Bundesamt für Sicherheit in der Informationstechnik

M 2.502 Regelung der Verantwortlichkeiten im Bereich Datenschutz

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung

Datenschutz ist für alle IT-Systeme und -Verfahren, mit deren Hilfe personenbezogene Daten verarbeitet werden, von grundlegender Bedeutung. Die Aspekte des Datenschutzes sind daher von Beginn der Planungen zur Einführung eines IT-Verfahrens im Rahmen des Sicherheitsmanagements zu integrieren. Nur so kann gewährleistet werden, dass alle wichtigen Aspekte berücksichtigt und sämtlich anfallende Aufgaben effizient und effektiv erledigt werden.

Eine detaillierte Auflistung zu bearbeitender Aufgaben und zu treffender Regelungen, die unter datenschutzrechtlichen Aspekten zu betrachten sind, sind zu finden in M 2.1 Festlegung von Verantwortlichkeiten und Regelungen .

Die Bestellung eines betrieblichen bzw. behördlichen Datenschutzbeauftragten (bDSB) und seine Integration in das Sicherheitsmanagement ist eine Maßnahme, die sich dazu in besonderem Maße eignet. Es besteht auch die Möglichkeit, einen externen bDSB zu bestellen.

Der bDSB kontrolliert eigenständig die Einhaltung des Datenschutzes, bildet aber auch gewissermaßen das Bindeglied zwischen der eigenverantwortlichen Gesetzesanwendung durch die datenverarbeitende Stelle auf der einen und der staatlichen Kontrolle auf der anderen Seite.

Die Bestellung ist, von wenigen Ausnahmen abgesehen, gesetzlich vorgeschrieben:

  • Für öffentliche Stellen des Bundes und nicht-öffentliche Stellen im BDSG (§§ 4 f, g) und für die Sozialversicherungsträger im Sozialgesetzbuch (§ 35 SGB I, § 81 Abs. 1 SGB X i. V. m. §§ 4 f, g BDSG).
  • Für öffentliche Stellen der Länder ist die Pflicht zur Bestellung in einigen Landesdatenschutzgesetzen ebenfalls vorgeschrieben.

Auch in den Bereichen, in denen eine Bestellung eines Datenschutzbeauftragten nicht erfolgt, muss die Einhaltung der datenschutzrechtlichen Anforderungen sichergestellt sein. Dies kann auch durch das Sicherheitsmanagement erfolgen. Hierzu sollte zumindest eine interne IT-Revision und Datenschutzkontrolle eingerichtet werden (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ).

Bestellung eines Datenschutzbeauftragten

Zum Datenschutzbeauftragten kann nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.

Zur Aufgabenerfüllung gehören technische, organisatorische und rechtliche Kenntnisse. Der bDSB muss die gesetzlichen Regelungen, wie z. B. das Recht auf informationelle Selbstbestimmung, die Grundrechte mit Datenschutzbezug, das Bundesdatenschutzgesetz, bereichsspezifische datenschutzrechtliche Regelungen und die einschlägigen Spezialvorschriften des Fachbereichs, kennen und sicher anwenden können. Er sollte ferner gute Kenntnisse der Organisation und vertiefte Kenntnisse der Informationstechnik besitzen.

Soweit ihm die fachliche Qualifikation in Teilbereichen noch fehlt, ist ihm Gelegenheit zu geben, diese zu erwerben. Mit den Aufgaben und der Arbeitsweise seiner Behörde bzw. seines Unternehmens sollte der bDSB möglichst aus eigener Erfahrung gut vertraut sein, um seinen Kontroll- und Beratungsaufgaben nachkommen zu können.

Der bDSB muss nicht ausschließlich mit den Funktionen eines Datenschutzbeauftragten betraut sein. Je nach Art und Umfang der personenbezogenen Datenverarbeitung und der damit verbundenen Datenschutzprobleme kann es angebracht sein, ihm daneben weitere Aufgaben zu übertragen. Dies wird besonders bei kleineren Behörden bzw. Unternehmen in Betracht kommen, wenn die Einarbeitungszeit oder die Aufbauperiode abgeschlossen ist.

Besonders ist darauf zu achten, dass keine Interessenkonflikte oder Abhängigkeiten entstehen, die seine Aufgabenerfüllung gefährden. Interessenkonflikte können insbesondere dann auftreten, wenn der bDSB gleichzeitig Aufgaben in den Bereichen Personal, Informationstechnik oder in Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten wahrnimmt oder Geheimschutzbeauftragter ist. Möglich ist dagegen die Zusammenlegung der Funktionen des bDSB mit denen des IT-Sicherheitsbeauftragten. Ist der IT-Sicherheitsbeauftragte organisatorisch unabhängig von der für die IT verantwortlichen Organisationseinheit eingerichtet, ist die Zusammenfassung in einer Hand empfehlenswert. Auch der Leiter oder ein Mitarbeiter der Bereiche Justitiariat/Recht oder Organisation bietet sich für die Aufgabe an.

Im Interesse einer späteren vertrauensvollen Zusammenarbeit sollte der Personal- bzw. Betriebsrat im Verfahren der Bestellung des bDSB frühzeitig beteiligt werden.

Wenn die Bestellung gesetzlich vorgeschrieben ist, gelten meist bestimmte Formvorschriften. In jedem Fall ist die Bestellung zum bDSB allen Mitarbeitern bekannt zu machen. Dabei ist darauf hinzuweisen, dass jeder Mitarbeiter sich in eigenen und dienstlichen Angelegenheiten unmittelbar an den bDSB wenden kann.

Die unabhängige und organisatorisch herausgehobene Stellung ist für eine wirkungsvolle Tätigkeit des bDSB von ausschlaggebender Bedeutung. Er darf bei der Wahrnehmung seiner Aufgaben nicht den Weisungen der Organisationseinheiten unterliegen, die er zu kontrollieren hat. In seiner Funktion als bDSB sollte er der Leitung des Hauses zugeordnet sein, entweder durch unmittelbare Unterstellung oder im Sinne einer Stabsfunktion. Dies ist im Organigramm für alle Mitarbeiter erkennbar darzustellen.

Der bDSB muss das direkte und jederzeitige Vortragsrecht bei der Behörden- bzw. Unternehmensleitung haben und über das Geschehen in der Behörde bzw. dem Unternehmen, soweit es einen Bezug zu seiner Tätigkeit hat, umfassend und frühzeitig unterrichtet werden. Er ist an datenschutzrelevanten Vorgängen zu beteiligen, und Planungen, die den Umgang mit personenbezogenen Daten betreffen, sind ihm bekannt zu geben.

Der bDSB muss von der Behörden- bzw. Unternehmensleitung und von allen Mitarbeitern unterstützt werden. Soweit erforderlich, sind ihm Hilfspersonal sowie Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Für den Fall, dass er vertiefte rechtliche oder technische Beratung benötigt, müssen ihm geeignete Ansprechpartner der betreffenden Fachabteilungen benannt werden, auf die er bei Bedarf zurückgreifen kann.

Der bDSB soll dazu beitragen, dass seine Behörde bzw. sein Unternehmen den Erfordernissen des Datenschutzes umfassend Rechnung trägt. Er hat die Einhaltung der Vorschriften des Datenschutzes in allen Bereichen zu überwachen. Er nimmt seine Aufgaben im Wesentlichen durch Beratung und Kontrollen wahr. Seine vorrangige Aufgabe ist die Beratung. Für die Mitarbeiter sollte der bDSB Ansprechpartner in allen Fragen des Datenschutzes sein, an den sie sich jederzeit vertrauensvoll wenden können.

Bei Schwachstellen und Versäumnissen sollte er zunächst gemeinsam mit den Beteiligten nach konstruktiven Lösungen suchen. Wichtig ist dabei, den Mitarbeitern bewusst zu machen, dass Datenschutz positiv und nützlich ist. Bei angemessener Verwirklichung wird der Datenschutz Arbeitsabläufe im Ergebnis eher fördern als erschweren. Wenn nämlich eine Behörde bzw. ein Unternehmen zu viele personenbezogene Daten sammelt, personenbezogene Daten zu spät löscht oder unberechtigt übermittelt, verstößt sie nicht nur gegen Datenschutzrecht, sondern verursacht auch erhöhten Verwaltungsaufwand und Mehrkosten. Vor allem ist der Datenschutz ein wichtiges Element eines bürger- und kundenfreundlichen Verhaltens, weil er die Verfahrensabläufe transparent macht.

Der bDSB hat das Recht, jederzeit unangekündigte Kontrollen durchzuführen. Zu diesem Zweck hat er Zutritt zu allen Räumen und kann alle Unterlagen einsehen, die personenbezogene Daten enthalten oder den Umgang mit diesen betreffen, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Allerdings ist die Einsicht in Personalakten, ärztliche Unterlagen, Beihilfeakten und Sicherheitsvorgänge nur mit Einwilligung des Betroffenen zulässig.

Bei Kontrolle und Beratung im Bereich einer Personalvertretung ist deren unabhängige Stellung zu beachten. Dies schließt die Durchführung von Kontrollen allerdings nicht aus.

Der bDSB hilft der Behörden- bzw. Unternehmensleitung, ihre Verantwortung für die Wahrung des Persönlichkeitsschutzes wahrzunehmen und Zwischenfälle zu vermeiden, die dem Ansehen der Behörde bzw. des Unternehmens abträglich wären. Er sollte auch Kontakt zum Personal- bzw. Betriebsrat halten. Eine gute Zusammenarbeit ist nicht nur wegen der Sensibilität der Personaldatenverarbeitung wünschenswert.

Zur sachgemäßen Durchführung seiner Aufgaben hat sich der bDSB weiterzubilden. Sehr nützlich ist auch der Erfahrungsaustausch im Kreis mit anderen bDSB des Geschäftsbereichs oder aus Behörden bzw. Unternehmen mit ähnlichen Fachaufgaben.

Der spezielle Zuschnitt der Aufgaben des bDSB richtet sich im Einzelfall nach den zu erfüllenden Aufgaben, aber auch nach Größe, dem Aufbau und der Gliederung der jeweiligen Behörde bzw. des Unternehmens.

Der folgende Katalog gibt einen Überblick über die Aufgaben, die dem bDSB in jeder Behörde bzw. jedem Unternehmen übertragen werden können:

Grundlegende Aufgaben:

  • Beratung der Hausleitung und der übrigen Mitarbeiter in datenschutz-relevanten Fragen
  • Durchführung angekündigter oder unangekündigter Kontrollen

Übersichten und Register:

  • Führung oder Überwachung der Führung des Verzeichnisses der eingesetzten Datenverarbeitungs-anlagen
  • Führung der Übersicht über alle Dateien und Verfahren, in denen personenbezogene Daten gespeichert sind oder verarbeitet werden
  • Wahrnehmung der gesetzlichen Meldepflichten

Automatisierte Abrufverfahren und Auftragsdatenverarbeitung:

  • Unterrichtung der zuständigen Datenschutzkontrollinstanz über automatisierte Abrufverfahren
  • Kontrolle der Einhaltung der Weisungen des Auftraggebers bei Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

Mitwirkung:

  • Erarbeitung oder Mitwirkung bei der Erstellung von Richtlinien, Rundschreiben, Dienstvereinbarungen und weiteren allgemeinen Verlautbarungen, die den Umgang mit personenbezogenen Daten betreffen
  • Bearbeitung oder Mitwirkung bei Auskunfts-, Berichtigungs-, Sperrungs- oder Löschungsverlangen, bei der Erstellung von Bürgerinformationen sowie bei allgemeinen Bürgereingaben und Anfragen zum Datenschutz
  • Beteiligung bei der Auswertung von Protokolldateien
  • Beteiligung bei der Einführung von Verfahren zur Verarbeitung personenbezogener Daten durch die Fachabteilung
  • Beteiligung bei Regelungen zur Informationssicherheit

Schulung und Zusammenarbeit:

  • Schulung der Mitarbeiter in datenschutzrechtlichen Aspekten sowie zur Umsetzung datenschutzrechtlicher Bestimmungen
  • Regelmäßige oder gelegentliche Berichte an die Hausleitung über den Stand des Datenschutzes innerhalb der Behörde bzw. des Unternehmens
  • Zusammenarbeit mit dem IT-Sicherheitsbeauftragten
  • Ansprechpartner der externen Datenschutz-Kontrollinstanzen, z. B. des Bundesbeauftragten für den Datenschutz und gegebenenfalls der Datenschutzbeauftragten der vorgesetzten Behörde bzw. des Unternehmens, anderer Behörden bzw. Unternehmen des Geschäftsbereichs und öffentlicher Stellen mit verwandten Aufgaben

Prüffragen:

  • Wurde ein Datenschutzbeauftragter bestellt?

  • Ist der Datenschutzbeauftragte ausreichend qualifiziert?

  • Stehen dem Datenschutzbeauftragten ausreichend Ressourcen zur Verfügung?

  • Sind die Aufgaben und Kompetenzen des Datenschutzbeauftragten klar definiert?

Stand: 13. EL Stand 2013