BfDI: Kontrolle zur Organisation und der Stellung des behördlichen Datenschutzbeauftragten

Im Rahmen seiner Zuständigkeit kann der BfDI Beratungs- und Kontrollbesuche bei den unter seiner Aufsicht stehenden Verantwortlichen durchführen.
Im Dezember 2023 wurden in diesem Zusammenhang zahlreiche Kontrollen nach den Art. 55 Abs. 1, 57 Abs. 1 lit. a) sowie 58 Abs. 1 lit. b) DS-GVO und den §§ 9 Abs. 1 Satz 1, 14 Abs. 1 Nr. 1 BDSG) als datenschutzrechtliche Querschnittskontrollen auf schriftlichem Wege durchgeführt. Dabei wurden verschiedene Jobcenter für diese Kontrolle ausgewählt. Gegenstand der Kontrolle war die Stellung des behördlichen Datenschutzbeauftragten (bDSB). Dabei handelt es sich um alle Kontrollberichte mit Datum vom 19.12.2023.
Zu den erfolgten Kontrollen veröffentlicht der BfDI (Mit Erlaubnis der verantwortlichen Stellen) zahlreiche Kontrollberichte, aus denen sich für andere Verantwortliche Erkenntnisse für die eigene Datenschutzorganisation ableiten lassen.

Aus den Kontrollberichten lässt sich dies festhalten:

1. Stellung und Weisungsfreiheit:
Aus Art. 37 Abs. 1 lit. a) DS-GVO folgt die Verpflichtung für die geprüften Jobcenter, einen bDSB zu bestellen. Dieser sollte seine Informations-, Beratungs- und Kontrollaufgaben umfassend bei allen Vorgängen der Verarbeitung personenbezogener Daten der Mitarbeiter und Kunden im Jobcenter wahrnehmen. In seiner Tätigkeit sollte er fachlich weisungsfrei sein und der Geschäftsführung unmittelbar unterstellt werden. Er ist gefordert, proaktiv tätig zu werden und Zeitpunkt und Umfang seines Tätigwerdens selbst zu bestimmen. Keineswegs wird er nur auf Anforderung der Fach- und Führungskräfte tätig.

2. Qualifikation:
Die Fragen dieses Themenbereichs hatten vor allem die ordnungsgemäße Bestellung des bDSB und dessen Qualifikation zum Gegenstand.
Nach Art. 37 Abs. 5 DS-GVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben. Die Anforderungen an die Qualifikation sind gesetzlich nicht näher definiert. Der Umfang der Qualifikation des Datenschutzbeauftragten richtet sich maßgeblich nach den durchgeführten Datenverarbeitungen und dem Schutzbedarf der vom Verantwortlichen bzw. Auftragsverarbeiter verarbeiteten Daten, vgl. Erwägungsgrund (EG) 97 der DSGVO.

3. Zeitliches Budget:
Der BfDI vertritt die Auffassung, dass der bDSB (eines Jobcenters) spätestens ab einer Anzahl von 500 Beschäftigten zu 100% freigestellt werden sollte, damit eine ordnungsgemäße Aufgabenerfüllung sichergestellt werden kann. Bei niedrigeren Beschäftigtenzahlen sollte eine anteilsmäßige Freistellung erfolgen. Auch wenn ein gesetzlicher Freistellungsanspruch für Datenschutzbeauftragte nicht gegeben ist, ergibt sich die Verpflichtung zu einer angemessenen Entlastung des bDSB aus der Unterstützungspflicht des Verantwortlichen für die Aufgabenwahrnehmung. Hinzu kommt die Verpflichtung aus dem Benachteiligungsverbot und nicht zuletzt auch die Fürsorgepflicht des Arbeitgebers. Bei einem Jobcenter mit 300 Beschäftigten empfiehlt der BfDI daher bspw. eine festgeschriebene Freistellung von mindestens 60 %.
Dies entspricht damit auch den Ausführungen des BfDI in der Publikation „Info 6 / Die DSGVO in der Bundesverwaltung (Seite 30)“:

„Die öffentliche Stelle stellt dem DSB die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen zur Verfügung, Art. 38 Abs. 2 DSGVO/§ 6 Abs. 2 BDSG. Mit Blick auf die hohe Arbeitsbelastung des DSB infolge der ihm durch die DSGVO bzw. das BDSG übertragenen Aufgaben (Überwachung der DSFA, Angemessenheitsprüfung mit Berücksichtigung von Art, Umfang, Umständen und Zweck der Verarbeitung, Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese) empfiehlt der BfDI die vollständige Freistellung des DSB von anderen Aufgaben für die Wahrnehmung seiner Funktion als DSB ab einer Anzahl von 500 Beschäftigten. „

4. Aufgaben
In diesem Bereich wurde vom BfDI geprüft, ob der bDSB die gesetzlichen Aufgaben wahrnimmt und in welcher Weise die Pflichten erfüllt werden. Weiterhin wurde geprüft, inwieweit die Unabhängigkeit des bDSB gewährleistet ist und wie die organisatorische und fachliche Einbindung in alle Fragen von datenschutzrechtlicher Bedeutung sichergestellt ist. Zu den gesetzlichen Pflichten nach Art. 39 DS-GVO gehören insbesondere die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten sowie die Überwachung der Einhaltung von Datenschutzvorschriften und der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen.

(Foto: xyz+ – stock.adobe.com)