Die Datenschutz-Grundverordnung weist der Rolle der Datenschutzbeauftragten eine starke Stellung zu. Zugleich werden der einzelnen Organisation als der für die Datenverarbeitung verantwortlichen Stelle klare Handlungsaufträge zur Unterstützung der Datenschutzbeauftragten übertragen, deren Missachtung sanktioniert werden kann. Datenschutz wird damit in das Bewusstsein aller gerückt – eine Grundvoraussetzung für den effektiven Schutz personenbezogener Daten und des zugrundeliegenden Grundrechts auf informationelle Selbstbestimmung.

Europaweite Benennungspflicht (Art. 37 Abs. 1 DS-GVO)

Eine Folge der Datenschutz-Grundverordnung (DS-GVO) ist die europaweite Pflicht für alle Verwaltungen, eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten zu benennen. Dies ergibt sich unmittelbar aus Art. 37 Abs. 1 lit. a DS-GVO, wonach die Benennungspflicht dann besteht, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird.

Anforderungsprofil

Maßgeblich für die Personalauswahl von Datenschutzbeauftragten ist die Fähigkeit, die von der Datenschutz-Grundverordnung genannten Aufgaben zu erfüllen. Neben profunden Kenntnissen der rechtlichen und technisch-organisatorischen Grundlagen setzt dies insbesondere die Fähigkeit zum Risikomanagement voraus (Art. 39 Abs. 2 DS-GVO). Die Bestellung externer Dienstleister ist ebenfalls möglich, allerdings sollte dann innerhalb der Verwaltung zumindest eine koordinierende Stelle eingerichtet werden. Abhängig von der Größe und Komplexität der verantwortlichen Stelle kann zudem die Berufung eines Teams, das aus der bzw. dem Datenschutzbeauftragten und weiteren Personen besteht, geboten sein.

Aufgabenspektrum von Datenschutzbeauftragten

Datenschutzbeauftragte nehmen neben ihrer Beratungsfunktion die Rolle von Compliance-Beauftragten zum Datenschutz ein, die intern nicht nur die Einhaltung der datenschutzrechtlichen Vorgaben überwachen, sondern auch die dazu innerhalb ihrer Organisation entwickelten Strategien zum Schutz personenbezogener Daten inhaltlich bewerten (Art. 39 Abs. 1 lit. b und c DS-GVO), z.B. bei der Datenschutz-Folgenabschätzung. So überprüfen nach dem Willen der Verordnung die Datenschutzbeauftragten dabei z.B. die Datenschutzverträglichkeit der intern getroffenen Zuweisung von Zuständigkeiten oder die zur Sensibilisierung der Beschäftigten durchgeführten Maßnahmen. Zusammen mit ihrer unmittelbaren Berichtspflicht gegenüber der höchsten Managementebene verfügen die Datenschutzbeauftragten damit über umfassende Einflussmöglichkeiten in den von ihnen betreuten Organisationseinheiten.

Datenschutzmanagement / Pflichten des Verantwortlichen

Die mit der Benennung von Datenschutzbeauftragten einhergehenden Pflichten der Verantwortlichen werden von der Verordnung deutlich beschrieben (insbesondere Art. 38 Abs. 1, Abs. 2, Abs. 3, Abs. 6 Satz 2 DS-GVO). Für die interne Einbindung der Datenschutzbeauftragten ist bereits die Pflicht zur Veröffentlichung ihrer Kontaktdaten bedeutsam (Art. 37 Abs. 7 DS-GVO). Inhaltlich mehr Gewicht dürfte allerdings die klare Verpflichtung der Verantwortlichen haben, den Datenschutzbeauftragten die zur Aufgabenerfüllung erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen (Art. 38 Abs. 2 DS-GVO). Daneben sollte auch die von der Datenschutz-Grundverordnung explizit verlangte und in die Verantwortlichkeit der Organisation gestellte frühzeitige Einbindung der Datenschutzbeauftragten in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen (Art. 38 Abs. 1 DS-GVO) regelmäßig Beachtung finden. Die Kontaktdaten der Datenschutzbeauftragten sind zu veröffentlichen, zudem sind die benannten Datenschutzbeauftragten der Aufsichtsbehörde zu melden.

Für die Meldung der Kontaktdaten von Datenschutzbeauftragten steht ein Online-Formular zur Verfügung.

Unterstützung für behördliche Datenschutzbeauftragte des Landes Rheinland-Pfalz
Im Sinne eines präventiven Datenschutzes unterstützt der LfDI die behördlichen Datenschutzbeauftragten des Landes Rheinland-Pfalz bei ihrer Arbeit. Anfragen zu konkreten Problemen oder allgemeinen datenschutzrechtlichen Fragestellungen sind jederzeit möglich.

Zudem führt der LfDI auf seiner Internetseite die so genannte Kommunale Fallbörse. Die dort aufgeführten Fälle aus der Praxis geben wertvolle Hinweise, wie im Alltag relevante Vorgänge datenschutzkonform umgesetzt werden können. Darüber hinaus findet ein- bis zweimal jährlich ein Austausch zwischen dem LfDI und den behördlichen Datenschutzbeauftragten in Form eines Netzwerktreffens statt, an dem alle relevanten Vertreterinnen und Vertreter der rheinland-pfälzischen Kommunen teilnehmen können. Bei dieser Gelegenheit informiert der LfDI über seine Arbeit und erläutert aktuelle Themen des Datenschutzes.

Personalbedarfsbemessung

Als Ergebnis eines umfangreichen Kommunalprojektes in den Jahren 2016 und 2017 hat der LfDI Rheinland-Pfalz seine so genannten „Best-Practice-Empfehlungen“ herausgegeben und dabei u.a. einen Vorschlag zur Stellenbemessung kommunaler Datenschutzbeauftragter erarbeitet.  Die noch vor Inkrafttreten der DS-GVO ausgesprochenen Empfehlungen wurden im Jahr 2026 auf Basis einer unter den Kommunalverwaltungen durchgeführten Umfrage aktualisiert. Hintergrund dafür war, nach einer ersten Phase der Implementierung und Umsetzung der Vorgaben aus der DS-GVO in eine Erhebung und Bewertung des Ist-Zustandes einzutreten.  Die abschließende Auswertung der Umfrageergebnisse und die Erfahrungen aus der Prüfungspraxis des LfDI haben gezeigt, dass die bisherige Personalbedarfsberechnung angepasst werden sollte. Grund dafür sind tiefgreifende Veränderungen in der täglichen Arbeit der behördlichen Datenschutzbeauftragten, die vor allem durch die fortschreitende Digitalisierung der öffentlichen Verwaltung entstanden sind. Einzelheiten hierzu hat der LfDI in seinem Infoblatt zur Personalbedarfsbemessung  bekanntgegeben, welches den Verantwortlichen als Orientierung dienen soll.