Die Datenschutz-Grundverordnung weist der Rolle der Datenschutzbeauftragten eine starke Stellung zu. Zugleich werden der einzelnen Organisation als der für die Datenverarbeitung verantwortlichen Stelle klare Handlungsaufträge zur Unterstützung der Datenschutzbeauftragten übertragen, deren Missachtung sanktioniert werden kann. Datenschutz wird damit in das Bewusstsein aller gerückt – eine Grundvoraussetzung für den effektiven Schutz personenbezogener Daten und des zugrundeliegenden Grundrechts auf informationelle Selbstbestimmung.

Europaweite Benennungspflicht (Art. 37 Abs. 1 DS-GVO)

Eine Folge der Datenschutz-Grundverordnung (DS-GVO) ist die europaweite Pflicht für alle Verwaltungen, eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten zu benennen. Dies ergibt sich unmittelbar aus Art. 37 Abs. 1 lit. a DS-GVO, wonach die Benennungspflicht dann besteht, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird.

Anforderungsprofil

Maßgeblich für die Personalauswahl von Datenschutzbeauftragten ist die Fähigkeit, die von der Datenschutz-Grundverordnung genannten Aufgaben zu erfüllen. Neben profunden Kenntnissen der rechtlichen und technisch-organisatorischen Grundlagen setzt dies insbesondere die Fähigkeit zum Risikomanagement voraus (Art. 39 Abs. 2 DS-GVO). Die Bestellung externer Dienstleister ist ebenfalls möglich, allerdings sollte dann innerhalb der Verwaltung zumindest eine koordinierende Stelle eingerichtet werden. Abhängig von der Größe und Komplexität der verantwortlichen Stelle kann zudem die Berufung eines Teams, das aus der bzw. dem Datenschutzbeauftragten und weiteren Personen besteht, geboten sein.

Aufgabenspektrum von Datenschutzbeauftragten

Datenschutzbeauftragte nehmen neben ihrer Beratungsfunktion die Rolle von Compliance-Beauftragten zum Datenschutz ein, die intern nicht nur die Einhaltung der datenschutzrechtlichen Vorgaben überwachen, sondern auch die dazu innerhalb ihrer Organisation entwickelten Strategien zum Schutz personenbezogener Daten inhaltlich bewerten (Art. 39 Abs. 1 lit. b und c DS-GVO), z.B. bei der Datenschutz-Folgenabschätzung. So überprüfen nach dem Willen der Verordnung die Datenschutzbeauftragten dabei z.B. die Datenschutzverträglichkeit der intern getroffenen Zuweisung von Zuständigkeiten oder die zur Sensibilisierung der Beschäftigten durchgeführten Maßnahmen. Zusammen mit ihrer unmittelbaren Berichtspflicht gegenüber der höchsten Managementebene verfügen die Datenschutzbeauftragten damit über umfassende Einflussmöglichkeiten in den von ihnen betreuten Organisationseinheiten.

Datenschutzmanagement / Pflichten des Verantwortlichen

Die mit der Benennung von Datenschutzbeauftragten einhergehenden Pflichten der Verantwortlichen werden von der Verordnung deutlich beschrieben (insbesondere Art. 38 Abs. 1, Abs. 2, Abs. 3, Abs. 6 Satz 2 DS-GVO). Für die interne Einbindung der Datenschutzbeauftragten ist bereits die Pflicht zur Veröffentlichung ihrer Kontaktdaten bedeutsam (Art. 37 Abs. 7 DS-GVO). Inhaltlich mehr Gewicht dürfte allerdings die klare Verpflichtung der Verantwortlichen haben, den Datenschutzbeauftragten die zur Aufgabenerfüllung erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen (Art. 38 Abs. 2 DS-GVO). Daneben sollte auch die von der Datenschutz-Grundverordnung explizit verlangte und in die Verantwortlichkeit der Organisation gestellte frühzeitige Einbindung der Datenschutzbeauftragten in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen (Art. 38 Abs. 1 DS-GVO) regelmäßig Beachtung finden. Die Kontaktdaten der Datenschutzbeauftragten sind zu veröffentlichen, zudem sind die benannten Datenschutzbeauftragten der Aufsichtsbehörde zu melden.

Für die Meldung der Kontaktdaten von Datenschutzbeauftragten steht ein Online-Formular zur Verfügung.

Unterstützung für behördliche Datenschutzbeauftragte des Landes Rheinland-Pfalz
Im Sinne eines präventiven Datenschutzes unterstützt der LfDI die behördlichen Datenschutzbeauftragten des Landes Rheinland-Pfalz bei ihrer Arbeit. Anfragen zu konkreten Problemen oder allgemeinen datenschutzrechtlichen Fragestellungen sind jederzeit möglich.

Zudem führt der LfDI auf seiner Internetseite die so genannte Kommunale Fallbörse. Die dort aufgeführten Fälle aus der Praxis geben wertvolle Hinweise, wie im Alltag relevante Vorgänge datenschutzkonform umgesetzt werden können. Darüber hinaus findet ein- bis zweimal jährlich ein Austausch zwischen dem LfDI und den behördlichen Datenschutzbeauftragten in Form eines Netzwerktreffens statt, an dem alle relevanten Vertreterinnen und Vertreter der rheinland-pfälzischen Kommunen teilnehmen können. Bei dieser Gelegenheit informiert der LfDI über seine Arbeit und erläutert aktuelle Themen des Datenschutzes.

Das letzte Netzwerktreffen fand im 4. Quartal 2023 statt. Ein Termin für 2024 steht noch nicht fest.

Best-Practice-Empfehlungen

In den Jahren 2016 und 2017 hat der LfDI Rheinland-Pfalz ein aufwändiges Kommunalprojekt aufgelegt und gemeinsam mit kommunalen Verwaltungen Möglichkeiten für strukturelle Verbesserungen bei der Sicherstellung von Datenschutz und Datensicherheit in den Kommunen herausgearbeitet. Das Kommunalprojekt resultierte u.a. in Best-Practice-Empfehlungen, die den Verwaltungen Wege aufzeigen, um ihre Aufgaben effektiv und zugleich datenschutzgerecht zu erfüllen.

Eine wichtige Rolle spielen dabei die kommunalen Datenschutzbeauftragten. Mit ihnen und den beteiligten Kommunen wurde als ein Ergebnis des Projekts ein Vorschlag zur Stellenbemessung und Stellenbewertung kommunaler Datenschutzbeauftragter erarbeitet.

Eine Evaluation dieses Bedarfes ist für das Jahr 2024 vorgesehen. Ziel ist es, den behördlichen Datenschutzbeauftragten und den verantwortlichen Kommunen ein effektives Instrument zur konkreten Bedarfsermittlung an die Hand zu geben.