Für die Behörden und Unternehmen in Deutschland wird sich voraussichtlich gar nicht so viel ändern, was in
diesem Falle eine gute Nachricht ist. Behörden werden bereits unmittelbar durch die DSGVO verpflichtet, Datenschutzbeauftragte zu bestellen. Artikel 37 Absatz 4 DSGVO erlaubt es den Mitgliedstaaten darüber hinaus,
nationale Regelungen zu schaffen, in denen Unternehmen über die entsprechenden Regelungen der DSGVO
hinaus zur Bestellung von Datenschutzbeauftragten verpflichtet werden. Die Bundesregierung hat in ihrem Gesetzentwurf zur Anpassung des Datenschutzrechts von dieser Möglichkeit Gebrauch gemacht und will die
Pflicht zur Bestellung von Datenschutzbeauftragten im bisherigen Umfang aufrechterhalten (vgl. o. Nr. 1.2.1).
Erfreulicherweise besteht bislang ein Konsens zwischen Politik, Wirtschaft und Aufsichtsbehörden, dass
Deutschland daran festhalten sollte.
Die behördlichen Datenschutzbeauftragten in der Bundesverwaltung
Im Rahmen meiner Beratung der behördlichen Datenschutzbeauftragten in der Bundesverwaltung tauchen bei
der praktischen Umsetzung der Anforderungen des BDSG viele Fragen auf. Zudem stelle ich bei Kontrollen von
Bundesbehörden immer wieder Defizite beim Umgang mit den behördlichen Datenschutzbeauftragten fest.
Erfahrungsaustausch der Datenschutzbeauftragten der obersten Bundesbehörden fortgeführt - Neue
Orientierungshilfe für die behördlichen Datenschutzbeauftragten
Auch im Berichtszeitraum habe ich den Erfahrungsaustausch mit den behördlichen Datenschutzbeauftragten der
obersten Bundesbehörden fortgeführt. Die Erörterung gemeinsamer Probleme und die Diskussion offener
Rechtsfragen bilden eine gute Basis für die Arbeit der Datenschutzbeauftragten (vgl. a. u. Nr. 12.2.4).
Die bei diesen Konsultationen wiederkehrenden Fragestellungen haben mich dazu veranlasst, das Konzeptpapier „Mindestanforderungen an die Organisation und Aufgabenbeschreibung der behördlichen Datenschutzbeauftragten in der Bundesverwaltung“ herauszugeben (vgl. Anhang 10 meiner Informationsbroschüre „Info 4“).
Diese Mindestanforderungen konkretisieren die Funktion und die unabhängige Stellung der Datenschutzbeauftragten sowie die Unterstützungspflicht der verantwortlichen Stelle und enthalten viele wertvolle Hinweise, um
die Position der Datenschutzbeauftragten zu stärken und damit die Wahrnehmung ihrer wichtigen Aufgabe zu
unterstützen.
Um mir über die praktischen Auswirkungen der Mindestanforderungen ein Bild zu machen, habe ich im Berichtszeitraum ihre Umsetzung und die Einhaltung der gesetzlichen Vorgaben der §§ 4f und 4g BDSG schwerpunktmäßig in einer Reihe von Bundesbehörden geprüft. Dabei habe ich sehr unterschiedliche Erfahrungen
gemacht.
Die Unterstützungspflicht der verantwortlichen Stelle
Für die Tätigkeit des Datenschutzbeauftragten gilt als oberster Grundsatz, dass er bei der Wahrnehmung seiner
Aufgaben keinen Weisungen unterliegen darf (§ 4f Abs. 3 Satz 2 BDSG). In seiner Funktion ist er nach § 4f
Absatz 3 Satz 1 BDSG dem Leiter der öffentlichen oder nicht-öffentlichen Stelle daher unmittelbar zu unterstellen um sicherzustellen, dass keine der von ihm zu kontrollierenden Organisationseinheiten Einfluss auf seine
Tätigkeit nehmen kann. Dadurch wird einerseits seine unabhängige Stellung abgesichert und andererseits organisatorisch gewährleistet, dass er jederzeit sein direktes Vortragsrecht gegenüber der Leitung wahrnehmen kann.
Hieraus folgt auch die Pflicht zu einer angemessenen Freistellung des Beauftragten für den Datenschutz von
anderen dienstlichen Tätigkeiten. Entsprechend seiner herausgehobenen Stellung muss die Tätigkeit als Datenschutzbeauftragter bei zeitlichen Konflikten mit anderen Aufgaben grundsätzlich Vorrang haben (vgl. § 4f
Abs. 3 BDSG).
Wie die Praxis in den Bundesbehörden gezeigt hat, erfolgt oft keine Freistellung von anderen behördlichen/betrieblichen Aufgaben oder diese wird nur in einem zu geringem Umfang vorgenommen. Hier besteht bei
vielen Stellen Nachbesserungsbedarf.
BfDI 26. Tätigkeitsbericht 2015-2016
– 49 –