Gemäß Art. 37 Abs. 7 DSGVO sind datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO) und Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO), die einen Datenschutzbeauftragten (DSB) benannt haben, dazu verpflichtet, die Kontaktdaten ihres DSB zu veröffentlichen und der zuständigen Datenschutzaufsichtsbehörde mitzuteilen. Während die Veröffentlichung der Kontaktdaten regelmäßig durch den eigenen Internetauftritt (in der Datenschutzerklärung) erfolgt, kann die erforderliche Meldung z. B. online über ein extra hierfür vorgesehenes Formular der jeweiligen Aufsichtsbehörde durchgeführt werden (in unserem Beitrag hier finden Sie die Links zu allen Online-Meldeformularen der einzelnen Aufsichtsbehörden).
Spät dran?
Insbesondere bei einem Wechsel des DSB – vor allem zu Jahresbeginn – ist jedoch folgendes Szenario nicht auszuschließen: Der Verantwortliche oder Auftragsverarbeiter hat den neuen DSB bereits im Dezember des Vorjahres schriftlich benannt, allerdings (urlaubs- und/oder feiertagsbedingt) vergessen, die zugehörigen Kontaktdaten pünktlich zum 1. Januar auf seiner Webseite zu aktualisieren und eine Mitteilung der Änderung an die Aufsichtsbehörde vorzunehmen. Nachdem dies intern auffällt, werden die Angaben auf der Homepage zwar umgehend korrigiert, doch kommt es – angesichts der noch nicht erfolgten Meldung – zu folgender Frage:
„Gibt es für die Meldung eines DSB an die Aufsichtsbehörde eigentlich eine bestimmte Frist?“
Feste Fristen?
Tatsächlich finden sich zu dem Zeitpunkt, wann ein (neuer) DSB der Aufsichtsbehörde mitgeteilt werden muss, weder Ausführungen in der DSGVO noch haben die Datenschutzaufsichtsbehörden selbst diesbezüglich gemeinsam Vorgaben definiert (z. B. im Kurzpapier Nr. 12. Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern).
Hinweise ergeben sich aktuell zunächst aus der Norm selbst sowie indirekt aus anderen gesetzlichen Bestimmungen: Zum einen lässt der konkrete Wortlaut des Art. 37 Abs. 7 DSGVO („Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit“) darauf schließen, dass eine Meldung proaktiv (und nicht erst auf Anfrage der Behörde) stattzufinden hat. Zum anderen sprechen die gesetzlich festgelegten Aufgaben des DSB aus Art. 39 Abs. 1 Buchst. d und e DSGVO (Zusammenarbeit mit der Aufsichtsbehörde und Tätigkeit als deren Anlaufstelle) dafür, dass der Meldepflicht umgehend nach der Benennung des DSB nachzukommen ist. Denn grundsätzlich ist die Mitteilung der Kontaktdaten an die Aufsichtsbehörde Voraussetzung dafür, dass der DSB diese Aufgaben – die ihm ab seiner Benennung obliegen – erfüllen kann. Eine andere Frist als eine unverzüglich zu erfolgende Meldung nach seiner Benennung würde dazu im Widerspruch stehen.
Verpflichtungen nachkommen
Darüber hinaus vertritt zumindest die Aufsichtsbehörde in Schleswig-Holstein (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, kurz: ULD) die Auffassung, die Mitteilung des DSB an die Aufsichtsbehörde sei auch ein Signal von Verantwortlichen und Auftragsverarbeitern, ihrer Verpflichtung zur Benennung eines DSB (allgemein) nachgekommen zu sein und fordert im Rahmen des 2. Teils ihrer „Praxis-Reihe: Datenschutzbestimmungen praktisch umsetzen“ explizit eine umgehende Information bei personellen Veränderungen auf der Position des DSB.
Auf Basis dieses Ergebnisses eröffnen sich sodann wiederum folgende Anschlussfragen:
„Bemerkt die Aufsichtsbehörde, dass wir erst jetzt – Ende Januar– über unseren neuen DSB informieren und kann dies Konsequenzen haben? Sollten wir deshalb besser keine Meldung als eine verspätete vornehmen?“
Mögliche Bußgelder
Ein Verstoß gegen die Verpflichtung, der Aufsichtsbehörde die Kontaktdaten des DSB mitzuteilen, kann gemäß Art. 83 Abs. 1 Buchst. a DSGVO mit einem Bußgeld von bis zu 10.000.000 Euro oder bei Unternehmen bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr (je nachdem, welcher der Beträge höher ist) geahndet werden.
Die Geldbuße in Höhe von 51.000 Euro, die im Jahr 2019 vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) aufgrund einer nicht erfolgten Meldung des DSB gegen die Facebook Germany GmbH verhängt worden ist (wir berichteten), zeigt, dass die Verpflichtung nicht als formale Lappalie abgetan werden sollte. In seinem Tätigkeitsbericht, der auf den Fall einging, macht der HmbBfDI deutlich: „Die Benennung des Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörde sind Pflichten, die die DSGVO ernst nimmt. Schon kleinere Verstöße gegen derartige Pflichten können zu nicht unerheblichen Geldbußen führen“.
Vor dem Hintergrund, dass bei der Berechnung möglicher Bußgelder unter anderem gemäß Art. 83 Abs. 2 Buchst. a DSGVO auch die Dauer des Verstoßes und nach Art. 83 Abs. 2 Buchst. b DSGVO dessen Vorsätzlich- oder Fahrlässigkeit durch die Aufsichtsbehörden einzubeziehen sind, sollten sich Verantwortliche und Auftragsverarbeiter gut überlegen, ob sie nicht eher die Risiken einer verspäteten als die möglichen Konsequenzen gar keiner Meldung ihres DSB an die Aufsichtsbehörden verantworten wollen.