ZAP-2019-21
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Verfassungsrecht/Verwaltungsrecht Fach 19, Seite 943<br />
Datenschutz: Kommunalebene<br />
personenbezogenen Daten hat bzw. wie lange diese gespeichert werden und ob eine Übertragung<br />
an Dritte erfolgt. Gleichermaßen ist darauf hinzuweisen, dass Betroffenenrechte wie Auskunft, Berichtigung<br />
etc. bestehen.<br />
Die Informationspflicht ist immer zu Beginn zu erfüllen und nicht erst dann, wenn ein Bürger danach<br />
explizit fragt. Dies bedeutet z.B. dann, wenn Merkblätter ausgelegt werden, dass diese auch rechtzeitig<br />
den Betroffenen erreichen müssen. Allgemeine Hinweise, die sich ausschließlich auf der Homepage der<br />
Behörde befinden, sind nicht ausreichend.<br />
Im Bereich von Steuern und Abgaben, die für den Bürger zum Teil eher schwierig durchschaubar sind,<br />
gibt es dennoch keine gesteigerten Informationspflichten.<br />
Hinweis:<br />
In einem Verwaltungsverfahren reicht es aus, die betroffene Person zu Beginn des selbigen zu informieren,<br />
so z.B. bei der Stellung eines entsprechenden Antrags. Wiederholen sich Vorgänge, so muss nicht jedes<br />
Mal erneut der Informationspflicht nachgekommen werden, sondern ein Verweis auf frühere<br />
Informationen ist dabei ausreichend.<br />
Praxistipp:<br />
Steht die Verletzung von Informationspflichten oder eine Verletzung der Meldepflicht nach einer Datenpanne<br />
gem. Art. 33 Abs. 1 DSGVO im Raum, dann kommen auch Schadensansprüche nach Art. 82 DSGVO<br />
in Betracht. Das Recht auf Schadensersatz gegen den Verantwortlichen oder gegen den möglichen Auftragsverarbeiter<br />
ist neu und erweitert damit die Haftung desjenigen, der personenbezogene Daten erhebt<br />
und verarbeitet.<br />
Die Haftungsproblematik bezieht sich aber ausschließlich auf das privatrechtliche Handeln einer Behörde.<br />
Denn im Übrigen, also bei der Erfüllung öffentlicher Aufgaben, gelten die allgemeinen Grundsätze<br />
zur Amtshaftung (Art. 34 GG i.V.m. § 839 BGB).<br />
3. Verzeichnis von Verarbeitungstätigkeiten<br />
Was die Behörde schon in der Vergangenheit als „Verfahrensverzeichnis“ kennt und umgesetzt hat, so<br />
hat der Gesetzgeber dies nunmehr mit dem „Verzeichnis von Verarbeitungstätigkeiten“ nochmals<br />
verschärft und die Pflichten diesbezüglich etwas erhöht.<br />
Ein verbindliches Muster für die Erstellung derartiger Verzeichnisse besteht allerdings nicht. Das Verzeichnis<br />
ist vom Verantwortlichen zu erstellen, nicht indes vom Datenschutzbeauftragten. Dieser hat<br />
lediglich beratend tätig zu sein und die Mitverantwortung dafür zu tragen, dass die datenschutzrechtlichen<br />
Anforderungen durch den Verantwortlichen (Geschäftsführung) auch erfüllt werden.<br />
Das Verzeichnis ist schriftlich zu erstellen und muss angemessen aktualisiert werden; eine jährliche<br />
Überarbeitungspflicht besteht allerdings grds. nicht, es sei denn, es ergeben sich diesbezüglich konkrete<br />
Anhaltspunkte.<br />
Praxistipp:<br />
Die Umsetzung der Verzeichnisse kann durch interne Arbeitsanweisungen sichergestellt werden, insbesondere<br />
dahingehend, dass dem Verantwortlichen neue Verarbeitungsvorgänge und die daraus resultierende<br />
Änderungen des bisherigen Verzeichnisses gemeldet werden. Die Dokumentation und Nachweisführung<br />
bezüglich derartiger mündlicher oder schriftlicher Anweisungen spielen dann auch in einem<br />
möglichen Verfahren eine Rolle, in dem einem Mitarbeiter eine datenschutzrechtliche Pflichtverletzung<br />
vorgehalten wird. Dies sowohl im Falle einer Abmahnung also auch einer Kündigung.<br />
<strong>ZAP</strong> Nr. <strong>21</strong> 7.11.<strong>2019</strong> 1145