Die wichtigsten Hinweise für die Umsetzung an den Ämtern
Datenschutz-Grundverordnung korrekt umsetzen

Auch vor Inkrafttreten der Datenschutz-Grundverordnung gab es bereits einen Verantwortlichen für den Datenschutz. Das war die für die Datenverarbeitung zuständige öffentliche Stelle. Diese Funktion und die damit verbundenen Aufgaben waren im früheren Recht allerdings nicht auf Anhieb erkennbar abgebildet. Dies hat sich nun geändert.

Verantwortlicher ist nach der Definition in der Datenschutz-Grundverordnung die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Diese Funktion ist also weiterhin der für die Verarbeitung zuständigen öffentlichen Stelle zugewiesen, soweit nichts anderes bestimmt ist.

Dem Verantwortlichen – konkret der öffentliche Stelle – obliegen die datenschutzrechtlichen Pflichten, geeignete technische und organisatorische Maßnahmen zu treffen, um eine Verarbeitung personenbezogener Daten gemäß den Vorgaben der Datenschutz-Grundverordnung sicherzustellen und dafür den Nachweis erbringen zu können.

Diese Maßnahmen müssen auch dafür ausgelegt sein, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und garantieren, dass den Anforderungen der Datenschutz-Grundverordnung genügt und die Rechte der betroffenen Personen geschützt werden. Auch muss ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau gewährleistet werden.

Diese Aufgaben werden nur dann umfassend erfüllt werden können, wenn der Datenschutz nicht alleine als Unterstützungsaufgabe durch den behördlichen Datenschutzbeauftragten wahrgenommen wird, sondern gemeinsam als operative Aufgabe von Behördenleitung und allen betroffenen Organisationseinheiten. Datenschutzrechtliche Zuständigkeiten müssen konkret einzelnen Organisationseinheiten oder Personen innerhalb der öffentlichen Stelle zugewiesen und notwendige Verfahrensabläufe festgelegt werden.

Bisher waren im Verfahrensverzeichnis nur die bei der öffentlichen Stelle eingesetzten und datenschutzrechtlich freigegebenen automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, aufzunehmen. An die Stelle des Verfahrensverzeichnisses ist nun das Verzeichnis der Verarbeitungstätigkeiten getreten.

In dieses Verzeichnis ist deutlich mehr aufzunehmen als es früher der Fall war. Die Datenschutz-Grundverordnung bestimmt, dass in das Verzeichnis der Verarbeitungstätigkeiten alle Verfahren gehören, bei denen personenbezogene Daten verarbeitet werden, und zwar sowohl die ganz oder teilweise automatisierten Verarbeitungstätigkeiten als auch nicht automatisierte Verarbeitungstätigkeiten, soweit personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Ein solches Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Die bei Behörden übliche strukturierte Verarbeitungstätigkeit, die schriftlich oder elektronisch dokumentiert und in einer Registratur gespeichert wird, erfüllt diese Definition. In der Konsequenz werden so gut wie alle Verarbeitungen personenbezogener Daten öffentlicher Stellen im Verzeichnis der Verarbeitungstätigkeiten berücksichtigt werden müssen.

Das Bayerische Staatsministerium des Innern und für Integration hat hierfür eine Arbeitshilfe und einen Mustertext entwickelt, die auf seiner Internetseite abgerufen werden können:

Die vom Bayerischen Staatsministerium der Finanzen, für Landesentwicklung und Heimat nach dem bisherigen Recht für den landesweiten Einsatz freigegebenen Verfahren stehen den staatlichen Behörden, sonstigen staatlichen Stellen und Gerichten des Freistaats Bayern übrigens im Behördennetz auf der dortigen Intranet-Seite zur Verfügung:

Sie müssen allerdings noch um die nach dem neuen Datenschutzrecht erforderlichen Angaben, wie z. B. den Namen und die Kontaktdaten des Verantwortlichen und die Kontaktdaten des Datenschutzbeauftragten, ergänzt werden.

Die Datenschutzgrundverordnung sieht umfassende Informationspflichten vor, wenn personenbezogene Daten erhoben werden oder für einen anderen Zweck weiterverarbeitet werden sollen. Die Grundsätze einer fairen und transparenten Verarbeitung machen dies erforderlich.

Nur wer weiß, ob und wie seine personenbezogenen Daten verarbeitet werden und für welchen Zweck dies geschieht, kann auch seine Rechte ausüben, die ihm die Datenschutzgrundverordnung gewährt – sei es die Auskunft, das Verlangen nach Berichtigung oder Löschung oder die Ausübung des Widerspruchsrechts.

Beim Erheben personenbezogener Daten sollten nach Möglichkeit bereits alle absehbaren Zwecke aufgeführt werden. Wenn eine betroffene Person bereits über die erforderlichen Informationen verfügt, ist eine gesonderte Information natürlich nicht mehr erforderlich.

im Mitarbeiterportal (MAP) unter dem Pfad im Themenkatalog: Verwaltung, Fachübergreifende Rechtsangelegenheiten, Datenschutz, Allgemeines zum Datenschutz