Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 12.12.2002

3. Allgemeines Datenschutzrecht

3.1. Internationales Datenschutzrecht

3.1.1. Inkrafttreten der Europäischen Grundrechtecharta

In der EU-Regierungskonferenz am 07. Dezember 2000 in Nizza wurde die Europäische Charta der Grundrechte von den Staats- und Regierungschefs der Mitgliedsstaaten der EU, dem Präsidenten der Europäischen Kommission und der Präsidentin des Europäischen Parlaments feierlich proklamiert. Die Charta enthält in ihrem Grundrechtekatalog mit Art. 8 auch ein Grundrecht zum "Schutz personenbezogener Daten" (vgl. 19. TB, Nr. 2.1.1). Auch wenn die Charta gegenwärtig noch nicht rechtsverbindlich ist, da sie nicht in die Verträge über die Europäische Union aufgenommen wurde, ist diese ausdrückliche Festschreibung des Grundrechts auf Datenschutz ein wichtiger Schritt für die Anerkennung und Verankerung des Datenschutzes in der Europäischen Union. Ich hoffe daher, dass die Grundrechtecharta bald in die Verträge über die Europäische Union aufgenommen werden wird.

3.1.2. Feststellung eines angemessenen Datenschutzniveaus in Drittstaaten

Art. 25 Abs. 1 der EG-Datenschutzrichtlinie schreibt vor, dass eine Übermittlung personenbezogener Daten in ein Drittland, also ein Land außerhalb der EU, grundsätzlich nur zulässig ist, wenn dieses Drittland ein angemessenes Datenschutzniveau gewährleistet. Gemäß Art. 25 Abs. 6 Satz 1 der Richtlinie kann die Kommission - nach Beteiligung des Ausschusses der Regierungsvertreter (Art. 31 der Richtlinie) und Anhörung der Datenschutzgruppe nach Art. 29 - feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Art. 25 Abs. 2 der Richtlinie gewährleistet. Dieses Verfahren hat für bayerische Behörden insofern Bedeutung, als entsprechende Vorschriften zur Zulässigkeit von Datenübermittlungen in Drittländer auch im BayDSG enthalten sind, vgl. Art. 21 Abs. 2 BayDSG.

Mittlerweile gibt es folgende Entscheidungen der Kommission zu dieser Fragestellung:

• Die Kommission hat jeweils mit Entscheidung vom 26. Juli 2000 festgestellt, dass sowohl die Schweiz (ABl. L 215/1) als auch Ungarn (ABl. L 215/4) ein angemessenes Datenschutzniveau aufweisen.
  
• Mit Entscheidung vom 20. Dezember 2001 (ABl. L 2/13) stellte die Kommission ferner fest, dass Kanada als ein Land angesehen wird, das ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten aus der Gemeinschaft an Empfänger garantiert, die der Personal Information Protection and Electronic Documents Act unterliegen. Anders als bei der Schweiz und Ungarn bezieht sich die Entscheidung der Kommission also nicht auf Kanada als Drittland, sondern auf dieses Gesetz. Problematisch ist hierbei, dass die übermittelnde Stelle inzident überprüfen muss, ob der potentielle Empfänger diesem kanadischen Gesetz unterfällt. Zum Anwendungsbereich des Gesetzes enthält der Erwägungsgrund 5 der Entscheidung der Kommission nähere Hinweise. Außerdem kann der kanadische Bundesdatenschutzbeauftragte (Federal Privacy Commissioner; www.privcom.gc.ca (externer Link)) zusätzliche Informationen zu derartigen Fällen bereitstellen.
  
• Das mit den USA getroffene Arrangement des "Sicheren Hafens" ("Safe Harbor") sieht wiederum einen anderen Ansatzpunkt vor, um ein angemessenes Datenschutzniveau bei der empfangenden Stelle zu gewährleisten. Hierbei führt das US-Handelsministerium ein Verzeichnis von Unternehmen, die sich auf die "Grundsätze des Sicheren Hafens zum Datenschutz" des Handelsministeriums verpflichtet haben. Diese Grundsätze sind in dem Dokument "Safe Harbor Privacy Principles" zusammengefasst und werden von 15 "Häufig gestellten Fragen" ("FAQ") flankiert. Die Papiere sind auf der Homepage des Bundesbeauftragten für den Datenschutz unter der Adresse www.bfd.bund.de/europa/rubrik3.html (externer Link) abrufbar. Dort befindet sich auch ein Link zur Liste des US-Handelsministeriums mit den Firmen, die sich auf die Grundsätze des sicheren Hafens verpflichtet haben.

3.1.3. Datenschutzvorschriften für die Verwaltungsbehörden der EU

Im Februar 2001 ist die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 008) in Kraft getreten (vgl. 19. TB, Nr. 2.1.2). Die Verordnung enthält Vorschriften, die wie im letzten Tätigkeitsbericht bereits ausgeführt, weitgehend mit den Bestimmungen der EG-Datenschutzrichtlinie übereinstimmen, wie z. B. Zulässigkeitsvoraussetzungen für die Datenverarbeitung, Rechte der Betroffenen bei der Datenverarbeitung, sowie die Bestellung eines obligatorischen Datenschutzbeauftragten für jedes Organ und jede Einrichtung der Gemeinschaft. Als unabhängige Kontrollbehörde wurde ein europäischer Datenschutzbeauftragter eingerichtet, der die Datenschutzrechte im Hinblick auf die Verarbeitung personenbezogener Daten bei Gemeinschaftseinrichtungen sicherzustellen hat.

3.2. Umsetzung der EG-Datenschutzrichtlinie

3.2.1. Novellierung des BDSG

Das novellierte Bundesdatenschutzgesetz (BDSG) ist am 23. Mai 2001 in Kraft getreten (BGBl I S. 904). Dieses Gesetz, das für Bundesbehörden und für die Privatwirtschaft gilt, enthält gegenüber der alten Fassung einige neue und innovative Regelungen, ist jedoch leider recht unübersichtlich und kompliziert geraten. Wichtige (neue) Bestimmungen sind unter anderem (vgl. auch 19. TB, Nr. 2.2.1):

• Eine Regelung zur Datenvermeidung und zur Datensparsamkeit bei der Gestaltung und Auswahl von Datenverarbeitungssystemen, § 3 a BDSG.
  
• Eine (erweiterte) Vorschrift zur Wirksamkeit der datenschutzrechtlichen Einwilligung, § 4 a BDSG.
  
• Vorschriften zur Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen, §§ 4 b und 4 c BDSG.
  
• Eine detaillierte Norm für den Beauftragten für den Datenschutz, den öffentliche und nicht-öffentliche Stellen schriftlich zu bestellen haben, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, § 4 f BDSG. § 4 g BDSG beschreibt dessen Aufgabenbereich näher.
  
• Eine Regelung zu automatisierten Einzelentscheidungen, § 6 a BDSG.
  
• Ferner enthält das BDSG nunmehr doch, anders als in dem im letzten Tätigkeitsbericht besprochenen Vorentwurf, eine Chipkartenregelung, § 6 c BDSG.
  
• § 9 a BDSG enthält Regelungen zum Datenschutzaudit.

3.2.2. „Zweite Stufe“ der Novellierung des BDSG

Mit der "Ersten Stufe" der Novellierung des BDSG sind Änderungen in Kraft getreten, die über die des novellierten BayDSG hinausgehen. Eine grundlegende Modernisierung des Datenschutzrechts konnte jedoch auch hiermit nicht erreicht werden. Die "Zweite Stufe" der Novellierung des BDSG (vgl. 19. TB, Nr. 2.2.1) steht aus.

Im Zuge der Diskussionen hierzu hat das Bundesministerium des Innern die Professoren Alexander Roßnagel und Andreas Pfitzmann und den Berliner Datenschutzbeauftragten Hans-Jürgen Garstka mit der Erstellung eines Gutachtens zur "Modernisierung des Datenschutzrechts" beauftragt. In dessen Entstehung wurden einzelne "Interessensbereiche" mit Hilfe von Workshops einbezogen. Gelegentlich der 62. Konferenz der Datenschutzbeauftragten des Bundes und der Länder fand am 03. und 04. April 2001 ein Workshop statt, an dem auch ein Vertreter meines Hauses teilgenommen hat.

Das Gutachten ist im Herbst 2001 erschienen und enthält wichtige Anregungen für den "neuen Datenschutz". Es kommt in seinen Thesen unter anderem zu folgenden Ergebnissen, die mir besonders bedenkenswert erscheinen:

• Datenschutz sei Grundrechtsschutz (mein langjähriges Motto) und Funktionsbedingung eines demokratischen Gemeinwesens. Daher sollte ein modernes Datenschutzrecht geschaffen werden, das zum einen einfacher und verständlicher und zum anderen angesichts neuer Formen der Datenverarbeitung risikoadäquat sei. Um ersteres Ziel zu erreichen, müsse die Selbstbestimmung der betroffenen Personen gestärkt, sowie die Selbstregulierung und Selbstkontrolle der Datenverarbeiter ermöglicht und verbessert werden. Um das
  
  zweite Ziel zu erreichen, müssten vor allem Konzepte des Selbstdatenschutzes und des Systemdatenschutzes umgesetzt werden.
  
• Ein modernes Datenschutzrecht sollte auf einem allgemeinen Gesetz gründen, das grundsätzliche und präzise Regelungen zur Datenverarbeitung enthalte und offene Abwägungsklauseln möglichst vermeide. Spezialregelungen in bereichsspezifischen Gesetzen sollten nur Ausnahmen von den allgemeinen Regeln enthalten und nur für bestimmte riskante Datenverarbeitungen die Anforderungen verschärfen oder bei unterdurchschnittlich riskanten Datenverarbeitungen Erleichterungen bieten.
  
• Die allgemeinen Datenschutzgrundsätze sollten sowohl für den öffentlichen als auch für den nicht-öffentlichen Bereich gelten. In beiden Bereichen sei das gleiche Datenschutzniveau zu gewährleisten. Unterschiede seien insoweit zu berücksichtigen, als im nicht-öffentlichen Bereich die Regelungsadressaten Grundrechtsträger seien und im öffentlichen Bereich allgemeine Interessen verfolgt werden müssten.
  
• Jeder Umgang mit personenbezogenen Daten sollte unter der einheitlichen Bezeichnung "Verarbeitung" subsumiert werden. Dabei sei zwischen der Verarbeitung mit gezieltem Personenbezug und der Verarbeitung ohne gezieltem Personenbezug zu differenzieren, wobei die Anforderungen an letztere risikoadäquat und effizienzsteigernd spezifiziert werden könnten.
  
• Die Transparenz der Datenverarbeitung gegenüber den betroffenen Personen müsse insbesondere durch ausreichende Informationen erhöht werden.
  
• Ein genereller Erlaubnistatbestand sollte die Datenverarbeitung immer dann für zulässig erklären, wenn offenkundig keine Beeinträchtigung der betroffenen Personen zu erwarten sei. Soweit Interessen beeinträchtigt werden könnten, sollte die Entscheidung vorrangig der Selbstbestimmung überlassen werden.
  
• Soweit für die Zwecke der Datenverarbeitung ein Personenbezug nicht erforderlich sei, müsse dieser von Anfang an vermieden oder nachträglich durch Löschung der Daten, ihre Anonymisierung oder Pseudonymisierung beseitigt werden.
  
• Die Verarbeitung personenbezogener Daten dürfe nur zu bestimmten, in der Einwilligung oder der gesetzlichen Erlaubnis ausdrücklich genannten Zwecken erfolgen (Zweckbindung).
  
• Datenschutz müsse durch, nicht gegen die Technik erreicht werden. Das Datenschutzrecht müsse datenschutzgerechte Technik fordern und fördern.
  
• Die Betroffenen müssten ihre Rechte frei und unbehindert sowie unentgeltlich ausüben können.
  
• Die Datenschutzkontrolle sollte für den öffentlichen und den nicht-öffentlichen Bereich einschließlich der Telekommunikation, der Mediendienste und der Rundfunkanstalten zusammengeführt werden.
  

Ich hoffe, dass in der "Zweiten Stufe" eine Novellierung des BDSG diese vielversprechenden Ansätze aufgegriffen werden. Der Wunsch nach einem allgemeinen Gesetz als Schwerpunkt und einer Zurückhaltung bei Sonderregelungen dürfte sich allerdings nur schwer realisieren lassen.

3.2.3. Zuständigkeit des Landesbeauftragten – behördlicher Datenschutzbeauftragter

• Ich halte die Einschätzung des oben angesprochenen Gutachtens zur Modernisierung des Datenschutzrechts, dass die Datenschutzkontrolle soweit wie möglich in einer Stelle zusammengeführt werden sollte, für zutreffend. In meiner täglichen Beratungspraxis habe ich festgestellt, dass nur den wenigsten Petenten - aber auch z. B. Firmen - die Trennung zwischen den Tätigkeitsbereichen des Landesbeauftragten für den Datenschutz und der Aufsichtsbehörde für den nicht-öffentlichen Bereich bekannt ist. Viele Ratsuchende wenden sich wie selbstverständlich an mich. Ferner lassen sich Datenverarbeitungen öffentlicher und nicht-öffentlicher Stellen im zunehmenden Umfang nicht mehr trennen. Häufig arbeiten diese Stellen, wie z. B. Krankenhäuser und niedergelassene Ärzte, private und gesetzliche Krankenversicherungen etc. zusammen. Dies betrifft u.a. telemedizinische Projekte, Ärztenetze und auch Forschungsverbünde. Aber auch die öffentliche Verwaltung bedient sich zunehmend privater Dienstleister soweit das rechtlich zulässig ist (Outsourcing). Auch
  
  hier ist eine datenschutzrechtliche Gesamtkonzeption - ohne Rücksicht auf die Zugehörigkeit der jeweiligen Stelle zu einem bestimmten Bereich - gefragt.
  
  Ich hielte es daher für sachgerecht und zweckmäßig dem Bayerischen Landesbeauftragten für den Datenschutz auch die datenschutzrechtliche Kontrolle für den nicht-öffentlichen Bereich zuzuweisen, wie dies bereits in den Stadtstaaten und in den Ländern Niedersachsen, Nordrhein-Westfalen und Schleswig-Holstein geschehen ist. In Bayern stehen dieser Lösung seit der letzten Verfassungsänderung allerdings wohl verfassungsrechtliche Bedenken entgegen, da der Landesbeauftragte durch Art. 33 a der Bayerischen Verfassung nicht mehr der Exekutive - der die Datenschutzkontrolle im nicht-öffentlichen Bereich zugehört - sondern dem Bereich des Landtags zugeordnet ist. Eine Zuweisung dieser Aufgaben in meinen Zuständigkeitsbereich würde deshalb wohl eine Verfassungsänderung voraussetzen.
  
• Das BayDSG schreibt nunmehr die verpflichtende Bestellung interner Datenschutzbeauftragter für (fast) alle bayerischen öffentlichen Stellen vor. Im Berichtszeitraum sind daher verstärkt Behörden - aber auch (potentielle) Datenschutzbeauftragte - mit der Frage an mich herangetreten, welche Voraussetzungen ein Datenschutzbeauftragter erfüllen muss.
  
  Nachstehend stelle ich deshalb zunächst die wesentlichen Neuregelungen dar:
  
• Gesetzliche Normierung der Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten (Art. 25 Abs. 2 BayDSG)
  Bisher waren lediglich Sozialversicherungsträger und ihre Verbände gesetzlich (§ 81 Abs. 4 SGB X) zur Bestellung eines behördlichen Datenschutzbeauftragten verpflichtet. Staatliche öffentliche Stellen waren seit 1978 mittels einer Verwaltungsvorschrift (zuletzt Nr. 3.1 der Vollzugsbekanntmachung zum BayDSG vom 05.10.1994) hierzu gehalten und Kommunen war dies aufgrund gleicher Vorschrift nur empfohlen. Nunmehr besteht die Verpflichtung zur Bestellung eines behördlichen Datenschutzbeauftragten für alle öffentlichen Stellen, die personenbezogene Daten mit Hilfe von automatisierten Verfahren bearbeiten.
  Mehrere öffentliche Stellen können auch einen gemeinsamen behördlichen Datenschutzbeauftragten bestellen, wobei dieser allerdings in einer dieser öffentlichen
  
  Stellen beschäftigt sein muss - die Bestellung eines "externen" Datenschutzbeauftragten, z.B. aus der Privatwirtschaft, scheidet damit aus.
  
• Gesetzliche Normierung der Stellung eines behördlichen Datenschutzbeauftragten (Art. 25 Abs. 3 BayDSG)
  Durch die Regelungen in den Sätzen 1 mit 5 wird seine Stellung in der öffentlichen Stelle im Vergleich zur bisherigen Situation gestärkt.
  
• Gesetzliche Normierung der Aufgaben eines behördlichen Datenschutzbeauftragten (Art. 25 Abs. 4 BayDSG)
  Wesentliche Aufgabe des behördlichen Datenschutzbeauftragten ist, auf die Einhaltung des BayDSG und anderer Datenschutzvorschriften in der öffentlichen Stelle hinzuwirken - er ist für deren Einhaltung jedoch nicht verantwortlich. Diese Verantwortung trägt unverändert die speichernde Stelle, d.h. die Leitung der öffentlichen Stelle.
  Andererseits bedeutet diese Aufgabe des behördlichen Datenschutzbeauftragten aber auch, dass er sich zunächst selbst mit der Auslegung und Umsetzung von Datenschutzvorschriften auseinander setzen muss, bevor er sich nach Art. 25 Abs. 3 Satz 3 BayDSG unmittelbar an mich wenden kann und soll. Wendet er sich aufgrund von bestehenden Zweifeln an mich, so sollte er diese Zweifel substantiiert darlegen und soweit möglich auch rechtlich begründen. Leider muss ich aber immer noch und immer wieder feststellen, dass mir von öffentlichen Stellen und von behördlichen Datenschutzbeauftragten Sachverhalte und Vorhaben zur Stellungnahme vorgelegt werden, ohne dass vorher eine angemessene eigene Bewertung durch den behördlichen Datenschutzbeauftragten erfolgt ist. Diese Dienstleistung kann ich aufgrund personeller und zeitlicher Engpässe nicht leisten (siehe hierzu auch Abschnitt 17.2.2, "Erkenntnisse aus Beratungen").
  
  Die Tätigkeit eines behördlichen Datenschutzbeauftragten ist anspruchsvoll und verlangt ein hohes persönliches und fachliches Engagement. Das BayDSG enthält keine näheren Angaben zu den Anforderungen, die an einen Datenschutzbeauftragten zu stellen sind. § 4 f Abs. 2 Satz 1 BDSG bestimmt dagegen, dass zum Beauftragten für den Datenschutz nur bestellt werden darf, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Die Fachkunde umfasst sowohl das allgemeine Grundwissen, das jeder Datenschutzbeauftragte aufweisen muss, als auch behörden- bzw. betriebsspezifische Kenntnisse. Zum Grundwissen gehören in erster Linie das Datenschutzrecht, Verständnis für betriebswirtschaftliche Zusammenhänge und Grundkenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung. Ferner muss der Datenschutzbeauftragte mit der Organisation und den Funktionen seines Betriebs bzw. seiner Behörde vertraut sein.
  
  Vor allem bei der erstmaligen Bestellung zum Datenschutzbeauftragten wird dieses Idealbild nur von wenigen Personen in vollem Umfang erfüllt werden. Daher hat der Dienstherr dem Bestellten auch eine angemessene Einarbeitung und Weiterbildung in diesem Fachgebiet (z. B. durch den Bezug einer Fachzeitschrift, den Erwerb von Fachliteratur und den Besuch von Fortbildungsveranstaltungen) zu ermöglichen.
  
  Zur Zuverlässigkeit eines Datenschutzbeauftragten gehört unter anderem auch, dass diese Tätigkeit nicht mit seinen sonstigen Aufgaben kollidiert. Hierzu und zu seinen Aufgaben habe ich mich in der Orientierungshilfe "Aufgaben eines behördlichen Datenschutzbeauftragten" geäußert, die auf meiner Homepage (www.datenschutz-bayern.de) in der Rubrik "Technik" abrufbar ist.
  
  In der Novelle des BayDSG fehlt leider auch eine dem § 4 f Abs. 5 BDSG entsprechende Bestimmung, wonach die öffentlichen (und nichtöffentlichen) Stellen den Beauftragten bei Erfüllung seiner Aufgaben zu unterstützen haben und ihm insbesondere soweit erforderlich Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen haben.
  
  Ich gehe aber davon aus, dass sich diese Verpflichtung auch ohne ausdrückliche Hervorhebung aus der Notwendigkeit ergibt, den behördlichen DSB nicht nur dem Namen nach, sondern effektiv einzurichten.

Im Berichtszeitraum wurde ferner die Frage an mich herangetragen, unter welchen Voraussetzungen die Abberufung eines Datenschutzbeauftragten zulässig sei. Ich habe hierzu eine fachliche Stellungnahme des Bayerischen Staatsministeriums des Innern eingeholt, der ich mich inhaltlich anschließe, wobei ich zu dem Ergebnis komme, dass eine Abberufung nur aus wichtigem Grund zulässig ist:

• Die Abberufung eines Datenschutzbeauftragten sei eine Umsetzung oder Teilumsetzung, je nachdem ob es sich um einen vollständigen oder nur teilweisen Aufgabenwechsel handle. Art. 25 Abs. 3 Satz 4 BayDSG untersage eine Benachteiligung des Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben. Aufgabe des Beauftragten sei vor allem, auf die Einhaltung der datenschutzrechtlichen Regelungen hinzuwirken. In der Eigenschaft als Datenschutzbeauftragter bestehe zudem Weisungsfreiheit (Art. 25 Abs. 3 Satz 2 BayDSG). Der für eine (Teil-)Umsetzung erforderliche sachliche Grund könne daher nicht in der ordnungsgemäßen, wenn auch vielleicht aus Sicht eines Behördenleiters zu kritischen Aufgabenerfüllung liegen. Eine offensichtlich nicht ordnungsgemäße Aufgabenerfüllung hingegen könne einen sachlichen Grund darstellen.
  
• Bei der (Teil-)Umsetzung handele es sich nicht um einen Verwaltungsakt. Die Begründungspflicht des Art. 39 BayVwVfG finde daher keine Anwendung. Aufgrund des Benachteiligungsverbots sei es jedoch erforderlich, den sachlichen Grund, der der Abberufung als behördlicher Datenschutzbeauftragte zu Grunde liege, anzugeben. Es müsse nämlich gewährleistet sein, dass auch vom Betroffenen selbst nachgeprüft werden könne, ob die Abberufung als behördlicher Datenschutzbeauftragter mit dem gesetzlich verankerten Benachteiligungsverbot vereinbar sei oder nicht.
  
• Zuständig für die Abberufung sei derjenige, der auch die Bestellungskompetenz inne habe. Bei Staatsbehörden sei dies der jeweilige Behördenleiter. In Kommunen sei für die Bestellung das kommunale Vertretungsorgan zuständig (Gemeinderat, Kreistag, Bezirkstag) oder ein beschließender Ausschuss, dem diese Aufgabe übertragen worden sei. Die Bestellungskompetenz könne durch die Geschäftsordnung auch auf den ersten Bürgermeister, den Landrat oder den Bezirkstagspräsidenten übertragen werden.
  
• Ein Mitbestimmungsrecht der Personalvertretung bei (Teil-)Umsetzungen bestehe nur dann, wenn sie für die Dauer von mehr als sechs Monaten zur Übertragung von Aufgaben führe, die einem Amt mit höheren oder niedrigerem Endgrundgehalt zugeordnet sind (Art. 75 Abs. 1 Satz 1 Nr. 3 BayPVG) oder mit einem Dienstortwechsel verbunden sind (Art. 75 Abs. 1 Satz 1 Nr. 6 BayPVG). Die Stellung als Datenschutzbeauftragter habe keine besoldungsrechtlichen Auswirkungen. Die Abberufung führe demnach für sich genommen nicht zu einem Mitbestimmungsrecht der Personalvertretung, soweit sie nicht mit anderen in Art. 75 BayPVG genannten Maßnahmen zusammenträfe.

Besonders wesentlich erscheint mir, dass danach eine Abberufung ohne Begründung unzulässig ist (so auch Kommentar zum BayDSG, Wilde/Ehmann/Niese/Knoblauch, Art. 25 Rdn. 25 a ff.).

Stellung des kommunalen Datenschutzbeauftragten

Die Datenschutzbeauftragte einer bayerischen Kommune fragte bei mir an, ob es rechtens sei, dass sie in ihrer Eigenschaft als kommunale Datenschutzbeauftragte dem Leiter des Hauptamtes unterstellt sei. Ich nahm dazu in Benehmen mit dem Bayerischen Staatsministerium des Innern wie folgt Stellung:

Die behördlichen Datenschutzbeauftragten sind gemäß Art. 25 Abs. 3 BayDSG in dieser Eigenschaft der Leitung der öffentlichen Stelle (Bürgermeister) oder deren ständiger Vertretung unmittelbar zu unterstellen; in Gemeinden können sie auch einem berufsmäßigen Gemeinderatsmitglied (z. B. zweiter Bürgermeister) unterstellt werden. Damit scheidet eine Delegation der Unterstellung auf den Hauptamtsleiter aus, da dieser nicht als ständiger Vertreter im Sinne des Gesetzes anzusehen ist.