≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2018

Aktuelle Kurz-Information 2: Datenschutzverantwortlichkeit bei bayerischen Verwaltungsgemeinschaften

Stichwörter: Datenschutzbeauftragter, behördlicher - Kooperation, kommunale - Verantwortlichkeit - Verwaltungsgemeinschaft

Eine bayerische Verwaltungsgemeinschaft wandte sich mit den Fragen an mich, inwieweit sie und auch ihre Mitgliedsgemeinden als Verantwortliche im Sinne der Datenschutz-Grundverordnung anzusehen seien und behördliche Datenschutzbeauftragte zu benennen hätten. Unklar war vor allem, welche Rolle dabei die Unterscheidung des übertragenen und des eigenen Wirkungskreises der Mitgliedsgemeinden spielt.

Ich habe der Verwaltungsgemeinschaft folgende Hinweise gegeben:

Verantwortlicher

Verantwortlicher ist nach Art. 4 Nr. 7 Halbs. 1 Datenschutz-Grundverordnung (DSGVO) "die [...] Behörde [...], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Maßgebend ist grundsätzlich die gesetzliche Aufgaben- und Zuständigkeitsordnung.

Eine Verwaltungsgemeinschaft ist danach hinsichtlich der von ihr wahrgenommenen Aufgaben des übertragenen Wirkungskreises ihrer Mitgliedsgemeinden (Art. 4 Abs. 1 Satz 1 Verwaltungsgemeinschaftsordnung - VGemO) datenschutzrechtlich Verantwortlicher. In die Erfüllung der Aufgaben des eigenen Wirkungskreises der Mitgliedsgemeinden ist die Verwaltungsgemeinschaft regelmäßig als deren Behörde eingebunden (Art. 4 Abs. 2 Satz 2 VGemO); datenschutzrechtlich Verantwortliche bleiben hier allerdings die Gemeinden.

Datenschutzbeauftragter

Vor diesem Hintergrund haben sowohl die Verwaltungsgemeinschaft als auch ihre Mitgliedsgemeinden jeweils für sich behördliche Datenschutzbeauftragte (Art. 37 ff. DSGVO) zu benennen. Eine kommunale Kooperation ist zu empfehlen; insbesondere sollten die Verwaltungsgemeinschaft und ihre Mitgliedsgemeinden möglichst einen gemeinsamen Datenschutzbeauftragten (Art. 37 Abs. 3 DSGVO) oder denselben externen Datenschutzbeauftragten (Art. 37 Abs. 6 DSGVO) benennen.