Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Donnerstag, 28. Juni 2018

7: FAQ - Häufig gestellte Fragen

Verantwortlichkeiten und Pflicht zur Benennung von behördlichen Datenschutzbeauftragten bei öffentlichen Stellen

Gemäß Art. 37 Abs. 1 Buchst. a der Datenschutz-Grundverordnung (DSGVO) sind Behörden und öffentliche Stellen verpflichtet, einen behördlichen Datenschutzbeauftragten zu benennen. Zwar sind nach § 38 Bundesdatenschutzgesetz (BDSG) Verantwortliche unter einer bestimmten Betriebsgröße von der Pflicht zur Benennung eines Datenschutzbeauftragten ausgenommen. Diese Ausnahme gilt jedoch nicht für Behörden und andere öffentliche Stellen. Diese haben unabhängig von der Größe in jedem Fall einen behördlichen Datenschutzbeauftragten zu benennen.

Aufgrund der unterschiedlichen Organisationsstrukturen und Trägerschaften öffentlicher Stellen ist die Zuordnung der Verantwortlichkeit für die Verarbeitung personenbezogener Daten teilweise nicht auf den ersten Blick ersichtlich. Die nachfolgenden Erläuterungen sollen in Zweifelsfragen weiterhelfen:

Weitere Informationen zur Benennung von betrieblichen oder behördlichen Datenschutzbeauftragten können Sie der ULD-Praxisreihe „Datenschutzbeauftragte“ entnehmen. Diese ist abrufbar unter: uldsh.de/praxis-dsb

 

Abfallbetriebe

Ob Abfallbetriebe einen behördlichen Datenschutzbeauftragten benennen müssen, ist anhand der jeweils gewählten Organisationsform zu entscheiden.

Für die Teile des Geschäftsbetriebes, die mit der Ausübung von öffentlich-rechtlich übertragenen Aufgaben befasst sind, ist gem. Art. 37 Abs. 1 Buchst. a DSGVO ein Datenschutzbeauftragter zu benennen. Dies ist für die Abfallentsorgung mit Anschlusszwang der Fall, da diese Teil der öffentlich-rechtlichen Daseinsvorsorge ist.

Erbringt der Betrieb daneben noch Leistungen, die nicht zur Daseinsvorsorge zählen, wie z. B. die Vermietung von Containern, Aktenvernichtung usw., wird diese Tätigkeit in der Regel zu wirtschaftlichen Zwecken im allgemeinen Wettbewerb erbracht. Der Betrieb ist dann gem. § 2 Abs. 4 und 5 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) als nichtöffentliche Stelle einzuordnen und muss als Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO selbst prüfen, ob ein betrieblicher Datenschutzbeauftragter gem. Art. 37 DSGVO benannt werden muss oder ob hiervon gem. § 38 BDSG abgesehen werden kann.

Es ist empfehlenswert, dass der nach Art. 37 Abs. 1 Buchst. a DSGVO benannte Datenschutzbeauftragte immer auch die Aufgaben des Datenschutzbeauftragten für den Bereich wahrnimmt, in dem der Abfallbetrieb als nichtöffentliche Stelle gilt.

 

Bezirksschornsteinfeger

Bezirksschornsteinfeger führen als Beliehene öffentlich-rechtliche Verwaltungstätigkeiten aus und sind gem. § 13 Landesverwaltungsgesetz Schleswig-Holstein (LVwG) wie Behörden zu behandeln. Datenschutzrechtlich sind sie demnach Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO und § 2 Abs. 1 LDSG. Die Schornsteinfeger müssen daher gemäß Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten benennen, wobei es ihnen gem. Art. 37 Abs. 3 DSGVO freisteht, zusammen mit anderen öffentlichen Stellen einen gemeinsamen Datenschutzbeauftragten zu benennen. Dies könnte z. B. durch die Innung oder sonstige Verbände bewerkstelligt werden.

 

Büchereien

Sind Büchereien in kommunaler, städtischer, Kreis- oder Amtsträgerschaft ohne eigene Rechtspersönlichkeit organisiert, sind sie diesen Stellen datenschutzrechtlich zuzuordnen. Die jeweiligen Gemeinden, Städte, Kreise oder Ämter sind dann verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO und § 2 Abs. 1 LDSG. Das Mandat des behördlichen Datenschutzbeauftragten der Gemeinde erstreckt sich daher im Zweifel auch auf die Büchereien. Dabei muss der Verantwortliche jedoch berücksichtigen, ob dem Datenschutzbeauftragten die Betreuung aus Kapazitätsgründen noch zumutbar ist. Gegebenenfalls sind diesem weitere Ressourcen, auch personelle (interne oder externe) Unterstützung, bereitzustellen.

Sofern eine Bücherei als Stiftung öffentlichen Rechts betrieben wird, muss diese als eigenständige öffentliche Stelle in eigener Verantwortlichkeit auch einen eigenen Datenschutzbeauftragten benennen, Art. 37 Abs. 1 Buchst. a DSGVO.
Ist eine Bücherei als eingetragener Verein (e. V.) organisiert, so handelt es sich um eine nicht-öffentliche Stelle, für die neben der DSGVO auch das BDSG gilt. Der Vereinsvorstand hat zu prüfen, ob ein Datenschutzbeauftragter benannt werden muss oder ob hiervon gem. § 38 BDSG abgesehen werden kann.

Für Büchereien in kirchlicher Trägerschaft gilt das jeweils einschlägige kirchliche Datenschutzrecht.

 

Feuerwehrverbände

Die gemäß § 13 Abs. 1 S. 2 Brandschutzgesetz Schleswig-Holstein (BrandschG) als Körperschaften des öffentlichen Rechts ausgestalteten Feuerwehrverbände sind als eigenständige öffentliche Stelle verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO und § 2 Abs. 1 LDSG. Sie müssen einen eigenen (internen oder externen) behördlichen Datenschutzbeauftragten benennen.

 

Freiwillige Feuerwehren

Freiwillige Feuerwehren sind nach § 5 Abs. 1 BrandschG gemeindliche Einrichtungen ohne eigene Rechtspersönlichkeit. Damit sind sie der jeweiligen Gemeinde zuzurechnen, die für die personenbezogene Datenverarbeitung verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO und § 2 Abs. 1 LDSG ist.

Das Mandat des behördlichen Datenschutzbeauftragten der Gemeinde erstreckt sich daher im Zweifel auch auf die freiwilligen Feuerwehren. Dabei muss der Verantwortliche jedoch berücksichtigen, ob dem Datenschutzbeauftragten die Betreuung aus Kapazitätsgründen noch zumutbar ist. Gegebenenfalls sind diesem weitere Ressourcen, auch personelle (interne oder externe) Unterstützung bereitzustellen. Auch die Benennung eines gemeinsamen Datenschutzbeauftragten im Sinne von Art. 37 Abs. 3 DSGVO (z. B. zusammen mit anderen Gemeinden auch für deren freiwilligen Feuerwehren) ist möglich.

 

Volkshochschulen

Sofern Volkshochschulen in kommunaler, städtischer, Kreis- oder Amtsträgerschaft ohne eigene Rechtspersönlichkeit organisiert sind, sind sie diesen Stellen datenschutzrechtlich zuzuordnen. Die jeweiligen Gemeinden, Städte, Kreise oder Ämter sind dann im Sinne des Art. 4 Nr. 7 DSGVO und § 2 Abs. 1 LDSG für die personenbezogene Datenverarbeitung verantwortlich. Das Mandat des behördlichen Datenschutzbeauftragten der Gemeinde erstreckt sich daher im Zweifel auch auf die Volkshochschulen. Dabei muss der Verantwortliche jedoch berücksichtigen, ob dem Datenschutzbeauftragten die Betreuung aus Kapazitätsgründen noch zumutbar ist. Gegebenenfalls sind diesem weitere Ressourcen, auch personelle (interne oder externe) Unterstützung, bereitzustellen.

Auch die Benennung eines gemeinsamen Datenschutzbeauftragten im Sinne von Art. 37 Abs. 3 DSGVO (z. B. zusammen mit anderen Gemeinden, Kreisen, usw. auch für deren Volkshochschulen) ist möglich.

Ist eine Volkshochschule als eingetragener Verein (e. V.) organisiert, so handelt es sich um eine nicht-öffentliche Stelle, für die neben der DSGVO auch das BDSG gilt. Der Vereinsvorstand hat zu prüfen, ob ein Datenschutzbeauftragter benannt werden muss oder ob hiervon gem. § 38 BDSG abgesehen werden kann.

 

Wärmeversorgung

Die Erbringung von zur Wärmeversorgung stellt seit 2005 (Energiewirtschaftsgesetz) keine Aufgabe der Daseinsvorsorge mehr dar. Bietet eine Gemeinde eine Wärmeversorgung über eine GmbH an, so handelt es sich um eine nichtöffentliche Stelle, für die neben der DSGVO auch das BDSG gilt. Der Vorstand hat zu prüfen, ob ein Datenschutzbeauftragter benannt werden muss oder ob hiervon gem. § 38 BDSG abgesehen werden kann.

 

Wasser- und Bodenverbände

Bei den Wasser- und Bodenverbänden in Schleswig-Holstein handelt es sich um Körperschaften des öffentlichen Rechts. Diese bzw. deren Organe sind nach § 12 LVwG als Behörden anzusehen, soweit sie öffentlich-rechtliche Verwaltungstätigkeiten ausüben. Im Hinblick auf die Aufgaben nach dem Wasserverbandsgesetz und anderen einschlägigen Gesetzen ist dies der Fall. Die Wasser- und Bodenverbände sind demnach für die personenbezogene Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO und § 2 Abs. 1 LDSG verantwortlich. Sie müssen gemäß Art. 37 Abs. 1 Buchst. a DSGVO in jedem Fall einen Datenschutzbeauftragten benennen. Unter Berücksichtigung ihrer Organisationsstruktur und Größe kann auch die Benennung eines gemeinsamen Datenschutzbeauftragten zulässig sein (Art. 37 Abs. 3 DSGVO). Eine Ausnahme von der Benennungspflicht ist auch für Kleinstverbände in der DSGVO nicht vorgesehen.

 

Wasserversorgung und Abwasserentsorgung

Betriebe der Wasserversorgung und Abwasserentsorgung erfüllen öffentlich-rechtliche Aufgaben der Daseinsvorsorge (§ 50 Wasserhaushaltsgesetz), sodass sie unabhängig von der Organisationsform als öffentliche Stellen im Sinne des § 2 Abs. 1 LDSG anzusehen sind. Für die Betriebe der Wasserversorgung und Abwasserentsorgung gilt daher, dass sie gem. Art. 37 Abs. 1 Buchst. a DSGVO auf jeden Fall einen behördlichen Datenschutzbeauftragten benennen müssen.