3.1 Gesetzeskonforme Bestellung behördlicher Datenschutzbeauftragter
Wiederholt waren wir im Berichtsjahr mit Fragen beschäftigt, die die gesetzeskonforme Bestellung behördlicher Datenschutzbeauftragter durch die dem Bremischen Datenschutzgesetz unterliegenden Stellen betrafen. Besonderen Raum nahm dabei erneut die Bestellung eines externen Datenschutzdienstleistungsunternehmen zum Beauftragten ein. In diesem Zusammenhang befassten wir uns mit dem Inhalt von Dienstleistungsverträgen, die die Bestellung einer beziehungsweise eines externen Datenschutzbeauftragten zum Gegenstand hatten. Wir wiesen hierzu darauf hin, dass auch im Hinblick auf die Tätigkeit einer beziehungsweise eines externen behördlichen Datenschutzbeauftragten die Bestimmungen des § 7a Bremisches Datenschutzgesetz, derfür die Bestellung und die Tätigkeit der Amtsinhaberin oder des Amtsinhabers allein maßgeblich ist, einzuhalten sind. Die oder der behördliche Datenschutzbeauftragte muss ihre beziehungsweise seiner sich aus der Gesetzesvorschrift ergebenden Aufgaben weisungsfrei und in vollem Umfang wahrnehmen können. Soll im Hinblick auf die Vergabe der Funktion an eine externe Person ein Geschäftsbesorgungsvertrag abgeschlossen werden, so muss dieser den Anforderungen des § 7a Bremisches Datenschutzgesetz entsprechen. In den Fällen, in denen sich eine dienststelleninterne Lösung nicht finden ließ, empfahlen wir daher, die Verträge an die Gesetzesbestimmungen anzupassen und machten entsprechende Änderungsvorschläge.
Bereits in unserem 35. und 36. Jahresbericht hatten wir über die Nichtbestellung einer oder eines neuen behördlichen Datenschutzbeauftragten durch eine große bremische Behörde mit zahlreichen Verfahren personenbezogener Datenverarbeitung berichtet. Die Nichtbestellung war von uns gegenüber dem zuständigen Senator beanstandet worden. Die Neubestellung ließ auch im Berichtsjahr noch längere Zeit auf sich warten. Bis dahin häuften sich bei uns die Beschwerden von Bürgerinnen und Bürgern, die sich beklagten, bei der betreffenden Behörde keine Ansprechpartnerin beziehungsweise keinen Ansprechpartner für ihr datenschutzrechtliches Anliegen zu finden. Begründet wurde die Nichtbestellung auch weiterhin mit dem in der Behörde stattfindenden Reorganisationsprozess, der eine schnellere Wiederbesetzung des Amtes nicht zulasse. Schließlich wurde die Funktion im Oktober 2014 befristet für den Zeitraum eines Jahres besetzt. Die Behörde gab an, die zentrale Wahrnehmung der Aufgaben der oder des behördlichen Datenschutzbeauftragten durch die senatorische Dienststelle des betreffenden Ressorts weiterhin zu prüfen.
3.2 Weiterbeschäftigung des Datenschutzbeauftragten trotz Personalabbaus
Beratungsanfragen im Berichtsjahr geben Anlass, die rechtlichen Voraussetzungen der Amtsbeendigung von behördlichen Datenschutzbeauftragten zu erläutern.
Der Betriebsrat einer bremischen Gesellschaft wandte sich mit dem Hinweis an uns, dass dort auch der behördliche Datenschutzbeauftragte im Rahmen verschiedener unternehmensinterner Veränderungsprozesse mit der Beendigung seines Beschäftigungsverhältnisses rechnen müsse. Die Weiterbeschäftigung des Mitarbeiters sei gefährdet.
Hierzu wiesen wir darauf hin, dass die Bestellung der oder des behördlichen Datenschutzbeauftragten nur in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, also nur aus wichtigem Grund, widerrufen werden könne. Wichtig seien ausschließlich Gründe, die mit der Funktion der oder des Beauftragten zusammenhängen und ihre weitere Ausführung unmöglich machten oder gefährdeten. Die ordentliche
Kündigung des Arbeitsverhältnisses einer beziehungsweise eines behördlichen Datenschutzbeauftragten sei deshalb unzulässig. Die sich aus dem Arbeitsverhältnis ergebende Abhängigkeit der oder des Beauftragten dürfe sich nicht auf seine Funktion auswirken. Durch die Übertragung der Funktion der oder des behördlichen Datenschutzbeauftragten ergebe sich ein besonderer Kündigungsschutz. Die mit der betont restriktiven Regelung des Widerrufsrechts angestrebte Absicherung der Unabhängigkeit der oder des Beauftragten dürfe nicht unterlaufen werden.
Der Betriebsrat des Unternehmens teilte uns auf unsere Stellungnahme mit, dass der behördliche Datenschutzbeauftragte am Ende weiterbeschäftigt und sein bis dahin befristeter Arbeitsvertrag entfristet wurde.
Wie an die Bestellung behördlicher Datenschutzbeauftragter nach dem Bremischen Datenschutzgesetz sind auch an die Beendigung dieser Funktion besondere gesetzliche Anforderungen gerichtet. Mit der Bestimmung, dass die Bestellung der oder des behördlichen Datenschutzbeauftragten von der verantwortlichen Stelle nur in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, das heißt nur aus wichtigem Grund, widerrufen werden kann, wollte der Gesetzgeber der besonderen Bedeutung der Aufgabe der behördlichen Datenschutzbeauftragten Rechnung tragen. Eine solche Beendigung ist ausschließlich aus Gründen möglich, die mit der Funktion der Beauftragten zusammenhängen und die die weitere Ausübung dieser Funktion unmöglich machen oder gefährden. In der Kommentarliteratur werden als Beispiele hierfür schwerwiegende Versäumnisse bei der Beratung der verantwortlichen Stelle über die erforderlichen Datensicherheitsmaßnahmen, eine systematische Vernachlässigung der Prüfung einzelner Verarbeitungsbereiche, nachträglich festgestellte Mängel der Fachkunde, Verstöße gegen Verschwiegenheitspflichten und die beharrliche Weigerung, Beratungsverpflichtungen oder Schulungsverpflichtungen zu erfüllen, genannt.
Eine rechtmäßige Beendigung der Funktion der oder des behördlichen Datenschutzbeauftragten kann im gegenseitigen Einvernehmen oder durch Amtsniederlegung der oder des Beauftragten erfolgen. Voraussetzung dafür ist, dass die einvernehmliche Beendigung oder die Amtsniederlegung auf dem freien Willen der oder des Beauftragten beruhen.
Die dem Bremischen Datenschutzgesetz unterliegenden öffentlichen Stellen müssen auch die Beendigung des Amtes behördlicher Datenschutzbeauftragter unverzüglich der Landesbeauftragten für Datenschutz und Informationsfreiheit melden. In der Praxis unterbleibt diese Meldung demgegenüber häufig und wir erfahren erst durch die Meldung einer oder eines neuen behördlichen Datenschutzbeauftragten, dass die Vorgängerin oder der Vorgänger nicht mehr im Amt ist. Werden keine entsprechenden Gründe für die Beendigung der Amtsübertragung genannt, überprüfen wir bei der verantwortlichen Stelle die Berechtigung für diesen Schritt.
3.3 Workshops der behördlichen Datenschutzbeauftragten
Die Reihe der Workshops mit den behördlichen Datenschutzbeauftragten der Verwaltung wurde im Berichtsjahr fortgesetzt. Im Frühjahrsworkshop wurde schwerpunktmäßig das Thema "Sichere Kommunikation im und außerhalb des Bremer Verwaltungsnetzes"
behandelt. Bei der Kommunikation im und außerhalb des Bremer Verwaltungsnetzes sind besondere datenschutzrechtliche Anforderungen einzuhalten, um den Schutz personenbezogener Daten, die gerade im öffentlichen Bereich besonders sensibel sein können, zu gewährleisten. Geeignete und angemessene technische und organisatorische Maßnahmen sind zu ergreifen, die die ordnungsgemäße Anwendung der Verfahren sicherstellen. Zu den Aufgaben der behördlichen Datenschutzbeauftragten gehört es, die Einhaltung der ergriffenen Maßnahmen zu überwachen. Der angebotene Workshop stieß bei den behördlichen Datenschutzbeauftragten der bremischen Verwaltung auf große Resonanz, sodass er nach seiner erstmaligen Durchführung am gleichen Ort noch einmal wiederholt wurde.
In diesem Workshop wurde der Wunsch an uns herangetragen, die Treffen der behördlichen Datenschutzbeauftragten zu intensivieren und häufiger Veranstaltungen für die Beauftragten, die insbesondere auch dem gegenseitigen Erfahrungsaustausch dienen sollen, anzubieten.
Daher luden wir im Herbst zu einem weiteren Treffen ein, an dem neben den Datenschutzbeauftragten der bremischen Verwaltung auch die Beauftragten der Stadtverwaltung Bremerhaven teilnahmen. Die Veranstaltung diente primär dem gegenseitigen Austausch über die bei der Amtsausübung gesammelten Erfahrungen.
Daneben nahmen wir zu der Frage Stellung, welche Daten in E-Mails enthalten sein dürfen und welche Anforderungen an eine Ende-zu-Ende-Verschlüsselung zu richten sind. Auch diese Veranstaltung stieß auf große Resonanz.
Die Datenschutzbeauftragten nutzten die Gelegenheit, über ihre Tätigkeit, ihre Erfahrungen und ihre Probleme bei der Amtswahrnehmung zu berichten und diese mit den anderen Teilnehmerinnen und Teilnehmern zu diskutieren. Als problematisch wurden insbesondere die den Beauftragten neben ihren sonstigen Tätigkeiten fehlende Zeit für die Wahrnehmung ihrer Aufgaben sowie die nicht rechtzeitige Unterrichtung über Vorhaben der automatisierten Verarbeitung personenbezogener Daten geschildert. Die Vertreter der Landesbeauftragten für Datenschutz und Informationsfreiheit boten den behördlichen Datenschutzbeauftragten an, sie, soweit es ihnen möglich ist, bei der Lösung der dargestellten Probleme zu unterstützen. Gleichzeitig äußerten die Datenschutzbeauftragten den Wunsch, ein solches Treffen in 2015 möglichst bald zu wiederholen.