Merkblatt für öffentliche Stellen zu Mindestanforderungen an Qualifikation und Unabhängigkeit des behördlichen Datenschutzbeauftragten

 

 

1.  Anforderungen an die Qualifikation des behördlichen Datenschutzbeauftragten

 

Die DSGVO bestimmt in Artikel 37 Absatz 5, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.

 

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt der Benennung des Datenschutzbeauftragten in ausreichendem Maße vorliegen. Sie können z. B. durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt worden sein. Um eventuell zu Beginn der Benennung noch bestehende Informationsdefizite auszugleichen, empfiehlt sich der Besuch von geeigneten Fortbildungsveranstaltungen. Der Besuch solcher Veranstaltungen ist auch nach der Benennung angezeigt, um auf dem aktuellen, erforderlichen Informationsstand zu bleiben, und um sich Kenntnisse über die sich ändernden rechtlichen und technischen Entwicklungen anzueignen.

 

Da der Begriff der beruflichen Qualifikation in der DSGVO nicht weiter erklärt ist und auch für das erforderliche Fachwissen eine dezidierte Beschreibung fehlt, sind zur Orientierung im Folgenden Mindestanforderungen aufgeführt:

 

a.  Datenschutzrecht allgemein – unabhängig von der Art und der Größe der öffentlichen Stelle

 

-  Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der betroffenen Personen sowie umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die Behörde einschlägigen Regelungen der DSGVO und des SächsDSDG,

-  Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen

 

b.  Behördenspezifisch – abhängig von der Art, Größe oder IT-Infrastruktur der öffentlichen Stelle und der Sensibilität der zu verarbeitenden Daten

 

-  umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für die eigene Behörde relevant sind, insbesondere auch Verwaltungsvorschriften und Dienstvereinbarungen

-  Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Haushaltswesen, Organisation etc.),

-  Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der öffentlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der Behörde) und

-  Kenntnisse im praktischen Datenschutzmanagement (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Videoüberwachungen, Zusammenarbeit mit dem Personalrat etc.).

 

c.  Fähigkeit zur Erfüllung der Aufgaben

 

Die Fähigkeit zur Erfüllung seiner Aufgaben ergibt sich sowohl aus den persönlichen Eigenschaften des Datenschutzbeauftragten als auch seinen Kenntnissen und seiner Position innerhalb der Behörde. Zu den persönlichen Eigenschaften zählen insbesondere Integrität, Kommunikationsfähigkeit sowie ein ausgeprägtes Berufsethos.

 

 

2.  Anforderungen an die Unabhängigkeit des behördlichen Datenschutzbeauftragten

 

Kern der Rechtsstellung des Datenschutzbeauftragten ist seine Unabhängigkeit. Erwägungsgrund 97 stellt diesbezüglich klar: „Derartige Datenschutzbeauftragte sollten un-abhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“ Die unmittelbaren Ausprägungen der Unabhängigkeit sind in Artikel 38 DSGVO geregelt. Hierzu gehören:

-  Weisungsfreiheit

-  Unterstützungspflicht

-  Benachteilungs- und Abberufungsschutz

-  Verpflichtung zur Geheimhaltung

-  Keine Interessenkollission

 

Hierzu sind insbesondere folgende Maßnahmen erforderlich:

 

-  Der behördliche Datenschutzbeauftragte ist in seiner Funktion dem Behördenleiter organisatorisch unmittelbar zu unterstellen. Dem behördlichen Datenschutzbeauftragten ist ein unmittelbares Vortragsrecht beim Leiter der Behörde einzuräumen.

 

-  Der behördliche Datenschutzbeauftragte muss in der Lage sein, seine Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dies ist durch entsprechende Regelungen innerhalb der Behörde bzw. vertragliche Regelungen (bei externem Datenschutzbeauftragten) sicherzustellen und sowohl innerhalb der Behörde als auch nach außen hin bekannt zu machen.

 

-  Behördliche Datenschutzbeauftragte dürfen wegen der Erfüllung ihrer Aufgaben im Hinblick auf ihr sonstiges Beschäftigungsverhältnis, auch für den Fall, dass die Bestellung zum Datenschutzbeauftragten widerrufen wird, nicht benachteiligt werden.

 

-  Analog muss bei der Bestellung von externen Datenschutzbeauftragten der Dienstvertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben durch entsprechende Vertragslaufzeiten, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet wird. Empfohlen wird grundsätzlich eine Mindestvertragslaufzeit von vier Jahren, bei Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von ein bis zwei Jahren empfohlen.

 

-  Datenschutzbeauftragte sind zur Verschwiegenheit verpflichtet, soweit sie nicht davon durch die betroffenen Personen befreit wurden. Dies gilt auch gegenüber der öffentlichen Stelle und deren Leiter.

 

 

III. Erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle zur Fachkunde und Unabhängigkeit des behördlichen Datenschutzbeauftragten

 

-  Insbesondere die Überwachungspflichten des Datenschutzbeauftragten setzen voraus, dass ihm die zur Aufgabenerfüllung erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden.

 

-  Datenschutzbeauftragte müssen frühzeitig in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden werden. Gegebenenfalls sollte der Verantwortliche im Datenschutzkonzept der Behörde oder in sonstigen organisatorischen Regelungen festlegen, wann und in welchen Fällen der Datenschutzbeauftragte zu Rate zu ziehen ist. Z. B. könnte u. a. bestimmt werden,

▪  dass der Datenschutzbeauftragte den maßgeblichen Arbeitsgruppen angehört, die mit Datenverarbeitungstätigkeiten innerhalb der Behörde befasst sind,

▪  er zur Teilnahme an den regelmäßigen Besprechungen der Leitungsebene eingeladen wird,

▪  seiner Meinung stets die gebührende Beachtung zu schenken ist bzw. im Falle des Abweichens von seiner Meinung die Gründe hierfür zu dokumentieren sind,

▪  er bei einer Verletzung datenschutzrechtlicher Bestimmungen oder einem sonstigen Vorfall unverzüglich hinzuzuziehen ist.

Die Regelungen sind allen Beschäftigten bekannt zu machen.

 

-  Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die Behörde dem Datenschutzbeauftragten entsprechende Fachliteratur zur Verfügung zu stellen, die Teilnahme an Fort- und Weiterbildungsveranstaltungen sowie am Erfahrungsaustausch mit anderen Datenschutzbeauftragten zu ermöglichen und die Kosten hierfür zu übernehmen. Bei der Bestellung von externen DSB kann die Fortbildung Bestandteil der vereinbarten Vergütung sein und muss nicht zusätzlich erbracht werden.

 

-  Internen Datenschutzbeauftragten muss die erforderliche Arbeitszeit zur Erfüllung ihrer Aufgaben und zur Erhaltung ihrer Fachkunde zur Verfügung stehen. Bei Bestellung eines externen Datenschutzbeauftragten muss eine bedarfsgerechte Leistungserbringung gewährleistet sein. Sie muss in angemessenem Umfang auch in der beauftragenden verantwortlichen Stelle selbst erbracht werden. Ein angemessenes Zeitbudget sollte konkret vereinbart und vertraglich festgelegt sein.

 

-  Die Behörde hat den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben insbesondere durch die zur Bereitstellung von Personal, Räumen, Einrichtung, Geräten und Mitteln zu unterstützen.