HEGA 07/07-07 - Grundsätze und Verfahren für die Beteiligung des Datenschutzbeauftragten der Bundesagentur für Arbeit
VA 2 – 1400
20.07.2007
20.07.2012
ja
Zusammenfassung
SGB III - Das Bundesdatenschutzgesetz (BDSG) und das Sozialgesetzbuch Teil X (SGB X) enthalten grundlegende Bestimmungen über die Aufgaben des Datenschutzbeauftragten sowie Art und Umfang seiner Einschaltung. Die nachstehende HEGA konkretisiert die Beteiligungstatbestände, beschreibt die Verantwortlichkeiten und regelt das Verfahren.
- 1. Grundlagen und Rahmenbedingungen
- 2. Beteiligungstatbestände
- 3. Adressaten der Beteiligungsverpflichtung
- 4. Durchführung der Beteiligung
- 5. Zeitpunkt der Beteiligung
- 6. Rechte und Befugnisse des Datenschutzbeauftragten im Beteiligungsverfahren
1. Grundlagen und Rahmenbedingungen
Die Bundesagentur für Arbeit (BA) stellt nach § 18 Bundesdatenschutzgesetz (BDSG) für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz (z. B. SGB X) sicher. Um ihrem gesetzlichen Auftrag nachzukommen, hat sie nach §§ 81 Abs. 4 SGB X und 4f Abs. 1 BDSG einen Datenschutzbeauftragten bestellt, den sie bei der Erfüllung seiner Aufgaben unterstützt, u. a. durch die Sicherstellung seiner rechtzeitigen Beteiligung und die Bereitstellung der notwendigen Informationen. Dementsprechend haben sämtliche Organisationseinheiten der BA und ihre Beschäftigten den Datenschutzbeauftragten mit allen für seine Beratungs- und Kontrollfunktion erforderlichen Informationen zu versorgen und ihm Zugang zu den jeweils verarbeiteten personenbezogenen Daten zu gewähren.
Durch die verspätete Beteiligung und Einbindung des Datenschutzbeauftragten insbesondere bei der Entwicklung von Datenverarbeitungsprogrammen kann der BA ein erheblicher finanzieller Mehraufwand entstehen. Daneben hat sie auch negative Auswirkungen auf die Aufgabenerledigung und das Erscheinungsbild der BA in der Öffentlichkeit. Derartige Folgewirkungen lassen sich nur dann vermeiden, wenn der Datenschutzbeauftragte die Möglichkeit erhält, seine Überlegungen und Einwände rechtzeitig vorzubringen.
2. Beteiligungstatbestände
Jede Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, muss vor jeder Entscheidung, die sich auf die Verarbeitung personenbezogener Sozial- oder Personaldaten auswirkt, und zwar nicht nur bei automatisierten Vorhaben, den Datenschutzbeauftragten informieren und konsultieren. Dies gilt für sämtliche Formen und Phasen der Verwendung personenbezogener Daten. Sie ist verpflichtet, den Datenschutzbeauftragten in die Lage zu versetzen, seine Auffassung rechtzeitig und eindeutig zu dem jeweiligen Vorhaben zur Geltung zu bringen. Auch wenn eine nachträgliche Nutzung bereits erhobener Daten für andere Zwecke beabsichtigt ist, erfordert die Prüfung der Zulässigkeit eine vorherige Einschaltung des Datenschutzbeauftragten.
Die Breite und Differenzierung des Aufgabenspektrums der BA lassen es nicht zu, einen „Beteiligungskatalog“ mit erschöpfender Aufzählung aller Beteiligungstatbestände zur Verfügung zu stellen. Die Konsultierung des Datenschutzbeauftragten erstreckt sich z. B. von seiner Mitwirkung bei der datenschutzkonformen Gestaltung von Geschäftsprozessen, Vordrucken und Verträgen (z. B. bei der Auftragsdatenverarbeitung) bis hin zur Begleitung von Projekten und der Entwicklung von IT-Verfahren und Software für die Verarbeitung personenbezogener Daten, jeweils zur Überprüfung ihrer Datenschutzverträglichkeit. In Zweifelsfällen sollte die Frage, ob ein Beteiligungstatbestand gegeben ist, gemeinsam mit dem Datenschutzbeauftragten abgeklärt werden.
Kontakte mit dem Bundesministerium für Arbeit und Sozialordnung, die Gesetzesvorhaben mit datenschutzrechtlichem Bezug betreffen, erfordern eine Abstimmung mit dem Datenschutzbeauftragten. Dies gilt ebenso für den Verkehr mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, sofern Fachbereiche unmittelbar eingeschaltet wurden und nicht ohnehin die Kommunikation über den Datenschutzbeauftragten erfolgt.
Die Meldungen für das Verfahrensverzeichnis nach § 4g i. V. m. §§ 18, 4e und 9 BDSG sind mit HEGA 01/07 – 16 - gesondert geregelt.
3. Adressaten der Beteiligungsverpflichtung
Zuständig für die Beteiligung des Datenschutzbeauftragten sind die fachlichen Bedarfsträger bzw. die für die Planung des Vorhabens Verantwortlichen. Dies gilt sowohl für automatisierte als auch für nicht-automatisierte Verfahren. Dabei ist zu berücksichtigen, dass sich die Beteiligungsverpflichtung auf den gesamten Bereich der BA (alle BA-Mitarbeiter, rechtskreisunabhängig) erstreckt; für die Beurteilung der Beteiligungspflicht kommt es nicht darauf an, wo die Daten im Einzelfall verarbeitet werden und wer sie verwendet.
4. Durchführung der Beteiligung
Die Beteiligung des Datenschutzbeauftragten hat sich an den allgemeinen Regeln der Zusammenarbeit in der BA zu orientieren. Die Unterrichtung bzw. Information des Datenschutzbeauftragten erfolgt durch Übersendung der wesentlichen Planungsunterlagen oder eine zusammenfassende Darstellung über Inhalt und Stand des beabsichtigten Vorhabens. Der Umfang des Informationsmaterials sollte den Grundsätzen einer effektiven und effizienten Aufgabenerledigung entsprechen und sich auf die wesentlichen Inhalte beschränken.
Im Entscheidungsstadium erfolgt die Einschaltung des Datenschutzbeauftragten durch Mitzeichnung, wodurch seine Beteiligung, seine datenschutzrechtliche Zustimmung oder ggf. seine abweichende Auffassung dokumentiert werden. Ohne die entsprechende Dokumentation seiner rechtzeitigen Beteiligung ist eine Auftragserteilung nicht zulässig.
Neben den „klassischen“ Instrumenten des Geschäftsverfahrens sind aber auch andere Formen der Zusammenarbeit mit dem Datenschutzbeauftragten denkbar (z. B. Beteiligung an „Kick-off“-Veranstaltungen, Einladung zu „vor Ort“-Besuchen); auch hier gilt, dass eine erschöpfende und abschließende Darstellung des Beteiligungsverfahrens weder sämtliche fachlichen Notwendigkeiten berücksichtigen noch situationsbedingten Besonderheiten gerecht würde. Bei komplexen bzw. fachspezifischen Sachverhalten ist im Übrigen ein/e fachkundige/r Mitarbeiter/in zu benennen, der/die als Ansprechpartner/in für den Datenschutzbeauftragten zur Verfügung steht.
5. Zeitpunkt der Beteiligung
Nach § 4g Abs. 1 S. 3 Nr. 1 BDSG ist der Datenschutzbeauftragte über Vorhaben der automatisierten Verarbeitung personenbezogener Daten „rechtzeitig“ zu unterrichten. Diese gesetzliche Vorgabe wird nur dann gewahrt, wenn der Datenschutzbeauftragte ausreichend Zeit zur Stellungnahme hat und seine Stellungnahme die Planungen auch noch beeinflussen kann. Die Beteiligung des Datenschutzbeauftragten muss also so frühzeitig, d. h. zu einem Zeitpunkt erfolgen, zu dem es noch möglich ist, Korrekturen ohne Kostenfolgen anzubringen.
Unabhängig von den Beteiligungspflichten kann das Beratungsangebot des Datenschutzbeauftragten jederzeit in Anspruch genommen werden.
6. Rechte und Befugnisse des Datenschutzbeauftragten im Beteiligungsverfahren
Dem Datenschutzbeauftragten ist auf sein Verlangen bei der datenschutzrechtlichen Prüfung der angezeigten Maßnahmen oder des Verfahrens uneingeschränkt Auskunft zu erteilen. Ihm ist Einblick in sämtliche, die Maßnahme oder das Verfahren betreffenden Unterlagen zu gewähren. Außerdem hat er jederzeit und unbeschränkt Zugang zu den jeweils verarbeiteten personenbezogenen Daten.
(Raimund Becker)
Bundesagentur für ArbeitStand 19.07.2007