Ministerialblatt (MBl. NRW.)
Ausgabe 2001 Nr. 3 vom 17.1.2001 Seite 47 bis 72
| Bestellung von behördlichen Datenschutzbeauftragten gemäß § 32a DSG NRW |
|---|
| Normkopf Norm Normfuß |
| zugehörige Anlagen : |
Bestellung von behördlichen Datenschutzbeauftragten gemäß § 32a DSG NRW
20026
Bestellung
von behördlichen Datenschutzbeauftragten
gemäß § 32a DSG NRW
RdErl. d. Innenministeriums v.
12.12.2000
- I A 5 - 1.2.4
Das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) gilt nunmehr in der Fassung der Bekanntmachung vom 09. Juni 2000 (GV. NRW. S. 542). In § 32 a DSG NRW werden alle öffentlichen Stellen, die personenbezogene Daten verarbeiten (§ 2 Abs. 1 DSG NRW), verpflichtet, unabhängig von der Zahl der Mitarbeiter einen internen Datenschutzbeauftragten sowie einen Vertreter, bei Bedarf auch mehr als einen Beauftragten sowie mehrere Vertreter zu bestellen. Unter Bezugnahme auf meinen Runderlass vom 31.05.2000 (MBl. NRW.S. 651) werden hierzu die nachfolgenden Hinweise gegeben. Die beigefügten Muster werden zur Verwendung empfohlen.
Die Hinweise einschließlich der Muster gelten nicht für die Gemeinden und Gemeindeverbände. Diese haben bei der Ausführung des Gesetzes in eigener Verantwortung zu verfahren. Es wird anheim gestellt, die Muster zu übernehmen.
1.
Bestellung:
Die Bestellung zum internen Datenschutzbeauftragten (DSB) erfolgt im Wege einer Organisationsverfügung (Muster 1) und ist allen Beschäftigten bekannt zu machen. Dabei ist darauf hinzuweisen, dass jeder Beschäftigte sich jederzeit in Angelegenheiten des Datenschutzes ohne Einhaltung des Dienstweges an den DSB wenden kann. Die Bekanntmachung sollte auch darauf hinweisen, dass die Beschäftigten, soweit sie personenbezogene Daten verarbeiten, die Pflicht haben, bei der Einführung neuer Verfahren oder Änderungen bestehender Verfahren sowie bei der Erarbeitung behördeninterner Regelungen und Maßnahmen zur Verarbeitung personenbezogener Daten den DSB frühzeitig zu beteiligen.
2.
Stellung:
Der DSB ist in seiner Eigenschaft als behördlicher Datenschutzbeauftragter unmittelbar der Leitung der öffentlichen Stelle zu unterstellen. Dies kann der Leiter, aber auch sein offizieller Stellvertreter sein. Die Stellung ist im Behördenorganigramm erkennbar darzustellen. Der DSB ist in seiner Funktion weisungsfrei und hat das direkte Vortragsrecht bei der Leitung der öffentlichen Stelle in Angelegenheiten des Datenschutzes. Er kann sich bei der Wahrnehmung seiner Aufgaben auch von Mitarbeitern sachkundiger Bereiche beraten lassen. Soweit erforderlich, sind ihm Hilfspersonal sowie Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Es empfiehlt sich, dem DSB zur Wahrnehmung seiner Aufgaben Einsichtnahme in alle dienstlichen Unterlagen zu gewähren, die personenbezogene Daten enthalten oder den Umgang mit diesen betreffen, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Die Einsicht in Personalakten, ärztliche Unterlagen, Beihilfeakten und Sicherheitsvorgänge ist nur mit Einwilligung der Betroffenen zulässig.
Der DSB muss nicht ausschließlich mit dieser Funktion betraut sein. Es ist möglich, die Funktion des DSB einem Beschäftigten zusätzlich zu übertragen, wobei er in diesem Fall von seinen sonstigen Aufgaben angemessen zu entlasten ist. Mehrere Stellen können auch gemeinsam einen DSB bestellen. Der DSB darf während seiner Tätigkeit mit keiner Aufgabe betraut sein, deren Wahrnehmung zu Interessenkollision führen könnte. Daher ist die Funktion des DSB nicht vereinbar mit Aufgaben in den Bereichen
- Personal,
- ADV/Informationstechnik (IT),
- Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten (ggfs. kann dieser Bereich vom Vertreter des DSB übernommen werden) oder
- als Geheimschutzbeauftragter.
3.
Anforderungsprofil:
Der DSB muss die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Er muss die gesetzlichen Regelungen kennen und anwenden können. Hierzu gehören die Grundrechte mit Datenschutzbezug, das Datenschutzgesetz Nordrhein-Westfalen, einschlägige spezialrechtliche datenschutzrechtliche Regelungen sowie Spezialvorschriften des Fachbereichs. Er muss ferner gute organisatorische Kenntnisse und Kenntnisse der Informationstechnik (IT) haben. Er kann sich bei der Wahrnehmung seiner Aufgaben auch von Beschäftigten sachkundiger Bereiche der eigenen öffentlichen Stelle oder von außerhalb,
z. B. von dem/der Landesbeauftragten für den Datenschutz NRW, unmittelbar beraten lassen. Ein Benehmen mit der Leitung der öffentlichen Stelle ist insoweit nicht vorgesehen.
4.
Aufgaben und Befugnisse:
Der DSB ist für Behördenleitung und Mitarbeiter der Ansprechpartner in allen Fragen des Datenschutzes. Er
- unterstützt die Stelle bei der Sicherstellung des Datenschutzes,
- berät die Stelle bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten,
- überwacht bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren die Einhaltung der einschlägigen Vorschriften.
Er ist bei der Erarbeitung behördeninterner Regelungen und Maßnahmen zur Verarbeitung personenbezogener Daten frühzeitig zu beteiligen. Er
- überwacht die Einhaltung der datenschutzrechtlichen Vorschriften,
- hat die Bediensteten mit den Bestimmungen des DSG NRW sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,
- führt die Vorabkontrolle durch,
- führt das Verfahrensverzeichnis nach § 8 DSG NRW.
Zu den grundlegenden Aufgaben des DSB gehört die Beratung der Leitung sowie der Bediensteten der öffentlichen Stelle in datenschutzrelevanten Fragen. Im Fall des § 32a Abs. 4 DSG NRW sind ihm die entsprechenden Auskünfte zu erteilen. Darüber hinaus sollte ihm auch die Durchführung von Kontrollen ermöglicht werden.
Soweit eine öffentliche Stelle einen IT-Sicherheitsbeauftragten bestellt, ist die Zusammenarbeit mit dem DSB sicherzustellen.
Auf Grund seiner Tätigkeit verfügt der DSB über Einblicke in Vorgänge mit vertraulichem Inhalt. Er unterliegt dadurch einer besonderen Verschwiegenheitspflicht.
5.
Verfahrensverzeichnis:
Der DSB führt das Verfahrensverzeichnis nach § 8 DSG NRW. Zu diesem Zweck hat ihm jede datenverarbeitende Stelle (Organisationseinheit), die für den Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten verantwortlich ist, ein Verzeichnis vorzulegen, in dem die in § 8 Abs. 1 Nr. 1 bis 11 aufgeführten Angaben enthalten sein müssen (Muster 2). Darüber hinaus sind je nach Besonderheit des Verfahrens weitere Angaben denkbar. Das Vorstehende gilt für alle ab In-Kraft-Treten des Gesetzes neu eingeführten oder geänderten Verfahren. Für seit diesem Zeitpunkt eingeführte oder geänderte Verfahren kann die Umstellung sukzessive erfolgen. Es wird empfohlen, auch für ältere unveränderte Verfahren in absehbarer Zeit das Verfahrensverzeichnis aufzustellen, damit ein einheitlicher Überblick entsteht. Die alten Dateibeschreibungen sind dem DSB zu übergeben; Meldungen an den/die Landesbeauftragte/n für den Datenschutz erfolgen nicht mehr.
6.
Vorabkontrolle:
Nach § 10 Abs. 2 Satz 1 DSG NRW ist im Rahmen eines zu dokumentierenden Sicherheitskonzepts zur Datensicherheit eine Vorabkontrolle durchzuführen (Muster 3). Wegen der Unterschiedlichkeit der denkbaren Verfahren, für die eine Vorabkontrolle durchzuführen ist, kann die Checkliste nur Anhaltspunkte und Beispiele auflisten und nicht für alle denkbaren Varianten die relevanten Prüfungspunkte vollständig aufzeigen. Es ist deshalb bei jeder Vorabkontrolle zu überlegen, ob und welche Besonderheiten des Verfahrens vorliegen, auf die zusätzlich eingegangen werden muss.
7.
Kommunale Eigenbetriebe und eigenbetriebsähnliche Einrichtungen
Nach § 2 Abs. 2 DSG NRW gilt die Vorschrift des § 32 a DSG NRW nicht für kommunale Eigenbetriebe (§ 2 Abs. 2 Nr. 1), eigenbetriebsähnliche Einrichtungen (§ 2 Abs. 2 Nr. 2) und der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen (§ 2 Abs. 2 Nr. 3). Da § 8 Abs. 1 Satz 2 DSG NRW die Führung des Verfahrensverzeichnisses durch den DSB regelt, haben die Normadressaten des § 2 Abs. 2 DSG NRW ebenfalls einen behördlichen DSB zu bestellen. Sie sind darüber hinaus jedoch nicht an die Vorgaben des § 32 a DSG NRW über Rechtsstellung, Aufgaben und Befugnisse gebunden, sondern können die Funktion so ausgestalten, wie es der Eigenart der Stelle entspricht.
MBl. NRW. 2001 S. 50