LfDI Logo 001011001100111
zum Informationsfreiheitsangebot  -  Datenschutzerklärung  -  Impressum  -  Kontakt   A A A  

Hinweise zum behördlichen Datenschutzbeauftragten

Der behördliche Datenschutzbeauftragte
(§ 11 Landesdatenschutzgesetz - LDSG)

  1. Zielsetzung

    Mit der Bestellung eines behördlichen Datenschutzbeauftragten soll gewährleistet werden, dass eine "Datenschutzfachkraft vor Ort" die öffentliche Stelle bei der Umsetzung der komplexen Materie des Datenschutzes unterstützt und berät. Nach der Intention des Gesetzgebers soll der behördliche Datenschutzbeauftragte innerhalb der Verwaltung die zentrale Anlaufstelle in allen Datenschutzfragen und Koordinator für alle Datenschutzmaßnahmen sein.
  2. Bestellung

    Die in § 11 Abs. 1 LDSG genannte Mindestzahl von zehn Beschäftigten bezieht sich nur auf solche Personen, die regelmäßig personenbezogene Daten automatisiert oder in herkömmlichen Verfahren verarbeiten. Dies kann auch bei Aushilfskräften der Fall sein.

    Die Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten besteht für alle öffentlichen Stellen i.S.d. § 2 Abs. 1 LDSG (nicht das einzelne Amt oder Referat), also auch für Krankenhäuser in öffentlicher Trägerschaft, öffentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen und den Sozialleistungsbereich. Gerichte und der Rechnungshof haben einen behördlichen Datenschutzbeauftragten nur in Bezug auf die Aufgaben zu bestellen, die nicht ihrer besonderen Unabhängigkeitsgarantie unterliegen ("Verwaltungsangelegenheiten"). Nichtöffentliche Stellen haben nach Maßgabe des § 4f Bundesdatenschutzgesetz (BDSG) einen betrieblichen Datenschutzbeauftragten zu bestellen.

    Ein behördlicher Datenschutzbeauftragter kann diese Funktion auch für mehrere öffentliche Stellen wahrnehmen (§ 11 Abs. 1 Satz 5 LDSG). Voraussetzung für eine gemeinsame Bestellung ist jedoch, dass im Vorfeld die Zustimmung der zuständigen Aufsichtsbehörde eingeholt wurde und die personalvertretungsrechtlichen Bestimmungen beachtet werden (s.u.).

    Sachliche Gesichtspunkte sprechen jedoch dafür, den behördlichen Datenschutzbeauftragten aus den eigenen Reihen zu rekrutieren. Die Bestellung eines privaten Dienstleisters als externen behördlichen Datenschutzbeauftragten kommt grundsätzlich nicht in Betracht.
  3. Organisatorische Einbindung

    Der behördliche Datenschutzbeauftragte hat insoweit eine Sonderstellung innerhalb der Behörde, als er der Behördenleitung unmittelbar unterstellt ist. Er kann sich in allen Angelegenheiten, die seinen Aufgabenbereich betreffen, ohne Einhaltung des Dienstweges unmittelbar an die Behördenleitung wenden. Ist diese nicht bereit, seinen datenschutzrechtlichen Anregungen zu folgen, hat er die Möglichkeit, den Landesbeauftragten für den Datenschutz (LfD) mit der Angelegenheit zu befassen. Der behördliche Datenschutzbeauftragte ist bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
  4. Fachkunde

    Vom Vorliegen der erforderlichen Fachkunde ist auszugehen, wenn der behördliche Datenschutzbeauftragte über die notwendigen Kenntnisse des Datenschutzrechts verfügt, die besonderen Risiken der automatisierten Datenverarbeitung einzuschätzen vermag und in der Lage ist, die ihm obliegenden Aufgaben in Bezug auf Beratung und Schulung in Datenschutzfragen wahrzunehmen. Ein neu zum behördlichen Datenschutzbeauftragten bestellter Mitarbeiter kann sich die erforderliche Sachkenntnis durch das Studium von Fachliteratur (z.B. Kommentare zum LDSG, Tätigkeitsberichte des LfD) oder durch die Teilnahme an Fortbildungsveranstaltungen (z.B. der Kommunalakademie Rheinland-Pfalz / Fachhochschule für öffentliche Verwaltung - siehe http://www.akademie-rlp.de/) verschaffen.
  5. Zuverlässigkeit

    Im Rahmen der Zuverlässigkeit des behördlichen Datenschutzbeauftragten ist sicherzustellen, dass mit dieser Funktion nur solche Bedienstete betraut werden, die dadurch nicht in einen Interessenwiderstreit mit ihren regelmäßig wahrzunehmenden sonstigen Aufgaben geraten. Dies wäre dann der Fall, wenn der behördliche Datenschutzbeauftragte in seinen sonstigen Tätigkeiten Interessen verfolgen müsste, die das Anliegen des Datenschutzes hindern: der Systemverwalter beispielsweise wird in erster Linie Funktionsfähigkeit und Kostengünstigkeit beachten; Datenschutz wird bei ihm möglicherweise nur eine geringe Bedeutung haben. Grundsätzlich nicht geeignet sind deshalb Mitarbeiter der Organisationsabteilung, der IT-Administration oder der IT-Anwendungsbetreuung. Grundsätzlich geeignet sind z.B.: in der Revision tätige Mitarbeiter, Sicherheitsbeauftragte, Beschäftigte des Rechnungsprüfungsamtes oder der Stadtkasse, Bedienstete mit Aufgaben der jeweiligen Fachverwaltung (Lehrer, Polizeibeamte); diese haben im Unterschied zu den Angehörigen von allgemeinen Diensten (z.B. Personalverwaltung) den Vorzug, das Fachgebiet und seine Besonderheiten genau zu kennen.
  6. Mitbestimmung des Personalrats

    Die Bestellung und Abberufung des behördlichen Datenschutzbeauftragten ist nach § 80 Abs. 2 Nr. 8 LPersVG mitbestimmungspflichtig. Wird ein Bediensteter einer anderen öffentlichen Stelle zum behördlichen Datenschutzbeauftragten bestellt, hat der örtliche Personalrat beider Stellen mitzubestimmen.
  7. Aufgaben des behördlichen Datenschutzbeauftragten (vgl. § 11 Abs. 2 LDSG)

    • Der behördliche Datenschutzbeauftragte hat die Aufgabe, die öffentlichen Stellen bei der Ausführung des LDSG sowie anderer Vorschriften über den Datenschutz zu unterstützen. Seine vorrangige gesetzliche Aufgabe ist somit die Beratung; Kontrollaufgaben sind ihm, anders als dem betrieblichen Datenschutzbeauftragten nach dem BDSG, nicht übertragen.

      Der behördliche Datenschutzbeauftragte hat bei Verfahren der automatisierten Datenverarbeitung auf die Einhaltung der Datenschutzvorschriften hinzuwirken. Dies gilt nicht nur in Bezug auf die technisch-organisatorischen Anforderungen nach § 9 LDSG, sondern auch dann, wenn ein Verfahren die Bewertung einzelner Persönlichkeitsmerkmale zum Gegenstand hat. Denn Entscheidungen, die für die Betroffenen eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, dürfen nicht einem Computerprogramm überlassen werden (§ 5 Abs. 5 LDSG). Der behördliche Datenschutzbeauftragte hat deshalb zu prüfen, ob das betreffende Verfahren dem Verbot automatisierter Einzelentscheidungen Rechnung trägt. Damit der behördliche Datenschutzbeauftragte diese Aufgaben wahrnehmen kann, ist er von der öffentlichen Stelle rechtzeitig zu unterrichten (§ 11 Abs. 3 Satz 2 Nr. 1 LDSG).
    • Zu den besonders wichtigen Aufgaben des behördlichen Datenschutzbeauftragten gehört die Verpflichtung, die Bediensteten mit den Datenschutzvorschriften vertraut zu machen. (z.B. durch Schulungsveranstaltungen und –gespräche oder Vorträge - § 11 Abs. 3 Satz 2 Nr. 2 LDSG)
    • Bei besonders risikobehafteten Verfahren hat eine vorherige datenschutzrechtliche Prüfung durch den behördlichen Datenschutzbeauftragten stattzufinden (Vorabkontrolle). Zu den Einzelheiten siehe Checkliste zu § 9 Abs. 5 LDSG.
    • Der behördliche Datenschutzbeauftragte hat die Aufgabe, das Verfahrensverzeichnis nach § 10 Abs. 2 LDSG zu führen und dieses auf Antrag jedermann nach Maßgabe des § 10 Abs. 4 LDSG verfügbar zu machen.
    • Nach § 11 Abs. 3 Nr. 5 LDSG hat der behördliche Datenschutzbeauftragte im Einzelfall den jeweils zuständigen Stellen der Behörde Hinweise zur Einhaltung von Datenschutzvorschriften zu geben. Anlass für derartige Initiativen können konkrete Anfragen Betroffener oder des Personalrats sein sowie Gesetzesänderungen, gerichtliche Entscheidungen oder sonstige Veröffentlichungen über Datenschutzfragen.
    • Nach § 11 Abs. 5 Satz 2 LDSG können sich Betroffene (z.B. Hinweisgeber, Bedienstete der verantwortlichen Stelle, Personen, deren Daten verarbeitet werden) jederzeit an den behördlichen Datenschutzbeauftragten wenden. Er ist dann verpflichtet, das Anliegen eines Petenten zu prüfen und ihm das Ergebnis seiner Prüfung mitzuteilen. In Zweifelsfällen kann sich der behördliche Datenschutzbeauftragte an den LfD wenden.
      Der behördliche Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität des Betroffenen verpflichtet, soweit er durch diesen nicht hiervon befreit ist (§ 11 Abs. 2 LDSG). Die Verschwiegenheit des behördlichen Datenschutzbeauftragten ist durch technische und organisatorische Datenschutzmaßnahmen zu sichern. Hierzu gehört, dass an ihn in seiner Funktion als Datenschutzbeauftragter adressierte Postsendungen unmittelbar und ungeöffnet zugeleitet werden. Die Behördenleitung kann nur verlangen, dass ihr der behördliche Datenschutzbeauftragte die nicht unter die Verschwiegenheitspflicht fallenden Vorgänge vorlegt. Die Pflicht nach § 11 Abs. 2 ist nur eine von mehreren Geheimhaltungspflichten, die dem behördlichen Datenschutzbeauftragten obliegen. Selbstverständlich hat er auch das Datengeheimnis nach § 8 LDSG und dienstrechtliche Verschwiegenheitspflichten zu beachten.
    • Er hat die Aufgabe zu prüfen, ob bei einem automatisierten Verfahren gem. § 18 Abs. 1 eine Unterrichtung der Betroffenen von Amts wegen zu erfolgen hat.

    Der Behörde ist es unbenommen, dem behördlichen Datenschutzbeauftragten weitere Aufgaben zuzuweisen. Beispiele:

    • Vornahme der Anmeldung zum Datenschutzregister nach § 27 LDSG,
    • Verpflichtung der Mitarbeiter auf das Datengeheimnis nach § 8 LDSG
    • Koordination des Schriftwechsels mit dem LfD
    • Kontrollaufgaben, wie etwa die Auswertung von Protokolldateien oder die Überwachung der ordnungsgemäßen Aktenvernichtung.
  8. Unterstützungspflicht der verantwortlichen Stelle

    Die verantwortliche Stelle ist gesetzlich verpflichtet, den behördlichen Datenschutzbeauftragten bei seiner Aufgabenwahrnehmung zu unterstützen (§ 11 Abs. 5 LDSG). Die Unterstützungspflicht erstreckt sich insbesondere auf die Erteilung der notwendigen Auskünfte der jeweiligen Fachabteilungen, etwa bei der Durchführung von Vorabkontrollen oder der Führung des Verfahrensverzeichnisses. § 11 Abs. 3 Satz 2 Nr. 1 LDSG sieht deshalb vor, dass er über Vorhaben der automatisierten Datenverarbeitung rechtzeitig zu unterrichten ist. Die Unterstützungspflicht kann im Einzelfall aber auch bedeuten, dass der behördliche Datenschutzbeauftragte mit angemessenen Sachmitteln (z.B. Gerätschaften, Räumlichkeiten) auszustatten ist oder ihm Fortbildungsmittel und -möglichkeiten zur Verfügung zu stellen sind, sofern dies für seine Aufgabenerfüllung erforderlich ist. Die konkrete Ausgestaltung dieser Verpflichtung liegt innerhalb des Organisationsermessens der öffentlichen Stelle. Gleiches gilt für die Frage, ob der behördliche Datenschutzbeauftragte auch in personeller Hinsichtzu verstärken bzw. von sonstigen Tätigkeiten freizustellen ist. Dies kann insb. bei größeren Organisationseinheiten, wie z.B. Krankenkassen, Kliniken oder Hochschulen, in Betracht kommen.

 zurück nach oben

© 2014 - Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz - Datenschutzerklärung - Impressum - Kontakt