Aktuelle Kurz-Information 12: Dienstweg und Zugang zum behördlichen Datenschutzbeauftragten bei bayerischen öffentlichen Stellen

Stichwörter: Beratung - Beschäftigte - Datenschutzbeauftragter, behördlicher - Datenschutz-Dienstanweisung - Dienstweg - Remonstration, beamtenrechtliche

Der behördliche Datenschutzbeauftragte ist ein wichtiger Ansprechpartner auch für die Beschäftigten bayerischer öffentlicher Stellen, wenn es um Fragen des Datenschutzes geht. Mich haben mehrere Anfragen erreicht, die sich auf eine Kontrolle des Zugangs zum behördlichen Datenschutzbeauftragten bezogen. So sollten diesem in einer Behörde beispielsweise entsprechende Gesuche nur über die Personalstelle zugeleitet werden dürfen. Insofern ist zu unterscheiden:

1. Beschäftigte als betroffene Personen

Ist ein Beschäftigter betroffene Person, weil die öffentliche Stelle etwa im Rahmen der Personalverwaltung seine personenbezogenen Daten verarbeitet, so richtet sich der Zugang zum behördlichen Datenschutzbeauftragten nach Art. 38 Abs. 4 Datenschutz-Grundverordnung (DSGVO). Dort heißt es:

"Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen."

Die Vorschrift gewährleistet betroffenen Personen die Möglichkeit, mit dem Datenschutzbeauftragten unmittelbar, also ohne die Kenntnis, gar die Mitwirkung Dritter Kontakt aufzunehmen. Anders wäre auch die in Art. 38 Abs. 5 DSGVO angeordnete Vertraulichkeit nicht gewährleistet. Diese Vorgaben gelten zugunsten betroffener Personen unabhängig davon, ob sie zum Verantwortlichen in einem Beschäftigungsverhältnis stehen oder nicht.

Eine Vorgabe an Beschäftigte, den Datenschutzbeauftragten in eigenen Angelegenheiten nur über die Personalstelle, über die Behördenleitung oder auf dem Dienstweg kontaktieren zu dürfen, ist daher nicht zulässig.

2. Beschäftigte als Anfragesteller

Beschäftigte suchen den Rat des behördlichen Datenschutzbeauftragten aber nicht nur in der Rolle der betroffenen Person. Sie haben bei ihrer Arbeit oftmals mit Verarbeitungen personenbezogener Daten Dritter zu tun. In diesem Zusammenhang stellen sich ebenfalls regelmäßig datenschutzrechtliche oder datenschutzpraktische Fragen. Meinungsverschiedenheiten zwischen dem ratsuchenden Beschäftigten und seinem Vorgesetzten bestehen in dieser Fallkonstellation häufig nicht; es steht vielmehr in Rede, wie die öffentliche Stelle als solche datenschutzgerecht agiert.

Art. 39 Abs. 1 Buchst. a DSGVO stellt dem Datenschutzbeauftragten die folgende Aufgabe:

"Unterrichtung und Beratung des Verantwortlichen [...] und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten".

Trifft die öffentliche Stelle keine Regelungen, kann sich daher jeder Beschäftigte mit einer bei der eigenen Arbeit aufgetretenen datenschutzrechtlichen oder datenschutzpraktischen Frage unmittelbar an den behördlichen Datenschutzbeauftragten wenden.

Eine öffentliche Stelle darf durch innerdienstliche Regelung aber auch bestimmen, dass Anfragen dieser Art dem behördlichen Datenschutzbeauftragten über einen Vorgesetzten oder auf dem Dienstweg vorgelegt werden. Für einen unmittelbaren Zugang jedes Beschäftigten spricht zwar das Interesse an einer möglichst optimalen Nutzung der Expertise des Datenschutzbeauftragten mittels einer zügigen Beratung, die so auch telefonisch in einer konkreten Arbeitssituation gewährleistet ist. Die mittelbare Befassung verschafft aber Vorgesetzten einen Eindruck von den auftretenden datenschutzrechtlichen und datenschutzpraktischen Problemen und versetzt sie in die Lage, die mit dem Datenschutzbeauftragten erarbeiteten Lösungen auch für andere Beschäftigte nutzbar zu machen. Welchem Ziel der Vorrang einzuräumen ist, sollte jeweils im Hinblick auf die konkrete Organisations- und Verantwortlichkeitsstruktur entschieden werden.

Regelungen zur Einbindung des behördlichen Datenschutzbeauftragten sollten möglichst in der für die öffentliche Stelle maßgeblichen Datenschutz-Dienstanweisung getroffen werden. Ein Muster ist in den vom Bayerischen Staatsministerium des Innern und für Integration herausgegebenen Arbeitshilfen zur praktischen Umsetzung der Datenschutz-Grundverordnung unter Nr. 4.1 zu finden (Internet: Internet: https://www.stmi.bayern.de/sus/datensicherheit/datenschutz/reform_arbeitshilfen/ (externer Link)).

3. Beschäftigte als Hinweisgeber

Beschäftigte wenden sich mitunter aber auch als Hinweisgeber an den behördlichen Datenschutzbeauftragten, weil sie ihn auf einen möglichen datenschutzrechtlichen Missstand aufmerksam machen möchten. Dies gilt insbesondere dann, wenn ein Beschäftigter mit Bedenken hinsichtlich konkreter Verarbeitungen bei seinen Vorgesetzten kein Gehör findet. Hier wird es also in erster Linie um die Frage gehen, wie sich der Beschäftigte selbst aus Datenschutzsicht rechtskonform verhalten soll. Dazu ist er in seinem Dienst- oder Beschäftigungsverhältnis nämlich verpflichtet. Die Beratungssituation ist hier - anders als oben unter 2. - durch eine Meinungsverschiedenheit zwischen dem Beschäftigten und seinen Vorgesetzten gekennzeichnet.

Auch insofern ist Art. 39 Abs. 1 Buchst. a DSGVO maßgeblich. Daran können die beamtenrechtlichen Bestimmungen zur Remonstration (§ 36 Abs. 2, 3 Beamtenstatusgesetz - BeamtStG) nichts ändern. Diese Vorschriften regeln, unter welchen Voraussetzungen einen Beamten (ausnahmsweise) nicht die ihm nach § 36 Abs. 1 BeamtStG zugewiesene Verantwortung trifft. Sie legen dagegen nicht fest, wessen Rat der Beamte in einer "kritischen" Entscheidungssituation suchen darf.

Sollte eine innerdienstliche Regelung bei einer bayerischen öffentlichen Stelle den Kontakt mit dem behördlichen Datenschutzbeauftragten (auch) im Fall einer "kontroversen" Beratungssituation nur unter Einbindung von Vorgesetzten bzw. auf dem Dienstweg zulassen, würde sie auf eine Situation hinwirken, in welcher es vom Willen der jeweiligen Vorgesetzten abhängt, inwieweit der Datenschutzbeauftragte seiner Aufgabe nach Art. 39 Abs. 1 Buchst. a DSGVO hinsichtlich der ihnen zugeordneten Beschäftigten nachkommen kann. Zudem könnte ihm eine wichtige Erkenntnisquelle für seine Überwachungsaufgabe (Art. 39 Abs. 1 Buchst. b DSGVO) verschlossen werden.

Wesentlich wäre im Übrigen die Rolle des Datenschutzbeauftragten berührt: Dass Art. 39 Abs. 1 Buchst. a DSGVO ihm die Aufgabe der Beratung gerade gegenüber dem Verantwortlichen und seinen Beschäftigten zuweist, legt ein Verständnis nahe, nach welchem der Datenschutzbeauftragte in einer "kontroversen" Beratungssituation gerade die Rolle eines "Vermittlers" einnimmt. Eine der Aufgabe adäquate Beratung erfordert hier nämlich eine Analyse der Pflichten beider Seiten und die Entwicklung einer allseits datenschutzkonformen Problemlösung.

Eine Regelung, wie sie § 14 des Musters für eine Datenschutz-Dienstanweisung (siehe oben unter 1. am Ende) im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz vorsieht, ist vor diesem Hintergrund ein Beispiel für eine auch in der Welt der Datenschutz-Grundverordnung positiv zu bewertende Fehlerkultur. Dort heißt es:

"¹Erlangt ein Mitarbeiter von einem Datenschutzverstoß Kenntnis, kann er sich jederzeit unmittelbar an den behördlichen Datenschutzbeauftragten wenden. ²Der behördliche Datenschutzbeauftragte behandelt die Meldung vertraulich. ³Er darf Tatsachen, die ihm in Ausübung seiner Funktion anvertraut wurden, und die Identität der mitteilenden Person nicht ohne dessen Einverständnis offenbaren."

Der Zugang zum behördlichen Datenschutzbeauftragten folgt grundsätzlich nicht dem Dienstweg. Den unmittelbaren Kontakt können Beschäftigte einer bayerischen öffentlichen Stelle insbesondere suchen, wenn sie dieser Stelle selbst als betroffene Personen gegenüberstehen. Das gleiche gilt in kontroversen Beratungssituationen, wenn der Datenschutzbeauftragte den Verantwortlichen und seine Beschäftigten bei der Suche nach einer beiderseits pflichtgemäßen Lösung zu einem Datenschutzproblem unterstützen soll. Allenfalls für nicht kontroverse Beratungssituationen kommen innerdienstliche Regelungen zur Einbindung von Vorgesetzten in Betracht.