vielen Fällen leider nicht durch ausreichende Entlastung von anderen Aufgaben Rechnung getragen.
Die behördlichen Datenschutzbeauftragten spielen bei
der Einhaltung der datenschutzrechtlichen Regelungen
in der Verwaltung eine zentrale Rolle. Ihre Aufgaben sind
vielfältig: Sie reichen von der Beratung von Mitarbeiterin‑
nen und Mitarbeitern, Bürgerinnen und Bürgern und der
Behördenleitung über Schulungsaufgaben bis hin zu ei‑
genen Kontrollrechten. Um diese Aufgaben wahrnehmen
zu können, benötigen die Datenschutzbeauftragten vor
allem Zeit. Eine ausreichende Freistellung von anderen
Aufgaben ist deshalb Grundvoraussetzung für eine geset‑
zeskonforme Wahrnehmung ihrer Aufgaben.
Im Berichtszeitraum habe ich eine Abfrage zur Freistel‑
lung der behördlichen Datenschutzbeauftragten in allen
gemeinsamen Einrichtungen (Jobcentern) durchgeführt.
Dabei stellte sich heraus, dass nur etwa jedes zehnte
Jobcenter seine/seinen behördliche(n) Datenschutzbeauf‑
tragte(n) ausreichend von anderen Aufgaben freistellt. In
den anderen Fällen wird die Aufgabe zumeist als „Ruck‑
sackaufgabe“ ohne oder mit nur geringer Freistellung
wahrgenommen. Dies geht nicht nur zu Lasten der Daten‑
schutzbeauftragten, sondern vor allem auch zu Lasten der
gesetzlich vorgeschriebenen Aufgaben.
Die Jobcenter berichteten mir, dass sie mit sehr knappen
Personalressourcen arbeiten müssen. Eine Freistellung
der behördlichen Datenschutzbeauftragten gehe daher
zwangsläufig mit einer Belastung anderer Bereiche
einher. Aus diesem Grund kann ich nur an die verant‑
wortlichen Aufsichtsbehörden von Bund und Ländern
appellieren, eine gemeinsame Lösung zur personellen
Ausstattung der Jobcenter zu finden, die eine Freistel‑
lung der behördlichen Datenschutzbeauftragten sicher‑
stellt, ohne an anderer Stelle Lücken zu reißen.
Spätestens mit Anwendungsbeginn der DSGVO ist ein kom‑
petenter Ansprechpartner für den Datenschutz für jede
Behörde von unschätzbarem Wert. Die datenschutzrecht‑
lichen Anforderungen an die Behörden sind gestiegen. Zu‑
gleich werden den betroffenen Personen neue Klagerechte
und Schadensersatzansprüche zur Verfügung gestellt.
Gut geschulte und ausreichend freigestellte behördliche
Datenschutzbeauftragte können dazu beitragen, dass die
Behörde die gesetzlichen Anforderungen erfüllt.
Im Rahmen eines datenschutzrechtlichen Beratungsund Kontrollbesuchs bei der Bundesagentur für Arbeit
(BA) habe ich auch festgestellt, dass sowohl die Daten‑
schutzorganisation als auch die Ausstattung des be‑
hördlichen Datenschutzbeauftragten verbessert werden
musste. Die BA hat auf meine Hinweise bereits reagiert
und erste Maßnahmen ergriffen.
Ich empfehle, dass die Jobcenter ausreichend personell
ausgestattet werden, um ihre Datenschutzbeauftragten
von anderen Aufgaben freizustellen, damit diese ihre
gesetzlich vorgeschriebenen Aufgaben erfüllen können.
3.2.2 Weiterhin fehlende Löschkonzepte bei den gesetzlichen Sozialleistungsträgern
Trotz klarer gesetzlicher Regelungen verfügen Sozialleistungsträger noch immer über keine Löschkonzepte –
oder haben diese nicht umgesetzt.
Eines der datenschutzrechtlich wichtigsten Rechte ist das
Recht auf Löschung und das ebenfalls in Art. 17 DSGVO
neu geschaffene „Recht auf Vergessenwerden“. Nach der
Rechtsprechung des Europäischen Gerichtshofs handelt
es sich hierbei um eine spezielle Ausprägung der Grund‑
rechte auf Achtung des Privat- und Familienlebens und
auf Schutz personenbezogener Daten. So sind personen‑
bezogene Daten vom Verantwortlichen insbesondere
dann zu löschen, wenn sie für die Zwecke, für die sie
erhoben oder auf andere Weise verarbeitet worden,
nicht mehr erforderlich sind.
Ich habe eine Vielzahl von Beratungs- und Kontrollbesu‑
chen bei Sozialleistungsträgern (Berufsgenossenschaf‑
ten, gesetzliche Krankenkassen und (Reha)Kliniken in
meinem Zuständigkeitsbereich) durchgeführt, wo ich
feststellen musste, dass viele dieser Sozialleistungsträger
weiterhin über keinerlei Löschkonzepte verfügen oder
diese über ein Entwurfsstadium nicht hinausgehen. Bei
Stichproben konnte ich beispielsweise Datensätze einzel‑
ner Personen in IT-Systemen aufrufen, deren Geburtstage
bis in das 19. Jahrhundert zurückreichen und/oder Perso‑
nen betreffen, die bereits vor mehr als 70 Jahren verstor‑
ben sind. Dass diese Daten für die Aufgabenerledigung
nicht mehr erforderlich sein können, ist selbsterklärend.
Personenbezogene Daten nicht löschen zu können, stell‑
te bereits vor dem 25. Mai 2018 einen Rechtsverstoß dar.
Mit einem Rundschreiben hatte ich dem Spitzenverband
der Gesetzlichen Krankenversicherung bereits im Jahr
2014 mitgeteilt, dass ich fehlende Löschmöglichkeiten
bzw. das Fehlen von Löschkonzepten bei den gesetz‑
lichen Krankenkassen nicht mehr akzeptiere. Damals
konnte ich derartige Datenschutzverstöße (aufgrund des
alten Datenschutzrechts) nur beanstanden.
Art. 58 Absatz 2 DSGVO gibt mir nunmehr erweiterte Be‑
fugnisse gegenüber den Verantwortlichen, noch energi‑
scher darauf einzuwirken, dass Löschkonzepte nicht nur
zeitnah erstellt oder finalisiert, sondern IT-seitig auch
umgesetzt werden. Diese Rechte werde ich zukünftig in
Anspruch nehmen.
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
49