Inhaltsverzeichnis
(Zur Übersicht: ThürDSG)
§ 13 Thüringer Datenschutzgesetz
Wortlaut
§ 13 Bestellung des Datenschutzbeauftragten
(Artikel 37 der Verordnung (EU) 2016/679, Artikel 32 der Richtlinie (EU) 2016/680)
(1) Öffentliche Stellen bestellen einen Datenschutzbeauftragten.
(2) Die öffentliche Stelle kann neben dem Datenschutzbeauftragten zusätzlich weitere Vertreter bestellen. Die Absätze 3 bis 6 sowie die §§ 14 und 15 sind auf die Vertreter nach Satz 1 entsprechend anwendbar.
(3) Für mehrere öffentliche Stellen kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter bestellt werden.
(4) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in § 15 genannten Aufgaben bestellt.
(5) Der Datenschutzbeauftragte kann Beschäftigter der öffentlichen Stelle sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
(6) Die öffentliche Stelle veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten dem Landesbeauftragten für den Datenschutz mit.
(Anmerkung: Abs. 3 im Entwurf der Landesregierung, Thüringer Landtag Drucksache 6/4943, wurde nachträglich gestrichen, Abs. 3-6 waren Abs. 4-7 im Entwurf.)
Amtliche Gesetzesbegründung
(Zur Zählung der Absätze siehe Anmerkung oben.)
Zu § 1
Bestellung des Datenschutzbeauftragten (Artikel 37 der Verordnung (EU) 2016/679, Artikel 32 der Richtlinie (EU) 2016/680)
§ 13 regelt die Bestellung eines Datenschutzbeauftragten durch alle öffentlichen Stellen des Landes, sofern sie Daten als Verantwortlicher oder Auftragsverarbeiter verarbeiten. § 13 setzt dabei Artikel 37 der Verord-nung (EU) 2016/679 und damit zugleich Artikel 32 der Richtlinie (EU) 2016/680 um.Zu Absatz 1: Artikel 37 Abs. 4 und Abs. 1 der Verordnung (EU) 2016/679 sehen vor, dass öffentliche Stellen in jedem Fall einen Datenschutzbeauftragten bestellen müssen, wenn dies gesetzlich vorgeschrieben ist. Hiervon macht Absatz 1 Gebrauch und setzt damit zugleich Artikel 32 Abs. 1 der Richt-linie (EU) 2016/680 um.
Zu Absatz 2:
Neben dem Datenschutzbeauftragten kann jede öffentliche Stelle weitere Vertreter bestellen, wenn sie dies für erforderlich und durchführbar hält. Das Erfordernis mehrerer Vertreter kann insbesondere im Falle der Bestellung eines Datenschutzbeauftragten für mehrere öffentliche Stellen bestehen. Die Möglichkeit zur Bestellung weiterer Vertreter folgt aus der Aufgabe, die Verordnung (EU) 2016/679 und die Richtlinie (EU) 2016/680 in der Praxis durchzuführen (vergleiche Aufgaben des Da-tenschutzbeauftragten nach Artikel 39 der Verordnung (EU) 2016/679, Artikel 34 der Richtlinie (EU) 2016/680). Dies erfordert die jederzeitige Verfügbarkeit eines Datenschutzbeauftragten. Die Bestellung eines Vertreters stellt daher nicht nur auf eine bereits nach bisheriger Rechtslage bestehende Möglichkeit der Abwesenheitsvertretung ab, sondern auf eine ständige Vertretung. Dies ermöglicht eine Aufgabenteilung, eröffnet die Möglichkeit zur Rücksprache zwischen beiden Personen und stärkt so letztlich den Datenschutz. In Ausübung der Aufgaben des Datenschutzbeauftragten sind auf den Stellvertreter die §§ 13 Abs. 3 bis 6 sowie die §§ 14 und 15 in Gänze anwendbar.
Zu Absatz 3:
Regelungen zur Dauer der Bestellung und die Möglichkeit der Wiederbestellung gemäß der bisherigen Bestimmung in § 10 a Abs. 1 Satz 2 ThürDSG a.F. sind in der Verordnung nicht vorgesehen. Die Regelungs-befugnis ergibt sich aber aus Artikel 6 Abs. 1 Buchst. e in Verbindung mit Artikel 6 Abs. 2 der Verordnung (EU) 2016/679. Es handelt sich bei der Regelung um eine spezifische Bestimmung, die der Verarbeitung nach Treu und Glauben dient. Die Verarbeitung nach Treu und Glau-ben betrifft die Art und Weise der Rechtsausübung im Verhältnis zwi-schen dem Verantwortlichen und der betroffenen Person. Wie die englische Übersetzung andeutet, zielt der europarechtlich geprägte Begriff auf die Gewährleistung einer fairen Verarbeitung ab. Er verbietet eine unzulässige Rechtsausübung gegenüber der betroffenen Person durch den Verantwortlichen oder Auftragsverarbeiter. Ohne eine Regelung zur Bestelldauer und Wiederbestellung besteht Rechtsunsicherheit für den Datenschutzbeauftragten und auch die betroffenen Personen, denen er zu Rate stehen soll (Artikel 38 Abs. 4 der Verordnung (EU) 2016/679).Die Bestelldauer und Möglichkeit der Wiederbestellung sollen die Position des Datenschutzbeauftragten stärken und flankieren die Regelung des Artikels 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679.
Zu Absatz 4:
Nach Artikel 37 Abs. 3 der Verordnung (EU) 2016/679 und Artikel 32 Abs. 3 der Richtlinie (EU) 2016/680 kann für mehrere Stellen ein gemeinsamer Datenschutzbeauftragter bestellt werden. Die Bestimmung berücksichtigt, dass in kleinen Organisationseinheiten die Benennung eines Datenschutzbeauftragten mit der erforderlichen Qualifikation problematisch sein kann.
Zu Absatz 5:
Die Bestimmung wiederholt Artikel 37 Abs. 5 der Verordnung (EU) 2016/679 und setzt zugleich Artikel 32 Abs. 2 der Richtlinie (EU) 2016/680 um. Das erforderliche Fachwissen umfasst insbesondere das Datenschutzrecht, erstreckt sich aber auch auf die Datenschutzpraxis. Es kommt damit neben der abstrakten Rechtskenntnis auch auf Umsetzungskenntnis an. Zu den Fähigkeiten, die zur Erfüllung seiner Aufgaben erforderlich sind, zählen Zuverlässigkeit, soziale Kompetenz und Kommunikationsfähigkeit, um seiner Informations- und Beratungsaufgabe gerecht zu werden.
Zu Absatz 6:
Absatz 6 macht Gebrauch von der Möglichkeit, welche die Verordnung (EU) 2016/679 in Artikel 37 Abs. 6 bietet. Der Datenschutzbeauftragte muss nicht intern gefunden werden, sondern kann auch Externer sein und durch Dienstleistungsvertrag verpflichtet werden. Insbesondere in kleinen Organisationseinheiten, in denen sich ein Datenschutzbeauftragter mit den erforderlichen Qualifikationen unter Umständen schwer finden dürfte, wird so die Möglichkeit eröffnet, den Sachverstand von außen zu holen.
Zu Absatz 7:
Die Bestimmung setzt Artikel 37 Abs. 7 der Verordnung (EU) 2016/679 und Artikel 32 Abs. 4 der Richtlinie (EU) 2016/680 um. Zu den Kontaktdaten zählen die Telefondurchwahl sowie die E-Mail-Adresse des Da-tenschutzbeauftragte
(Quelle: Thüringer Landtag Drucksache 6/4943, S. 96)
