Detlef Burhoff, Dr. Peter Kotz
Das Wichtigste in Kürze:
1. |
Regelungen zur Überwachung datenschutzrechtlicher Vorschriften finden sich im BDSG und in den jeweiligen landesgesetzlichen Regelungen für die öffentlichen Stellen der Bundesländer. |
2. |
Die Aufgaben des Datenschutzbeauftragten sind insbesondere in § 4g BDSG geregelt. |
3. |
Die Datenschutzbeauftragten haben auf die Einhaltung der Datenschutzregelungen hinzuwirken und ihre Tätigkeit regelmäßig in Berichten zu dokumentieren. |
4. |
Die Landesdatenschutzgesetze sind teilweise weitreichender, enthalten jedoch nicht alle eine Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten. |
Rdn 238
Literaturhinweise:
Abel, Der behördliche Datenschutzbeauftragte, MMR 2002, 289
Fritsche, Datenschutz im öffentlichen Bereich, LKV 1991, 81
Kurz, Datenschutz und Justiz – Symbiose statt Ausschluss, DRiZ 2013, 96
Marschall, Strafrechtliches Haftungsrisiko des betrieblichen Datenschutzbeauftragten?, ZD 2014, 66
Masing, Herausforderungen des Datenschutzes, NJW 2012, 2305
s. auch Hinweise bei → Datenschutz, Regelungen international, Teil D Rdn 216, s.a. → Daten, Datenschutz, Regelungen, national, Bundesrecht, Teil D Rdn 223, und → Daten, Datenschutz, Regelungen, national, Landesrecht, Teil D Rdn 233.
Rdn 239
1. Regelungen zur Überwachung datenschutzrechtlicher Vorschriften finden sich im BDSG und in den jeweiligen landesgesetzlichen Regelungen für die öffentlichen Stellen der Bundesländer. Nach § 4f Abs. 1 S. 1 BDSG sind alle öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten automatisiert verarbeiten, verpflichtet, einen Beauftragten für Datenschutz schriftlich zu bestellen (Abel MMR 2002, 289, 290). Während das BDSG die verpflichtende Bestellung eines Datenschutzbeauftragten in der Vergangenheit nur für nicht-öffentliche Stellen vorgesehen hat, besteht diese Verpflichtung heute auch für öffentliche Stellen, weshalb es nun für diese allein darauf ankommt, ob die Stelle personenbezogene Daten automatisch verarbeitet, während es auf die Organisationsform nicht mehr ankommt (Simitis-BDSG/Simitis, § 4f Rn 8 f.). Anders als bei öffentlichen Stellen sieht § 4f Abs. 1 BDSG nicht pauschal für sämtliche datenverarbeitende nicht-öffentliche Stellen eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten vor. Für nicht-öffentliche Stellen kommt es hierfür darauf an, auf welche Art und Weise die personenbezogenen Daten erhoben und verarbeitet werden und der Anzahl der bei der nicht-öffentlichen Stelle beschäftigten Personen (zu den Voraussetzungen im Einzelnen Simitis-BDSG/Simitis, § 4f Rn 12 ff.). Öffentliche Stellen, die automatisiert personenbezogene Daten verarbeiten, dürfen zwar grundsätzlich wählen, ob sie einen externen Datenschutzbeauftragten bestellen wollen, müssen aber zu diesem Zweck gem. § 4f Abs. 2 S. 4 BDSG die Zustimmung der jeweiligen Aufsichtsbehörde einholen (unter Hinweis auf die unterschiedlichen Regelungen in des Landesdatenschutzgesetzen Abel MMR 2002, 289, 291 f.).
Rdn 240
2. Die Aufgaben des Datenschutzbeauftragten sind insbesondere in § 4g BDSG geregelt. Daneben finden sich in weiteren Vorschriften des BDSG Regelungen über die Aufgaben und Rechte des Datenschutzbeauftragten, wie z.B. in § 4d Abs. 6 S. 1 BDSG für die Vorabkontrolle (vgl. Simitis-BDSG/Simitis, § 4g Rn 1; vgl. auch Abel MMR 2002, 289, 292 f.). Eine abschließende Beschreibung der Aufgaben des Datenschutzbeauftragten findet sich nicht im BDSG (Simitis-BDSG/Simitis, § 4g Rn 2). Dem Datenschutzbeauftragten obliegt gem. § 4g Abs. 1 BDSG die Pflicht über die Einhaltung sämtlicher datenschutzrechtlicher Regelungen zu wachen, also auch denjenigen außerhalb des BDSG oder der Landesdatenschutzgesetze. Der Datenschutzbeauftragte hat somit eine Informations- und Konsultationspflicht um die Einhaltung datenschutzrechtlicher Vorgaben zu überwachen (Simitis-BDSG/Simitis, § 4g Rn 3; Kurz DRiZ 2013, 96, 97), weshalb der Datenschutzbeauftragte unabhängig sein sollte (Kurz DRiZ 2013, 96, 97; Masing NJW 2012, 2305, 2311).
Rdn 241
Bei öffentlichen Stellen obliegt es dem Bundesbeauftragten für den Datenschutz und Informationsfreiheit (kurz BfDI), gem. § 24 BDSG die Einhaltung der Datenschutzregelungen zu überwachen. Der BfDI kann auch als externer Datenschutzbeauftragter bestellt werden kann, sofern die Aufsichtsbehörde der Auslagerung dieser Aufgabe zustimmt (Rdn 239). Nach den Regelungen des BDSG steht dem BfDI eine lückenlose Kontrollbefugnis und damit Zugriff auf sämtliche personenbezogenen Daten zu diesem Zweck zu. Während der Datenschutzbeauftragte gem. § 4g Abs. 1 S. 1 BDSG auf die Einhaltung der datenschutzrechtlichen Regelungen "hinwirken" soll, ist er daneben gem. § 4g Abs. 1 S. 4 BDSG dazu verpflichtet, die ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme zu überwachen (Simitis-BDSG/Simitis, § 4g Rn 43 ff.). Neben weiteren Aufgaben, wie etwa die der Schulung der bei der jeweiligen Stelle Beschäftigten, soll der Beauftragte seine Tätigkeit in regelmäßigen Abständen in Berichten dokumentieren und diese der Le...