Landesrecht

Der Datenschutzbeauftragte in der Behörde

06. April 2021
Datenschutz_1_60585328-e1465203622629
Quelle: © Marco2811 / Foto Dollar Club

Im Bereich des öffentlichen Diensts gelten mitunter andere Regeln, auch im Datenschutz. Statt des BDSG sind hier die Vorgaben der jeweiligen Landesdatenschutzgesetze zu prüfen. Die sind sich zwar oft ähnlich, aber eben nicht immer – genau wie die Landespersonalvertretungsgesetze. Im ersten Teil dieser Serie geht es um die Benennung des Datenschutzbeauftragten (DSB).

Der europäische Gesetzgeber hat in der Datenschutz-Grundverordnung (DSGVO) die Verpflichtung von »Behörden und öffentlichen Stellen« zur Benennung von Datenschutzbeauftragten erstmals europaweit festgeschrieben. Neu ist die Institution des Datenschutzbeauftragten – jedenfalls in Deutschland – nicht. Bereits 1977 wurde im ersten Bundesdatenschutzgesetz (BDSG) für Unternehmen die Pflicht zur »Bestellung eines Beauftragten für den Datenschutz« festgeschrieben. Die Bundesländer führten nach und nach entsprechende Regelungen in die Landesdatenschutzgesetze (LDSG) ein. Bestellung, Benennung … was ist das eigentlich?

Die Benennung des behördlichen Datenschutzbeauftragten

In den Artikeln 37 bis 39 regelt die DSGVO ausführlich die Benennung, Stellung und Aufgaben des behördlichen und betrieblichen Datenschutzbeauftragten. Die DSGVO gilt als EU-Verordnung (anders als EU-Richtlinien) unmittelbar in den EU-Mitgliedstaaten. Es bedarf dazu keiner weiteren nationalen Gesetzgebung. Allerdings enthält die DSGVO eine Vielzahl von sogenannten »Öffnungsklauseln«. Das bedeutet, dass an den Stellen, an denen die DSGVO es ausdrücklich erlaubt, der nationale Gesetzgeber spezifische Regelungen treffen kann. Artikel 37 Abs. 4 Satz 1 DSGVO räumt den nationalen Gesetzgebern beispielsweise die Möglichkeit ein, strengere Regelungen zur Benennung von Datenschutzbeauftragten bis hin zu einer generellen Pflicht zu deren Benennung festzuschreiben. Mit der Regelung in § 38 Abs. 1 Satz 1 und 2 des neuen BDSG hat der Gesetzgeber von dieser Möglichkeit Gebrauch gemacht und schreibt Unternehmen in der Privatwirtschaft eine Pflicht zur Benennung eines Datenschutzbeauftragten vor, »soweit sie in der Regel mindesten 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen«.

Anders sieht es bei »Behörden und öffentlichen Stellen« aus: Sie müssen bereits nach Art. 37 Abs. 1 a) DSGVO einen Datenschutzbeauftragten benennen. Hier gibt es keinen Raum mehr für eine Ausgestaltung durch den nationalen Gesetzgeber.

Im Gegensatz zu den alten LDSG und dem alten BDSG fordert die DSGVO keine schriftliche Benennung des Datenschutzbeauftragten. Dennoch sollten Arbeitgeber schon wegen der umfassenden Dokumentationspflichten nach Art. 24 Abs. 1 DSGVO und aus Gründen der Rechtssicherheit die Benennung in Form einer Benennungsurkunde, eines Dienstleistungsvertrags oder einer Ergänzung zum Arbeitsvertrag schriftlich festhalten. Es bietet sich hier an, zu regeln, wann die Benennung wirksam wird, welche Aufgaben der Datenschutzbeauftragte neben den gesetzlichen Aufgaben noch übernimmt, wie viel Zeit und welche Ressourcen ihm dafür zur Verfügung stehen (ggf. Budget und Mitarbeiter*innen).

Weder DSGVO noch BDSG enthalten die Pflicht, einen stellvertretenden Datenschutzbeauftragten zu bestellen; das kann freiwillig geschehen. Anders sieht es dagegen in einigen LDSG aus: § 5 Abs. 1 LDSG Hessen, § 31 Abs. 1 LDSG NRW und § 13 Abs. 2 LDSG Thüringen sehen eine Pflicht zur Benennung einer stellvertretenden Person vor.

Kann der Personalrat bei der Benennung mitbestimmen?

Besteht für Betriebsräte nach dem Betriebsverfassungsgesetz (BetrVG) und für Personalräte nach dem Bundespersonalvertretungsgesetz (BPersVG) keine unmittelbare Mitbestimmung bei der Benennung eines Datenschutzbeauftragten, findet sich in einigen Landespersonalvertretungsgesetzen (LPVG) ein Mitbestimmungsrecht der Personalvertretung bei der Benennung, z.B. in Hessen (§ 74 Abs. 1 Nr. 3 HessPVG, siehe Tabelle).

Bei der Ausübung der Mitbestimmung haben Personalräte insbesondere zu prüfen, ob die Vorschriften der Art. 37 bis 39 DSGVO und des jeweiligen LDSG zur Benennung, Stellung und den Aufgaben des Datenschutzbeauftragten von der Dienststellenleitung eingehalten werden. Unabhängig von einem unmittelbaren Mitbestimmungsrecht des Personalrats bei der Benennung eines Datenschutzbeauftragten greift die Mitbestimmung bei personellen Einzelmaßnahmen. Wird gegen Anforderungen der DSGVO oder gegen das einschlägige LDSG verstoßen, etwa, weil der vorgeschlagene Datenschutzbeauftragte nicht über die gesetzlich geforderte berufliche Qualifikation, das Fachwissen oder die Zuverlässigkeit verfügt, kann der Personalrat seine Zustimmung verweigern. Das ergibt sich auch daraus, dass Personalräte darüber zu wachen haben, »dass die zugunsten der Beschäftigten geltenden Gesetze, Verordnungen, Tarifverträge, Dienstvereinbarungen und Verwaltungsanordnungen durchgeführt werden«, wie es in § 68 Abs. 1 Nr. 2 BPersVG und teilweise gleichlautend in den LPVGen formuliert ist. (...)

Weiterlesen?

Den vollständigen Beitrag von Rechtsanwalt Hajo Köppen lesen Sie in »Computer und Arbeit« Ausgabe 3/2021. Weitere Highlights:

  • So lösen Sie Internetprobleme im Homeoffice
  • 7 Fragen zur JAV-Arbeit in der Krise
  • Mitarbeiterüberwachung: Wie viel Kontrolle geht im Homeoffice?

Sie haben bereits ein Abo? Dann lesen Sie hier weiter. Sie haben kein Abo? Dann können Sie trotzdem sofort online weiterlesen und Zugriff auf das gesamte Online-Archiv mit allen Ausgaben von »Computer und Arbeit« erhalten:

Jetzt 2 Ausgaben gratis testen!

© bund-verlag.de

(ct)

Newsletter 2024 viertel - Anzeige -