Datenschutzbeauftragter Behörden

Spezialisierte Fachkenntnis für Behörden in Dresden & Sachsen.

Öffentliche Stellen in Sachsen – von der Kommunalverwaltung über das Landratsamt bis zur Landesbehörde – verarbeiten täglich personenbezogene Daten von Bürgerinnen und Bürgern in großem Umfang. Meldedaten, Sozialleistungsanträge, Baugenehmigungen, Gewerbeanmeldungen und Ordnungswidrigkeitenverfahren erzeugen umfangreiche Datensammlungen, die besonderen Schutz erfordern. Als öffentliche Stelle unterliegen Behörden sowohl der DSGVO als auch dem Sächsischen Datenschutzgesetz (SächsDSG).

Die digitale Transformation der Verwaltung durch das Onlinezugangsgesetz (OZG) verändert die Datenverarbeitungslandschaft grundsätzlich: Bürgerportale, elektronische Aktenführung, digitale Antragsverfahren und die Registermodernisierung schaffen neue Datenflüsse und neue Datenschutzrisiken. Gleichzeitig müssen Behörden das Recht auf informationelle Selbstbestimmung der Bürger wahren – ein verfassungsrechtlich verbrieftes Grundrecht.

DATUREX unterstützt sächsische Behörden als externer Datenschutzbeauftragter mit Verständnis für Verwaltungsprozesse, Fachverfahren und die besonderen Anforderungen des öffentlichen Sektors. Wir kennen die Empfehlungen der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) und die spezifischen Anforderungen des SächsDSG.

Warum braucht eine Behörde einen Datenschutzbeauftragten?

Für öffentliche Stellen ergibt sich die DSB-Pflicht aus Art. 37 Abs. 1 lit. a DSGVO: Behörden und öffentliche Stellen müssen laufend einen Datenschutzbeauftragten benennen – ohne Ausnahme und ohne Schwellenwert. Diese Pflicht wird durch § 5 SächsDSG zusätzlich landesrechtlich verankert. Im Gegensatz zu Unternehmen der Privatwirtschaft gibt es für Behörden keine Befreiung von der DSB-Pflicht.

Der behördliche DSB hat eine besondere Stellung: Er ist weisungsfrei und berichtet direkt der Behördenleitung. Seine Aufgaben umfassen die Überwachung der Einhaltung aller Datenschutzvorschriften, die Beratung bei Datenschutz-Folgenabschätzungen und die Zusammenarbeit mit der SDTB als Aufsichtsbehörde.

Typische Datenschutz-Herausforderungen in Behörden

• OZG-Digitalisierung: Datenschutzkonforme Gestaltung von Bürgerportalen, Online-Antragsverfahren und elektronischer Aktenführung unter Einhaltung des E-Government-Gesetzes
• Fachverfahrens-Vielfalt: Jedes Amt nutzt spezialisierte Fachverfahren (Meldewesen, Sozialhilfe, Baurecht, Ordnungswidrigkeiten) mit jeweils eigenen Datenschutzanforderungen
• Akten- und Informationsfreiheit: Abwägung zwischen dem Transparenzanspruch der Bürger (Sächsisches Transparenzgesetz) und dem Schutz personenbezogener Daten in Verwaltungsakten
• Interkommunale Zusammenarbeit: Datenaustausch zwischen Gemeinden, Landkreisen und Landesbehörden muss datenschutzrechtlich geregelt sein – insbesondere bei Zweckverbänden
• Videoüberwachung öffentlicher Gebäude: Kameraüberwachung in Rathäusern, Bürgerbüros und öffentlichen Einrichtungen muss verhältnismäßig und transparent gestaltet werden

DSGVO-Checkliste für Behörden

Diese Checkliste berücksichtigt die besonderen Anforderungen öffentlicher Stellen an den Datenschutz.

1. Verarbeitungsverzeichnis (Art. 30 DSGVO) für alle Fachverfahren und Ämter erstellen – systematisch nach Organisationseinheiten gegliedert
2. Auftragsverarbeitungsverträge mit IT-Dienstleistern, Rechenzentren und Cloud-Anbietern prüfen (Kommunale Datenverarbeitung Sachsen KISA, SAKD)
3. Datenschutz-Folgenabschätzung für Fachverfahren mit umfangreicher Bürgerdatenverarbeitung durchführen
4. Bürgerinformationen nach Art. 13/14 DSGVO für jedes Fachverfahren erstellen und zugänglich machen
5. Verfahren für Betroffenenrechte (Auskunft, Löschung, Berichtigung) behördenweit standardisieren
6. Videoüberwachung in öffentlichen Gebäuden datenschutzkonform dokumentieren (Rechtsgrundlage, Beschilderung, Speicherdauer, Zugriffsregelung)
7. E-Mail-Verschlüsselung für den Austausch personenbezogener Daten zwischen Behörden einrichten
8. Löschkonzept unter Berücksichtigung der verwaltungsrechtlichen Aufbewahrungsfristen und des Sächsischen Archivgesetzes erstellen
9. OZG-Onlinedienste vor Inbetriebnahme auf Datenschutzkonformität prüfen (Privacy by Design nach Art. 25 DSGVO)
10. Regelmäßige Datenschutzschulungen für alle Beschäftigten mit Zugang zu Bürgerdaten durchführen

Was kostet ein externer Datenschutzbeauftragter für Behörden?

Die Kosten für einen externen DSB richten sich bei Behörden nach der Verwaltungsgröße: Anzahl der Ämter und Organisationseinheiten, Anzahl der eingesetzten Fachverfahren, Mitarbeiterzahl und Digitalisierungsgrad. Eine kleine Gemeindeverwaltung mit 50 Mitarbeitern hat andere Anforderungen als ein Landratsamt mit 500 Beschäftigten und dutzenden Fachverfahren.

Für Behörden bietet der externe DSB einen besonderen Vorteil: Unabhängigkeit von der Verwaltungshierarchie. Ein externer DSB kann Datenschutzmängel ohne Rücksicht auf interne Hierarchien benennen – eine Unabhängigkeit, die bei internen Lösungen oft durch dienstliche Weisungsstrukturen gefährdet ist.

Kontaktieren Sie uns für ein individuelles Angebot für Ihre Behörde.

Paragraph 38 BDSG und die Auswirkung auf Behörden

Paragraph 38 BDSG regelt die DSB-Pflicht für nicht-öffentliche Stellen (Unternehmen). Für Behörden als öffentliche Stellen ist Paragraph 38 BDSG daher gar nicht einschlägig – die DSB-Pflicht ergibt sich direkt und ausschließlich aus Art. 37 Abs. 1 lit. a DSGVO.

Für Behörden hat eine mögliche Streichung von Paragraph 38 BDSG daher KEINE Auswirkung auf die DSB-Pflicht. Öffentliche Stellen sind als solche immer zur DSB-Benennung verpflichtet – dies ergibt sich unmittelbar aus der europäischen DSGVO und wird durch § 5 SächsDSG landesrechtlich bestätigt. Die nationale Diskussion um Paragraph 38 betrifft ausschließlich die Privatwirtschaft.

Stand: März 2026

Datenschutz-Folgenabschätzung (DSFA) für Behörden

Behörden müssen für bestimmte Verarbeitungstätigkeiten eine DSFA nach Art. 35 DSGVO durchführen. Dies betrifft insbesondere Fachverfahren mit umfangreicher oder systematischer Verarbeitung von Bürgerdaten. Ob eine DSFA erforderlich ist, hängt von der konkreten Verarbeitungstätigkeit ab.

Typische DSFA-pflichtige Verarbeitungen in Behörden sind: Sozialleistungsfachverfahren mit umfangreichen Sozialdaten, Videoüberwachung öffentlich zugänglicher Räume, Bürgerportale mit Online-Authentifizierung und Fachverfahren der Ordnungsbehörden mit systematischer Datenerhebung. Die SDTB hat hierzu spezifische Empfehlungen für sächsische Behörden veröffentlicht.

Für Standardverwaltungsverfahren (Gewerbeanmeldungen, Personalausweisanträge) ist in der Regel keine DSFA erforderlich, da der Gesetzgeber diese Verarbeitungen bereits im Gesetzgebungsverfahren berücksichtigt hat (Art. 35 Abs. 10 DSGVO).

Häufige Fragen: Datenschutzbeauftragter für Behörden

Kann eine Behörde einen externen Datenschutzbeauftragten benennen oder muss es ein interner Mitarbeiter sein?

Sowohl Art. 37 Abs. 6 DSGVO als auch § 5 Abs. 2 SächsDSG erlauben die Benennung eines externen DSB. In der Praxis nutzen insbesondere kleinere Kommunalverwaltungen diese Möglichkeit, da die interne Expertise oft nicht vorhanden ist und die Ausbildung eigener Mitarbeiter unverhältnismäßig aufwendig wäre.

Welche Rolle spielt die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) für Behörden?

Die SDTB ist die zuständige Aufsichtsbehörde für alle öffentlichen Stellen in Sachsen. Sie prüft die Einhaltung der DSGVO und des SächsDSG, veröffentlicht Empfehlungen und kann bei Verstößen Verwarnungen und Anweisungen aussprechen. Der behördliche DSB ist verpflichtet, mit der SDTB zusammenzuarbeiten (Art. 39 Abs. 1 lit. d DSGVO).

Dürfen Behörden Bürgerdaten in der Cloud speichern?

Grundsätzlich ja, allerdings unter strengen Auflagen: Der Cloud-Anbieter muss ein AVV abschließen, die Daten müssen in der EU verarbeitet werden, und es muss eine DSFA durchgeführt werden. Sächsische Behörden nutzen häufig die Angebote der SAKD oder der KISA, die datenschutzkonforme IT-Infrastruktur für öffentliche Stellen bereitstellen.

Wie verhält sich der Datenschutz zum Sächsischen Transparenzgesetz?

Das Sächsische Transparenzgesetz gewährt Bürgern Zugang zu Verwaltungsinformationen. Personenbezogene Daten sind jedoch vom Informationszugang ausgenommen, es sei denn, die betroffene Person hat eingewilligt oder ein überwiegendes öffentliches Interesse besteht. Der DSB berät die Behörde bei dieser Abwägungsentscheidung.

Was passiert, wenn eine Behörde keinen DSB benennt?

Die SDTB kann die Behörde zur Benennung anweisen. Bei fortgesetzter Nichtbeachtung drohen Verwarnungen und öffentliche Rügen. Zudem können betroffene Bürger Beschwerden bei der SDTB einreichen, was zu Prüfverfahren führt. Bußgelder gegen Behörden sind in Sachsen durch § 28 SächsDSG allerdings ausgeschlossen.

Kostenlose Erstberatung für Behörden

Ob Gemeindeverwaltung, Landratsamt oder Landesbehörde – DATUREX versteht die besonderen Anforderungen öffentlicher Stellen an den Datenschutz. Von der OZG-Digitalisierung bis zum SächsDSG: Wir bringen die Expertise mit, die Ihre Verwaltung braucht. TÜV-, BSI- und IHK-zertifiziert.

Jetzt kostenlose Erstberatung für Behörden anfragen »

Unsere Datenschutz-Leistungen für Behörden

• Externer Datenschutzbeauftragter
• Datenschutz-Beratung
• Datenschutz-Audit
• Datenschutz-Schulungen
• DSGVO-Compliance

Verwandte Branchen

• Datenschutzbeauftragter Schulen
• Datenschutzbeauftragter Kitas
• Datenschutzbeauftragter Krankenhaus

Für öffentliche Bildungseinrichtungen bieten wir speziellen Datenschutz an Schulen. Auch für Kindertageseinrichtungen bieten wir Datenschutz in Kitas. Entdecken Sie weitere Branchenlösungen für Ihren Bereich.