Beschlussvorschlag:
- Der Kreis Coesfeld schließt mit den Städten Billerbeck und Olfen sowie den Gemeinden Ascheberg, Havixbeck, Nottuln, Nordkirchen, Rosendahl und Senden die im Entwurf beigefügte öffentlich-rechtliche Vereinbarung über die Wahrnehmung der Aufgabenträgerschaft für den Datenschutz durch die Bestellung einer/eines gemeinsamen Datenschutzbeauftragten.
- Der Landrat wird ermächtigt, die als Anlage im Entwurf beigefügte öffentlich-rechtliche Vereinbarung (ÖRV) abzuschließen.
- Die für die Aufgabenwahrnehmung erforderliche Stelle wird im Rahmen der Beratungen zum Entwurf des Stellenplanes 2018 in den Stellenplan des Kreises Coesfeld aufgenommen.
Begründung:
I. Problem
Sowohl der Kreis Coesfeld als auch die
kreisangehörigen Städte und Gemeinden haben nach den Vorgaben des
Datenschutzgesetzes des Landes NRW die gesetzliche Verpflichtung, einen
Behördlichen Datenschutzbeauftragten zu bestellen.
Zu den grundlegenden Aufgaben der bzw. des
Datenschutzbeauftragten gehört die Beratung der Behördenleitung sowie der
Bediensteten in datenschutzrelevanten Fragen. Gegebenenfalls sind ihr/ihm auf
Verlangen im Falle des § 32 a Abs. 4 DSG NRW die entsprechenden Auskünfte zu
erteilen.
Die Rechte und Pflichten des
Datenschutzbeauftragten ergeben sich darüber hinaus aus § 32 a DSG NRW wie
folgt:
-
Ansprechpartner
für die Behördenleitung und Mitarbeiter in allen Fragen des Datenschutzes
-
Unterstützung
der Behördenleitung bei der Sicherstellung des Datenschutzes
-
Beratung
bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener
Daten
-
Überwachung
der Einhaltung der einschlägigen Vorschriften bei der Einführung neuer
Verfahren oder der Änderung bestehender Verfahren
-
Frühzeitige
Beteiligung bei der Erarbeitung behördeninterner Regelungen und Maßnahmen zur
Verarbeitung personenbezogener Daten
-
Überwachung
der Einhaltung der datenschutzrechtlichen Vorschriften
-
Vertraut
machen der Bediensteten mit den Bestimmungen des DSG NRW sowie den sonstigen
Vorschriften über den Datenschutz
-
Durchführung
der Vorabkontrolle
-
Führung
des Verfahrensverzeichnisses nach § 8 DSG NRW
Bislang wurden die Aufgaben des
Datenschutzbeauftragten sowohl beim Kreis als auch bei den kreisangehörigen
Städten und Gemeinden nur in einem Umfang von bis zu 20 Prozent der
wöchentlichen Arbeitszeit wahrgenommen. Im Ergebnis bedeutet dies, dass die/der
jeweilige Datenschutzbeauftragte regelmäßig nur auf Zuruf agieren und damit die
jeweilige Behördenleitung ihrer gesetzlichen Verpflichtung zur Sicherstellung
des Datenschutzes nur ansatzweise nachkommen kann. Die Entwicklungen im
zurückliegenden Zeitraum verdeutlichen jedoch, dass dieser Stundenanteil bei
Weitem nicht mehr ausreicht, um den gesetzlichen Anforderungen gerecht zu
werden.
Bei einem Erfahrungsaustausch der
Datenschutzbeauftragten des Kreises und der kreisangehörigen Städte und
Gemeinden ist die Idee entstanden, hier durch die Benennung einer bzw. eines
gemeinsamen Behördlichen Datenschutzbeauftragten im Wege einer interkommunalen
Zusammenarbeit Synergieeffekte zu nutzen. Auch wurde die Thematik in der
Konferenz der Bürgermeister erörtert und mehrheitlich begrüßt. Lediglich die
Städte Coesfeld, Dülmen und Lüdinghausen sehen derzeit nicht die Notwendigkeit,
hier in Form einer interkommunalen Zusammenarbeit tätig zu werden. Gleichwohl
sollte bei der weiteren Vorgehensweise auch diesen kreisangehörigen Städten und
Gemeinde die Möglichkeit eröffnet werden, bei zukünftigem Bedarf ebenfalls an
den Synergieeffekten teilzunehmen.
Es ist nunmehr darüber zu entscheiden, wie
hier weiter vorgegangen werden soll.
II. Lösung
Es ist beabsichtigt, im Wege einer mandatierenden Aufgabenübertragung die Aufgabenträgerschaft für den Behördlichen Datenschutz durch eine öffentlich-rechtlichen Vereinbarung von den Städten Billerbeck und Olfen sowie den Gemeinden Ascheberg, Havixbeck, Nottuln, Nordkirchen, Rosendahl und Senden auf den Kreis Coesfeld zu übertragen. Die Aufgaben der beteiligten kreisangehörigen Städte und Gemeinden werden nicht in die Zuständigkeit des Kreises Coesfeld übernommen, sondern bleiben unter Wahrung der gemeindlichen Verantwortung in der Verantwortung der jeweiligen Stadt bzw. Gemeinde. Sie werden vom gemeinsamen Datenschutzbeauftragten, welcher beim Kreis anzusiedeln ist, lediglich durchgeführt und wahrgenommen. Dabei ist festzuhalten, dass sämtliche vorbereitenden Maßnahmen seitens der kreisangehörigen Städte und Gemeinden zu erbringen sind.
Im Wesentlichen kommt es dabei zu folgender Aufgabentrennung:
1.
Zuständigkeiten
des Behördlichen Datenschutzbeauftragten beim Kreis Coesfeld nach den Vorgaben
des Datenschutzgesetzes für das Land NRW sowie der öffentlich-rechtlichen
Vereinbarung
Die bzw. der Datenschutzbeauftragte ist für die Behördenleitungen und Mitarbeiter Ansprechpartner in allen Fragen des Datenschutzes. Sie bzw. er
-
unterstützt
sie bei der Sicherstellung des Datenschutzes
-
berät
die Organisationseinheiten bei der Gestaltung und Auswahl von Verfahren
zur Verarbeitung personenbezogener
Daten
-
überwacht
bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren die
Einhaltung der einschlägigen datenschutzrechtlichen Vorschriften und ist bei
der Erarbeitung behördeninterner Regelungen und Maßnahmen zur Verarbeitung
personenbezogener Daten frühzeitig zu beteiligen
-
überwacht
die Einhaltung der datenschutzrechtlichen Vorschriften
-
hat
die Bediensteten mit den Bestimmungen des DSG NRW sowie den sonstigen
Vorschriften über den Datenschutz vertraut zu machen
-
führt
die Vorabkontrolle gemäß § 10 DSG NRW durch
-
führt
das Verfahrensverzeichnis nach § 8 DSG NRW
2.
Zuständigkeiten
der jeweiligen kreisangehörigen Stadt und Gemeinde bzw. der dortigen
Ansprechpartner für den Datenschutz
Die Bürgermeister/innen sind verpflichtet, der/dem Datenschutzbeauftragten die für die Aufgabenwahrnehmung erforderlichen Unterlagen rechtzeitig vorzulegen, insbesondere:
-
Dienst-
und Geschäftsanweisungen zum Datenschutz
-
Berechtigungskonzepte
für die im Einsatz befindlichen Programme
-
Beteiligung
bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener
Daten
-
Informationen
zur Einführung neuer Verfahren oder Änderung bestehender Verfahren
einschließlich der Vorlage behördeninterner Regelunge und Maßnahmen
-
Vorlage
von Informationen zur Führung von Verfahrensverzeichnissen
Die Vorgaben des Landesdatenschutzgesetztes sehen vor, dass sowohl der Landrat des Kreises Coesfeld als auch die Bürgermeister/innen der kreisangehörigen Städte und Gemeinden jeweils für sich selbst verantwortlich sind, den Belangen des Datenschutzes zu entsprechen. Insofern bleiben sie auch im Falle der mandatierenden Aufgabenübertragung auf den Kreis Coesfeld Verantwortliche/r für die Einhaltung des Datenschutzes. Aus diesem Grunde ist es zwingend erforderlich, einen Ansprechpartner vor Ort für den gemeinsamen Datenschutzbeauftragten beim Kreis Coesfeld zu benennen, um hier eine interkommunale Zusammenarbeit sicherzustellen.
Darüber hinaus besteht aus Sicht der jeweiligen kreisangehörigen Stadt/Gemeinde die Notwendigkeit, den beim Kreis Coesfeld angesiedelten Behördlichen Datenschutzbeauftragten zu bestellen.
III. Alternativen
Auf die Bestellung eines gemeinsamen
Datenschutzbeauftragten sowie auf den Abschluss einer öffentlich-rechtlichen
Vereinbarung über die Wahrnehmung der Aufgabenträgerschaft für den Datenschutz
wird verzichtet. Es verbleibt bei der bisherigen Verfahrensweise. Weder würden
damit die durch eine öffentlich-rechtliche Vereinbarung entstehenden
Synergieeffekte genutzt werden können, noch wäre eine entsprechend der
gesetzlichen Notwendigkeiten angezeigte Verbesserung des Datenschutzes sowohl
beim Kreis Coesfeld als auch bei den kreisangehörigen Städten und Gemeinden –
sofern der Bedarf hierfür gesehen wird - gewährleistet.
IV. Auswirkungen / Zusammenhänge (Finanzen, Personal, IT, sonstige Ressourcen)
Aus der Übernahme der Aufgabenträgerschaft für den Datenschutz und durch die Bestellung eines gemeinsamen Datenschutzbeauftragten ergibt sich ein zusätzlicher Personalbedarf, der nicht mehr von dem vorhandenen Personal beim Kreis Coesfeld aufgefangen werden kann. Es ist daher vorgesehen, das Personal mit einer Fachkraft der Entgeltgruppe 10 oder der Besoldungsgruppe A 11 (je nach Status) zu verstärken. Die Ansiedlung dieser Stelle in der örtlichen Rechnungsprüfung erscheint aus dem Grunde angezeigt, weil es sich bei dem Datenschutz um eine besondere gesetzliche Aufgabe handelt, welche an neutraler Stelle angesiedelt werden sollte.
Da keine Bestellung zum Prüfer erfolgt, ist sichergestellt, dass die/der Datenschutzbeauftragte keine Aufgaben der Rechnungsprüfung wahrnimmt.
Mit den Städten und Gemeinden erfolgt eine Abrechnung dahingehend, dass die dem Aufgabenträger entstehenden Kosten (Personal- / Sach- und Gemeinkosten, Sonstiges) anteilig von den teilnehmenden Städten und Gemeinden getragen werden. Die Verteilung der Kosten erfolgt auf der Basis der im jeweiligen Haushaltsjahr ausgewiesenen Stellen im Stellenplan der jeweiligen Gebietskörperschaft.
V. Zuständigkeit für die Entscheidung
Für die Entscheidung ist gem. § 26 Abs. 1
lit. r) der Kreisordnung für das Land Nordrhein-Westfalen (KrO NRW) der
Kreistag zuständig, da es sich um eine neue Aufgabe handelt, für deren
Übernahme keine Verpflichtung besteht.