Die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften trägt nach der DSGVO nicht der behördliche Datenschutzbeauftragte, sondern der „Verantwortliche“. Der Verantwortliche ist auch Adressat der Rechte der

betroffenen Personen nach Art. 12 ff. DSGVO. Er hat nicht nur die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen personenbezogener Daten zu gewährleisten, sondern muss auch den Nachweis dafür erbringen, dass

die Datenverarbeitung im Einklang mit den Vorgaben der DSGVO erfolgt (sog. Rechenschaftspflicht, Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Im öffentlichen Bereich ist der Verantwortliche nicht eine einzelne handelnde Person, sondern die für die

Datenverarbeitung zuständige öffentliche Stelle, d.h. die Behörde (Art. 4 Nr. 7 DSGVO, Art. 3 Abs. 2 BayDSG). Der Leitung der jeweiligen öffentlichen Stelle obliegt es insbesondere, ein Datenschutzkonzept aufzustellen, mit dem 

sichergestellt wird, dass im Zuständigkeitsbereich der öffentlichen Stelle die datenschutzrechtlichen Pflichten erfüllt und datenschutzrechtliche Bestimmungen eingehalten werden (Art. 24 Abs. 2 DSGVO). Dies setzt voraus, dass

datenschutzrechtliche Zuständigkeiten konkret einzelnen Organisationseinheiten oder Personen innerhalb der öffentlichen Stelle zugewiesen und notwendige Verfahrensabläufe festgelegt werden. Dies geschieht am sinnvollsten in einer Datenschutzgeschäftsordnung.