Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 17.09.2018

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Aktuelle Kurz-Information 7: Datenschutzbeauftragte kreisangehöriger Gemeinden in Bayern: Inkompatibilitäten, Qualifikation, Zeitbudget

Stichwörter: Datenschutzbeauftragter, behördlicher - Gemeinde, kreisangehörige - Inkompatibilität - Qualifikation, berufliche - Zeitbudget

Bayerische kreisangehörige Gemeinden wie auch Verwaltungsgemeinschaften trifft die Pflicht, einen behördlichen Datenschutzbeauftragten zu benennen. Handelt es sich um einen Beschäftigten der öffentlichen Stelle, wird dieser die Aufgabe des Datenschutzbeauftragten neben einer anderen (Haupt-)Aufgabe wahrnehmen. Wie meine Beratungspraxis zeigt, stellen sich in diesem Zusammenhang regelmäßig insbesondere die folgenden drei Fragen:

1. Mit welchen anderen Aufgaben ist die Aufgabe des Datenschutzbeauftragten unvereinbar?

Nach Art. 38 Abs. 6 Datenschutz-Grundverordnung (DSGVO) kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Das aus dem bisherigen Datenschutzrecht unter dem Schlagwort "Inkompatibilität" bekannte Gebot, keine unvereinbaren Aufgaben zuzuweisen, sollte bei bayerischen öffentlichen Stellen stets vor dem Hintergrund der dort erlassenen - oder noch zu erlassenden - Datenschutz-Dienstanweisung gewürdigt werden.

Das hierfür vom Bayerischen Staatsministerium des Innern und für Integration bereitgestellte Muster (Internet: https://www.stmi.bayern.de/sus/datensicherheit/datenschutz/reform_arbeitshilfen (externer Link) Stichwort "Datenschutz-Geschäftsordnung") enthält detaillierte Regelungsvorschläge, wie die im Grundsatz beim ersten Bürgermeister anfallenden Aufgaben des Verantwortlichen innerhalb der Gemeindeverwaltung delegiert werden können.

Wem in nennenswertem Umfang Aufgaben dieser Art übertragen sind, dem sollte nicht zugleich auch die Aufgabe des Datenschutzbeauftragten zugewiesen werden. Wer dagegen entweder gar nicht mit der Erfüllung von Aufgaben betraut ist, welche die Datenschutz-Grundverordnung dem Verantwortlichen zuordnet, oder wer solche Aufgaben nur im Vertretungsfall wahrzunehmen hat, kann grundsätzlich die Aufgabe des Datenschutzbeauftragten übernehmen. Bei den folgenden Beispielen sind jeweils zunächst die organisatorischen "Hintergrundannahmen" erläutert:

a) Gemeinden bis etwa 10.000 Einwohner

Die "kleineren" kreisangehörigen Gemeinden weisen organisatorisch in der Regel nur eine Führungsebene nach dem ersten Bürgermeister auf. In den Gemeindekanzleien von Landgemeinden mit wenigen tausend Einwohnern sind gelegentlich auch die Sachbearbeiter unmittelbar der Behördenleitung nachgeordnet. Häufig ist bei diesen Gemeinden die in der bayerischen kommunalen Verwaltungstradition verwurzelte Funktion des geschäftsleitenden Beamten anzutreffen, der im Alltagsgeschäft die Abläufe in der Gemeindeverwaltung koordiniert sowie die Sitzungen des Gemeinderats vorbereitet und begleitet.

Inkompatibilitäten:

  • Erster Bürgermeister: Gesetzlich bestimmtes Vertretungsorgan; die Rolle "Verantwortlicher" und "Datenschutzbeauftragter" sind unvereinbar.
  • Geschäftsleitender Beamter: Kann meist durch ein formelles Weisungsrecht oder auf andere Art Einfluss auf die Arbeit der gesamten Gemeindeverwaltung und damit auch auf die in den einzelnen Funktionseinheiten durchzuführenden Datenverarbeitungen nehmen; in einer Datenschutz-Dienstanweisung wird ihm typischerweise die Rolle eines "Organisationsverantwortlichen" zugewiesen; sein Anteil an der Rolle des Verantwortlichen ist mit der Aufgabe des Datenschutzbeauftragten nicht vereinbar.
  • Leiter Hauptverwaltung: Häufig in Gemeinden anzutreffen, welche die Funktion des geschäftsleitenden Beamten nicht kennen; zum Aufgabenkreis gehört zumeist neben der Vorbereitung und Begleitung von Gemeinderats- und Ausschusssitzungen auch die Verwaltung der Personalstelle. Innerhalb dieses Aufgabenkreises kommt es zu einer Vielzahl von Verarbeitungen auch sensibler personenbezogener Daten; die Verarbeitungen sind fehleranfällig und lösen nach allgemeiner Erfahrung einen gesteigerten Beratungs- und Überwachungsbedarf aus. Dieser bleibt unbefriedigt, wenn der Leiter Hauptverwaltung selbst Datenschutzbeauftragter ist. Die beiden Rollen können nicht ohne Konflikte von einer Person erfüllt werden.
  • Verantwortliche IT (insbesondere Leiter IT, Systemadministrator): Die Stelleninhaber haben regelmäßig Zugriff auf die Benutzerverwaltung sowie umfassende Handlungsmöglichkeiten bei der Gestaltung der technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Ihr Arbeitsgebiet stellt einen wichtigen Gegenstandsbereich für die Beratungs- und Überwachungstätigkeit des Datenschutzbeauftragten dar. Mit dieser Funktion kann ein Verantwortlicher IT daher nicht beauftragt werden.

Empfehlungen:

  • Sachbearbeiter (auch mit vertretungsweise wahrzunehmender Vorgesetztenfunktion) in den Bereichen Bauverwaltung oder öffentliche Sicherheit: Es handelt sich in der Regel um Beschäftigte, die eine zur Rechtsanwendung befähigende Ausbildung abgeschlossen haben, in einer Datenschutz-Dienstanweisung nicht mit Aufgaben des Verantwortlichen betraut sind und innerhalb des eigenen Aufgabenbereichs keine gesteigert risikoträchtigen Bearbeitungstätigkeiten betreuen.
  • Standesbeamte (mit oder ohne Führungsfunktion)

b) Gemeinden ab etwa 10.000 Einwohnern

Die Verwaltungsgliederung der "größeren" kreisangehörigen Gemeinden sowie der Großen Kreisstädte sieht meist im Grundsatz zwei Hierarchieebenen unterhalb der Behördenleitung vor. Auf der Ebene der Abteilungen oder der Geschäftsbereiche sind zumindest die Aufgabenkreise Allgemeine Verwaltung, Finanzverwaltung und Bauverwaltung getrennt; ihnen sind jeweils Sachgebiete bzw. Fachbereiche zugeordnet. Die Funktion des geschäftsleitenden Beamten ist dort nicht so verbreitet wie in den kleineren Gemeinden.

Inkompatibilitäten:

  • Erster Bürgermeister bzw. Oberbürgermeister: siehe oben.
  • Beschäftigte der unmittelbar nachgeordneten Führungsebene (Abteilungsleiter): Haben für ihren Zuständigkeitsbereich nach Maßgabe der Datenschutz-Dienstanweisung häufig die Aufgaben des Verantwortlichen zu erfüllen bzw. die nachgeordneten Sachgebietsleiter hinsichtlich der an diese delegierten Aufgaben zu überwachen; das ist mit der Rolle des Datenschutzbeauftragten unvereinbar.
  • Sachgebietsleiter Personalverwaltung: Leitet eine Funktionseinheit, die größere Bestände an sensiblen personenbezogenen Daten verwaltet; gesteigerter Beratung- und Überwachungsbedarf; die gleichzeitige Wahrnehmung der Aufgaben des Datenschutzbeauftragten begünstigt Rollenkonflikte und/oder Kontrolldefizite.
  • Verantwortliche IT (Sachgebietsleiter IT, Systemadministratoren): siehe oben.

Empfehlungen:

  • Leiter Rechnungsprüfungsamt (in Großen Kreisstädten)
  • Justiziare ohne Führungsfunktion (soweit vorhanden)
  • Beamte in der dritten Qualifikationsebene und vergleichbare Tarifbeschäftigte mit Sachbearbeitungsaufgaben (auch stellvertretende Sachgebietsleiter)
  • Standesbeamte (mit oder ohne Führungsfunktion)

2. Welche berufliche Qualifikation ist für die Aufgabe des Datenschutzbeauftragten erforderlich?

Nach Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte zum einen auf der Grundlage seiner beruflichen Qualifikation und seines datenschutzrechtlichen wie auch datenschutzpraktischen Fachwissens, zum anderen auf der Grundlage seiner Fähigkeit zur Erfüllung der Pflichtaufgaben benannt. Die Frage, was ein Datenschutzbeauftragter "mitbringen" muss, lässt sich nicht für alle Verantwortlichen einheitlich beantworten.

Im Bereich der kreisangehörigen Gemeinden ist aus aufsichtsbehördlicher Sicht eine berufliche Qualifikation erforderlich, die mit den spezifischen Bedingungen der Datenverarbeitung im öffentlichen Sektor vertraut macht. Soll der Datenschutzbeauftragte aus dem Kreis der eigenen Beschäftigten gewonnen werden, kommen bei einer größeren kreisangehörigen Gemeinde insbesondere Beamte in Betracht, die bei der Hochschule für den öffentlichen Dienst in Bayern einen Abschluss als Diplom-Verwaltungswirt (FH) oder Diplom-Verwaltungsinformatiker (FH) erlangt haben. Tarifbeschäftigte sollten bei der Bayerischen Verwaltungsschule die Ausbildung zum Verwaltungsfachwirt (Angestellten- bzw. Beschäftigtenlehrgang II) absolviert haben. Steht bei einer kleineren kreisangehörigen Gemeinde kein Personal mit diesen Qualifikationen zur Verfügung, so kann aus aufsichtsbehördlicher Sicht auch ein Mitarbeiter mit den Aufgaben des Datenschutzbeauftragten betraut werden, der bei der Bayerischen Verwaltungsschule die Ausbildung zum Verwaltungswirt, zum Verwaltungsfachangestellten oder zur Verwaltungsfachkraft (Angestellten- bzw. Beschäftigtenlehrgang I) erfolgreich beendet hat und über mehrjährige Berufserfahrung in einem rechtsanwendenden Arbeitsgebiet verfügt. Gleichwertige Abschlüsse aus anderen Bundesländern können die erforderliche berufliche Qualifikation ebenfalls belegen.

Um auch über das erforderliche Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis zu verfügen, sollte der neu benannte Datenschutzbeauftragte möglichst vor Antritt seines Amtes, jedenfalls aber alsbald danach, eine an sein Vorwissen anknüpfende grundlegende Schulung erhalten. In welche Richtungen das Fachwissen darüber hinaus zu vertiefen ist, hängt von den örtlichen Gegebenheiten ab. So können themenspezifische Fortbildungen etwa zu Fragen des Datenschutzes bei E-Government-Lösungen, im Zusammenhang mit Auftragsverarbeitungen oder auch im Bereich der technisch-organisatorischen Maßnahmen angezeigt sein. Durch den Austausch mit Kollegen aus anderen Kommunen in hierfür eingerichteten Arbeitskreisen oder durch die Lektüre einschlägiger Fachzeitschriften kann der Datenschutzbeauftragte sein Fachwissen ebenfalls ausbauen.

3. Welches Zeitbudget muss für die Aufgabe des Datenschutzbeauftragten eingeplant werden?

Das Zeitbudget des Datenschutzbeauftragten ist so zu bemessen, dass dieser seine Aufgaben ordnungsgemäß erfüllen kann. Dies gilt nicht nur für die in Art. 39 Abs. 1 DSGVO vorgesehenen Pflichtaufgaben, sondern insbesondere auch für die ihm durch eine Datenschutz-Dienstanweisung zusätzlich übertragenen Aufgaben. Die Zeitbudgets können daher in vergleichbaren Kommunen unterschiedlich ausfallen.

Eine wichtige Einflussgröße bildet der Grad an Digitalisierung, den die betreffende Verwaltung bereits erreicht hat: Eine Gemeinde, die zahlreiche Verwaltungsprodukte mit Unterstützung von Fachverfahren erstellt, zahlreiche Dienstleistungen über ein Bürgerportal anbietet oder mit zahlreichen Auftragsverarbeitern kooperiert, wird tendenziell einen größeren Beratungs- und Überwachungsbedarf haben. Auch die Schulung der Beschäftigten in Belangen des Datenschutzes und ihr Nachfrageverhalten hinsichtlich der Beratung durch den Datenschutzbeauftragten sind wesentliche Einflussgrößen für die Bemessung des Zeitbudgets. Das Zeitbudget des Datenschutzbeauftragten muss auf Anforderungen dieser Art reagieren. Es ist auskömmlich, wenn der Datenschutzbeauftragte jedenfalls im Jahresmittel nicht nur auf die an ihn herangetragenen Anliegen reagieren kann, sondern stets auch in der Lage ist, eigene Schwerpunkte bei seiner Tätigkeit zu setzen, insbesondere, was den in Art. 39 Abs. 1 Buchst. b DSGVO umschriebenen Aufgabenkreis betrifft.

Der Bayerische Kommunale Prüfungsverband hat in seinem Geschäftsbericht 2016 (Internet: (externer Link) Rubrik "Veröffentlichungen - Geschäftsberichte") auf der Grundlage des alten Datenschutzrechts den für die Aufgaben eines Datenschutz- und Informationssicherheitsbeauftragten bereitzustellenden Arbeitszeitanteil für eine Gemeinde von 5000 Einwohnern mit 10 v. H. und für eine Gemeinde von 10.000 Einwohnern mit 13 v. H. der Arbeitszeit einer Normalarbeitskraft (Vollzeit) bemessen. Die Arbeitszeitanteile sind im Einzelfall nach Maßgabe der örtlichen Verhältnisse, insbesondere unter Berücksichtigung der oben dargestellten Einflussgrößen, anzupassen. Sie sollten auch unter der Geltung des neuen Datenschutzrechts keinesfalls unterschritten werden. Eine Neubewertung durch den Bayerischen Kommunalen Prüfungsverband, die das neue Datenschutzrecht berücksichtigt, ist abzuwarten.

Die bei kreisangehörigen Gemeinden in der Prüfungspraxis immer wieder anzutreffenden "Zeitbudgets" im Umfang eines niedrigen einstelligen Prozentsatzes - mitunter sogar in Bezug auf Teilzeitstellen - sind in jedem Fall nicht geeignet, der gesetzlichen Verpflichtung zur Bereitstellung der "für die Erfüllung [der] Aufgaben erforderlichen Ressourcen" (Art. 38 Abs. 2 DSGVO) zu genügen.