Betreff
Abschluss einer öffentlich-rechtlichen Vereinbarung über die Wahrnehmung der Aufgabenträgerschaft einer/eines gemeinsamen Datenschutzbeauftragten
Vorlage
SV-9-0926
Art
Sitzungsvorlage

Beschlussvorschlag:

 

  1. Der Kreis Coesfeld schließt mit den Städten Billerbeck und Olfen sowie den Gemeinden Ascheberg, Havixbeck, Nottuln, Nordkirchen, Rosendahl und Senden die im Entwurf beigefügte öffentlich-rechtliche Vereinbarung über die Wahrnehmung der Aufgabenträgerschaft für den Datenschutz durch die Bestellung einer/eines gemeinsamen Datenschutzbeauftragten.

           

  1. Der Landrat wird ermächtigt, die als Anlage im Entwurf beigefügte öffentlich-rechtliche Vereinbarung (ÖRV) abzuschließen.

 

  1. Die für die Aufgabenwahrnehmung erforderliche Stelle wird im Rahmen der Beratungen zum Entwurf des Stellenplanes 2018 in den Stellenplan des Kreises Coesfeld aufgenommen.

 

Begründung:

 

I.   Problem

Sowohl der Kreis Coesfeld als auch die kreisangehörigen Städte und Gemeinden haben nach den Vorgaben des Datenschutzgesetzes des Landes NRW die gesetzliche Verpflichtung, einen Behördlichen Datenschutzbeauftragten zu bestellen.

Zu den grundlegenden Aufgaben der bzw. des Datenschutzbeauftragten gehört die Beratung der Behördenleitung sowie der Bediensteten in datenschutzrelevanten Fragen. Gegebenenfalls sind ihr/ihm auf Verlangen im Falle des § 32 a Abs. 4 DSG NRW die entsprechenden Auskünfte zu erteilen.

 

Die Rechte und Pflichten des Datenschutzbeauftragten ergeben sich darüber hinaus aus § 32 a DSG NRW wie folgt:

 

-       Ansprechpartner für die Behördenleitung und Mitarbeiter in allen Fragen des Datenschutzes

-       Unterstützung der Behördenleitung bei der Sicherstellung des Datenschutzes

-       Beratung bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten

-       Überwachung der Einhaltung der einschlägigen Vorschriften bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren

-       Frühzeitige Beteiligung bei der Erarbeitung behördeninterner Regelungen und Maßnahmen zur Verarbeitung personenbezogener Daten

-       Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften

-       Vertraut machen der Bediensteten mit den Bestimmungen des DSG NRW sowie den sonstigen Vorschriften über den Datenschutz

-       Durchführung der Vorabkontrolle

-       Führung des Verfahrensverzeichnisses nach § 8 DSG NRW

Bislang wurden die Aufgaben des Datenschutzbeauftragten sowohl beim Kreis als auch bei den kreisangehörigen Städten und Gemeinden nur in einem Umfang von bis zu 20 Prozent der wöchentlichen Arbeitszeit wahrgenommen. Im Ergebnis bedeutet dies, dass die/der jeweilige Datenschutzbeauftragte regelmäßig nur auf Zuruf agieren und damit die jeweilige Behördenleitung ihrer gesetzlichen Verpflichtung zur Sicherstellung des Datenschutzes nur ansatzweise nachkommen kann. Die Entwicklungen im zurückliegenden Zeitraum verdeutlichen jedoch, dass dieser Stundenanteil bei Weitem nicht mehr ausreicht, um den gesetzlichen Anforderungen gerecht zu werden.

Bei einem Erfahrungsaustausch der Datenschutzbeauftragten des Kreises und der kreisangehörigen Städte und Gemeinden ist die Idee entstanden, hier durch die Benennung einer bzw. eines gemeinsamen Behördlichen Datenschutzbeauftragten im Wege einer interkommunalen Zusammenarbeit Synergieeffekte zu nutzen. Auch wurde die Thematik in der Konferenz der Bürgermeister erörtert und mehrheitlich begrüßt. Lediglich die Städte Coesfeld, Dülmen und Lüdinghausen sehen derzeit nicht die Notwendigkeit, hier in Form einer interkommunalen Zusammenarbeit tätig zu werden. Gleichwohl sollte bei der weiteren Vorgehensweise auch diesen kreisangehörigen Städten und Gemeinde die Möglichkeit eröffnet werden, bei zukünftigem Bedarf ebenfalls an den Synergieeffekten teilzunehmen. 

Es ist nunmehr darüber zu entscheiden, wie hier weiter vorgegangen werden soll.

 

II.  Lösung

Es ist beabsichtigt, im Wege einer mandatierenden Aufgabenübertragung die Aufgabenträgerschaft für den Behördlichen Datenschutz durch eine öffentlich-rechtlichen Vereinbarung von den Städten Billerbeck und Olfen sowie den Gemeinden Ascheberg, Havixbeck, Nottuln, Nordkirchen, Rosendahl und Senden auf den Kreis Coesfeld zu übertragen. Die Aufgaben der beteiligten kreisangehörigen Städte und Gemeinden werden nicht in die Zuständigkeit des Kreises Coesfeld übernommen, sondern bleiben unter Wahrung der gemeindlichen Verantwortung in der Verantwortung der jeweiligen Stadt bzw. Gemeinde. Sie werden vom gemeinsamen Datenschutzbeauftragten, welcher beim Kreis anzusiedeln ist, lediglich durchgeführt und wahrgenommen. Dabei ist festzuhalten, dass sämtliche vorbereitenden Maßnahmen seitens der kreisangehörigen Städte und Gemeinden zu erbringen sind.

Im Wesentlichen kommt es dabei zu folgender Aufgabentrennung:

 

1.    Zuständigkeiten des Behördlichen Datenschutzbeauftragten beim Kreis Coesfeld nach den Vorgaben des Datenschutzgesetzes für das Land NRW sowie der öffentlich-rechtlichen Vereinbarung

 

Die bzw. der Datenschutzbeauftragte ist für die Behördenleitungen und Mitarbeiter Ansprechpartner in allen Fragen des Datenschutzes. Sie bzw. er

 

-       unterstützt sie bei der Sicherstellung des Datenschutzes

-       berät die Organisationseinheiten bei der Gestaltung und Auswahl von Verfahren zur   Verarbeitung personenbezogener Daten

-       überwacht bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren die Einhaltung der einschlägigen datenschutzrechtlichen Vorschriften und ist bei der Erarbeitung behördeninterner Regelungen und Maßnahmen zur Verarbeitung personenbezogener Daten frühzeitig zu beteiligen

-       überwacht die Einhaltung der datenschutzrechtlichen Vorschriften

-       hat die Bediensteten mit den Bestimmungen des DSG NRW sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen

-       führt die Vorabkontrolle gemäß § 10 DSG NRW durch

-       führt das Verfahrensverzeichnis nach § 8 DSG NRW

2.    Zuständigkeiten der jeweiligen kreisangehörigen Stadt und Gemeinde bzw. der dortigen Ansprechpartner für den Datenschutz

 

Die Bürgermeister/innen sind verpflichtet, der/dem Datenschutzbeauftragten die für die Aufgabenwahrnehmung erforderlichen Unterlagen rechtzeitig vorzulegen, insbesondere:

 

-       Dienst- und Geschäftsanweisungen zum Datenschutz

-       Berechtigungskonzepte für die im Einsatz befindlichen Programme

-       Beteiligung bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten

-       Informationen zur Einführung neuer Verfahren oder Änderung bestehender Verfahren einschließlich der Vorlage behördeninterner Regelunge und Maßnahmen

-       Vorlage von Informationen zur Führung von Verfahrensverzeichnissen

Die Vorgaben des Landesdatenschutzgesetztes sehen vor, dass sowohl der Landrat des Kreises Coesfeld als auch die Bürgermeister/innen der kreisangehörigen Städte und Gemeinden jeweils für sich selbst verantwortlich sind, den Belangen des Datenschutzes zu entsprechen. Insofern bleiben sie auch im Falle der mandatierenden Aufgabenübertragung auf den Kreis Coesfeld Verantwortliche/r für die Einhaltung des Datenschutzes. Aus diesem Grunde ist es zwingend erforderlich, einen Ansprechpartner vor Ort für den gemeinsamen Datenschutzbeauftragten beim Kreis Coesfeld zu benennen, um hier eine interkommunale Zusammenarbeit sicherzustellen.

 

Darüber hinaus besteht aus Sicht der jeweiligen kreisangehörigen Stadt/Gemeinde die Notwendigkeit, den beim Kreis Coesfeld angesiedelten Behördlichen Datenschutzbeauftragten zu bestellen.

 

III. Alternativen

Auf die Bestellung eines gemeinsamen Datenschutzbeauftragten sowie auf den Abschluss einer öffentlich-rechtlichen Vereinbarung über die Wahrnehmung der Aufgabenträgerschaft für den Datenschutz wird verzichtet. Es verbleibt bei der bisherigen Verfahrensweise. Weder würden damit die durch eine öffentlich-rechtliche Vereinbarung entstehenden Synergieeffekte genutzt werden können, noch wäre eine entsprechend der gesetzlichen Notwendigkeiten angezeigte Verbesserung des Datenschutzes sowohl beim Kreis Coesfeld als auch bei den kreisangehörigen Städten und Gemeinden – sofern der Bedarf hierfür gesehen wird - gewährleistet.

 

IV. Auswirkungen / Zusammenhänge (Finanzen, Personal, IT, sonstige Ressourcen)

Aus der Übernahme der Aufgabenträgerschaft für den Datenschutz und durch die Bestellung eines gemeinsamen Datenschutzbeauftragten ergibt sich ein zusätzlicher Personalbedarf, der nicht mehr von dem vorhandenen Personal beim Kreis Coesfeld aufgefangen werden kann. Es ist daher vorgesehen, das Personal mit einer Fachkraft der Entgeltgruppe 10 oder der Besoldungsgruppe A 11 (je nach Status) zu verstärken. Die Ansiedlung dieser Stelle in der örtlichen Rechnungsprüfung erscheint aus dem Grunde angezeigt, weil es sich bei dem Datenschutz um eine besondere gesetzliche Aufgabe handelt, welche an neutraler Stelle angesiedelt werden sollte.

 

Da keine Bestellung zum Prüfer erfolgt, ist sichergestellt, dass die/der Datenschutzbeauftragte keine Aufgaben der Rechnungsprüfung wahrnimmt.

 

Mit den Städten und Gemeinden erfolgt eine Abrechnung dahingehend, dass die dem Aufgabenträger entstehenden Kosten (Personal- / Sach- und Gemeinkosten, Sonstiges) anteilig von den teilnehmenden Städten und Gemeinden getragen werden. Die Verteilung der Kosten erfolgt auf der Basis der im jeweiligen Haushaltsjahr ausgewiesenen Stellen im Stellenplan der jeweiligen Gebietskörperschaft.

 

V. Zuständigkeit für die Entscheidung

Für die Entscheidung ist gem. § 26 Abs. 1 lit. r) der Kreisordnung für das Land Nordrhein-Westfalen (KrO NRW) der Kreistag zuständig, da es sich um eine neue Aufgabe handelt, für deren Übernahme keine Verpflichtung besteht.