Schwarz/Pahlke/Keß, AO § 32g Datenschutzbeauftragte der ... / 5.2 § 7 Abs. 1 BDSG Aufgaben des Datenschutzbeauftragten

Rz. 14

Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:

• Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;
• Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; Der Datenschutzbeauftragte kontrolliert die Einhaltung der maßgeblichen gesetzlichen Regelungen zum Datenschutz. Hierfür überwacht er die Einhaltung der Strategien des Verantwortlichen für den Schutz der personenbezogenen Daten, die Zuweisung von Zuständigkeiten sowie die Sensibilisierung und die Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter. Nach dem Gesetzeswortlaut hat der Datenschutzbeauftragten dabei weder ein Mitwirkungsrecht noch obliegt ihm z. B. die datenschutzrechtliche Schulungspflicht der Mitarbeiter. Ebenso wenig hat der Datenschutzbeauftragten die Funktion der Aufsicht, kann folglich auch weder Weisungen erteilen noch ist er entscheidungsbefugt. Es liegt somit in der Entscheidungskompetenz der Behördenleitung, den Empfehlungen des Datenschutzbeauftragten zu folgen oder nicht. Für die tatsächliche Einhaltung und Umsetzung der datenschutzrechtlichen Vorgaben – wie auch die Sensibilisierung und Schulung der Mitarbeiter – bleibt daher allein der Verantwortliche zuständig.^[1] Er dürfte dennoch gut beraten sein, den Datenschutzbeauftragten in sämtliche – den Datenschutz betreffenden – innerbehördlichen Organisationsvorgänge frühzeitig einzubinden.^[2] Dass der Datenschutzbeauftragte vor diesem Hintergrund – eine ordnungsgemäße Aufgabenerfüllung vorausgesetzt – für etwaige datenschutzrechtliche Unzulänglichkeiten weder verantwortlich ist noch belangt werden kann ist im Ergebnis nur konsequent.^[3]
• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gem. § 67 BDSG. Diese Aufgabe korrespondiert mit der Pflicht des Verantwortlichen, bei der Durchführung der Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten einholen zu müssen.^[4]
• Zusammenarbeit mit der Aufsichtsbehörde;

• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gem. § 69 BDSG, und gegebenenfalls Beratung zu allen sonstigen Fragen.

  Der Datenschutzbeauftragte ist für die Zusammenarbeit mit der Aufsichtsbehörde verantwortlich und dient dieser als Anlaufstelle. Er ist dabei jedoch – entgegen dem ursprünglichen Verordnungsentwurf^[5] – keine Vor-Ort Kontroll-Instanz der Aufsichtsbehörde. Gleichwohl dürfte er für diese ein kompetenter behördeninterner Ansprechpartner sein, der über etwaige Unzulänglichkeiten aus erster Hand zu berichten weiß.^[6] Ein diesbezüglicher – von der Aufsichtsbehörde ausgehender – Kontakt kann zumindest nicht beschränkt werden.^[7] Ob dem Datenschutzbeauftragten darüber hinaus ein Initiativrecht zur Kontaktaufnahme mit der Aufsichtsbehörde zugesprochen wird ist umstritten.^[8]

Eine generelle Verpflichtung des Datenschutzbeauftragten zur Wahrnehmung weiterer Aufgaben wird im Rahmen dessen Benennung grds. für möglich gehalten.^[9] So können ihm grds. zusätzliche Aufgaben – wie z. B. auch die Schulung von Mitarbeitern – übertragen werden. Aufgrund der fachbereichsspezifischen Kompetenz des Datenschutzbeauftragten ist eine entsprechende Aufgabenzuweisung – z. B. in Form einer Zusatzvereinbarung – durchaus empfehlenswert.

[1] So auch BfDI, Die Datenschutzbeauftragten in Behörde und Betrieb, 2018, 75.

[2] So auch Helfrich, in Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 39 DSGVO, Rz. 80, 84.

[3] So auch Bergt, in Kühling/Buchner, DSGVO/BDSG, 3. Aufl. 2020, Art. 39 DSGVO Rz. 22.

[4] Vgl. Art. 35 Abs. 2 DSGVO.

[5] Vgl. KOM(2012) 11, Vorschlag für DSGVO, 25.1.2012 – Nach Art 37 Nr. 1 Buchst. h des ursprünglichen Verordnungsentwurfs konnte der Datenschutzbeauftragte die Aufsichtsbehörde auf eigene Initiative zu Rate ziehen.

[6] A. A. aufgrund der Loyalitätspflicht des Datenschutzbeauftragten gegenüber dem Verantwortlichen, Schaffland/Holthaus, in Schaffland/Wiltfang, DS-GVO/BDSG, Art. 39 Rz. 66.

[7] Bergt, in Kühling/Buchner, DSGVO/BDSG, 3. Aufl. 2020, Art. 39 DSGVO Rz. 19.

[8] Ablehnend Helfrich, in Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 20218, Art. 39 DSGVO, Rz. 110; befürwortend Schaffland/Holthaus, in Schaffland/Wiltfang, DS-GVO/BDSG, Art. 39 Rz. 67, wonach de...