Behördlicher Datenschutzbeauftragter

Aufgaben und Rechte der behördlichen Datenschutzbeauftragten (bDSB) nach § 19a Berliner Datenschutzgesetz (BlnDSG) vom 5.8.2001 in der Fassung vom 04.04.2016 (GVBl. S. 150)

In der folgenden Zusammenfassung sind die Aufgaben der behördlichen Datenschutzbeauftragten (und der Stellvertretung) im Land Berlin dargestellt, die sich aufgrund des Berliner Datenschutzgesetzes (§ 19a Abs.1 BlnDSG), aber auch anhand von Erkenntnissen und Empfehlungen des Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) aus Prüfungen und Kontakten mit Behörden und sonstigen öffentlichen Stellen, die in der Regel auch Daten verarbeitende Stellen sind, ergeben.

Wichtigste Voraussetzung für die Aufnahme seiner Tätigkeit ist das Bestehen eines öffentlichen Dienst- und Arbeitsverhältnisses, d.h. die oder der behördliche Datenschutzbeauftragte muss bei einer Behörde oder sonstigen öffentlichen Stelle des Landes Berlin (nachgeordnete Behörde, landesunmittelbare Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts) beschäftigt sein. Behördliche Datenschutzbeauftragte unterliegen nach §19a Abs.2 BlnDSG keinen Weisungen in Datenschutzangelegenheiten.

Die Einsetzung eines externen behördlichen Datenschutzbeauftragten ist nicht zulässig. Sie können sich in Angelegenheiten des Datenschutzes unmittelbar an die Leitung der Daten verarbeitenden Stelle wenden. Bei der Wahrnehmung ihrer Aufgaben haben die behördlichen Datenschutzbeauftragten auch die Möglichkeit, sich von Leitern und Mitarbeitern sachkundiger Bereiche (z.B. Organisationsstelle, IT-Stelle u.a.) beraten zu lassen.

Wird die Funktion der oder des behördlichen Datenschutzbeauftragten einer Dienstkraft zusätzlich übertragen, sind Inkompatibilitätsprobleme zu beachten.

Behördliche Datenschutzbeauftragte dürfen ausdrücklich keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt sein. Daher sollte diese Funktion z.B. nicht der Leitung der Bereiche Personal, Organisation, Datenverarbeitung/Informationstechnik oder Leitungen von Organisationseinheiten mit intensiver Anwendung personenbezogener Daten übertragen werden.

Des weiteren wird im § 19a Abs. 2 und 3 BlnDSG insbesondere auf folgende Voraussetzungen für die Tätigkeit hingewiesen:

  • Erforderliche Fachkenntnis und Zuverlässigkeit;
  • Verschwiegenheitspflicht;
  • Benachteiligungsverbot;
  • Widerrufschutz;
  • Rechtzeitige Unterrichtung über automatisierte Vorhaben und
  • Unterstützung (insbesondere Sachmittel) durch die Daten verarbeitende Stelle oder Behörde.

Die schriftlich vorzunehmende Bestellung des behördliche Datenschutzbeauftragte (und der Stellvertretung) sollte zum frühestmöglichen Zeitpunkt erfolgen.
Zur Erfüllung der Aufgaben haben die behördlichen Datenschutzbeauftragten nach §19a BlnDSG bestimmte Befugnisse. Danach besteht Anspruch darauf,

  • alle Diensträume zu betreten und Zugriff auf elektronische Einrichtungen zu erhalten (für Besichtigungen und Kontrollen) und
  • in alle dienstlichen Unterlagen und Akten einzusehen (und dabei personenbezogene Daten zur Kenntnis zu nehmen) und auf Verlangen Unterlagen und Akten bzw. Kopien zur Verfügung gestellt zu bekommen.

Aus dem Berliner Datenschutzgesetz (BlnDSG) abgeleitete Aufgaben:

  • Sicherstellung der Ausführung des BlnDSG sowie anderer Rechtsvorschriften über den Datenschutz für ihren Geschäftsbereich (§ 19 Abs. 1 Satz 1 BlnDSG). Den behördlichen Datenschutzbeauftragten wird eine übergeordnete koordinierende und überwachende Funktion zugewiesen. Die Daten verarbeitenden Stellen bleiben in der Verantwortung für die Beachtung datenschutzrechtlicher Bestimmungen. Die behördlichen Datenschutzbeauftragten kontrollieren deren Einhaltung. Hierzu können auch Stellungnahmen eingefordert werden. Bei Meinungsverschiedenheiten zwischen der Daten verarbeitenden Stelle und dem behördliche Datenschutzbeauftragte entscheidet die Hausleitung. Beiden Parteien bleibt es jedoch unbenommen, in solchen Fällen den Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) einzuschalten.
  • Gewährleistung der ordnungsgemäßen Anwendungen der DVProgramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen (§ 19 Abs. 1 Satz 2 BlnDSG); zu diesem Zweck sind die behördlichen Datenschutzbeauftragten über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten, um bereits bei der Entwicklung dieser Automationsvorhaben Belange des Datenschutzes berücksichtigen zu können.
  • Durchführung der Vorabkontrolle vor Beginn der Verarbeitung bei Verfahren, die besondere Risiken für Rechte und Freiheiten von Betroffenen enthalten (§ 19a Abs. 1 Satz 3 Nr. 1 BlnDSG). Das betrifft nach § 5 Abs. 3 Satz 2 BlnDSG Verfahren mit Daten, die einem Berufs- und Amtsgeheimnis unterliegen oder die zur Verfolgung von Straftaten und Ordnungswidrigkeiten erhoben werden. Dabei ist insbesondere die Wirksamkeit der technischen und organisatorischen Maßnahmen nach § 5 BlnDSG zu prüfen.
  • Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen in den Erfordernissen des Datenschutzes, insbesondere bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich (§ 19a Abs.1 Satz 3 Nr.3 BlnDSG). Die diesbezüglichen Informationen für die Beschäftigten können auch in schriftlicher Form erfolgen; bei kleineren Stellen können auch im Rahmen von Dienstbesprechungen Anregungen und Informationen zu Datenschutzfragen weitervermittelt werden.
  • Unterstützung der Behörde oder sonstigen öffentlichen Stellen und der dortigen Personalvertretung bezüglich der Sicherstellung des Datenschutzes bei der Verarbeitung personenbezogener Daten.
  • Führung der Beschreibungen und des Verzeichnisses (internes Verfahrensverzeichnis) nach § 19 Abs. 2 BlnDSG (§ 19a Abs.1 Satz 4 BlnDSG); die Angaben hierzu sind den behördlichen Datenschutzbeauftragten von der Daten verarbeitenden Stelle zur Verfügung zu stellen und er hat diese für die Einsichtnahme durch jedermann bereitzuhalten.
  • Verpflichtung auf das Datengeheimnis (§ 8 Abs. 2 BlnDSG), sofern nicht durch die Personalverwaltung / Büroleitung vorgenommen.

Spezielle Aufgaben

1. Aufbau der Datenschutz – Organisation:

  • Entwicklung und Bekanntmachung von hausinternen Datenschutzrichtlinien
  • Information über die einschlägigen Datenschutzvorschriften im Hause
  • Auswahl von Datenschutz-Kontaktpersonen in den Fachbereichen (bei Bedarf) und Kontaktpflege mit Fachleuten aus dem eigenen Haus (z.B. DV-Spezialisten) in Bezug auf Datensicherheit und Datenschutz
  • Eigene Aus- und Fortbildung der behördlichen Datenschutzbeauftragten und der Stellvertretung im Hinblick auf die erforderlichen Rechts- und DV-Kenntnisse
  • Beratung bei Fragen zum Datenschutz :*
  • Behördenintern aufgrund seiner Stellung und Fachkompetenz
  • Erteilung von Auskünften bzw. Benachrichtigungen bei Eingaben bzw. Fragen von Betroffenen (Bürger, Mitarbeiter) zu datenschutzrelevanten Themen
  • Stellungnahmen zu Datenschutzproblemen
  • Kontrollen*
  • Schwachstellen – bzw. Risikoanalyse
  • Prüfungen auf Zuverlässigkeit der Verarbeitung von Mitarbeiter- bzw. anderen personenbezogenen Daten
  • Kontrolle der Einhaltung der eigenen Datenschutzrichtlinien bzw. der Vorschriften des BlnDSG (in erster Linie der technischen und organisatorischen Maßnahmen nach § 5 BlnDSG; die eigenständigen Kontrollen können im Rahmen von Rundgängen oder gezielten Überprüfungen erfolgen)
  • Beauftragung bzw. Einbeziehung Dritter im Prüffall (z.B. BlnBDI, andere externe Kontrollinstitutionen – in besonderen Fällen nach Abstimmung mit der Hausleitung-)
  • Mitwirkung bei*
  • der Auswahl technischer Neuheiten bzw. neuer Arbeitstechniken, die für die Verarbeitung personenbezogener Daten in Frage kommen
  • neuen Projekten sowie baulichen und organisatorischen Änderungen mit Datenschutz-/Datensicherheitsbezug
  • den Weisungen für die Auftragsdatenverarbeitung, sofern der Datenschutz berührt ist.
  • Kontaktpflege mit dem BlnBDI*
  • Erfahrungsaustausch
  • Konsultation des BlnBDI in Zweifelsfällen (insbesondere bei der Vorabkontrolle)
  • Entsorgung von Unterlagen mit personenbezogenen Daten:*
  • Beratung bei der Vernichtung von hausinternen Datenträgermaterial
  • Überprüfung des Vernichtungsvorgangs Kontrolle ist gut, Vertrauen ist besser!

Die Forderung des Bundesverfassungsgerichts im sogenannten Volkszählungsurteil vom Dezember 1983, die Verarbeitung personenbezogener Daten in der öffentlichen Verwaltung normenklar zu regeln, hat inzwischen zu einer Vielzahl an datenschutzrechtlichen Regelungen geführt, die sich in verschiedenen Gesetzen wiederfinden.