Mit Schreiben vom 07.08.2018 stellte die Fraktion der Bündnis 90/Die Grünen in Bezug auf die Umsetzung der neu in Kraft getretenen Datenschutzgrundverordnung den Antrag auf Benennung eines externen Datenschutzbeauftragten.
Der Antrag wurde als Anlage der Sitzungsvorlage beigefügt.
Grundsätzliches/Begriffsbestimmungen
1. Verantwortlicher
Die Pflichten nach der Datenschutzgrundverordnung richten sich grundsätzlich an den Verantwortlichen.
Verantwortlicher ist die juristische Personen, Behörde, Einrichtung oder andere Stelle, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).
Art. 3 Abs. 2 BayDSG konkretisiert dies dahingehend, dass unter dem Vorbehalt anderweitiger Bestimmungen die für die (jeweilige) Verarbeitung personenbezogener Daten zuständige öffentliche Stelle Verantwortlicher ist.
Dementsprechend ist die Gemeinde Grünwald vertreten durch den 1. Bürgermeister „Verantwortlicher“ im Sinne der Datenschutzgrundverordnung und des Bayerischen Datenschutzgesetzes.
Selbstverständlich kann der 1. Bürgermeister Aufgaben betreffend der Datenschutzgrundverordnung (wie auch andere Aufgaben) behördenintern delegieren.
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
2. Datenschutzbeautragte/r
Die/der behördliche Datenschutzbeauftragte hat nach der Datenschutzgrundverordnung eine Beratungs- und Überwachungsfunktion (Art. 39 DSGVO).
Grundsätzlich nicht zulässig ist es, die Einhaltung der datenschutzrechtlichen Bestimmungen alleine als Aufgabe des/der Datenschutzbeauftragten zu sehen. Grundsätzlich ist die Gemeinde als „Verantwortlicher“ im Sinne der Datenschutzgrundverordnung für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich.
Die/der behördliche Datenschutzbeauftrage ist zudem weisungsfrei und darf zudem wegen der Erfüllung seiner Aufgaben als Datenschutzbeauftragter weder abberufen noch benachteiligt werden (Art. 38 DSGVO).
Jede Behörde bzw. öffentliche Stelle hat eine/n Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 Buchst. a DSGVO). Die Kontaktdaten der/des Datenschutzbeauftragten sind sodann zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.
Ein/e behördliche/r Datenschutzbeauftragte/r einer bayerischen öffentlichen Stelle sollte hinsichtlich seiner beruflichen Qualifikation sowohl mit der Arbeitsweise der öffentlichen Verwaltung allgemein, als auch mit dem spezifischen Tätigkeitsfeld seiner öffentlichen Stelle vertraut sein. Regelmäßig dürfte etwa mit dem erfolgreichen Abschluss einer Ausbildung für den Einstieg in die dritte Qualifikationsebene eine entsprechende Qualifikation nachgewiesen sein.
Bei der Benennung einer/eines Beschäftigten zum behördlichen Datenschutzbeauftragten hat die öffentliche Stelle darauf zu achten, dass dessen „andere Aufgaben und Pflichten“ nicht zu einem Interessenkonflikt führen. Ein solcher Konflikt ist in der Regel zu befürchten, wenn die/der Datenschutzbeauftragte zu benennende Beschäftigte zugleich im nennenswerten Umfang Aufgaben wahrnimmt, die nach der Datenschutzgrundverordnung dem für die Verwaltung Verantwortlichen für den Datenschutz zugeordnet sind.
Mit den Aufgaben eines behördlichen Datenschutzbeauftragten regelmäßig inkompatibel sind deshalb beispielsweise:
- Eine herausgehobene Führungsfunktion (etwa geschäftsleitender Beamter einer kreisangehörigen Gemeinde)
- Ein Aufgabenbereich, der Verarbeitungsvorgänge umfasst, die umfangreich sind oder sensible Daten betreffen (z.B. mit Personalangelegenheiten befasste Beschäftigte),
- Positionen mit Entscheidungskompetenzen in einer Organisationseinheit, die für den Betrieb der IT zuständig sind (z.B. Leiter der IT oder Administratoren)
3. Externe/r Datenschutzbeautragte/r
Im Unterschied zum bisherigen Recht kann ein/e Datenschutzbeauftragte/r einer öffentlichen
seine Aufgaben auch aufgrund eines Dienstleistungsvertrages erfüllen (Art. 37 Abs. 6 DSGVO).
Beim Abschluss eines solchen Dienstleistungsvertrages ist zu beachten, dass nur natürliche Personen die Anforderungen der Datenschutzgrundverordnung erfüllen können. Die Benennung einer juristischen Person als Datenschutzbeauftragte ist daher nicht möglich. Wird der zugrunde liegende Dienstleistungsvertrag mit einer juristischen Person abgeschlossen, ist somit ein Beschäftigter dieser juristischen Person konkret als Datenschutzbeauftragter für die Behörde bzw. öffentliche Stelle zu benennen.
Auch der externe Datenschutzbeauftragte muss bestimmte Anforderungen vorweisen können. Unter anderem muss er über Kenntnisse der Arbeitsabläufe einer öffentlichen Verwaltung verfügen.
Der externe Datenschutzbeauftragte hat bei Wahrnehmung seiner Aufgaben sowohl Zugang zu sensiblen personenbezogenen Daten als auch zu technisch-organisatorischen Informationen, insbesondere zur IT-Infrastruktur.
Zum Antrag von Gemeinderatsmitglied Reinhart-Maier vom 07.08.2018:
1. Zusammenarbeit von Herrn Pleithner mit der Datenschutzbeauftragten Frau Unterreiner ist nach der Datenschutzgrundverordnung nicht möglich
Herr Pleithner ist nach Weisung von Herrn 1. Bürgermeister Neusiedl als Verantwortlicher für den Datenschutz für die Umsetzungen der entsprechenden Regelungen zuständig. Herr Pleithner nimmt dementsprechend Aufgaben des „Verantwortlichen“ war. Frau Fabienne Unterreiner wurde mit Gemeinderatsbeschluss zur behördlichen Datenschutzbeauftragten bestellt.
Eine enge Zusammenarbeit zwischen Verantwortlichen und Datenschutzbeauftragten ist nach der Datenschutzgrundverordnung zwingend vorgeschrieben.
Aufgrund der Problematik des Interessenkonfliktes könnte Herr Pleithner nur nicht die Aufgaben eines Datenschutzbeauftragten wahrnehmen.
2. Antrag auf Benennung eines externen Datenschutzbeauftragten
Aus Sicht der Verwaltung besteht zum jetzigen Zeitpunkt kein Anlass die Aufgaben des behördlichen Datenschutzbeauftragten extern zu vergeben. Zudem kann die behördliche Datenschutzbeauftragte nicht ohne weiteres abberufen werden.
Wie bereits erläutert muss auch dem externe Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben sowohl Zugang zu sensiblen personenbezogenen Daten als auch zu technisch-organisatorischen Informationen, insbesondere zur IT-Infrastruktur gewährt werden. Aus Sicht der Verwaltung sollte insbesondere aus diesen Grund von einer Benennung eines externen Datenschutzbeauftragten Abstand genommen werden.
Frau Unterreiner und Herr Pleithner sowie auch sämtlichen Fachabteilungen arbeiten derzeit intensiv an der Umsetzung der vielfältigen Aufgabenstellungen der Datenschutzgrundverordnung.
Zur Unterstützung nimmt die Verwaltung die Unterstützung der Gesellschaft für kommunalen Datenschutz mbH in Anspruch. Hierbei handelt es sich um ein Tochterunternehmen der Anstalt für kommunale Datenverarbeitung (AKDB) die sich u.a. in Trägerschaft des Bayerischen Städtetages sowie des Bayerischen Gemeindetages befindet.
Wie bereits in der Sitzung des Gemeinderates am 26.06.2018 berichtet, sind die Grundvoraussetzung und rechtlichen Vorgaben der Datenschutzgrundverordnung bereist umgesetzt worden.
Aufgrund der Ausführungen der Verwaltung sieht Gemeinderatsmitglied Reinhart-Maier den Antrag als erledigt an.
