Funktion als Datenschutzbeauftragter erteilt werden. Z. B. ist es nicht zulässig, ihm Vorgaben zur Erreichung eines ganz bestimmten Ziels, über die Art und Weise der Bearbeitung von Eingaben oder zur Zusammenarbeit mit Aufsichtsbehörden zu machen. Die Weisungsfreiheit beschränkt sich allerdings auf die Erfüllung seiner Aufgaben als Datenschutzbeauftragter und umfasst nicht seine sonstigen Aufgaben.

Abberufungsschutz und Benachteiligungsverbot

Der Datenschutzbeauftragte durfte schon nach bisheriger Rechtslage nicht wegen der Erfüllung seiner Aufgaben benachteiligt werden (§ 11 Absatz 2 Satz 3 Sächsisches Datenschutzgesetz). Diese Regelung behält Artikel 38 Absatz 2 Datenschutz-Grundverordnung bei. Festgelegt wird dort außerdem, dass er wegen der Erfüllung seiner Aufgaben auch nicht abberufen werden darf. Ein besonderer arbeitsrechtlicher Kündigungsschutz ist in der Datenschutz-Grundverordnung jedoch nicht vorgesehen.

Die Datenschutz-Grundverordnung enthält keine Regelung dazu, wie und wann ein Datenschutzbeauftragter abberufen oder durch eine andere Person ersetzt werden kann. Eine Abberufung im Einvernehmen mit dem Datenschutzbeauftragten ist aber in der Praxis z. B. zulässig, wenn der Datenschutzbeauftragte mit neuen fachlichen Aufgaben betraut werden soll, welche aufgrund von Interessenkollisionen die Fortsetzung der Tätigkeit als Datenschutzbeauftragter nicht mehr zulassen.

Der Datenschutzbeauftragte kann auch selbst sein Amt niederlegen. Er ist nicht verpflichtet, seine Funktion gegen seinen Willen wahrzunehmen, doch er muss dann der öffentlichen Stelle ausreichend Zeit einräumen, einen neuen Beauftragten zu bestellen.

Empfehlung: Bei der Benennung eines externen Datenschutzbeauftragten sollte durch Vereinbarung einer festen Vertragslaufzeit mit gewisser Dauer vertraglich sichergestellt werden, dass dem gesetzlichen Benachteiligungsschutz angemessen Rechnung getragen wird. (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“)

Unmittelbarer Berichtsweg zur Leitung

Bisher war in § 11 Absatz 2 Satz 2 Sächsisches Datenschutzgesetz geregelt, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem Leiter der öffentlichen Stelle unmittelbar zu unterstellen war. Nun eröffnet Artikel 38 Absatz 3 Satz 3 Datenschutz-Grundverordnung für Datenschutzbeauftragte einen unmittelbaren Berichtsweg zur höchsten Leitungsebene der öffentlichen Stelle.

Empfehlung: Die organisatorische Stellung des Datenschutzbeauftragten innerhalb der öffentlichen Stelle und dessen direktes Berichtsrecht zur Leitung sollten transparent im Organigramm dargestellt werden. (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“)

zurück zum Seitenanfang