DA+

Aufsatz : Miscellanea zu den behördlichen Datenschutzbeauftragten : aus der RDV 1/2020, Seite 14 bis 20

Lesezeit 17 Min.

Das geltende Datenschutzrecht sieht für Behörden und andere öffentliche Stellen eine nahezu ausnahmslos geltende Benennungspflicht hinsichtlich behördlicher Datenschutzbeauftragter vor. Die konkrete Ausformung dieses Amtes obliegt den Gesetzgebern des Bundes und der Länder, soweit nicht vorrangiges Europäisches Datenschutzrecht einschlägig ist. Der folgende Beitrag gibt einen Überblick über die Besonderheiten von Gesetz und Praxis.

I. Überblick

Das Recht der behördlichen Datenschutzbeauftragten ist nicht nur für eben jene behördlichen Datenschutzbeauftragten von Interesse. Eine Beschäftigung mit der Regelungsvielfalt im öffentlichen Sektor lohnt auch dann, wenn etwa externe Dienstleister den öffentlichen Bereich als neuen Markt erschließen möchten.

Abgesehen von spezifischer Schulungsliteratur aus dem Behördenumfeld[1] werden die behördlichen Datenschutzbeauftragten eher selten coram publico verhandelt.[2] Soweit die Regelungen für behördliche und betriebliche Datenschutzbeauftragte identisch sind, ist dies unschädlich. Im Verwaltungsdatenschutz grenzen jedoch mehrere Bereiche mit eigenständigen Detailregelungen aneinander an: Die Sphäre der DS-GVO, die Sphäre der JI-RL und die unionsrechtsfreie Sphäre.[3]

1. DS-GVO-Sphäre

Die DS-GVO erfasst zunächst die allgemeine Verwaltungstätigkeit, wozu auch der Sozialdatenschutz nach dem SGB X und der Steuerdatenschutz nach der AO gehören. In der DSGVO-Sphäre sind die Regeln für behördliche und betriebliche Datenschutzbeauftragte weitestgehend identisch. Dies ist der unmittelbaren Geltung der DS-GVO in allen EU-Mitgliedsstaaten (vgl. Art. 288 Abs. 2 AEUV) und der sehr eingeschränkten Gestattung mitgliedsstaatlicher Regelungen durch Öffnungsklauseln geschuldet.

2. JI-RL-Sphäre

Werden Behörden demgegenüber zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder aber der Strafvollstreckung tätig, greift die speziellere RL 680/2016/EU (vulgo: „JI-RL“). Europäische Richtlinien gelten – anders als Verordnungen – nicht unmittelbar in allen EU-Mitgliedstaaten, sondern müssen erst in nationales Recht umgesetzt werden. Das vom Unionsgesetzgeber gesteckte Ziel ist dabei zwar verbindlich zu beachten, die Mitgliedsstaaten haben jedoch gem. Art. 288 Abs. 3 AEUV die Wahl der Form und der Mittel. Bundes- und Landesgesetzgeber können insoweit freier agieren, was sich dementsprechend in den Regeln über die behördlichen Datenschutzbeauftragten niederschlägt.

3. Unionsrechtsfreie Sphäre

Auch dann, wenn dem Unionsgesetzgeber keine Regelungskompetenz zukommt, gilt selbstredend der Datenschutz. Dies betrifft namentlich die Angelegenheiten der nationalen Sicherheit, der Streitkräfte, der Nachrichtendienste und der gemeinsamen Außen- und Sicherheitspolitik („GASP“, vgl. Art. 2 Abs. 2 lit. b DS-GVO). Hier ist allein der nationale Gesetzgeber aufgerufen, Regeln zu schaffen, die ein adäquates Schutzniveau sicherstellen.

II. Benennung

1. Benennungspflicht

In allen drei Sphären gilt eine flächendeckende Benennungspflicht für Datenschutzbeauftragte.

  • Art. 37 Abs. 1 lit. a DS-GVO macht unmissverständlich klar, dass die Benennungspflicht ohne Ansehung der Beschäftigtenzahl, der konkreten behördlichen Aufgaben oder der mit der Verarbeitung verbundenen Risiken zu erfolgen hat. Allein die Gerichte sind im Rahmen ihrer justiziellen Tätigkeit von der Regelung ausgenommen.
  • Art. 32 Abs. 1 JI-RL enthält einen entsprechenden Regelungsauftrag an die EU-Mitgliedsstaaten in derselben Breite (vgl. in der Folge § 5 Abs. 1 BDSG).
  • Für die unionsrechtsfreie Sphäre verweist sodann § 1 Abs. 8 BDSG auf die DS-GVO und die Teile I und II des BDSG.

Diese weite Verpflichtung des öffentlichen Sektors ist keineswegs selbstverständlich, sie stellt in Schleswig-Holstein bzw. Sachsen durchaus eine Neuerung gegenüber der bisherigen Rechtslage dar.

Sofern Private hoheitliche Aufgaben als Beliehene,[4] also in eigener Zuständigkeit und Verantwortung übernehmen, sind auch sie öffentliche Stellen im Sinne des Datenschutzrechts.[5] Daher fallen etwa TÜV-Prüfingenieur/innen und Bezirksschornsteinfegermeister/innen unter die Benennungspflicht für den öffentlichen Bereich. Für reine Verwaltungshelfer[6] wie z.B. Abschleppdienste gilt dies nicht.

2. Benennung von Vertretern

In Behörden werden typischerweise Vertreter/innen ernannt, um die kontinuierliche Erfüllung bestimmter Aufgaben unabhängig von einzelnen Personalien sicherzustellen. Stellvertretende Datenschutzbeauftragte sind auf Länderebene ausdrücklich gesetzlich angesprochen in Berlin,[7] Hessen,[8] Nordrhein-Westfalen[9] und Thüringen.[10] Das bedeutet freilich nicht, dass ausschließlich in diesen Ländern eine Vertreterbenennung zulässig wäre.[11] Für den Bund liegt insoweit eine deutliche Stellungnahme des BfDI vor: „Mit Rücksicht auf eine effizientere organisatorische Ausgestaltung der Funktion der behördlichen Datenschutzbeauftragten ist insbesondere in großen Behörden die Bestellung einer Stellvertreterin oder eines Stellvertreters empfehlenswert“.[12]

Zu beachten ist, dass Stellvertreter/innen jedenfalls dann echte Datenschutzbeauftragte mit sämtlichen Rechten und Pflichten sind, sobald der Vertretungsfall eintritt.[13] Ihre Aufgabe erschöpft sich nicht lediglich darin, eingehende Unterlagen mit einem Eingangsstempel zu versehen und dem/der originären Datenschutzbeauftragten bei seiner/ihrer Rückkehr vorzulegen. Individuelle Unterschiede in der Amtsführung sind dabei im Interesse einer kontinuierlichen innerbehördlichen Datenschutzkontrolle hinzunehmen. Für den nichtöffentlichen Bereich wurde dies durch das BAG bestätigt.[14] Für den öffentlichen Sektor kann nichts anderes gelten.

Kündigungs- und Abberufungsschutz, Weisungsfreiheit und die Unterstützungspflicht greifen somit auch für Stellvertreter/innen, sofern sie amtieren bzw. amtiert haben. Angemessene Fort- und Weiterbildungsmöglichkeiten sind dem/der Stellvertreter/in im Vorhinein zu gewähren. Im Gegenzug müssen Stellvertreter/innen dieselben Auswahlkriterien erfüllen wie originäre Beauftragte. Ihre Kontaktdaten sind spätestens mit Eintritt des Vertretungsfalles an die zuständige Aufsichtsbehörde zu melden.

3. Benennung mehrerer Datenschutzbeauftragter

Zu der Frage, ob eine öffentliche Stelle auch mehrere Datenschutzbeauftragte gleichzeitig bestellen kann, äußern sich weder DS-GVO, JI-RL noch BDSG explizit. Zwar ist in Art. 37 Abs. 1 DS-GVO nebst Erwägungsgrund 97, Art. 32 Abs. 1 JI-RL und § 5 Abs. 1 BDSG die Rede davon, dass der Verantwortliche „einen“ Beauftragten für den Datenschutz zu bestellen hat. Die Formulierung kann allerdings dahingehend verstanden werden, dass „mindestens“, nicht „höchstens“ ein/e Datenschutzbeauftragte/r zu bestellen ist.[15] Wie der Blick in § 31 Abs. 1 DSG NRW zeigt, ist die parallele Benennung mehrerer nicht denknotwendigerweise ausgeschlossen. Das Bundesarbeitsgericht unterscheidet in arbeitsrechtlicher Sicht überhaupt nicht zwischen stellvertretenden und parallel benannten Datenschutzbeauftragten.[16]

Entscheidend muss sein, inwiefern eine solche Parallelbenennung mit der Zielbestimmung vereinbar ist, eine effektive Datenschutzselbstkontrolle innerhalb der öffentlichen Stelle zu ermöglichen. Dabei bedeuten mehr Datenschutzbeauftragte nicht zwangsläufig mehr Datenschutz. Vielmehr besteht die reale Gefahr, dass gesetzlich garantierte Kompetenzen und Gewährleistungen unterlaufen werden.

Eine Mehrfachbestellung wird dagegen als zulässig angesehen werden können, sofern eine klare Aufgabentrennung zwischen den jeweiligen Datenschutzbeauftragten gegeben ist. Bereits nach alter Rechtslage[17] verlangte das VG Düsseldorf, dass die Aufgaben der Datenschutzbeauftragten so untereinander aufgeteilt sein müssen, dass feste Zuständigkeiten bestehen und somit eine Doppelprüfung identischer Vorgänge vermieden wird.[18]

Eine Teilabberufung zwecks nachträglicher Besetzung des zweiten Postens im Rahmen einer innerbehördlichen Neustrukturierung ist wegen des gesetzlichen Abberufungsschutzes freilich nur in engen Grenzen möglich.

4. Benennung eines/einer gemeinsamen Datenschutzbeauftragten

Öffentliche Stellen können gem. Art. 37 Abs. 3 DS-GVO, Art. 32 Abs. 3 JI-RL und § 5 Abs. 2 BDSG in allen drei Sphären unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe eine/n gemeinsame/n Datenschutzbeauftragt/e benennen.[19] Die Figur ähnelt derjenigen des gemeinsamen Datenschutzbeauftragten der Unternehmensgruppe in Art. 37 Abs. 2 DS-GVO, ohne jedoch die leichte Erreichbarkeit expressis verbis zur Voraussetzung zu erklären. Auf ein angemessenes Zeitkontingent ist im Sinne der effektiven Aufgabenerfüllung zu achten.[20]

Ein gemeinsamer DSB darf grundsätzlich nicht gegen den Willen der einzelnen Behörde benannt werden.[21] Dies würde den Grundsatz der Verantwortlichkeit im Datenschutzrecht durchbrechen. Bayern hat insofern eine Regelung getroffen, nach der „behördliche Datenschutzbeauftragte staatlicher Behörden […] durch eine höhere Behörde bestellt werden“ können.[22] Die Vorschrift ist bestenfalls missverständlich, schlechtestenfalls unionsrechtswidrig. Sie ist daher unionsrechtskonform als reine Zuständigkeitsregelung, nicht als Befugnisnorm zu verstehen.[23]

5. Benennung externer Dienstleister

Externe Dienstleister können gem. Art. 37 Abs. 6 DS-GVO sowohl bei öffentlichen als auch bei nicht-öffentlichen Stellen als Datenschutzbeauftragte benannt werden. Das Schweigen der JI-RL ist insoweit nicht als grundsätzliche Ablehnung zu verstehen. § 5 Abs. 4 BDSG zieht diese Regelung daher bspw. auf nationaler Ebene nach. Brandenburg hat im Anwendungsbereich der JI-RL dennoch eine einschränkende Regelung getroffen, wonach „der Verantwortliche […] eine Bedienstete oder einen Bediensteten“ bestellt. Diese Entscheidung des Landesgesetzgebers dürfte richtlinienkonform sein, da Art. 1 Abs. 3 JI-RL die Mitgliedstaaten nicht daran hindert, strengere Garantien festzulegen, als sie die JI-RL an sich vorsieht. Natürliche Personen sind ggf. nach dem Verpflichtungsgesetz zu verpflichten.[24] Ob juristische Personen als Datenschutzbeauftragte benannt werden können, bleibt derweil umstritten.[25]

III. Stellung

1. Freistellung bzw. Zeitkontingent

Da sich die Frage nach der Benennungspflicht im öffentlichen Bereich nicht stellt, wird dieser Kampf typischerweise auf der Ebene der völligen oder anteiligen Freistellung ausgefochten. Selbst die Besetzung eines originären Dienstpostens „bDSB“ garantiert keine einhundertprozentige Freistellung von weiteren Aufgaben, denn die Übertragung weiterer Aufgaben ist nach Art. 38 Abs. 6 Satz 1 DS-GVO und Art. 34 Hs. 1 JI-RL[26] durchaus zulässig.

Art. 38 Abs. 2 und 6 DS-GVO bzw. § 6 Abs. 2 iVm § 7 Abs. 2 Satz 2 BDSG garantieren jedoch insoweit ausreichende Ressourcen und die Freiheit von Interessenkollisionen.

a) Materielle Interessenkollisionen

Ein Interessenkonflikt wird immer dann angenommen, wenn es an einer klaren Trennung zwischen Verantwortlichen und Datenschutzbeauftragten fehlt und deshalb eine konsequente Anwendung der gesetzlichen Anforderungen infrage gestellt ist. Dies betrifft offenkundig die komplette Leitungsebene.[27] Ein Interessenkonflikt ist darüber hinaus anzunehmen, wenn der oder die Datenschutzbeauftragte die näheren Umstände und Ergebnisse der eigenen nebenamtlichen Tätigkeit kontrollieren müsste. Bei der Übernahme weiterer ComplianceFunktionen dürfen diese nicht mit der Verarbeitung und Auswertung personenbezogener Daten und möglicherweise sogar sensibler Personaldaten verbunden sein.

Datenschutzbeauftragte können insoweit nicht zugleich als Korruptionspräventionsbeauftragte[28] fungieren. Die Funktion des/der Informationsfreiheitsbeauftragten ist hingegen kompatibel.[29]

b) Zeitmangel

Ein Konflikt kann sich nicht zuletzt daraus ergeben, dass neben der weiteren Tätigkeit nicht mehr genug Zeit für Aufgaben im Datenschutz bleibt. Die Länder nehmen insoweit z.T. Programmsätze auf. So heißt es in Hessen: „Insbesondere ist die oder der Datenschutzbeauftragte im erforderlichen Umfang von der Erfüllung anderer Aufgaben freizustellen.“[30] Thüringen regelt: „Die öffentliche Stelle stellt sicher, dass […] dem Datenschutzbeauftragten für die Erfüllung der Aufgaben […] hinreichend Arbeitszeit verbleibt.“ Der BfDI geht demgegenüber von einer vollständigen Freistellung des behördlichen Datenschutzbeauftragten aus, wenn die Einrichtung mehr als 500 Beschäftigte hat.[31]

Die Festlegung rein anhand der Beschäftigtenzahl kann freilich nicht alle Konstellationen zeitlicher Belastung abdecken. Der LfD Mecklenburg-Vorpommern empfiehlt bspw. schlaglichtartig eine Vollzeitstelle in Landkreisen, kreisfreien und großen kreisangehörigen Städten.[32]

Der LfDI Rheinland-Pfalz hat demgegenüber in seinen Best-Practice-Empfehlungen zum Datenschutz in der Kommunalverwaltung eine Methodik zur Stellenbemessung des/ der kommunalen Datenschutzbeauftragten hinterlegt.[33] Für die Feststellung der anfallenden Arbeitsmenge seien demnach die Tätigkeiten festzulegen (in Abhängigkeit von der Aufgabenbeschreibung) und die Fallzahlen sowie die Mittlere Bearbeitungszeit zu schätzen oder zu messen. Für die Schätzung bzw. Messung seien u.a. folgende Aspekte maßgeblich:

  • Die Art der Verwaltung/das Aufgabenspektrum
  • Die Einwohnerzahl der Gemeinde
  • Die Anzahl der Bediensteten
  • Die Anzahl der IT-gestützten Arbeitsplätze und
  • Die Art und der Umfang der Verarbeitung personenbezogener Daten.

Der LfDI Rheinland-Pfalz gelangt so zu einer vereinfachten Personalbedarfsberechnungsformel.

In dessen Beispielrechnung hätten demnach Landkreise, kreisfreie und große kreisangehörige Städte mindestens einen Personalbedarf in Höhe von 50 % einer Vollzeitstelle des gehobenen Dienstes.[34]

2. Stellenbewertung

Neben der Stellenbemessung spielt im öffentlichen Dienst auch die Stellenbewertung eine hervorgehobene Rolle. Bei der Stellenbewertung geht es um die die Zuordnung eines Dienstpostens zu einer bestimmten Entgeltgruppe.[35] Dabei wird auf die allgemeinen Anforderungen der Stelle bei „Normalleistung“ abgestellt. Ziel ist die Bezahlung entsprechend der objektiven Arbeitsschwierigkeit.

Dies ist im Hinblick auf den behördlichen Datenschutz kein leichtes Unterfangen. Auch hierfür hat der LfDI Rheinland-Pfalz eine Methodik veröffentlicht.[36] Nach der Beispielrechnung wird etwa der/die Datenschutzbeauftragte einer Kreisverwaltung in Besoldungsgruppe A11 eingruppiert.[37]

Das ULD Schleswig-Holstein geht stattdessen generell mindestens von A12 aus. Die Tätigkeit der behördlichen Datenschutzbeauftragten sei stets so komplex, dass eine Unterschreitung dessen unangemessen sei.[38]

3. Besondere Informationsrechte

Vereinzelt stärken Bund und Länder die Position der/des behördlichen Datenschutzbeauftragten, indem besondere Informationsrechte verankert werden.

Wenn z.B. beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einzelne Betroffene nicht über die Abwehr eines Schadprogramms informiert werden, ist dies u.a. der/ dem behördlichen Datenschutzbeauftragten vorzulegen.[39] In Berlin erfolgt eine Mitteilung der Gründe für das Absehen von Transparenzinformationen.[40] In Niedersachsen erfolgt eine Unterrichtung, wenn öffentliche Stellen besondere Kategorien von Daten nach einer Interessenabwägung zu wissenschaftlichen Zwecken verarbeiten.[41] In Thüringen ist schließlich vor der erstmaligen Inbetriebnahme einer Verarbeitungstätigkeit das Verarbeitungsverzeichnis vorzulegen (mit der Gelegenheit zur Stellungnahme), und zwar unabhängig vom Erfordernis einer Datenschutz-Folgenabschätzung.[42]

4. Kontaktaufnahme des/der Datenschutzbeauftragten zur Aufsichtsbehörde?

Trotzdem ist nicht alles eitel Sonnenschein. Teilweise wird versucht, die Position des/der behördlichen Datenschutzbeauftragten zu schwächen. Dies betrifft namentlich die Kontaktaufnahme des/der Datenschutzbeauftragten zur zuständigen Aufsichtsbehörde.

Grds. können sich Datenschutzbeauftragte gem. Art. 39 Abs. 1 lit. f DS-GVO (vgl. Art. 34 lit. e JI-RL) durch die Datenschutzaufsicht beraten lassen. Gem. Art. 57 Abs. 3 DSGVO (vgl. Art. 46 Abs. 3 JI-RL) ist diese Leistung sogar unentgeltlich. Die Hürden für eine individuelle Beratung sollen also denkbar gering gehalten werden.

Abweichend regelt nun § 72 Abs. 2 BKAG, dass sich der/die dortige Datenschutzbeauftragte in Zweifelsfällen an die oder den BfDI wenden darf, jedoch erst, nachdem sie oder er das Benehmen mit der Leitung des Bundeskriminalamtes (BKA) hergestellt hat. Bei Unstimmigkeiten entscheidet sogar das Bundesministerium des Innern (BMI). Die Unionsrechtskonformität dieser Vorschrift darf mit Nachdruck bezweifelt werden.

Nichtsdestotrotz finden sich vergleichbare Ansätze auch in anderen Geschäftsbereichen. So existiert im Geschäftsbereich des Bundesministeriums der Finanzen (BMF) das sog. „eHandbuch Datenschutz“. Hierbei handelt es sich um eine Dienstanweisung an die nachgeordneten Behörden der Bundesfinanzverwaltung. Bei Schriftverkehr mit dem oder der BfDI sei demnach die oder der Datenschutzbeauftragte des BMF in geeigneter Weise zu beteiligen und der Datenschutzbeauftragte der jeweils übergeordneten Behörde zu informieren.[43] Derartige künstliche Hürden für die Kontaktaufnahme sind nicht hinnehmbar.

5. Kontaktaufnahme der Beschäftigten zum/zur behördlichen Datenschutzbeauftragten

Im unmittelbaren Zusammenhang mit der Kontaktaufnahme gegenüber der Aufsichtsbehörde ist auch der Fall zu betrachten, in dem Beschäftigte den behördlichen Datenschutzbeauftragten kontaktieren möchten.

Der BayLfD stellt insoweit unmissverständlich fest: „Eine Vorgabe an Beschäftigte, den Datenschutzbeauftragten in eigenen Angelegenheiten nur über die Personalstelle, über die Behördenleitung oder auf dem Dienstweg kontaktieren zu dürfen, ist nicht zulässig.“[44]

IV. Aufgaben

1. Gesetzliche Standardaufgaben in den drei Sphären

Die grundsätzlichen Aufgaben sind in der DS-GVO-Sphäre, der JI-RL-Sphäre sowie der unionsrechtsfreien Sphäre weitestgehend identisch. So finden sich die Unterrichtung und Beratung, die Überwachung, die Beratung bei der Datenschutz-Folgenabschätzung, die Zusammenarbeit mit der Aufsichtsbehörde und die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde gleichermaßen in Art. 39 Abs. 1 DS-GVO, Art. 34 JI-RL und § 7 BDSG.

2. Aufgaben des administrativen Datenschutzes

Bisweilen sollen behördliche Datenschutzbeauftragte zusätzlich weitere Aufgaben im Datenschutz übernehmen. Die Erfüllung datenschutzrechtlicher Pflichten, die originär den Verantwortlichen treffen, wird typischerweise als „administrativer Datenschutz“, in manchen Behörden auch als „operativer Datenschutz“ bezeichnet. Der Begriff des administrativen Datenschutzes geht – soweit ersichtlich – zurück auf eine Durchführungsbestimmung des Bundesministeriums der Verteidigung (BMVg) aus dem Jahr 2008.[45]

Nach einer aktuellen Umfrage des LfDI Baden-Württemberg unter sämtlichen Kommunen des Landes[46] werden den behördlichen Datenschutzbeauftragten in 18,8 % der Fälle Aufgaben des administrativen bzw. operativen Datenschutzes übertragen. Die Zahlen ergeben aber auch: Wenn ein/e interne/r Datenschutzbeauftragte/r benannt ist, liegt das Führen des Verarbeitungsverzeichnisses zu 65 % bei diesem/dieser; in 68 % der Fälle hat er/sie die Aufgabe, Datenpannen an die Aufsichtsbehörde zu melden.

Oberstes Gebot bei der Übernahme von administrativen Datenschutzaufgaben ist die Vermeidung von Interessenkonflikten.[47] Datenschutzbeauftragte dürfen sich nicht auf die Ebene des Verantwortlichen begeben, indem sie Zwecke und Mittel der Verarbeitung bestimmen. Beim Führen des Verarbeitungsverzeichnisses,[48] der Meldung von Datenpannen[49] und bspw. der Beantwortung von Auskunftsersuchen[50] besteht diese Gefahr nach hiesiger Auffassung nicht.

Die Durchführung einer vollständigen Datenschutz-Folgenabschätzung ist den Datenschutzbeauftragten hingegen untersagt.[51] Der Unionsgesetzgeber hat an mehreren markanten Stellen die rein beratende Funktion hervorgehoben (Art. 39 Abs 1 lit. c sowie Art. 35 Abs. 2 DS-GVO; Art. 34 lit. c JI-RL). Gem. Art. 35 Abs. 7 litt. b und d DS-GVO sowie Art. 27 Abs. 2 JI-RL ist zudem eine Bewertung hinsichtlich der Zwecke und eine Festlegung der technischen Abhilfemaßnahmen gefordert. Der Interessenkonflikt ist insoweit mit den Händen zu greifen.

Den behördlichen Datenschutzbeauftragten kann bspw. auch nicht durch eine entsprechende Dienstvereinbarung das Recht eingeräumt werden, Teleheimarbeitsplätze nach erfolgter Inspektion und Feststellung mangelhaften Datenschutzes eigenverantwortlich zu schließen.

3. Einzelgesetzliche Sonderaufgaben

Bundes- und Landesgesetzgeber haben unterdessen noch einige unverdächtige Sonderaufgaben verankert. So obliegt dem/der Datenschutzbeauftragten des BKA der Informations- und Erfahrungsaustausch mit anderen Datenschützern als gesetzliche Aufgabe[52]. Dies ist im Behördenumfeld per se gang und gäbe.

In Baden-Württemberg,[53] Bayern,[54] Niedersachsen[55] und im Saarland[56] ist die Stellungnahme zu geplanten Videoüberwachungsmaßnahmen einzuholen.

In der JI-RL-Sphäre ist zudem eine flächendeckende Protokollierung von Datentransaktionen vorgeschrieben. Die Protokolle werden gem. Art. 25 Abs. 2 JI-RL ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung, der Sicherstellung der Integrität und Sicherheit der personenbezogenen Daten sowie für Strafverfahren verwendet. Zugang zu den Protokollen hat insofern nur ein sehr eingeschränkter Personenkreis. Auf Bundesebene[57] sowie in Brandenburg,[58] Niedersachsen,[59] Nordrhein-Westfalen,[60] Schleswig-Holstein[61] und Thüringen[62] befinden sich hierunter auch die jeweiligen behördlichen Datenschutzbeauftragten, obwohl dies Art. 25 Abs. 3 JI-RL ausdrücklich gar nicht vorsieht. Die Datenschutzbeauftragten müssen demensprechend in den Stand versetzt werden, anfallende Protokolldateien zu lesen und zu verstehen.

V. Zusammenfassung

Obwohl im öffentlichen Bereich drei Datenschutz-Sphären koexistieren, wird das Rad durch Bundes- und Landesgesetzgeber nicht vollständig neu erfunden. Die Rahmenbedingungen für Benennung, Stellung und Aufgaben sind weitestgehend identisch und mit denjenigen im nicht-öffentlichen Bereich vergleichbar.

Einige wenige Detailregelungen stechen freilich heraus. So werden parallele Benennungen mehrerer und Vertreterbenennungen z.T. explizit berücksichtigt.[63] Weiche Formulierungen, etwa zum Zeitkontingent, werden unterdessen von den Aufsichtsbehörden konturiert.[64] Eine Stärkung erfährt die Position des oder der Datenschutzbeauftragten, wenn besondere Informationsrechte[65] oder spezifische Aufgaben und Kompetenzen[66] im Gesetz verankert werden, die im nicht-öffentlichen Bereich unbekannt sind. Je nach Interessenlage bietet es sich ggf. an, diese besonderen Regelungen im Rahmen der Benennung nachzuziehen, sofern sie im Einzelfall fehlen. Der behördliche Datenschutz kann insoweit auch als Inspiration für den nicht-öffentlichen Bereich dienen.

Dr. Lorenz Franck Der Verfasser ist Professor für IT-Recht mit öffentlich-rechtlichem Schwerpunkt an der Hochschule des Bundes für öffentliche Verwaltung, Brühl. Der vorliegende Text ist die erweiterte Fassung eines Vortrages auf dem 38. RDV-Forum am 20.11.2019 in Köln.

[1] BAköV, Behördliche Datenschutzbeauftragte in der Bundesverwaltung – Fortbildungsgang der BAköV mit Zertifikat unter beratender Mitwirkung der BfDI, Version 2.0, 2018.

[2] Vgl. einst Abel, MMR 2002, 289 ff.; zur neuen Rechtslage nunmehr Gürtler-Bayer, Der behördliche Datenschutzbeauftragte, 2014, S. 275 ff.; Gola, ZD 2019, 383 ff.; Heberlein, BayVBl. 2019, 622; BayLfD, Der behördliche Datenschutzbeauftragte – Orientierungshilfe, 2018, online unter https://www.datenschutz-bayern.de/6/bdsb.pdf. Generell zu Betriebsbeauftragten im öffentlichen Dienst Howald, öAT 2018, 139 ff.

[3] Im Einzelnen Reimer, Verwaltungsdatenschutzrecht, 2019, Rn. 6 ff.

[4] Näher Maurer/Waldhoff, Allgemeines Verwaltungsrecht, 19. Aufl. 2017, § 23 Rn. 63 ff.

[5] UDZ Saarland, Tätigkeitsbericht 2017/2018, S. 91 ff.; ULD SH, Tätigkeitsbericht 2019, S. 34

[6] Maurer/Waldhoff, Allgemeines Verwaltungsrecht, 19. Aufl. 2017, § 23 Rn. 66.

[7] 4 Abs. 3 BlnDSG.

[8] § 5 Abs. 1 HDSIG

[9] § 31 Abs. 1 DSG NRW

[10] § 13 Abs. 2 ThürDSG

[11] So bereits Franck/Reif, ZD 2015, 405, 407.

[12] BfDI, Info 4 – Die Datenschutzbeauftragten in Behörde und Betrieb, 2018, S. 77.

[13] Franck/Reif, ZD 2015, 405, 407.

[14] BAG, Urt. v. 27.07.2017, Az.: 2 AZR 812/16, online unter https://dejure.org/2017,26410 inkl. Verfahrensgang.

[15] Im Ergebnis auch Gola, in: Gola/Heckmann, BDSG, 2019, § 5 Rn. 19; Gola, ZD 2019, 383, 386.

[16] BAG, Urt. v. 27.07.2017, Az.: 2 AZR 812/16, online unter https://dejure.org/2017,26410.

[17] § 32a Abs. 1 Satz 4 DSG NRW a.F.

[18] VG Düsseldorf, Beschl. v. 08.02.2012, Az. 26 L 36/12 (http://dejure.org/2012,2460), bestätigt durch OVG NRW, Beschl. v. 23.04.2012, Az. 6 B 273/12 (http://dejure.org/2012,5106).

[19] Hierzu näher Raum, in: Auernhammer, DS-GVO/BDSG, 6. Aufl. 2018, § 5 BDSG Rn. 8 ff.; ferner Schmidt, Datenschutz-Praxis 11/2018, 16 f.

[20] Näher Gola, ZD 2019, 383, 387.

[21] Gola, ZD 2019, 383, 387.

[22] Art. 12 Abs. 3 BayDSG.

[23] Wohl auch Reimer, Verwaltungsdatenschutzrecht, 2019, Rn. 237.

[24] BayLfD, Der behördliche Datenschutzbeauftragte, 2018, S. 8.

[25] Dafür Franck/Reif, ZD 2015, 405, 407; Artikel-29-Datenschutzgruppe, WP 243 Rev. 01 – Guidelines on Data Protection Officers (‘DPOs’) vom 5.4.2017, S. 22 f. Dagegen Reimer, Verwaltungsdatenschutzrecht, 2019, Rn. 240; Gola, in: Gola/Heckmann, BDSG, 2019, § 5 Rn. 14; TLfDI, Tätigkeitsbericht 2018, S. 85.

[26] Wortlautargument: „zumindest“; ausdrücklich auch Erwägungsgrund 64 Satz 4 JI-RL.

[27] Heberlein, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 38 Rn. 22; Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 38 Rn. 40.

[28] Franck, NVwZ 2019, 854 f.

[29] Debus, DÖV 2012, 917, 922.

[30] § 6 Abs. 2 Satz 2 HDSIG.

[31] BfDI, Die DS-GVO in der Bundesverwaltung, 2018, 30.

[32] LfD M-V, Tätigkeitsbericht 2018, S. 47.

[33] LfDI RP, Best-Practice-Empfehlungen des LfDI Rheinland-Pfalz zum Datenschutz in der Kommunalverwaltung, 2017, S. 15 ff.

[34] LfDI RP, Best-Practice-Empfehlungen des LfDI Rheinland-Pfalz zum Datenschutz in der Kommunalverwaltung, 2017, S. 18.

[35] Näher Ganze, in: Böhle, Kommunales Personal- und Organisationsmanagement, 2017, § 22 Rn. 138 ff.

[36] Näher LfDI RP, Best-Practice-Empfehlungen des LfDI Rheinland-Pfalz zum Datenschutz in der Kommunalverwaltung, 2017, S. 18 ff.

[37] LfDI RP, Best-Practice-Empfehlungen des LfDI Rheinland-Pfalz zum Datenschutz in der Kommunalverwaltung, 2017, S. 20.

[38] ULD SH, Tätigkeitsbericht 2019, S. 35 unter Berufung auf FG München, Urt. v. 25.07.2017, Az.: 5 K 1403/16, online unter https://dejure.org/2017,49520.

[39] § 5 Abs. 4 Satz 3 BSIG

[40] § 23 Abs. 2 Satz 2 BlnDSG.

[41] § 13 Abs. 1 Satz 3 NDSG.

[42] § 15 Abs. 2 Satz 2 ThürDSG.

[43] BMF, eHandbuch Datenschutz, 2018, Ziffer 4.3.

[44] BayLfD, TB 2018, S. 159.

[45] VMBl 2008, S. 126 f.

[46] LfDI BW, Ergebnisse der Datenschutz-Umfrage bei allen Gemeinden in Baden-Württemberg, Version 1.0, 2019, online unter https://www.baden-wuerttemberg.datenschutz.de/gemeinden-umfrage/.

[47] Siehe oben, Punkt III. 1. a)

[48] So auch Artikel-29-Datenschutzgruppe, WP 243 Rev. 01 – Guidelines on Data Protection Officers (,DPOs’) vom 05.04.2017, S. 25. Differenzierend BayLfD, Der behördliche Datenschutzbeauftragte, 2018, S. 13, im Anschluss hieran Gola, ZD 2019, 383, 388.

[49] Differenzierend zwischen Entscheidung und Vollzug BayLfD, Der behördliche Datenschutzbeauftragte, 2018, S. 14; im Anschluss hieran Gola, ZD 2019, 383, 388.

[50] Ebenso Gola, ZD 2019, 383, 388

[51] So auch BayLfD, Der behördliche Datenschutzbeauftragte, 2018, S. 13; Gola, ZD 2019, 383, 388; kritisch allerdings Gürtler-Bayer, Der behördliche Datenschutzbeauftragte, 2014, S. 297.

[52] § 71 Abs. 1 BKAG.

[53] § 18 Abs 6 LDSG BW.

[54] Art. 24 Abs. 5 BayDSG.

[55] § 14 Abs. 3 NDSG.

[56] § 25 Abs. 6 SaarlDSG.

[57] § 76 Abs. 3 BDSG.

[58] § 25 Abs 3 BBPJMDSG.

[59] § 35 Abs. 4 Satz 1 Nr 3 NDSG.

[60] § 55 Abs. 3 DSG NRW.

[61] § 52 Abs. 3 DSG SH.

[62] § 51 Abs. 3 ThürDSG.

[63] Siehe Punkt II. 2. und 3.

[64] Siehe Punkt III. 1. b).

[65] Siehe Punkt III. 3.

[66] Siehe Punkt IV. 3.