Verwaltungsdatenschutzrecht: Datenschutzorganisation in einer Behörde

Lesezeit: ca. 8 Minuten

In der Frage, ob die jeweiligen Geschäftsprozesse und Datenverarbeitungen zulässig sind, stellt das Verwaltungsdatenschutzrecht verschiedene Anforderungen an die Aufbauorganisation und Ablauforganisation einer Behörde. Hierzu bedarf es keiner weiteren gesetzlichen Aufforderungen, sondern die gesetzlichen Regelungen sind von Amts wegen zu beachten.

Zu den organisatorischen Herausforderungen für Behörden gehört neben der Bestellung eines behördlichen Datenschutzbeauftragten die technische Organisation der Sicherheit der jeweiligen Datenverarbeitungen. Weiterhin bestehen diverse Dokumentationspflichten entsprechend den gesetzlichen Vorgaben der DSGVO.

Bestellung eines behördlichen Datenschutzbeauftragten

Gemäß Art. 37 Abs. 1 lit. A DSGVO müssen Behörden und andere öffentliche Stellen einen Datenschutzbeauftragten bestellen. Dabei wird erwartet, dass stets ein Datenschutzbeauftragter zu benennen ist, unabhängig von dem Umfang der jeweiligen Datenverarbeitungen und der Verarbeitung von personenbezogenen Daten.

Gemäß Art. 37 Abs. 3 DSGVO können mehrere Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen.

Der behördliche Datenschutzbeauftragte soll nach den Regelungen des Verwaltungsdatenschutzrechts Ansprechpartner sowohl für die Bediensteten in Datenschutzfragen als auch Ansprechpartner der Aufsichtsbehörde sein. Darüber hinaus können betroffene Bürger, deren personenbezogene Daten in der Behörde oder auf der Dienststelle verarbeitet werden, sich an den behördlichen Datenschutzbeauftragten wenden.

Ein Datenschutzbeauftragter muss immer eine natürliche Person sein. Zwar kann ein Dienstvertrag mit einer juristischen Person abgeschlossen werden, die Benennung des Datenschutzbeauftragten bedarf aber einer natürlichen Person.

Gemäß Art. 37 Abs. 7 DSGVO hat die Behörde die Kontaktdaten des behördlichen Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen. Wir erleben in der Praxis, dass dieser Vorgang einer Online-Meldung des behördlichen Datenschutzbeauftragten vielfach noch nicht erfolgt ist.

Der Datenschutzbeauftragte muss über ein Fachwissen zum Datenschutzrecht und zur Datenschutzpraxis sowie über eine ausreichende berufliche Qualifikation verfügen.

Der Datenschutzbeauftragte berichtet der höchsten Managementebene des Verantwortlichen, wie es in Art. 39 Abs. 3 DSGVO heißt. Hier muss nicht immer die Behördenleitung direkt informiert werden, sondern es genügt der Bericht an die „höchste Managementebene“. Dies lässt einen gewissen organisatorischen Gestaltungsspielraum für die Kommunikationswege.

Der Datenschutzbeauftragte ist im hinreichenden Maße mit Ressourcen auszustatten. Dazu gehört Material, ggf. auch zeitliche Ressourcen, personelle Unterstützung sowie ausreichende Fortbildungen. Daneben muss ihm Zugang zu den vorhandenen personenbezogenen Daten und Verarbeitungsvorgängen gegeben werden. Die DSGVO erwartet, dass der behördliche Datenschutzbeauftragte frühzeitig in datenschutzrelevante Angelegenheiten einbezogen ist.

Auch im Verwaltungsdatenschutzrecht ist festzuhalten, dass der Datenschutzbeauftragte in der Erfüllung seiner Aufgaben weisungsfrei ist, wie dies Art. 38 Abs. 3 Satz 1 DSGVO festgelegt ist. Die DSGVO gibt die Möglichkeit, sowohl einen internen Datenschutzbeauftragten zu bestellen oder auch einen externen behördlichen Datenschutzbeauftragten zu benennen. Die Entscheidung, ob ein interner oder externer Datenschutzbeauftragter bestellt wird, hat sowohl eine kaufmännische Dimension als auch einen organisatorischen Aspekt. Der Vorteil eines externen Datenschutzbeauftragten ist häufig die Kenntnis unterschiedlicher Sachverhaltskonstellationen aus verschiedenen Mandat- und Kundenbetreuungen. Dies erleichtert die konkrete Abwicklung und auch die Beratung, da auf ein größeres Fachwissen aus der Praxis zurückgegriffen werden kann. Teilweise haben Behörden auch die Schwierigkeit, ausreichend qualifizierte Datenschutzbeauftragte zu finden, um die Herausforderungen im gesetzlich gewollten Umfang umzusetzen.

Besonders zu erwähnen ist die Aufgabenbeschreibung für den behördlichen Datenschutzbeauftragten gemäß Art. 39 DSGVO. Auch im Verwaltungsdatenschutzrecht wird erwartet, dass der behördliche Datenschutzbeauftragte die Einhaltung der DSGVO und anderer Datenschutzvorschriften der Union und der Mitgliedsstaaten überwacht. Überwachung bedeutet ein aktives Bewerten und Begleiten der Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden. Dies ist im Vergleich zu der vorherigen Rechtslage eine neue Rolle für behördliche Datenschutzbeauftragte und stellt diese vor erhebliche Herausforderungen. Insbesondere müssen behördliche Datenschutzbeauftragte zur Vermeidung einer eigenen Haftung deutlich thematisieren, wenn sie nicht über ausreichende zeitliche oder organisatorische Ressourcen verfügen, um die gesetzlichen Aufgaben vollumfänglich zu erfüllen. Beispielsweise sind auch nach einer ersten Datenschutzdokumentation der verschiedenen Geschäftsprozesse jährliche Überprüfungen vorzunehmen, um datenschutzrechtlich zu bewerten, inwieweit die jeweils aktuelle Datenverarbeitung noch den gesetzlichen Anforderungen genügt.

Sicherheitspflichten im Verwaltungsdatenschutzrecht

In Art. 32 DSGVO sind verschiedene Sicherheitspflichten auch für Behörden festgelegt, die von diesen vollumfänglich zu erfüllen sind. In den in Art. 5 festgelegten Grundsätzen spricht der Gesetzgeber von einer Sicherstellung der Integrität und der Vertraulichkeit der personenbezogenen Daten. In Art. 32 wird dann darauf verwiesen, dass geeignete technische und organisatorische Maßnahmen zu veranlassen sind, um ein risikoangemessenes Schutzniveau für die personenbezogenen Daten zu erlangen. Im weiteren Verlauf der gesetzlichen Regelung in Art. 32 wird dann aufgelistet, welche „Grunderwartungen“ die DSGVO an die Sicherheit der Verarbeitung hat. Beispielsweise wird darauf verwiesen, dass personenbezogene Daten zu verschlüsseln sind. Die bedeutet in der Praxis, das sowohl USB-Sticks, Notebooks oder auch Handys verschlüsselt sein müssen, um diese Forderungen umzusetzen. Weiterhin wird erwartet, dass die Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten regelmäßig überprüft, bewertet und evaluiert werden. All diese Maßnahmen sollten ausreichend dokumentiert werden, da gemäß Art. 5 Abs. 2 die jeweils verantwortliche Stelle, sprich Behörde oder öffentliche Stelle eine Rechenschaftspflicht hat und nachweisen muss, dass die gesetzlichen Anforderungen der DSGVO eingehalten werden.

Die Beurteilung, ob ein risikoangemessenes Schutzniveau durch die IT-Sicherheitsmaßnahmen gewährleistet wird, muss die jeweilige Behörde selbst treffen. Es gibt keine Freigabe von Geschäftsprozessen durch die Aufsichtsbehörde. Nur im Nachgang kann eine Behörde prüfen, ob die Sicherheitsmaßnahmen ausreichend waren.

Außerdem ist sicherzustellen, dass Bedienstete einer Behörde oder einer öffentlichen Stelle die Datenverarbeitung nur auf Anweisung, beispielsweise in Gestalt einer Verwaltungsvorschrift, durchführen. So fordert dies Art. 32 Abs. 4. Diese Verpflichtung ist regelmäßig zu kontrollieren.

Verarbeitungspflichten im Verwaltungsdatenschutzrecht

Bei der Verarbeitung personenbezogener Daten sind bestimmte Verarbeitungspflichten von Amts wegen durch eine Behörde oder eine öffentliche Stelle vorzunehmen. Auch hier erfolgt keine gesonderte Aufforderung durch die Aufsichtsbehörde, sondern im Falle eines Audits durch die Aufsichtsbehörde muss entsprechend der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO die Behörde nachweisen, dass die gesetzlichen Anforderungen eingehalten worden sind.

Löschung von Amts wegen

Gemäß Art. 5 Abs. 1 verweist der EU-Gesetzgeber darauf, dass zum einen eine Datenminimierung erfolgen muss und zum anderen eine Speicherbegrenzung einzurichten ist. Die Datenverarbeitung soll auf das notwendige Maß beschränkt werden. Die Speicherbegrenzung thematisiert deutlich, dass eine Löschung möglich sein muss. Insbesondere ältere Fachanwendungen haben hier ggf. Lücken. Es gibt aber keine Ausnahmeregelung von den Löschpflichten mit Verweis darauf, dass in einer Behörde ältere Software eingesetzt werden kann, bei der eine Löschung nicht möglich ist. Datenbanken und Datenverarbeitungen, in denen keine Löschung erfolgen kann, sind nach dem seit dem 25.05.2018 geltenden Regelungen der DSGVO eine illegale und rechtswidrige Datenverarbeitung. Geschäftsprozesse, bei denen eine Löschung von Daten nicht möglich ist, sollten daher dringend den aktuellen gesetzlichen Anforderungen angepasst werden.

Eine Löschung ist insbesondere in folgenden Fällen vorzunehmen:

– Rechtswidrigkeit der bisherigen Verarbeitung,

– Entbehrlichkeit der weiteren Speicherung,

– Rechtswidrigkeit der weiteren Speicherung.

Daneben können Bürgerinnen und Bürger gemäß Art. 17 DSGVO ausdrücklich eine Löschung verlangen und einfordern.

Eine Besonderheit ist ebenfalls hier zu berücksichtigen. Die Löschpflichten nach der DSGVO differenzieren nicht zwischen Produktivsystemen und Back-up- und Archivsystemen. Wenn eine Löschpflicht besteht, sind die personenbezogenen Daten sowohl im Produktivsystem als auch in den Back-up- und Archivsystemen zu entfernen und vollständig zu löschen. So fordert dies das Verwaltungsdatenschutzrecht.

Berichtigung von Amts wegen

Sind über Bürgerinnen und Bürger oder auch über Mitarbeiterinnen und Mitarbeiter Daten falsch und unrichtig gespeichert, so besteht eine Pflicht zur Berichtigung der entsprechenden Daten. Der Gesetzgeber sieht diese Pflicht so wichtig an, dass er sie als eigenen Grundsatz in Art. 5 Abs. 1 DSGVO mit der Bezeichnung „Richtigkeit“ aufgeführt hat. Erwartet wird, dass die bei einer Behörde oder einer öffentlichen Stelle gespeicherten Daten die Wirklichkeit richtig abbilden.

Dokumentationspflicht im Verwaltungsdatenschutzrecht

Bezogen auf die eigene Datenverarbeitung hat eine Behörde oder eine öffentliche Stelle verschiedene Dokumentationspflichten. Zum einen ist gemäß Art. 30 Abs. 1 DSGVO ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten zu erstellen. In einem solchen Verzeichnis der Verarbeitungstätigkeiten sind alle Geschäftsprozesse datenschutzrechtlich zu beschreiben und zu bewerten, in denen personenbezogene Daten verarbeitet werden. Das Gesetz listet verschiedene Anforderungen auf. Mittlerweile haben die Datenschutzaufsichtsbehörden Musterdokumentationen für Verzeichnisse der Verarbeitungstätigkeiten veröffentlicht. Auf diese kann auch eine Behörde oder öffentliche Stelle zurückgreifen und insoweit die notwendige Datenschutzdokumentation erstellen.

Aus der Praxis können wir berichten, dass die Erstellung einer Datenschutzdokumentation ein eher langwieriger Prozess ist und einige Wochen und Monate in Anspruch nimmt. Wir empfehlen dringend eine sehr sorgfältige Prüfung und Strukturierung der jeweiligen Geschäftsprozesse.

Auf unserem Youtube-Kanal „Mission Datenschutz“ finden Sie diverse Videos, wie Verzeichnisse der Verarbeitungstätigkeiten zu strukturieren und zu erstellen sind. Wir zeigen Ihnen in den entsprechenden Videos in unserem Youtube-Kanal auch, wie mit den von den Datenschutzaufsichtsbehörden veröffentlichten Mustern umzugehen ist.

Datenschutzorganisation in einer Behörde

Die obigen Ausführungen zeigen, dass es zur Umsetzung der gesetzlichen Anforderungen der DSGVO nicht ausreichend ist, in einer Behörde einen behördlichen Datenschutzbeauftragten zu benennen und dann „zur Tagesordnung überzugehen“. Die DSGVO erwartet umfangreiche Dokumentationspflichten und verweist darauf, dass nur mit einer ausreichenden Dokumentation nachgewiesen werden kann, dass die gesetzlichen Regelungen ernst genommen werden.

In vielen Gesprächen können wir beobachten, dass Behörden oder öffentliche Stellen darauf verweisen, dass anders als bei Unternehmen keine wirkliche Bußgeldbedrohung besteht. Der Bundes- und auch die Landesgesetzgeber haben in ihren Bundes- und Landesdatenschutzgesetzen die Behörden und öffentlichen Stellen, soweit sie nicht in wirtschaftlicher Konkurrenz zu Unternehmen treten, von den Bußgeldern ausgenommen.

Dies führt vielfach zu der falschen Einschätzung, dass mangels Bedrohung die Vorschriften der DSGVO nicht so ernst zu nehmen sind.

Am Schluss dieses Beitrags soll daher eine kleine „Warnung“ ausgesprochen werden. Die Aufsichtsbehörden haben nicht nur die Möglichkeit, Bußgelder zu verhängen, sondern können auch beispielsweise illegale und rechtswidrige Datenverarbeitungen untersagen. Dies ist vielfach ein viel einschneidenderes Ereignis, als ein einmaliges Bußgeld. Daneben ist zu erwarten, dass langfristig Betroffene, sprich Bürgerinnen und Bürger von der Möglichkeit Gebrauch machen, gemäß Art. 82 Abs. 1 DSGVO einen Schmerzensgeldanspruch geltend zu machen. Vor Kurzem hat in Österreich ein Gericht gegenüber der Post ein Schmerzensgeld in Höhe von 800 Euro ausgeurteilt. Die Post hatte rechtswidrig die Parteiaffinität eines Betroffenen gespeichert. Im Zuge der anschließenden gerichtlichen Geltendmachung eines Schmerzensgeldanspruches wurde dann die Post zur Zahlung verurteilt.

Sollten die deutschen Gerichte ähnlich urteilen und Schmerzensgeldansprüche in nicht unerheblicher Höhe bei Datenschutzverstößen aussprechen (wie der Europäische Gerichtshof in anderen Fällen durchaus entscheidet), ist damit zu rechnen, dass Bürgerinnen und Bürger sehr viel aufmerksamer mit Datenschutzverstößen von Behörden und öffentlichen Stellen umgehen und insbesondere bei Konfrontationen und Eskalationen nicht zögern werden, hier finanzielle Forderungen geltend zu machen. Diese sind im Einzelfall möglicherweise nicht so hoch, können aber in der Menge den Haushalt einer öffentlichen Stelle oder einer Behörde erheblich belasten.

Zusammenfassend empfehlen wir also, die Regelungen des Verwaltungsdatenschutzrechts und der DSGVO ernst zu nehmen und eine entsprechende Datenschutzorganisation und Datenschutzdokumentation einzurichten und aufzubauen.

Wir unterstützen bundesweit Behörden und öffentliche Stellen bei der Einrichtung und Implementierung einer Datenschutzorganisation und coachen behördliche Datenschutzbeauftragte bei der Umsetzung der Anforderungen aus der DSGVO.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen