≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 18.10.2021

Aktuelle Kurz-Information 7: Datenschutzbeauftragte kreisangehöriger Gemeinden in Bayern: Inkompatibilitäten, Qualifikation, Zeitbudget

Stichwörter: Datenschutzbeauftragte, behördliche - Gemeinde, kreisangehörige - Inkompatibilität - Qualifikation, berufliche - Zeitbudget | Stand: 1. Oktober 2021

Bayerische kreisangehörige Gemeinden wie auch Verwaltungsgemeinschaften trifft die Pflicht, behördliche Datenschutzbeauftragte zu benennen. Handelt es sich um eine Beschäftigte oder einen Beschäftigten der öffentlichen Stelle, wird sie oder er die Aufgabe einer oder eines Datenschutzbeauftragten in der Regel neben einer anderen (Haupt-)Aufgabe wahrnehmen. Wie meine Beratungspraxis zeigt, stellen sich in diesem Zusammenhang insbesondere die folgenden drei Fragen:

1. Mit welchen anderen Aufgaben ist die Aufgabe der oder des behördlichen Datenschutzbeauftragten unvereinbar?

Nach Art. 38 Abs. 6 Datenschutz-Grundverordnung (DSGVO) kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Das aus dem bisherigen Datenschutzrecht unter dem Schlagwort "Inkompatibilität" bekannte Gebot, der oder dem Datenschutzbeauftragten keine unvereinbaren Aufgaben zuzuweisen, sollte bei bayerischen öffentlichen Stellen stets vor dem Hintergrund der dort erlassenen - oder noch zu erlassenden - Datenschutz-Dienstanweisung gewürdigt werden.

Das hierfür vom Bayerischen Staatsministerium des Innern, für Sport und Integration bereitgestellte Muster enthält detaillierte Regelungsvorschläge, wie die im Grundsatz bei der ersten Bürgermeisterin oder dem ersten Bürgermeister anfallenden Aufgaben des Verantwortlichen innerhalb der Gemeindeverwaltung delegiert werden können.

Wem in nennenswertem Umfang Aufgaben dieser Art übertragen sind, dem sollte nicht zugleich auch die Aufgabe der oder des Datenschutzbeauftragten zugewiesen werden. Wer dagegen entweder gar nicht mit der Erfüllung von Aufgaben betraut ist, welche die Datenschutz-Grundverordnung dem Verantwortlichen zuordnet, oder wer solche Aufgaben nur im Vertretungsfall wahrzunehmen hat, kann grundsätzlich die Aufgabe der oder des Datenschutzbeauftragten übernehmen. Bei den folgenden Beispielen sind jeweils zunächst die organisatorischen "Hintergrundannahmen" erläutert:

a) Gemeinden bis etwa 10.000 Einwohner

Die "kleineren" kreisangehörigen Gemeinden weisen organisatorisch in der Regel nur eine Führungsebene nach der ersten Bürgermeisterin oder dem ersten Bürgermeister auf. In den Gemeindekanzleien von Landgemeinden mit wenigen tausend Einwohnern sind gelegentlich auch die Sachbearbeiterinnen und Sachbearbeiter unmittelbar der Behördenleitung nachgeordnet. Häufig ist bei diesen Gemeinden die in der bayerischen kommunalen Verwaltungstradition verwurzelte Funktion der geschäftsleitenden Beamtin oder des geschäftsleitenden Beamten anzutreffen, die oder der im Alltagsgeschäft die Abläufe in der Gemeindeverwaltung koordiniert sowie die Sitzungen des Gemeinderats vorbereitet und begleitet.

Inkompatibilitäten:

  • Erste Bürgermeisterin, erster Bürgermeister: Gesetzlich bestimmtes Vertretungsorgan; die Rollen "Verantwortlicher" und "Datenschutzbeauftragter" sind unvereinbar. Dies gilt auch für weitere Bürgermeisterinnen und Bürgermeister, gleich ob sie haupt-oder ehrenamtlich tätig sind. Grund dafür ist die Vertretung der ersten Bürgermeisterin oder des ersten Bürgermeisters (gerade) in ihrer oder seiner Organstellung, mit der eine datenschutzrechtliche Gesamtverantwortung verbunden ist.
  • Geschäftsleitende Beamtin, geschäftsleitender Beamter: Kann meist durch ein formelles Weisungsrecht oder auf andere Art Einfluss auf die Arbeit der gesamten Gemeindeverwaltung und damit auch auf die in den einzelnen Funktionseinheiten durchzuführenden Datenverarbeitungen nehmen; in der Datenschutz-Dienstanweisung wird ihr oder ihm typischerweise die Rolle einer oder eines "Organisationsverantwortlichen" zugewiesen; ihr oder sein Anteil an der Rolle des Verantwortlichen ist mit der Rolle der oder des Datenschutzbeauftragten nicht vereinbar.
  • Leitung der Hauptverwaltung: Häufig in Gemeinden anzutreffen, welche die Funktion des geschäftsleitenden Beamten nicht kennen; zum Aufgabenkreis gehört zumeist neben der Vorbereitung und Begleitung von Gemeinderats- und Ausschusssitzungen die Verwaltung der Personalstelle. Innerhalb dieses Aufgabenkreises kommt es zu einer Vielzahl von Verarbeitungen auch sensibler personenbezogener Daten; die Verarbeitungen sind fehleranfällig und lösen nach allgemeiner Erfahrung einen gesteigerten Beratungs- und Überwachungsbedarf aus. Dieser bleibt unbefriedigt, wenn die Leitung der Hauptverwaltung selbst Datenschutzbeauftragte oder Datenschutzbeauftragter ist. Die beiden Rollen können nicht ohne Konflikte von einer Person erfüllt werden.
  • Verantwortliche im IT-Bereich (insbesondere Leiterin oder Leiter IT, Systemadministratorinnen und Systemadministratoren): Die Stelleninhaberinnen und Stelleninhaber haben regelmäßig Zugriff auf die Benutzerverwaltung sowie umfassende Handlungsmöglichkeiten bei der Gestaltung der technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Ihr Arbeitsgebiet stellt einen wichtigen Gegenstandsbereich für die Beratungs- und Überwachungstätigkeit der oder des Datenschutzbeauftragten dar. Mit dieser Funktion können Verantwortliche im IT-Bereich daher nicht beauftragt werden.
  • Ansprechpartnerin, Ansprechpartner für Korruptionsvorsorge (sog. Antikorruptionsbeauftragte): Zum Aufgabenkreis gehört auch die Verarbeitung personenbezogener Daten zum Zwecke der Korruptionsbekämpfung. In der Rolle "Datenschutzbeauftragter" müsste eine solche Person unter Umständen einem Aufklärungsinteresse zuwider auf den Schutz von Daten vorwurfsbetroffener Personen hinwirken. Auf diese Weise sind Rollenkonflikte geradezu vorprogrammiert.
  • Personalratsvorsitzende: Personalratsvorsitzende sind insbesondere "ständige" Gesprächs- und Verhandlungspartnerinnen und -partner für die Dienststellenleitung und die personalverwaltende Stelle. Mit der Rolle "Datenschutzbeauftragter" sind regelmäßig Interessenkonflikten zu erwarten. 

Empfehlungen:

  • Sachbearbeiterinnen und Sachbearbeiter (auch mit vertretungsweise wahrzunehmender Vorgesetztenfunktion) in den Bereichen Bauverwaltung oder öffentliche Sicherheit: Es handelt sich in der Regel um Beschäftigte, die eine zur Rechtsanwendung befähigende Ausbildung abgeschlossen haben, in der Datenschutz-Dienstanweisung nicht mit Aufgaben des Verantwortlichen betraut sind und innerhalb des eigenen Aufgabenbereichs keine gesteigert risikoträchtigen Verarbeitungstätigkeiten betreuen.
  • Standesbeamtinnen und Standesbeamte (mit oder ohne Führungsfunktion).

b) Gemeinden ab etwa 10.000 Einwohnern

Die Verwaltungsgliederung der "größeren" kreisangehörigen Gemeinden sowie der Großen Kreisstädte sieht meist im Grundsatz zwei Hierarchieebenen unterhalb der Behördenleitung vor. Auf der Ebene der Geschäftsbereiche oder Abteilungen sind zumindest die Aufgabenkreise Allgemeine Verwaltung, Finanzverwaltung und Bauverwaltung getrennt; ihnen sind jeweils Fachbereiche oder Sachgebiete zugeordnet. Die Funktion der geschäftsleitenden Beamtin oder des geschäftsleitenden Beamten ist dort nicht so verbreitet wie in den kleineren Gemeinden.

Inkompatibilitäten:

  • Erste Bürgermeisterin, erster Bürgermeister, Oberbürgermeisterin, Oberbürgermeister, weitere Bürgermeisterinnen und Bürgermeister: siehe oben.
  • Beschäftigte der unmittelbar nachgeordneten Führungsebene (Geschäftsbereichsleitungen, Abteilungsleitungen): Haben für ihren Zuständigkeitsbereich nach Maßgabe der Datenschutz-Dienstanweisung häufig die Aufgaben des Verantwortlichen zu erfüllen und die nachgeordneten Sachgebietsleitungen hinsichtlich der an diese delegierten Aufgaben zu überwachen; das ist mit der Rolle "Datenschutzbeauftragter" unvereinbar.
  • Sachgebietsleitung Personalverwaltung: Leitet eine Funktionseinheit, die größere Bestände an sensiblen personenbezogenen Daten verwaltet; gesteigerter Beratungs- und Überwachungsbedarf; die gleichzeitige Wahrnehmung der Aufgaben der oder des Datenschutzbeauftragten begünstigt Rollenkonflikte und/
    oder Kontrolldefizite.
  • Verantwortliche im IT-Bereich: siehe oben.
  • Ansprechpartnerin, Ansprechpartner für Korruptionsvorsorge: siehe oben.
  • Personalratsvorsitzende: siehe oben.

Empfehlungen:

  • Leitung Rechnungsprüfungsamt (in Großen Kreisstädten).
  • Justiziarinnen und Justiziare ohne Führungsfunktion (soweit vorhanden).
  • Beamtinnen und Beamte in der dritten Qualifikationsebene und vergleichbare Tarifbeschäftigte mit Sachbearbeitungsaufgaben (auch stellvertretende Sachgebietsleitungen).
  • Standesbeamtinnen und Standesbeamte (mit oder ohne Führungsfunktion).

Exkurs: Landratsämter haben oft eine vergleichbare Aufbauorganisation. Die Überlegungen zu Inkompatibilitäten und Empfehlungen bezüglich der Person der oder des behördlichen Datenschutzbeauftragten lassen sich daher grundsätzlich auch auf die Landratsämter übertragen.

2. Welche berufliche Qualifikation ist für die Aufgabe der oder des behördlichen Datenschutzbeauftragten erforderlich?

Nach Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte zum einen auf der Grundlage seiner beruflichen Qualifikation und seines datenschutzrechtlichen wie auch datenschutzpraktischen Fachwissens, zum anderen auf der Grundlage seiner Fähigkeit zur Erfüllung der Pflichtaufgaben benannt. Die Frage, was eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter "mitbringen" muss, lässt sich allerdings nicht für alle Verantwortlichen einheitlich beantworten.

Im Bereich der kreisangehörigen Gemeinden ist aus aufsichtsbehördlicher Sicht eine berufliche Qualifikation erforderlich, die mit den spezifischen Bedingungen der Datenverarbeitung im öffentlichen Sektor vertraut macht. Soll die oder der Datenschutzbeauftragte aus dem Kreis der eigenen Beschäftigten gewonnen werden, kommen bei einer größeren kreisangehörigen Gemeinde insbesondere Beamtinnen und Beamte in Betracht, die an der Hochschule für den öffentlichen Dienst in Bayern einen Abschluss als Diplom-Verwaltungswirtin (FH), Diplom-Verwaltungswirt (FH), Diplom-Verwaltungsinformatikerin (FH) oder Diplom-Verwaltungsinformatiker (FH) erlangt haben. Tarifbeschäftigte sollten bei der Bayerischen Verwaltungsschule die Ausbildung zur Verwaltungsfachwirtin oder zum Verwaltungsfachwirt (Angestellten- oder Beschäftigtenlehrgang II) absolviert haben. Steht bei einer kleineren kreisangehörigen Gemeinde kein Personal mit diesen Qualifikationen zur Verfügung, so kann aus aufsichtsbehördlicher Sicht auch eine Beschäftigte oder ein Beschäftigter mit den Aufgaben der oder des Datenschutzbeauftragten betraut werden, die oder der bei der Bayerischen Verwaltungsschule die Ausbildung zur Verwaltungswirtin oder zum Verwaltungswirt, zur oder zum Verwaltungsfachangestellten oder zur Verwaltungsfachkraft (Angestellten- oder Beschäftigtenlehrgang I) erfolgreich beendet hat und über mehrjährige Berufserfahrung in einem rechtsanwendenden Arbeitsgebiet verfügt. Gleichwertige Abschlüsse aus anderen Bundesländern können die erforderliche berufliche Qualifikation ebenfalls belegen.

Um auch über das erforderliche Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis zu verfügen, sollte die oder der neu benannte Datenschutzbeauftragte möglichst vor Antritt ihres oder seines Amtes, jedenfalls aber alsbald danach, eine an ihr oder sein Vorwissen anknüpfende grundlegende Schulung erhalten. In welche Richtungen das Fachwissen darüber hinaus zu vertiefen ist, hängt von den örtlichen Gegebenheiten ab. So können themenspezifische Fortbildungen etwa zu Fragen des Datenschutzes bei E-Government-Lösungen, im Zusammenhang mit Auftragsverarbeitungen oder auch im Bereich der technisch-organisatorischen Maßnahmen angezeigt sein. Durch den Austausch mit Kolleginnen und Kollegen aus anderen Kommunen in hierfür eingerichteten Arbeitskreisen oder durch die Lektüre einschlägiger Fachzeitschriften kann die oder der Datenschutzbeauftragte ihr oder sein Fachwissen ebenfalls ausbauen.

3. Welches Zeitbudget muss für die Aufgabe der oder des behördlichen Datenschutzbeauftragten eingeplant werden?

Das Zeitbudget der oder des Datenschutzbeauftragten ist so zu bemessen, dass diese oder dieser ihre oder seine Aufgaben ordnungsgemäß erfüllen kann. Dies gilt nicht nur für die in Art. 39 Abs. 1 DSGVO vorgesehenen Pflichtaufgaben, sondern auch für die ihr oder ihm durch die Datenschutz-Dienstanweisung zusätzlich übertragenen Aufgaben. Die Zeitbudgets können daher in vergleichbaren Kommunen unterschiedlich ausfallen.

Eine wichtige Einflussgröße bildet der Grad an Digitalisierung, den die betreffende Verwaltung bereits erreicht hat: Eine Gemeinde, die zahlreiche Verwaltungsprodukte mit Unterstützung von Fachverfahren erstellt, zahlreiche Dienstleistungen über ein Bürgerportal anbietet oder mit zahlreichen Auftragsverarbeitern kooperiert, wird tendenziell einen größeren Beratungs- und Überwachungsbedarf haben. Auch die Schulung der Beschäftigten in Belangen des Datenschutzes und ihr Nachfrageverhalten hinsichtlich der Beratung durch die oder den Datenschutzbeauftragten sind wesentliche Einflussgrößen für die Bemessung des Zeitbudgets. Das Zeitbudget der oder des Datenschutzbeauftragten muss auf Anforderungen dieser Art reagieren. Es ist auskömmlich, wenn die oder der Datenschutzbeauftragte jedenfalls im Jahresmittel nicht nur auf die an sie oder ihn herangetragenen Anliegen reagieren kann, sondern stets auch in der Lage ist, eigene Schwerpunkte bei ihrer oder seiner Tätigkeit zu setzen, insbesondere was den in Art. 39 Abs. 1 Buchst. b DSGVO umschriebenen Aufgabenkreis betrifft.

Der Bayerische Kommunale Prüfungsverband hat in seinem Geschäftsbericht 2016 auf der Grundlage des alten Datenschutzrechts den für die Aufgaben der oder des Datenschutz- und Informationssicherheitsbeauftragten bereitzustellenden Arbeitszeitanteil für eine Gemeinde von 5000 Einwohnern mit 10 v. H. und für eine Gemeinde von 10.000 Einwohnern mit 13 v. H. der Arbeitszeit einer Normalarbeitskraft (Vollzeit) bemessen. Die Arbeitszeitanteile sind im Einzelfall nach Maßgabe der örtlichen Verhältnisse, insbesondere unter Berücksichtigung der oben dargestellten Einflussgrößen, anzupassen. Sie sollten auch unter der Geltung des neuen Datenschutzrechts nicht unterschritten werden. Eine Neubewertung durch den Bayerischen Kommunalen Prüfungsverband, die das neue Datenschutzrecht berücksichtigt, ist abzuwarten. Aufgrund der vorzunehmenden Einzelfallbewertung verbietet sich eine Pauschalierung oder die Festsetzung von Grenzwerten hinsichtlich des jeweils bereitzustellenden Arbeitszeitanteils.

Zur Wahrnehmung der Aufgaben der oder des Datenschutzbeauftragten kann bei großen öffentlichen Stellen mit entsprechendem Arbeitsaufkommen eine vollständige Freistellung von sonstigen dienstlichen Tätigkeiten angezeigt sein. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt die vollständige Freistellung der oder des Datenschutzbeauftragten von anderen Aufgaben für die Wahrnehmung ihrer oder seiner Funktion als Datenschutzbeauftragte oder Datenschutzbeauftragter ab einer Anzahl von 500 Beschäftigten. Diese Größenordnung wird nur bei wenigen kreisangehörigen Gemeinden erreicht.

Die bei kreisangehörigen Gemeinden in der Prüfungspraxis immer wieder anzutreffenden "Zeitbudgets" im Umfang eines niedrigen einstelligen Prozentsatzes - mitunter sogar in Bezug auf Teilzeitstellen - sind regelmäßig nicht geeignet, der gesetzlichen Verpflichtung zur Bereitstellung der "für die Erfüllung [der] Aufgaben erforderlichen Ressourcen" (Art. 38 Abs. 2 DSGVO) zu genügen.

  1. Internet: https://www.stmi.bayern.de/sus/datensicherheit/datenschutz/reform_arbeitshilfen/ , Stichwort "Datenschutz-Geschäftsordnung". [Zurück]
  2. Näher Nr. 3.5 und Nr. 5.1 Richtlinie zur Verhütung und Bekämpfung von Korruption in der öffentlichen Verwaltung (Korruptionsbekämpfungsrichtlinie – KorruR) vom 13. April 2021 (BayMBl. Nr. 298). [Zurück]
  3. Vgl. Franck, Personalunion von behördlichem Datenschutzbeauftragten und Ansprechperson für Korruptionsprävention in der Bundesverwaltung, NVwZ 2019, S. 854 (855). [Zurück]
  4. Vertiefend Bayerischer Landesbeauftragter für den Datenschutz, Personalratsmitglied als behördlicher Datenschutzbeauftragter?, Aktuelle Kurz-Information 14, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
  5. Internet: https://www.bkpv.de, Rubrik "Aktuelles - Geschäftsberichte". [Zurück]
  6. Vgl. zur vollständigen Freistellung des behördlichen Datenschutzbeauftragten beim Auswärtigen Amt Oberverwaltungsgericht Berlin-Brandenburg, Beschluss vom 28. Mai 2019, OVG 10 S 34.18, BeckRS 2019, 10558. [Zurück]
  7. Vgl. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Die DSGVO in der Bundesverwaltung, Stand: 12/2020, S. 30. [Zurück]