Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


(Zur Übersicht: ThürDSG)

§ 15 Thüringer Datenschutzgesetz

Wortlaut

§ 15 Aufgaben des Datenschutzbeauftragten
((Artikel 39 der Verordnung (EU) 2016/679, Artikel 34 der Richtlinie (EU) 2016/680)

(1) Der Datenschutzbeauftragte nimmt die Aufgaben nach Artikel 39 der Verordnung (EU) 2016/679 wahr. Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679 , dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.

(2) Der Datenschutzbeauftragte hat das Recht auf Einsichtnahme in das Verzeichnis aller Verarbeitungstätigkeiten. Vor erstmaliger Inbetriebnahme einer Verarbeitungstätigkeit ist dem Datenschutzbeauftragten das Verzeichnis mit der Gelegenheit zur Stellungnahme zu dem entsprechenden Eintrag vorzulegen. Ferner ist der Datenschutzbeauftragte bei der Einschätzung des Risikos nach Artikel 35 Abs. 1 der Verordnung (EU) 2016/679 oder § 52 und der Prüfung, ob eine Datenschutz-Folgenabschätzung für einen konkreten Verarbeitungsvorgang durchzuführen ist, einzubeziehen.

(3) Unbeschadet von Absatz 1 hat der Datenschutzbeauftragte im Rahmen von Verarbeitungstätigkeiten im Anwendungsbereich des § 31 folgende Aufgaben:

1. Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz, der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften und sonstiger Vorschriften über den Datenschutz,
2. Überwachung der Einhaltung dieses Gesetzes, der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften und sonstiger Vorschriften über den Datenschutz sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen,
3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung nach § 52,
4. Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz und
5. Tätigkeit als Anlaufstelle für den Landesbeauftragten für den Datenschutz in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation nach § 53 , und gegebenenfalls Beratung zu allen sonstigen Fragen des Datenschutzes.

(4) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Amtliche Gesetzesbegründung

Zu § 15

Aufgaben des Datenschutzbeauftragten (Artikel 39 der Verordnung (EU) 2016/679, Artikel 34 der Richtlinie (EU) 2016/680)


§ 15 regelt die Aufgaben des Datenschutzbeauftragten nach der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680. Die Gewährleistung des Datenschutzes nach Kapitel IV der Verordnung (EU) 2016/679 sowie Kapitel IV der Richtlinie (EU) 2016/680 obliegt dabei dem Verantwortlichen und dem Auftragsverarbeiter. Sofern also nicht in Artikel 39 der Verordnung (EU) 2016/679 oder in § 15 Abs. 2 originäre Aufgaben des Datenschutzbeauftragten genannt werden, so obliegt ihm lediglich die Unterrichtungs- , Beratungs- und Überwachungsfunktion. Dabei ist er zudem durch den Verantwortlichen und Auftragsverar-beiter zu unterstützen. Er ist insofern Element der internen Selbstkontrolle. Damit verbunden ist keine Verlagerung der Verantwortung für die Einhaltung datenschutzrechtlicher Bestimmungen.

Zu Absatz 1:
Absatz 1 regelt die Aufgaben des Datenschutzbeauftragten im Anwendungsbereich der Verordnung (EU) 2016/679 nach § 1 Abs. 1 für Sachverhalte außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 (siehe § 2 Abs. 5) und für die in Ergänzung der Verordnung (EU) 2016/679 getroffenen Regelungen, wenn fachgesetzlich nichts anderes geregelt ist. Dabei stehen ihm die Aufgaben nach Artikel 39 Abs. 1 der Verordnung (EU) 2016/679 zu. Von der Kontrolle ausgenommen ist aufgrund ihrer Unabhängigkeit die Personalvertretung.

Zu Absatz 2:
Nach Artikel 38 Abs. 1 der Verordnung (EU) 2016/679 und Artikel 33 Abs. 1 der Richtlinie (EU) 2016/680 ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Absatz 2 konkretisiert diese Vorgabe für den Fall des Verzeichnisses aller Verarbeitungstätigkeiten und der Datenschutz-Folgenabschätzung, da es sich um komplexe Prozesse handelt, mit denen sich jeder Verantwortliche auseinandersetzen muss. Zwar führt der Verantwortliche das Verzeichnis aller Verarbeitungstätigkeiten. Um seiner Überwachungsfunktion nachkommen zu können, muss jedoch auch der Datenschutzbeauftragte Einsicht nehmen und gegebenenfalls Hinweise geben können. Im Falle der Datenschutz-Folgenabschätzung ist der Datenschutzberater schon bei der Beurteilung, ob eine solche durchzuführen ist, einzubinden. Die Beurteilung bemisst sich nach Artikel 35 Abs. 1 in Verbindung mit Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 beziehungsweise Artikel 27 Abs. 1 in Verbindung mit Artikel 19, 20 und 29 der Richtlinie (EU) 2016/680. Die Beteiligung des Datenschutzbeauftragten bei der Durchführung der Datenschutz-Folgenabschätzung richtet sich nach Artikel 35 Abs. 2 der Verordnung (EU) 2016/679 und Artikel 34 Buchst. c der Richtlinie (EU) 2016/680.

Zu Absatz 3:

Absatz 3 setzt Artikel 34 der Richtlinie (EU) 2016/680 um. Um die Aufgaben des Datenschutzbeauftragten für alle Verarbeitungszwecke einheitlich auszugestalten, entspricht die Bestimmung unter lediglich redaktioneller Anpassung Artikel 39 der Verordnung (EU) 2016/679.

Zu Absatz 4:
Absatz 4 entspricht Artikel 39 Abs. 2 der Verordnung (EU) 2016/679. Sie ist Ausdruck des risikobasierten Ansatzes der Verordnung (EU) 2016/679. Besonderes Gewicht hat der Datenschutzbeauftragte auf die mit der spezifischen Verarbeitung verbundene Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen zu richten. Die Regelung hat keine Entsprechung in Artikel 34 der Richtlinie (EU) 2016/680, wird aber als allgemeiner Grundsatz festgeschrieben und als allgemeine Regelungen für die Bereiche außerhalb des Rechts der Europäischen Union festgelegt.

(Quelle: Thüringer Landtag Drucksache 6/4943, S. 99f.)

Erläuterung

Parallelvorschriften

Drucken/exportieren
QR-Code
QR-Code § 15 Thüringer Datenschutzgesetz (erstellt für aktuelle Seite)