Datenschutzbeauftragten

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats fordert wird. 18 Behörden, darunter auch große, haben unsere Umfrage zum Anlass genommen, ihrer gesetzlichen Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten nachzukommen.

Einige kleinere Stellen haben bedauert, dass sich aus ihrem geringen Personalbestand niemand finden lässt, der für das Amt des Datenschutzbeauftragten geeignet wäre. Die Mitarbeiter hätten nicht die erforderliche Fachkunde oder seien mit anderen Aufgaben so ausgelastet, dass die Aufgaben des Datenschutzes daneben nicht zu bewältigen seien. der Senatsverwaltung für Bildung, Jugend und Sport nachgeordneten Stellen.

Hinsichtlich der übrigen aufgeworfenen Fragestellungen ist der BlnBDI bei der Erarbeitung und Umsetzung der verschiedenen strukturierten Datenverarbeitungsprogramme regelmäßig und umfassend miteinbezogen worden.

Eine abschließende Beantwortung des Fragebogens wird daher insgesamt nach Abschluss des Organisationsprozesses bei der Senatsverwaltung für Bildung, Jugend und Sport erfolgen.

Nach der Novelle des BlnDSG haben kleinere Stellen nach § 19 a Abs. 1 Satz 2 nun die Möglichkeit erhalten, ihre Datenschutzbelange durch gemeinsame Datenschutzbeauftragte oder vom Datenschutzbeauftragten einer anderen Behörde betreuen zu lassen. Dies ist zumindest dann sinnvoll, wenn Stellen ein ähnliches Aufgabenspektrum haben oder wenn der Datenschutzbeauftragte einer übergeordneten Behörde die Aufgaben mit erledigt. Von dieser Möglichkeit haben bisher sieben Stellen Gebrauch gemacht bzw. befinden sich noch im Abstimmungsprozess.

Obwohl die Verpflichtung zur Bestellung eines Stellvertreters seit bereits mehr als zwei Jahren besteht, gibt es immer noch 20 Stellen, bei denen diese Funktion nicht besetzt ist. Meist wurde jedoch die Absicht bekundet, demnächst einen Stellvertreter zu benennen.

Andere Stellen waren der Auffassung, wegen ihrer geringen Größe keinen stellvertretenden Datenschutzbeauftragten benennen zu müssen. Der Gesetzgeber hatte solche Ausnahmen aber nicht vorgesehen, weil der Datenschutzbeauftragte bei Abwesenheit vertreten werden muss.

Eine weitere Frage betraf das Zeitbudget des Datenschutzbeauftragten im Verhältnis zu seinen sonstigen Aufgaben. In den überwiegenden Fällen wird der Zeitaufwand für die Durchführung der Datenschutzaufgaben nach Bedarf bemessen. Sofern Abschätzungen versucht wurden, nannten sie höchstens 5 % der Gesamtarbeitszeit. Man muss davon ausgehen, dass in all diesen Fällen eine Entlastung von den Hauptaufgaben in dieser Größenordnung nicht vorgesehen ist. Es ist zu erwarten, dass in solchen Behörden kaum die unmittelbar aus dem Gesetz folgenden formalen Pflichten (Dateibeschreibungen nach § 19 Abs. 2 BlnDSG, Vorabkontrollen nach § 19 a Abs. 1 Satz 3 Nr. 1 BlnDSG) erfüllt werden können.

Nur acht Stellen haben einen vollzeitig tätigen Datenschutzbeauftragten für die Sicherstellung des Datenschutzes im Hause bestellt. In zehn weiteren Fällen beläuft sich die Spanne immerhin noch zwischen 50 bis 85 % der Arbeitszeit. 12 Stellen teilten mit, dass sie als Zeitbudget für den Datenschutz 5 bis 40 % vorsehen.

Die Regelungen zur Erstellung und Führung von Übersichten über die vom behördlichen oder vom Berliner Datenschutzbeauftragten zu kontrollierenden Datenverarbeitungen ist zwar mit dem neuen Gesetz verein116

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats facht worden, da die im Gesetz genannten Dateibeschreibungen nach § 19 Abs. 2 BlnDSG in Wirklichkeit nur für ganze Verfahren, nicht mehr für einzelne Dateien erstellt werden müssen. Jedoch gibt es nach wie vor Missverständnisse darüber, wer die Dateibeschreibungen zu erstellen hat. Obwohl ihnen die notwendigen Zeitbudgets nicht zur Verfügung gestellt werden, wird manchmal den Datenschutzbeauftragten alles zugewiesen, was mit dem Thema Datenschutz zu tun hat. Das Erstellen der Beschreibungen bzw. Verzeichnisse über Art und Umfang der Datenverarbeitung ist jedoch nicht Sache der behördlichen Datenschutzbeauftragten, denn sie können im Normalfall die technischen und organisatorischen Aspekte einer EDVAnwendung nicht überschauen. Die Beschreibungen sind vielmehr in der Verantwortung der Leitung der Daten verarbeitenden Stelle von den örtlichen Verfahrensverantwortlichen zu erstellen und dem Datenschutzbeauftragten zur Verfügung zu stellen.

Richtigerweise werden in den meisten Fällen die Beschreibungen durch Mitarbeiter erstellt, die für die Verarbeitung der Daten verantwortlich sind. In den Antworten wurden dabei Systemverwalter, Anwendungssystembetreuer, EDV-Beauftragter, Mitarbeiter des Controllings genannt, in Einzelfällen sogar die Leiter dieser Stellen (Dienststellenleiter, Geschäftsstellenleiter, Leiter Personalverwaltung). Ordnungs- und Sicherheitsbehörden müssen für die bei ihnen geführten Dateien Errichtungsanordnungen erstellen, die im Wesentlichen der früheren Dateiregistermeldung entsprechen. Eine Stelle leitete daraus ab, keine Dateibeschreibung fertigen zu müssen. Da jedoch sowohl der Gegenstand als auch der Inhalt der Beschreibung von der Errichtungsanordnung wesentlich abweichen, trifft dies nicht zu.

Die Dateibeschreibungen nach § 19 Abs. 2 BlnDSG sind nach § 19 a Abs. 1 Satz 5 BlnDSG jeder Person zur Einsicht vorzulegen. Dies ist Aufgabe des behördlichen Datenschutzbeauftragten, der nach § 19 a Abs. 1 Satz 4 BlnDSG das Verzeichnis führt. Das wird überwiegend auch so gehandhabt. Auch andere Stellen, wie z. B. der Verfahrensverantwortliche, der dezentrale Infrastrukturbetreiber oder der Beauftragte für IuKTechnik können natürlich weitere Exemplare bereithalten.

Es gibt auch Stellen, bei denen die Dateibeschreibung in der Verwaltungsregistratur aufbewahrt oder sogar im internen IT-Netz zum Abruf bereitgestellt wird. Dies kann nur eine zusätzliche Veröffentlichungsform sein, denn der Bürger muss in jedem Fall bei einer zentralen Stelle - nämlich dem behördlichen Datenschutzbeauftragten - in die schriftlich niedergelegten Dateibeschreibungen Einsicht nehmen können.

Nach § 5 Abs. 3 Satz 2 in Verbindung mit § 19 a Abs. 1 Satz 3 Nr. 1 BlnDSG haben die behördlichen Datenschutzbeauftragten eine Vorabkontrolle durchzuführen, wenn damit die Verarbeitung personenbezogener Daten mit besonderen Risiken für Rechte und Freiheiten von

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats Betroffenen verbunden ist, insbesondere wenn sie einem Berufs- oder besonderen Amtsgeheimnis unterliegen oder zur Verfolgung von Straftaten und Ordnungswidrigkeiten erhoben werden. Unsere Frage betraf die Stellen in den Behörden, die die erforderlichen Unterlagen (z. B. Risikoanalyse und Sicherheitskonzept) dem behördlichen Datenschutzbeauftragten dafür zur Verfügung stellen. Die Antworten benannten die IT-Stelle, die Serviceeinheit Verwaltung, den Verfahrensverantwortlichen oder die Fachabteilung. In einigen Fällen wird bei der Erstellung der Unterlagen sofort der behördliche Datenschutzbeauftragte eingeschaltet, der zumindest bei Fragen, die den Datenschutz unmittelbar berühren, beratend mitwirkt. Dagegen ist nichts einzuwenden, doch es bleibt originäre Aufgabe der Verantwortlichen einer Daten verarbeitenden Stelle, sich bei der Einführung neuer automatisierter Verarbeitungen bereits im Vorfeld Gedanken über die Sicherheitsaspekte zu machen. Die Unterlagen für die Vorabkontrolle sollten möglichst in einer Hand zusammengeführt werden, damit Dritte (z. B. behördlicher Datenschutzbeauftragter, Berliner Beauftragter für Datenschutz und Informationsfreiheit) nur einen Ansprechpartner haben.

Die Antworten (oder auch Nichtantworten) auf die Umfrage oder auch die Art der Beantwortung machten deutlich, dass es für die Durchsetzung des Datenschutzes wichtig ist, wenn von Zeit zu Zeit an die Einhaltung der gesetzlichen Vorschriften erinnert wird, insbesondere in den nachgeordneten Bereichen der Verwaltung, die nicht immer im Rampenlicht stehen. Die Beachtung der Datenschutzgesetze wird gerade dort noch gelegentlich als Pflicht zweiter Ordnung angesehen, als eine Pflicht, um die man sich kümmert, wenn man „keine anderen Sorgen" mehr hat.

Gesprächskreis der behördlichen Datenschutzbeauftragten der Bezirke

Auch im vergangenen Jahr fanden wieder drei Treffen der Datenschutzbeauftragten der Bezirksämter von Berlin statt, bei denen es zu angeregten Diskussionen bei besonders interessierenden Fragen kam. Einige seien an dieser Stelle herausgegriffen:

So ging es um die Akteneinsichtsrechte des behördlichen Behindertenbeauftragten im Rahmen seiner Beteiligungs- bzw. Anhörungsrechte. Übereinstimmend war man der Meinung, dass mangels einer spezialgesetzlichen Grundlage die allgemeinen datenschutzrechtlichen Regelungen gelten. Einsichtsrechte können nur gewährt werden, wenn eine Einwilligung der Betroffenen vorliegt oder aber wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verwendung schutzwürdige Belange der Betroffenen nicht beeinträchtigt werden. Keine dieser Ausnahmeregelungen des § 6 Abs. 1 BlnDSG wurde als zutreffend angesehen.