Inhaltsverzeichnis

Der  behördliche Datenschutzbeauftragte nach der Richtlinie 95/46/EG  

A.  Einführung  1

I.  Gegenstand der Untersuchung  1

II.  Gang der Untersuchung  2

B.  Behördlicher DSB vor der EG-Datenschutzrichtlinie  3

I.  Aufgaben des bDSB  3

1.  Beratung der öffentlichen Stelle  4

2.  Kontrolle und Überwachung der Einhaltung datenschutzrechtlicher  

Regelungen   5

a)  Überwachung der ordnungsgemäßen Anwendung der DV-  

Programme   5

b)  Kontrolle der Verarbeitung aller personenbezogenen  Daten6

3.  Schulung und Ausbildung der Mitarbeiter  7

4.  Ansprechpartner für Betroffene  7

II.  Person und Stellung des bDSB  8

1.  Qualifikation  8

2.  Stellung  10

C.  Behördlicher DSB nach der EG-Datenschutzrichtlinie  11

I.  Das Kontrollsystem der EG-DSRL  11

1.  Kontrollstellen  11

2.  Kontrollinstrumente  12

a)  Meldung und Meldepflicht  12

b)  Vorabkontrolle  13

II.  Zusätzliche Aufgaben des bDSB  14

1.  Meldung und Verzeichnisführung  14

2.  Publikation  15

3.  Vorabkontrolle  15

III.  Gewandelte Stellung des bDSB  17

1.  Bestellung und Abberufung  18

2.  Funktionsausübung  19

3.  Unterstützung  20

II

4.  Weitere Vorkehrungen  20

D.  Behördlicher DSB und die Anforderungen der EG-Datenschutzrichtlinie  21

I.  Anrufungsrecht des bDSB gegenüber dem BfDI  21

1.  Anrufung des BfDI  22

2.  Exkurs: Unabhängigkeit der Aufsichtsbehörden für den nicht-  

  öffentlichen Bereich  23

3.  Anrufung des BfDI im Rahmen der Vorabkontrolle  27

II.  Publikationspflicht und Transparenz  27

III.  Kontrollbereich des bDSB  28

E.  Résumé  29

III

Literaturverzeichnis

Abel, Ralf B. Der behördliche Datenschutzbeauftragte MMR 2002, 289 ff.

Brühann, Ulf Fortschritte des EG-Datenschutzrechts und Auswirkungen auf die betriebliche Kontrolle RDV 1993, Sonderbeilage I ff.

Dammann, Ulrich EG-Datenschutzrichtlinie: Kommentar Simitis, Spiros Baden-Baden 1997

Ehmann, Eugen Datenschutzkontrolle beim Betriebsrat CR 1998, 331 ff.

Ehmann, Eugen EG-Datenschutzrichtlinie: Kurzkommentar Helfrich, Marcus Köln 1999

Engelien-Schulz, Thomas Der behördliche Datenschutzbeauftragte - Rechtsstellung, Aufgaben und Befugnisse, BWV 2001, 241 ff.

Engelien-Schulz, Thomas Die Aufgaben des Leiters einer Dienststelle aus datenschutzrechtlicher Sicht VR 2006, 289 ff.

Engelien-Schulz, Thomas Die Vorabkontrolle gemäß § 4d Abs. 5 und Abs. 6 Bundesdatenschutzgesetz (BDSG) RDV 2003, 270 ff.

Gola, Peter Bundesdatenschutzgesetz: Kommentar Schomerus, Rudolf 9. Auflage, München 2007

IV

Gola, Peter Der behördliche Datenschutzbeauftragte: Zu einem Aspekt der Umsetzung der EG-Datenschutzrichtlinie in Hessen DuD 1999, 341 ff.

Haaz, Heiko Tätigkeitsfeld Datenschutzbeauftragter 2. Auflage, Frechen 2003

Klug, Christoph BDSG-Interpretation: Materialien zur EU-konformen Auslegung 3. Auflage, Frechen 2007

Klug, Christoph Die Vorabkontrolle - Eine neue Aufgabe für betriebliche und behördliche Datenschutzbeauftragte RDV 2001, 12 ff.

Pahlen-Brandt, Ingrid Mehr Kompetenzen für den behördlichen Datenschutzbeauftragten: Unzureichende Umsetzung der EG-DatSchRL DuD 2003, 637 ff.

Schild, Hans-Hermann Der behördliche Datenschutzbeauftragte DuD 2001, 31 ff.

Schild, Hans-Hermann Die mangelhafte vollständige Unabhängigkeit des behördlichen Datenschutzbeauftragten im Vollzuge des Hessischen Datenschutzgesetzes und die möglichen Folgen JurPC Web-Dok. 184/2007, Abs. 1 ff.

Simitis, Spiros (Hrsg.) Bundesdatenschutzgesetz: Kommentar 6. Auflage, Baden-Baden 2006

V

Weber, Martina Der betriebliche Datenschutzbeauftragte im Lichte der EG-Datenschutzrichtlinie DuD 1995, 698 ff.

Weidemann, Jürgen Kontrollbefugnis des Datenschutzbeauftragten bei Betriebs- und Personalräten ZBVR 1998, 74 ff.

Zöllner, Dieter Der Datenschutzbeauftragte im Verfassungssystem: Grundsatzfragen der Datenschutzkontrolle Berlin 1995

VI

Der behördliche Datenschutzbeauftragte nach der

Richtlinie 95/46/EG (EG-DSRL)

A. Einführung

I. Gegenstand der Untersuchung

In den vergangenen rund 30 Jahren hat die Institution des Datenschutzbeauftragten ¹ eine bemerkenswerte Karriere gemacht. In der Einsicht, dass das Ziel eines hohen Datenschutzniveaus ohne Kontrollinstanzen nicht zu erreichen ist, wurde zunächst im nicht-öffentlichen Bereich die Figur des DSB eingeführt. Zugleich wurde mit dieser Entscheidung auch dem dualen Kontrollsystem, bestehend aus einer internen Kontrollinstanz und einer externen Kontrollinstanz, der Aufsichtsbehörde, der Vorzug gewährt. So wäre es durchaus möglich gewesen, allein auf eine externe, staatliche Kontrolle zu setzen, wie es mit Ausnahme Schwedens alle übrigen Mitgliedstaaten der Europäischen Union (EU) handhaben. ² Die Entscheidung, ein duales System zu etablieren, erklärt sich vor dem Hintergrund der damaligen Positionierung der betroffenen Wirtschaftsakteure, eine unternehmensinterne Kontrolle einer externen, staatlichen zu bevorzugen. Aber auch die Länder sahen in dieser Lösung einen Weg, den Verwaltungsaufwand gering zu halten. Schließlich sah man in der internen Kontrolle aber auch einen besonders flexiblen und vermeintlich effizienten Weg der datenschutzrechtlichen Kontrolle. Der in jedem Unternehmen und jedem Betrieb anders strukturierte Umgang mit personenbezogenen Daten lässt sich von einer zum Betrieb gehörenden Person sehr viel besser erschließen, steuern und kontrollieren, als allein von einer externen Aufsichtsbehörde. Dass diese Einschätzung zutrifft, ist vor dem Hintergrund der in jüngster und jüngerer Zeit zahlreich bekannt gewordenen Datenschutzverstöße in Unternehmen fraglich geworden. Das Konzept setzte sich zunächst dennoch durch, so dass

¹ Im Folgenden wird nur der Lesbarkeit halber ausschließlich der maskuline Genus

verwendet. Zugleich wird der Begriff des Datenschutzbeauftragten mit „DSB“ abge-kürzt.

² Klug, RDV 2001, 12, 13. In Schweden ist die Selbstkontrolle freiwillig. Maßgeblich

ist die vollständig ausgebaute staatliche Kontrolle.

1

im Laufe der Zeit immer mehr Länder dazu übergingen, auch behördliche DSB ³ fakultativ oder obligatorisch vorzusehen. Einen wirklich verbesserten Stellenwert erfuhr der DSB jedoch im Zuge der Umsetzung der RL 95/46/EG (EG-Datenschutzrichtlinie) ⁴ in deutsches Recht. Die deutsche Delegation bei den Verhandlungen zur EG-DSRL bewirkte, dass die Person des DSB Eingang in die EG-DSRL fand. Andernfalls hätte die stark am französischen Modell der datenschutzrechtlichen Kontrolle orientierte EG-DSRL zur Abschaffung des deutschen dualen Kontrollsystems geführt. So aber konnte der betriebliche DSB beibehalten werden. ⁵ Mehr noch: Im Zuge der Umsetzung der EG-DSRL wurde im Bundesdatenschutzgesetz ⁶ mit kleinen Ausnahmen die Bestellung eines bDSB für alle Bundesbehörden obligatorisch vorgeschrieben. Auch in den allermeisten Ländern ist mittlerweile die Bestellung mindestens eines bDSB je Behörde Pflicht. Seitdem haben die Aufgaben des bDSB weiter an Kontur gewonnen, so dass mittlerweile sogar von einem Berufsbild gesprochen werden kann. Der bundesdeutsche Gesetzgeber hat erst im letzten Jahr die Stellung des DSB erneut gestärkt, indem er im Zuge der BDSG-Novelle II den Abberufungsbzw. Kündigungsschutz des DSB nach vielfacher Forderung gestärkt hat, um seine Unabhängigkeit zu garantieren.

II. Gang der Untersuchung

Die vorliegende Arbeit befasst sich mit dem bDSB, wobei aufgrund derselben gesetzlichen Regelungen auch Aussagen getroffen werden, die für den betrieblichen DSB Geltung beanspruchen können. In einem ersten kurzen Teil wird die Stellung des bDSB beschrieben, wie sie vor der EG-DSRL war. Im folgenden Teil werden die heutigen Aufgaben, Rechte und Pflichten und die Stellung des bDSB dargestellt und dabei insbesondere die Vorgaben der EG-DSRL berücksichtigt sowie das deutsche duale datenschutzrechtliche Kontrollsystem genauer analysiert.

³ Im Folgenden wird der Begriff des behördlichen DSB mit bDSG abgekürzt.

⁴ Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober

1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

und zum freien Datenverkehr, ABl. L 281 vom 23.11.1995, S. 31, im Folgenden abge-

kürzt als „EG-DSRL“.

⁵ Vgl. Brühann, RDV 1993 (5/6), I, II f. und Weber, DuD 1995, 698, 699.

⁶ Bundesdatenschutzgesetz vom 14. 1. 2003, BGBl. I, S. 66); Im Folgenden wird das

Bundesdatenschutzgesetz mit „BDSG“ abgekürzt.

2

In einem letzten Teil wird geprüft, ob die Ausgestaltung des bDSB im BDSG den Anforderungen der Richtlinie, insbesondere im Hinblick auf die Unabhängigkeit des bDSB, genügt. Eine Zusammenfassung der Ergebnisse schließt die Untersuchung ab.

B. Der behördliche DSB vor der EG-Datenschutzrichtlinie Bereits vor der Umsetzung der EG-DSRL in deutsches Recht sahen einige Ländergesetze und das BDSG die Möglichkeit vor, interne Datenschutzbeauftragte, also behördliche Datenschutzbeauftragte, zu bestellen. ⁷ Eine Pflicht zur Bestellung gab es jedoch nicht, genauso wenig wie klare Aufgaben- und Kompetenzbeschreibungen. 8

I. Aufgaben des bDSB

Bereits das erste Bundesdatenschutzgesetz von 1977 führte den Begriff des Datenschutzbeauftragte an. ⁹ Damals wie heute hat der Datenschutzbeauftragte die Einhaltung der Datenschutzregelungen sicherzustellen bzw. darauf hinzuwirken. ¹⁰ Schon die Änderung der Wortwahl deutet das problematische Verhältnis zwischen den Aufgaben und den Kompetenzen sowie seiner Unabhängigkeit an. ¹¹ Hierauf wird an späterer Stelle vertieft eingegangen.

Unabhängig von der genauen Wortwahl des Gesetzgebers wird deutlich, dass gerade die zentrale Funktion des behördlichen Datenschutzbeauftragten nicht abschließend mit der Beschreibung seiner Aufgaben konkretisiert werden kann. ¹² Als interne Kontrollinstanz innerhalb von Behörden ist der bDSB in die konkrete Arbeitsweise und die eigentümlichen Verwaltungsprozesse der einzelnen Behörde eingepasst. Die Verwaltungsabläufe der bestimmten Behörde wirken daher prägend auf die Aufgabenwahrnehmung des bDSB ein. Daneben ist die (automatisierte) Datenverarbeitung eine sich schnell wandelnde und weiterentwickelnde Materie. Die Aufgaben des bDSB und die Art und Weise ihrer Erfüllung sind mit der Entwicklung datenverarbeitender Prozesse eng verbun- ⁷ Vgl. Weber, DuD1995, 698, 699.

⁸ Vgl. Abel, MMR 2002, 289.

⁹ Vgl. Haaz, S. 71 f.

¹⁰ §§ 29, S. 1 BDSG 77; 37 Abs. 1 S. 1 BDSG 90; 4g Abs. 1 S. 1 BDSG 01.

¹¹ Vgl. Pahlen-Brandt, DuD 2003, 637 ff.

¹² Simitis, in: Simitis, BDSG, § 4g Rn 2.

3