Im Verbund

AGN

Kooperation von unabhängigen Beratern aus mehr als 90 Ländern
weiter

Expertentipps

Datenschutzgrundverordnung: Meldepflicht für Datenschutzbeauftragte

Keinem Angehörigen unserer Berufsstände wird es inzwischen mehr entgangen sein: nur noch wenige Tage trennen uns vom Inkrafttreten des neuen Datenschutzrechts. Längst kursieren im Internet und in den Fachmedien unzählige Muster, Konzepte und Checklisten

Wir möchten die Gelegenheit nutzen, Sie rechtzeitig vor dem Stichtag auf einen Detailaspekt des Reformwerks aufmerksam zu machen, der in den Medien bisher nur verhältnismäßig geringes Echo gefunden hat und leicht zu übersehen ist, aber keinesfalls unbeachtet bleiben solle:

Art. 37 Absatz 7 DSGVO

Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Die kurze Bestimmung normiert zwei gesondert zu betrachtende, in dieser Form neue gesetzliche Pflichten:

  1. a) Veröffentlichungspflicht

Die Kontaktdaten des Datenschutzbeauftragten (DSB) sind zu veröffentlichen. Eine besondere Form schreibt die DSGVO für die Publikation nicht vor. Nach der wohl vorherrschenden Literaturmeinung soll aber eine „Aushangveröffentlichung“ im Unternehmen selbst nicht ausreichen.

Vielmehr wird (mindestens) eine Veröffentlichung an gut auffindbarer Stelle im Internetauftritt des Unternehmens zu erwarten sein (Kühling/Buchner, DS-GVO, Art. 37 Rn. 37).

  1. b) Meldepflicht

Die Kontaktdaten des DSB sind der Aufsichtsbehörde mitzuteilen. Dies wird - der Literatur zufolge, vgl. Kühling/Buchner, DS-GVO, Art. 37 Rn. 38 – nicht als bloße Mitteilungspflicht im konkreten Bedarfsfall verstanden, sondern als aktive Meldepflicht für jedes Unternehmen, bei dem ein DSB bestellt ist.

Die Risiken eines Verstoßes sind evident: das neue BDSG hat die Voraussetzungen für die Pflicht, einen DSB zu bestellen, gesetzlich – auch gegenüber der DSGVO – konkretisiert. Für die deutschen Aufsichtsbehörden sind daher entsprechend weitgehende Möglichkeiten eröffnet, unterbliebene Meldungen zu ermitteln und zu ahnden.

Für alle Unternehmen – soweit sie der DSB-Bestellungspflicht unterliegen – ist daher dringend ratsam, sich mit den Anforderungen der behördlichen Meldung, falls noch nicht geschehen, baldmöglichst auseinanderzusetzen:

  • Was ist zu melden?

Die DSGVO verweist ausschließlich auf „Kontaktdaten“. Im Umkehrschluss aus anderen Normen der DSGVO leitet die Literatur ab, dass „Kontaktdaten“ nicht den Namen des DSB umfassen (Kühling/Buchner, DS-GVO, Art. 37 Rn. 38). Im Minimum ist unter „Kontaktdaten“ auf dieser Basis wohl eine – dem DSB unternehmensintern fest zugeordnete und nur vom DSB einsehbare – E-Mail-Adresse zu verstehen (z.B. „datenschutz@kanzlei-xy.de“).

Dessen ungeachtet sehen die Meldesysteme der Landesdatenschutzbehörden (s.u.) teils wesentlich weitergehende Meldeinhalte vor, regelmäßig auch die Namensangabe als Pflichtfeld. Ob sich insoweit die Rechtsposition der Aufsichtsbehörden durchsetzen wird, ist offen.

  • An wen ist zu melden?

Zuständig sind die „Aufsichtsbehörden“. In Deutschland sind dies nach § 38 BDSG die jeweils örtlich zuständigen Landesdatenschutzbehörden, z.B. in Bayern (für den sog. „nicht-öffentlichen Bereich“) das Landesamt für Datenschutzaufsicht (www.lda.bayern.de), für Baden-Württemberg der Landesbeauftragte für Datenschutz und Informationsfreiheit (www.baden-wuerttemberg.datenschutz.de), für Hessen der Hessische Datenschutzbeauftragte (https://datenschutz.hessen.de), für Hamburg der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (www.datenschutz-hamburg.de).

  • Wie ist zu melden?

Die deutschen Aufsichtsbehörden werden, soweit noch nicht erfolgt, voraussichtlich spezielle Online-Meldeportale für die DSB-Pflichtmeldungen bereitstellen. Der Umsetzungsstand ist allerdings derzeit (Stand: 18.05.2018) je nach Bundesland noch sehr uneinheitlich.

Die hessische und die baden-württembergische Aufsichtsbehörde stellen bereits jetzt umfangreiche Online-Systeme zur Vornahme der Meldung zur Verfügung. Das LDA Bayern hat bislang nur eine Ankündigung veröffentlicht, ein solches System bis 25.05.2018 bereitstellen zu wollen. Die hamburgische Aufsichtsbehörde ermöglicht eine Meldung, stellt dafür allerdings bislang nur ein konventionelles (pdf-)Formular zum Download bereit.

  • Bis wann ist zu melden?

Die hessische Aufsichtsbehörde setzt allen Meldepflichtigen bereits jetzt eine

Frist von drei Monaten ab dem 14.05.2018

zur Vornahme der Meldung. Den Internetveröffentlichungen des LDA Bayern und der baden-württembergischen und hamburgischen Landesstellen sind, soweit ersichtlich, mit Stand vom 18.05.2018 noch keine Fristen zu entnehmen.

Bitte informieren Sie sich daher unbedingt direkt bei „Ihrer“ Aufsichtsbehörde über etwa zu beachtende Meldefristen!

Allgemein ist allen Unternehmen bei denen Datenschutzbeauftragte bestellt oder noch in Umsetzung gesetzlicher Pflichten zu bestellen sind, dringend anzuraten, die Internetveröffentlichungen der jeweils zuständigen Landesdatenschutzbehörde gerade in den nächsten Tagen aufmerksam zu verfolgen, um der Meldepflicht fristgerecht nachkommen zu können. Wie die in Hessen erst am 14.05.2018 online publizierte Meldefristregelung dokumentiert, ist gerade in den Tagen vor dem 25.05.2018 jederzeit mit wichtigen aktuellen Entwicklungen zu rechnen.

Für Ihre Rechtsanliegen stehen wir Ihnen gerne als Ansprechpartner zur Verfügung.

Heiko Hahn, Rechtsanwalt, zert. DSB (TÜV), SMP Schinogl Müller & Partner, Hamburger Allee 2-4, 60486 Frankfurt

Eingestellt am: 10.07.2018