Besondere Anforderungen öffentlicher Stellen
Öffentliche Stellen in Hessen unterliegen einem besonders strengen Datenschutzregime. Neben der europäischen Datenschutz-Grundverordnung (DSGVO) gilt für hessische Behörden, Kommunen und Landeseinrichtungen das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG), das spezifische Anforderungen an die Verarbeitung personenbezogener Daten im öffentlichen Bereich stellt.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten gilt für öffentliche Stellen grundsätzlich ohne Ausnahme – unabhängig von der Größe der Einrichtung oder der Anzahl der mit Datenverarbeitung befassten Mitarbeitenden. Dies ergibt sich aus Art. 37 Abs. 1 lit. a DSGVO in Verbindung mit § 5 HDSIG.
Öffentliche Einrichtungen verarbeiten täglich eine Vielzahl besonders sensibler personenbezogener Daten: von Sozialdaten über Gesundheitsinformationen bis hin zu Daten aus dem Meldewesen oder der Steuerverwaltung. Diese Verarbeitungen sind häufig gesetzlich vorgeschrieben und erfordern besondere Schutzmaßnahmen.
Dokumentationspflichten
Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist für öffentliche Stellen ein zentrales Instrument der Rechenschaftspflicht. Es dokumentiert alle Verarbeitungsvorgänge, die Zwecke der Verarbeitung, die betroffenen Datenkategorien, die Empfänger sowie die vorgesehenen Löschfristen. Ich erstelle und pflege dieses Verzeichnis für meine Mandanten und stelle sicher, dass es stets aktuell und vollständig ist.
Darüber hinaus sind öffentliche Stellen verpflichtet, technische und organisatorische Maßnahmen (TOMs) zu dokumentieren, die den Schutz personenbezogener Daten gewährleisten. Diese Maßnahmen müssen regelmäßig überprüft und angepasst werden, um dem Stand der Technik zu entsprechen und den Anforderungen des Art. 32 DSGVO gerecht zu werden.
Prüfungssicherheit
Aufsichtsbehördliche Prüfungen sind für öffentliche Stellen eine reale Möglichkeit. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) führt regelmäßig Kontrollen durch und kann bei festgestellten Verstößen Maßnahmen anordnen. Eine vollständige und aktuelle Datenschutzdokumentation ist die beste Vorbereitung auf solche Prüfungen.
Ich begleite meine Mandanten bei der Vorbereitung auf Prüfungen, unterstütze bei der Beantwortung von Anfragen der Aufsichtsbehörde und stehe im Prüfungsverfahren als fachkundiger Ansprechpartner zur Verfügung. Durch eine proaktive Datenschutzorganisation lassen sich die meisten Beanstandungen vermeiden.
Aufsichtsbehörden-Kontakt
Der Datenschutzbeauftragte ist nach Art. 39 Abs. 1 lit. e DSGVO die primäre Anlaufstelle für die Aufsichtsbehörde. Dies bedeutet, dass der HBDI bei Anfragen, Beschwerden oder Prüfungen zunächst mit dem DSB in Kontakt tritt. Als externer DSB übernehme ich diese Kommunikation vollständig und entlaste damit die Leitungsebene meiner Mandanten.
Die Zusammenarbeit mit dem HBDI umfasst die Beantwortung von Anfragen, die Teilnahme an Prüfungsgesprächen sowie die Umsetzung von Empfehlungen und Anordnungen der Aufsichtsbehörde. Eine konstruktive und transparente Zusammenarbeit mit dem HBDI ist dabei stets das Ziel.
Trennung IT & DSB-Rolle
Ein besonders wichtiger Aspekt für öffentliche Stellen ist die klare Trennung zwischen der IT-Abteilung und der Datenschutzbeauftragten-Funktion. Gemäß Art. 38 Abs. 6 DSGVO darf der DSB andere Aufgaben und Pflichten wahrnehmen, sofern diese nicht zu einem Interessenkonflikt führen. Die Übernahme der DSB-Funktion durch den IT-Leiter oder einen IT-Dienstleister ist in der Regel problematisch, da die IT-Abteilung selbst für viele datenschutzrelevante Verarbeitungen verantwortlich ist.
Als externer Datenschutzbeauftragter bin ich vollständig unabhängig von der IT-Infrastruktur meiner Mandanten. Ich überwache die Einhaltung der datenschutzrechtlichen Anforderungen auch gegenüber der IT-Abteilung und stelle sicher, dass technische Entscheidungen datenschutzkonform getroffen werden.
Datenschutz für Ihre Einrichtung prüfen lassen
Ich berate Behörden, Kommunen und Landeseinrichtungen in Hessen.