Aktuelle Kurz-Information 3: Datenschutzbeauftragte bei bayerischen öffentlichen Stellen im Wettbewerb

Stichwörter: Benennungspflicht Datenschutzbeauftragter Stelle, öffentliche Wettbewerb Unternehmen Zwanzig-Personen-Regel; Stand: 01.02.2020

Die Pflicht, einen Datenschutzbeauftragten zu benennen, trifft jede bayerische öffentliche Stelle. Gleichwohl haben mich bereits mehrere Anfragen solcher Stellen erreicht, die als Unternehmen am Wettbewerb teilnehmen und deshalb so behandelt werden möchten wie ihre privaten Konkurrenten. Für diese gilt unter anderem § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG):

"Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 [das ist die Datenschutz-Grundverordnung] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."

Diese "Zwanzig-Personen-Regel" bis zum 25. November 2019 galt eine "Zehn-Personen-Regel" (zur Änderung siehe Bundestags-Drucksache 19/11181, Seiten 8, 19) ist auf bayerische öffentliche Stellen nicht anwendbar. Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten zwar nach Art. 1 Abs. 3 Satz 1 Bayerisches Datenschutzgesetz für sie selbst, ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen. Zu diesen Vorschriften gehört auch § 38 Abs. 1 Satz 1 BDSG. Die Datenschutz-Grundverordnung (DSGVO) bestimmt allerdings in Art. 37 Abs. 1 Buchst. a DSGVO:

"Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird [...]."

§ 38 Abs. 1 Satz 1 BDSG ergänzt ausdrücklich die in Art. 37 Abs. 1 Buchst. b und c DSGVO geregelten Benennungstatbestände, die an die Qualität und Quantität der Verarbeitungen bei dem betreffenden Verantwortlichen anknüpfen. § 38 Abs. 1 Satz 1 BDSG ist jedoch nicht zugleich als Einschränkung von Art. 37 Abs. 1 Buchst. a DSGVO konzipiert. Mit der Formulierung "Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679" hat der Bundesgesetzgeber gerade auf den Anwendungsvorrang des Unionsrechts reagiert.

Es bleibt also dabei: Jede bayerische öffentliche Stelle muss einen Datenschutzbeauftragten haben. Rechtsträger mit nur wenigen oder gar keinen eigenen Beschäftigten können von der Möglichkeit Gebrauch machen, eine externe Person zu benennen. Dies darf auch eine Bedienstete oder ein Bediensteter einer anderen öffentlichen Stelle sein, mit der eine entsprechende Vereinbarung (Art. 37 Abs. 6 DSGVO: "Dienstleistungsvertrag") geschlossen werden kann.