Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (39): Spezielles zu (behördlichen) Datenschutzbeauftragen
Der Bayerische Landesbeauftragte für den Datenschutz: Orientierungshilfe zur Bestellung behördlicher Datenschutzbeauftragter
Der Bayerische Landesbeauftragte für den Datenschutz hat, pünktlich zum Geltungsbeginn der DS-GVO, eine Orientierungshilfe zur generellen und uneingeschränkten Pflicht zur Bestellung behördlicher Datenschutzbeauftragter gemäß Art. 37 bis 39 DS-GVO veröffentlicht. Ergänzend äußerte er sich detailliert in „Aktuellen Kurzinformationen“ zu verschiedenen Detailaspekten, die auch für betriebliche Datenschutzbeauftragte relevant sind.
I. Der Dienstweg und Zugang zum Datenschutzbeauftragten (Aktuelle Kurzinformation 12)
Nicht kontroverse Beratungssituationen können innerdienstliche Regelungen zur Einbindung von Vorgesetzten bei der Kontaktaufnahme mit dem DSB rechtfertigen.
1. Beschäftigte als betroffene Personen
Will sich ein Beschäftigter als betroffene Person an den DSB wenden, gewährt Art. 38 Abs. 4 DS-GVO ein unmittelbares Zugangsrecht, ohne Kenntnis oder Mitwirkung Dritter. Dies sichert die Vertraulichkeit gemäß Art. 38 Abs. 5 DS-GVO. Vorgaben, den DSB nur über die Personalstelle oder den Dienstweg zu kontaktieren, sind unzulässig.
Ergebnis: Der unmittelbare Zugang zum DSB muss gewährleistet sein.
2. Beschäftigte als Anfragesteller
Beschäftigte können den DSB auch bei datenschutzbezogenen Fragen kontaktieren, die in ihrer Arbeit auftauchen. Nach Art. 39 Abs. 1 lit. a DS-GVO ist der DSB dazu verpflichtet, Verantwortliche und Beschäftigte zu beraten. Sofern keine abweichende Regelung existiert, können sich Beschäftigte direkt an den DSB wenden. Eine mittelbare Befassung durch Vorgesetzte ist ebenfalls möglich, wenn dies durch interne Regelungen vorgesehen ist.
Ergebnis: Beschäftigte können sich unmittelbar an den DSB wenden, sofern keine andere Regelung besteht.
3. Beschäftigte als Hinweisgeber
Wenden sich Beschäftigte als Hinweisgeber an den DSB, etwa um auf datenschutzrechtliche Missstände hinzuweisen, besteht ebenfalls ein unmittelbares Zugangsrecht, auch bei Meinungsverschiedenheiten mit Vorgesetzten. Der DSB hat hierbei die Rolle eines neutralen Vermittlers zu übernehmen.
Ergebnis: Der unmittelbare Zugang zum DSB kann nicht verwehrt werden, auch bei kontroversen Beratungen.
II. Inkompatibilitäten
1. Generelles (Aktuelle Kurz-Information 7)
Soll ein interner Datenschutzbeauftragter neben einer anderen (Haupt-)Aufgabe tätig sein, darf dies nicht zu Interessenkonflikten führen. Der Begriff der „Inkompatibilität“ gilt weiterhin.
2. Personalratsmitglied als Datenschutzbeauftragter? (Aktuelle Kurz-Information 14)
Die Wählbarkeit zum Personalrat ist für behördliche Datenschutzbeauftragte nicht ausgeschlossen. Es kann jedoch zu Rollenkonflikten kommen, etwa wenn der Datenschutzbeauftragte Datenflüsse beschränken muss, während der Personalrat umfassende Informationen benötigt.
3. „Einfaches“ Personalratsmitglied und DSB
Hier besteht in der Regel keine Inkompatibilität, da das Personalratsmitglied in ein Gremium eingebunden ist und keine alleinigen Entscheidungen trifft. Dennoch wird empfohlen, diese Kombination zu vermeiden.
4. „Personalratsvorsitzender“ und DSB
Für den Personalratsvorsitzenden ist die Kombination beider Funktionen problematischer. Der LfD hält es für unvereinbar, beide Rollen gleichzeitig auszuüben.
5. Verfahren bei Interessenkonflikten im Einzelfall
Bei auftretenden Interessenkonflikten muss eine effektive Vertretung des DSB sichergestellt sein.
III. Fazit
Datenschutzbeauftragte, die für den Personalrat kandidieren, sollten ihre Rollen auf mögliche Interessenkollisionen hin prüfen. Öffentliche Stellen müssen sicherstellen, dass ein uneingeschränkt handlungsfähiger Datenschutzbeauftragter zur Verfügung steht.
Anmerkung: Der LfD sieht den Personalrat datenschutzrechtlich als besonderen Teil der öffentlichen Stelle an und stellt das Kontrollrecht des DSB bei der Personalvertretung nicht in Frage.