8.1
Grundsätzlich haben alle öffentlichen Stellen, die personenbezogene Daten automatisiert verarbeiten, Datenschutzbeauftragte zu bestellen, unabhängig von der Zahl der damit befassten Mitarbeiterinnen und Mitarbeiter. Außerhalb von Rechenzentren liegt eine automatisierte Datenverarbeitung vor, soweit Terminals zur Datenfernverarbeitung, Personalcomputer, Mehrplatzsysteme oder vernetzte Systeme zur Aufgabenerledigung eingesetzt werden.

Die Bestellung der oder des Beauftragten für den Datenschutz erfolgt durch die Leiterin oder den Leiter der Behörde oder sonstigen öffentlichen Stelle, bei der die Datenverarbeitungsanlagen oder die Datenendgeräte betrieben werden. Bestellt werden können auch Personen, die nicht der Daten verarbeitenden Stelle angehören, insbesondere können z.B. Gemeinden die Aufgaben einer oder eines Beauftragten für den Datenschutz Angehörigen der Kommunalen Datenzentralen übertragen. Es ist auch möglich, gemeinsam eine Beauftragte oder einen Beauftragten für den Datenschutz zu bestellen. Werden bei einer Stelle Sozialdaten verarbeitet, gilt § 8a i.V.m. § 81 Abs. 4 Satz 4 SGB X.

Die Bestellung und ggf. auch Abberufung unterliegt gemäß § 67 Abs. 1 Nr. 9 NPersVG der Mitbestimmung des Personalrats.

8.2
Die oder der Beauftragte für den Datenschutz unterstützt die öffentliche Stelle bei der Sicherstellung des Datenschutzes und wirkt auf die Einhaltung der datenschutzrechtlichen Vorschriften hin.

Mit der Funktion sollen nicht Personen betraut werden, die dadurch in Interessenkonflikte geraten können, die über das unvermeidliche Maß hinausgehen; das wird in der Regel der Fall sein, wenn z.B. die Leiterin oder der Leiter von Rechenzentren oder Bedienstete der Systemverwaltung oder deren unmittelbare Vorgesetzten zur oder zum Beauftragten für den Datenschutz bestellt werden sollen. Die oder der Beauftragte für den Datenschutz hat vorrangig die Aufgabe, bei der Ausgestaltung der technischen und organisatorischen Maßnahmen nach § 7 zu beraten und auf die Durchführung der Maßnahmen sowie der Aufgaben nach § 8 hinzuwirken. Dabei hat sie oder er im Bereich der automatisierten Datenverarbeitung insbesondere

• auf der Grundlage des § 7 Abs. 2 zu prüfen, welche Maßnahmen zur Datensicherung erforderlich und angemessen sind,
• beim Erlass von Dienstanweisungen über getroffene bzw. zu treffende Datensicherungsmaßnahmen mitzuwirken,
• die Behördenleitung und die Beschäftigten aufgrund ihrer bzw. seiner Sachkenntnis in Fragen des Datenschutzes und der Datensicherung zu beraten und
• gegebenenfalls bei der Erledigung von Auskunftsbegehren nach § 16 mitzuwirken.

Damit die Beauftragten für den Datenschutz frühzeitig auf eine sachgerechte Ausgestaltung der Maßnahmen nach § 7 hinwirken können, sind sie bereits über geplante Verfahren zur automatisierten Verarbeitung personenbezogener Daten zu unterrichten.

8.3
Die Beauftragten für den Datenschutz haben auf Antrag, ohne dass es hierfür besonderer Voraussetzungen bedarf, jedermann die Verfahrensbeschreibungen, die ihnen von den Daten verarbeitenden Stellen zur Verfügung zu stellen sind, zugänglich zu machen. Über die Art und Form, z.B. Einsichtnahme oder kostenpflichtige Übersendung von Kopien, entscheiden die Beauftragten für den Datenschutz. Zulässig ist auch eine Veröffentlichung im Internet, wenn sichergestellt ist, dass sich die Informationen auf die Angaben zu den Nrn. 1 bis 6 der Verfahrensbeschreibungen (Seiten 1 bis 3 der Anlage 1 - ohne den behördeninternen Teil) beschränken und Informationen, die zu einer Beeinträchtigung der Verfahrenssicherheit führen könnten, nicht offenbart werden. Gänzlich ausgenommen von dieser Verpflichtung sind Beschreibungen, wenn die Verarbeitungen der Erfüllung von Aufgaben nach dem NVerfSchG oder polizeilicher Aufgaben nach dem NGefAG oder zum Zweck der Strafverfolgung erfolgen.

Den Beauftragten für den Datenschutz obliegt die Vorabprüfung von Verfahren nach § 7 Abs. 3. Für die Durchführung hierfür notwendiger Erhebungen und Prüfungen können sie sich der Unterstützung der Daten verarbeitenden Stelle bedienen. Bei behörden- oder ressortübergreifenden Verfahren liegt die Zuständigkeit zur Vorabprüfung bei der oder dem Beauftragten für den Datenschutz der öffentlichen Stelle, die für die Einführung des Verfahrens verantwortlich ist.

8.4
Keine Beauftragten für den Datenschutz sind zu bestellen für öffentliche Stellen, die lediglich Register führen, die zur Information der Öffentlichkeit bestimmt sind und entweder jedermann oder allen Personen, die ein berechtigtes Interesse geltend machen, offen stehen. Nach der Verordnung über Ausnahmen von der Pflicht zur Bestellung von Datenschutzbeauftragten nach § 8a entfällt die Pflicht zur Bestellung von Beauftragten für den Datenschutz für die Tätigkeit der Notarinnen und Notare sowie für die Verfahren zur Textverarbeitung einschließlich der Übermittlung elektronischer Dokumente über Telekommunikationsdienste an die Empfängerinnen und Empfänger.