Die Datenschutz-Grundverordnung (DSGVO) verpflichtet öffentliche Stellen in jedem Fall, einen (externen) behördlichen Datenschutzbeauftragten (DSB) zu benennen. Die mit dem Datenschutz beauftragte Person trägt in erster Linie dazu bei, Datenschutzverstößen innerhalb der öffentlichen Stelle vorzubeugen. Die Behörde als datenschutzverantwortliche Stelle ist für die Benennung und die (optionale) Aufgabenverteilung des Datenschutzbeauftragten zuständig.

Behördlicher Datenschutzbeauftragter nach DSGVO, BDSG und den Landesdatenschutzgesetzen – Aufgaben

Die Aufgaben von behördlichen Datenschutzbeauftragten ergeben sich in erster Linie aus den einschlägigen Bundes- und Landesdatenschutzgesetzen. Diese Gesetze definieren die Mindestaufgaben, die behördliche Datenschutzbeauftragte aus rechtlicher Sicht zu erfüllen haben:

• Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten
• Überwachung der Einhaltung aller Vorgaben zum Datenschutz
• Beratung betroffener Personen
• Zusammenarbeit mit der Aufsichtsbehörde
• Beratung bei der Erstellung der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und Überwachung der datenschutzkonformen Durchführung
• Schulung und Sensibilisierung zum Datenschutz für die Beschäftigten

Die Behörde oder der Verantwortliche, der für die Benennung des behördlichen Datenschutzbeauftragten zuständig ist, kann dem DSB zusätzlich optionale Aufgaben zuweisen. Diese müssen jedoch mit dem den Vorschriften des Datenschutzes zugrunde liegenden Rollenbild des DSB vereinbar sein, dürfen keinen Interessenskonflikt auslösen und die zeitlichen Ressourcen des behördlichen Datenschutzbeauftragten nicht überreizen.

• Das Führen des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Für die Erarbeitung und die Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten bleibt jedoch weiterhin der Verantwortliche zuständig.
• Ein behördlicher Datenschutzbeauftragter kann zudem die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde im Namen der Behörde oder verantwortlichen Stelle übernehmen.
• Bei der Erfüllung von Betroffenenrechten gemäß Art. 12 DSGVO kann der DSB die Beratungs- und Überwachungsaufgabe übernehmen.

Auch wenn die Leitung einer Behörde bzw. öffentlichen Stelle diese oder andere Aufgaben an den behördlichen Datenschutzbeauftragten delegiert, bleibt sie aber die nach den genannten Datenschutzgesetzen verantwortliche Stelle und ist deshalb zur Einhaltung sämtlicher Datenschutzvorgaben verpflichtet.

Stellung des Datenschutzbeauftragten in der Behörde

Bei der Erfüllung seiner Aufgabe ist der behördliche Datenschutzbeauftragte weisungsfrei und darf wegen dieser Aufgabe weder abberufen noch benachteiligt werden. Weiterhin ist er zur Verschwiegenheit über seine Arbeit verpflichtet. Der Verantwortliche nach DSGVO muss ihm ausreichend Zeit, die benötigte Infrastruktur und die Möglichkeit zur Fortbildung gewähren, damit die erforderlichen Fachkompetenzen aus den Bereichen Datenschutzrecht und Datenschutzpraxis stets auf dem neuesten Stand sind.

Außerdem muss die Leitung der Behörde bzw. öffentliche Stelle den Datenschutzbeauftragten unterstützen und sicherstellen, dass er frühzeitig in alle Belange eingebunden wird, die den Datenschutz betreffen. Der Verantwortliche steht dem behördlichen Datenschutzschutzbeauftragten stets als Ansprechpartner zur Verfügung, denn Datenschutz ist auch in Behörden bzw. öffentlichen Stellen Chefsache und kann nicht auf den Datenschutzbeauftragten „abgewälzt“ werden.

Eingruppierung – keine Vorgaben aus dem Datenschutzrecht

Hinsichtlich der Eingruppierung behördlicher Datenschutzbeauftragter macht das Datenschutzrecht keine Vorgaben. Hier lohnt sich der Blick in die einzelnen Bundesländer. Laut dem Landesbeauftragten für Datenschutz und Informationsfreiheit NRW muss der Verantwortliche bei den dienst- und arbeitsrechtlichen Überlegungen beachten, dass die Aufgabe des behördlichen Datenschutzbeauftragten mit besonderen Fachkenntnissen, Selbstständigkeit und Unabhängigkeit verbunden ist. Auch Umfang und Komplexität der Aufgabe können bei der Eingruppierung Berücksichtigung finden.

Laut Landesbeauftragten für den Datenschutz Niedersachsen ist für die Eingruppierung nach Tarif der Zeitbedarf für einzelne Arbeitsvorgänge bzw. für Mischtätigkeiten zu ermitteln.

Benennung des behördlichen DSB hängt von Qualifikation ab

Alle Behörden bzw. öffentliche n Stellen sind nach Art. 37 DSGVO verpflichtet, einen (behördlichen) Datenschutzbeauftragten zu benennen. Ausnahmen und Spezialvorschriften regeln die datenschutzrechtliche Aufsicht über Ermittlungs- und Justizbehörden. Auch die landesspezifischen Datenschutzregelungen der Bundesländer sind hier zu beachten. Das Bayerische Datenschutzgesetz (BayDSG) regelt z.B. auch, dass bei staatlichen Behörden die Benennung eines Datenschutzbeauftragten durch eine höhere Behörde erfolgen kann.

Doch wen zum Datenschutzbeauftragten benennen? Möglich ist ein Mitarbeiter der Behörde bzw. öffentlichen Stelle, aber auch ein externer behördlicher Datenschutzbeauftragter kann für eine Behörde oder öffentliche Stelle benannt werden. Es ist nicht zwingend erforderlich, dass ein behördlicher Datenschutzbeauftragter in Vollzeit benannt wird. Je nach Größe der Behörde, Anzahl der Beschäftigten sowie dem Umfang und der Komplexität der Verarbeitung kann diese Aufgabe auch in Teilzeit bzw. im Rahmen vereinbarter Stundenkontingente ausgeführt werden. Unter „Berücksichtigung ihrer Organisationsstruktur und ihrer Größe“ ist es mehreren Behörden außerdem auch nach DSGVO möglich, einen gemeinsamen behördlichen Datenschutzbeauftragten zu benennen, wenn dieser von allen Standorten aus unmittelbar erreicht werden kann.

Wer behördlicher Datenschutzbeauftragter werden will, muss in jedem Fall die erforderliche Qualifikation mit sich bringen: Die Person sollte zum einen die Arbeitsweise und praktischen Anforderungen der öffentlichen Verwaltung kennen und zum anderen das notwendige Fachwissen auf dem Gebiet des Datenschutzrechts mitbringen bzw. in entsprechenden Seminaren erlangen und auf dem neuesten Stand halten.

Seminar zum behördlichen Datenschutzbeauftragten mit Zertifizierung

Das dreitägige Seminar der AKADEMIE HERKERT „Behördlicher/r Datenschutzbeauftragte/r“ ist so konzipiert, dass sowohl neu benannte als auch interne und externe behördliche Datenschutzbeauftragte das nötige Know-how erlangen bzw. auffrischen. Das Seminar kann online absolviert werden. Die AKADEMIE HERKERT bietet es aber auch als Präsenzveranstaltung in verschiedenen Bundesländern wie NRW, Baden-Württemberg, Bayern, Berlin oder Hessen an. Als Beleg für den erfolgreichen Besuch des Lehrgangs erhalten die Teilnehmer nach Bestehen einer Klausur ein Zertifikat.

Inhalte des Seminars sind sowohl rechtliche Grundlagen als auch die organisatorische und technische Umsetzung des Datenschutzrechts, die anhand von Praxisbeispielen verdeutlicht werden. Nach DSGVO bemisst sich das benötigte Fachwissen des jeweiligen Datenschutzbeauftragten danach, wie komplex die Verarbeitungsvorgänge der Behörde sind, wie sensibel die Daten sind und in welchem Umfang Daten verarbeitet werden.

Muster für Benennung von Datenschutzbeauftragten

Behördlicher und betrieblicher Datenschutzbeauftragter – Was ist der Unterschied?

Zwischen der Tätigkeit eines betrieblichen und eines behördlichen Datenschutzbeauftragten gibt es erhebliche Unterschiede, schon allein wenn es um die zu beachtenden gesetzlichen Vorgaben geht: neben dem allgemein geltendem Datenschutzrecht aus der DSGVO hat die Behörde und ebenfalls deren Datenschutzbeauftragter auch die Landesdatenschutzgesetze der jeweiligen Bundesländer zu beachten. Manche dieser Landesdatenschutzgesetze setzen z.B. voraus, dass der behördliche Datenschutzbeauftragte - im Gegensatz zum betrieblichen Datenschutzbeauftragten - bei einer Behörde bzw. öffentlichen Stelle des Bundes beschäftigt ist und somit Kenntnisse der Verwaltungsorganisation mitbringt.