GR v. 18.05.2001: Datenschutzrechtliche Vorschriften des ... / Zu Absatz 4 – Eigenkontrolle der SGB-Stellen

[1] Absatz 4 regelt die Organisation und Durchführung der Datenschutzeigenkontrolle. Aus Satz 1 dieser Norm ergibt sich über den Verweis auf §§ 4f, 4g BDSG, dass alle Stellen im Sinne des § 35 SGB I sowie die Vermittlungsstellen nach § 67d Abs. 4 SGB X einen internen Datenschutzbeauftragten schriftlich zu bestellen haben. Zum Datenschutzbeauftragten darf nach § 4f Abs. 2 BDSG nur bestellt werden, wer die zur Erfüllung dieser Aufgabe erforderliche Fachkunde (d. h. rechtliche, organisatorische und technische Kenntnisse) sowie die nötige Zuverlässigkeit besitzt. Er muss frei sein von anderen beruflichen Aufgaben, die mit seiner Kontrollfunktion nicht zu vereinbaren sind, weil sie ihn in einen Interessenkonflikt geraten lassen. Deshalb sind z. B. IT-Leiter und Personalleiter wegen möglicher Interessenkollisionen zur Bestellung als behördliche Datenschutzbeauftragte grundsätzlich nicht geeignet. Kritisch ist auch die Bestellung eines Betriebs- oder Personalratsmitglieds zum Datenschutzbeauftragten zu sehen, weil die Doppelfunktion mit Belastungen verbunden sein kann, die ein Mitglied der Beschäftigtenvertretung vielleicht einerseits zu Zugeständnissen zwingen, die andererseits aber mit einem konsequentem Datenschutzverständnis nicht vereinbar sind.

[2] Der Datenschutzbeauftragte bei einem Sozialversicherungsträger bzw. bei den Verbänden der Sozialversicherungsträger ist der hauptamtlichen Behördenleitung unmittelbar zu unterstellen. Dies erscheint insofern auch konsequent, als dass es beim Sozialdatenschutz in erster Linie um die Überprüfung laufender Verwaltungsgeschäfte geht. Im Verhältnis zur Behördenleitung hat der Datenschutzbeauftragte kraft Gesetzes ein direktes und jederzeitiges Vortragsrecht bei der Behördenleitung. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden und ist auf dem Gebiet des Datenschutzes weisungsfrei (siehe § 4f Abs. 3 BDSG). Die Einschränkungen nach § 4g Abs. 3 BDSG für Datenschutzbeauftragte in bestimmten Behörden gelten in der Sozialversicherung nicht.

[3] Die wichtigsten Aufgaben des Beauftragten für den Datenschutz sind in § 4g BDSG definiert, der auf die in § 35 SGB I genannten Stellen und die Vermittlungsstellen nach § 67d Abs. 4 SGB X entsprechend anzuwenden ist. Kernaufgabe des Datenschutzbeauftragten ist es, auf die Einhaltung der allgemeinen und bereichsspezifischen Datenschutzvorschriften hinzuwirken. Damit ist klargestellt, dass nicht der Datenschutzbeauftragte selbst die Einhaltung des Datenschutzes auch sicherzustellen hat. Dies obliegt vielmehr der verantwortlichen Stelle, wobei die Behördenleitung dahingehend vom Beauftragten für den Datenschutz beraten und unterstützt wird. Der Beauftragte für den Datenschutz muss auf Missstände und Gefahren hinweisen, soweit sie ihm bekannt sind..

[4] Dem Beauftragten für den Datenschutz obliegt insbesondere die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen. Zu diesem Zweck hat ihn die verantwortliche Stelle vom Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig (d.h. bereits im Planungsstadium) zu unterrichten. Von der Verweisung auf das BDSG ausgenommen ist die Vorabkontrolle des § 4d Abs. 5 und 6 BDSG, da § 81 Abs. 4 Satz 1 SGB X lediglich auf die §§ 4f, 4g (mit Ausnahme von dessen Absatz 3) sowie § 18 Abs. 2 BDSG verweist. Im Bereich des Sozialdatenschutzes gilt die Vorabkontrolle demnach nicht. Andererseits ist aber zu bedenken, dass der Datenschutzbeauftragte bereits an der Planung der Datenverarbeitung mitwirken soll und insoweit möglichst früh in neue IT-Projekte einzubinden ist.

[5] Außerdem hat der behördliche Datenschutzbeauftragte die bei der Verarbeitung personenbezogener Daten und Sozialdaten tätigen Mitarbeiter durch geeignete Maßnahmen mit den einschlägigen Datenschutzvorschriften und deren jeweiligen besonderen Anforderungen vertraut zu machen.

[6] Bei der Erfüllung seiner Aufgaben ist der Datenschutzbeauftragte durch die verantwortliche Stelle zu unterstützen. Insbesondere muss ihm genügend Zeit für die Erfüllung seiner Aufgaben als Datenschutzbeauftragter eingeräumt werden, zumal ihm diese Aufgaben in aller Regel zusätzlich übertragen werden. Ihm sind in erforderlichem Umfang Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Die Unterstützungspflicht beinhaltet auch, dass dem Datenschutzbeauftragten zur Erhaltung der für sein Amt erforderlichen Fachkunde die Möglichkeit zur Teilnahme an Fort- und Weiterbildungsveranstaltungen gegeben wird. Die Kosten sind von der verantwortlichen Stelle zu tragen. Bei räumlich getrennten Organisationseinheiten hängt es u. a. von der Größe und den Entfernungen ab, ob zum Zweck der Unterstützung des Datenschutzbeauftragten zudem weiteres Personal freizustellen ist.

[7] Die in § 35 SGB I genannten Stellen sowie auch die Vermittlungsstellen nach § 67d Abs. 4 SGB X haben nach § 18 Abs. 2 BDSG sowohl ein Verzeichnis der ...