Antwort
Behörden unterliegen bei der Verarbeitung personenbezogener Daten von natürlichen Personen den Vorschriften der Datenschutz-Grundverordnung. Die nationalen Verwaltungen sind dafür verantwortlich, regionale und lokale Verwaltungen bei der Vorbereitung auf die Anwendung der Datenschutz-Grundverordnung zu unterstützen.
Die Mehrheit der von Behörden gespeicherten personenbezogenen Daten wird normalerweise auf der Grundlage einer rechtlichen Verpflichtung verarbeitet oder soweit dies für die Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen, oder in Ausübung öffentlicher Gewalt, die der betreffenden Behörde übertragen wurde, erforderlich ist.
Bei der Verarbeitung personenbezogener Daten müssen Behörden wesentliche Grundsätze beachten, zum Beispiel
- faire und rechtmäßige Verarbeitung;
- Zweckbindung;
- Datenminimierung und Datenspeicherung.
Im Falle der Verarbeitung auf einer gesetzlichen Grundlage sollte bereits das entsprechende Gesetz gewährleisten, dass die Grundsätze beachtet werden (z. B. die Arten von Daten, Speicherfristen und geeignete Garantien).
Vor der Verarbeitung personenbezogener Daten müssen betroffene Personen über die Verarbeitung, ihre Zwecke, die Art der erhobenen Daten, die Empfänger und ihre Datenschutzrechte unterrichtet werden.
Eine Behörde ist verpflichtet, einen Datenschutzbeauftragten ernennen. Allerdings kann ein Datenschutzbeauftragter für mehrere öffentliche Stellen bestimmt werden, die sich diesen teilen, oder diese Tätigkeit kann an einen externen Datenschutzbeauftragen vergeben werden. Außerdem muss die Behörde sicherstellen, dass angemessene technische und organisatorische Maßnahmen zur Sicherung personenbezogener Daten getroffen wurden. Wenn für Teile der Verarbeitung eine externe Organisation (ein sogenannter „Auftragsverarbeiter“) herangezogen wird, muss ein Vertrag oder sonstiger Rechtsakt gewährleisten, dass der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass angemessene technische und organisatorische Maßnahmen getroffen werden, die den Standards der Datenschutz-Grundverordnung entsprechen.
Wenn aufbewahrte personenbezogene Daten unbeabsichtigt oder unrechtmäßig unbefugten Empfängern offengelegt werden, vorübergehend nicht verfügbar sind oder geändert werden, muss die Datenschutzbehörde unverzüglich und spätestens binnen 72 Stunden, nachdem Ihnen die Verletzung bekannt wurde, über diese Verletzung des Schutzes personenbezogener Daten unterrichtet werden. Die Behörden müssen gegebenenfalls auch betroffene Personen über die Verletzung informieren.
Weitere Informationen zu den Pflichten von Behörden nach der Datenschutz-Grundverordnung finden Sie im Abschnitt „Unternehmen und Organisationen“.