Sie sind hier: > Start > Infothek > AKI 30: Eine bayerische öffentliche Stelle - mehrere Datenschutzbeauftragte?
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 04.05.2020
Aktuelle Kurz-Information 30: Eine bayerische öffentliche Stelle - mehrere Datenschutzbeauftragte?
Stichwörter: Datenschutzbeauftragter, Hilfskräfte - Datenschutzbeauftragter, mehr als einer - Datenschutzteam - Verantwortlicher, mehr als ein Datenschutzbeauftragter | Stand: 1. Mai 2020
Behörden und sonstige bayerische öffentliche Stellen haben gemäß Art. 37 Abs. 1 Buchst. a Datenschutz-Grundverordnung (DSGVO) in Verbindung mit Art. 1 und 2 Bayerisches Datenschutzgesetz (BayDSG) in jedem Fall einen behördlichen Datenschutzbeauftragten zu benennen. In diesem Zusammenhang wurde die Frage an mich herangetragen, ob es zulässig sei, dass eine bayerische öffentliche Stelle mehrere Datenschutzbeauftragte mit jeweils klar abgegrenzter Zuständigkeit benenne. Meiner Auffassung nach ist diese Frage zu verneinen.
1. Ein Verantwortlicher - ein Datenschutzbeauftragter
Bereits der Wortlaut des Art. 37 Abs. 1 Buchst. a DSGVO legt nahe, dass ein Verantwortlicher in Erfüllung seiner gesetzlichen Verpflichtung jeweils nur einen Datenschutzbeauftragten benennen kann. Zwingend ausgeschlossen ist die Benennung mehrerer Datenschutzbeauftragter hierdurch gleichwohl nicht.
Gegen diese Möglichkeit sprechen aber insbesondere die institutionelle Einordnung sowie die Aufgaben des Datenschutzbeauftragten: Dieser soll unter anderem betroffenen Personen als Ansprechpartner (vgl. Art. 38 Abs. 4 DSGVO) und der Aufsichtsbehörde als Anlaufstelle (vgl. Art. 39 Abs. 1 Buchst. d und e DSGVO) zur Verfügung stehen. Die Benennung mehrerer Datenschutzbeauftragter, die auch nach außen hin mit abgegrenzten Zuständigkeiten in Erscheinung treten, würde dieser Konzeption zuwiderlaufen. Weder betroffenen Personen noch der Aufsichtsbehörde kann zugemutet werden, die für sie zuständige Kontaktperson erst mittels einer "Vorprüfung" identifizieren zu müssen. Mit dem Datenschutzbeauftragten soll gerade dann jemand greifbar sein, wenn es um Datenschutzrechte geht und sich Funktionseinheiten des Verantwortlichen auf die eigene interne Unzuständigkeit berufen. Im Übrigen kann die Aufgabe des Datenschutzbeauftragten nur mit einem Gesamtüberblick über die Tätigkeit des Verantwortlichen effektiv wahrgenommen werden.
Unzulässig wäre es somit, wenn eine bayerische öffentliche Stelle als ein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO in Verbindung mit Art. 3 Abs. 2 BayDSG mehrere Datenschutzbeauftragte benennt.
Demgegenüber benennen mehrere Verantwortliche in der Regel grundsätzlich auch dann jeweils für sich einen Datenschutzbeauftragten, wenn sie organisatorisch eng verbunden sind (wie etwa die Mitgliedsgemeinden einer Verwaltungsgemeinschaft). In solchen Fällen kann aber eine Kooperation angezeigt sein, indem ein gemeinsamer Datenschutzbeauftragter im Sinne von Art. 37 Abs. 3 DSGVO benannt wird oder alle verbundenen Stellen denselben Datenschutzbeauftragten benennen.
Zu beachten ist in diesem Zusammenhang ferner, dass auf Grundlage von Art. 4 Nr. 7 Halbsatz 2 DSGVO durch entsprechende gesetzliche Regelungen (ausnahmsweise, vgl. Art. 3 Abs. 2 Halbsatz 2 BayDSG) auch einzelnen Organisationseinheiten einer bayerischen öffentlichen Stelle für bestimmte Verarbeitungsvorgänge die Rolle des Verantwortlichen zugewiesen werden kann (vgl. etwa im Sozialrecht § 67 Abs. 4 Satz 2 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz -).
2. Stellvertreter und Hilfskräfte des Datenschutzbeauftragten
Die dargestellte Auffassung steht der - rechtlich überdies gebotenen - Benennung eines stellvertretenden Datenschutzbeauftragten durch den Verantwortlichen nicht entgegen. Ein solcher tritt nämlich nur im Vertretungsfall, insbesondere bei Urlaub oder Erkrankung des "eigentlich" benannten Datenschutzbeauftragten an dessen Stelle - dann aber auch vollumfänglich. Nach außen hin erkennbare Unklarheiten oder Abgrenzungsfragen hinsichtlich der Zuständigkeiten sind hier nicht zu befürchten.
Ferner lässt es die dargestellte Auffassung zu, dass der benannte (interne oder externe) Datenschutzbeauftragte durch Hilfskräfte bei seiner Aufgabenerfüllung unterstützt wird. Ab einer bestimmten Größe des Verantwortlichen wird dies ohnehin unabdingbar sein; schließlich hat der Verantwortliche seinem Datenschutzbeauftragten gemäß Art. 38 Abs. 2 DSGVO die zur Aufgabenerfüllung erforderlichen - gegebenenfalls auch personellen - Ressourcen zur Verfügung zu stellen. Die interne Ausgestaltung bleibt dabei dem organisatorischen Ermessen des Verantwortlichen überlassen; in Betracht kommt etwa die Etablierung eines unterstützenden "Datenschutzteams" oder von "örtlichen Ansprechpartnern für den Datenschutz". In diesem Rahmen ist auch eine interne Festlegung dahingehend möglich, dass beispielsweise einzelnen Hilfskräften des Datenschutzbeauftragten bestimmte fachliche Schwerpunkte zugewiesen werden. Unberührt hiervon bleibt freilich der Umstand, dass der Verantwortliche nur einen Datenschutzbeauftragten im Sinne der Art. 37 ff. DSGVO benennen kann. Bei diesem muss es sich im Übrigen um eine natürliche Person handeln, welche die Anforderungen des Art. 37 Abs. 5 DSGVO erfüllt.
3. Fazit
Für eine bayerische öffentliche Stelle kann jeweils nur ein behördlicher Datenschutzbeauftragter benannt werden, der dann - seinen gesetzlichen Aufgaben entsprechend - einheitlich betroffenen Personen als Ansprechpartner und der Aufsichtsbehörde als Anlaufstelle zur Verfügung steht. Die Benennung mehrerer Datenschutzbeauftragter durch ein und denselben Verantwortlichen ist demgegenüber rechtlich nicht möglich, birgt ein solches Vorgehen doch die Gefahr, dass sich insbesondere betroffene Personen zunächst an die "falsche", weil für ihr jeweiliges Anliegen unzuständige Stelle wenden. Dies würde insbesondere eine effektive Durchsetzung von Betroffenenrechten erschweren.
Die rechtlich gebotene Benennung eines stellvertretenden Datenschutzbeauftragten bleibt freilich ebenso möglich wie die Zuweisung (weiterer) personeller Ressourcen an den Datenschutzbeauftragten.
- Anders als in meinen Veröffentlichungen sonst verwendet die vorliegende Aktuelle Kurz-Information - dem Sprachgebrauch der Datenschutz-Grundverordnung folgend - ausnahmsweise das generische Maskulinum. [Zurück]
- Vgl. ausführlich hierzu meine Orientierungshilfe "Der behördliche Datenschutzbeauftragte", insbesondere Abschnitt II Nr. 3 Buchst. a, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Behördlicher Datenschutzbeauftragter". [Zurück]