Die Datenschutzgrundverordnung (DSGVO) verpflichtet Unternehmen, die Kontaktdaten des Datenschutzbeauftragten an die zuständige Datenschutzaufsichtsbehörde zu melden (Artikel 37 Absatz 7 DSGVO). Welche Unternehmen einen Datenschutzbeauftragten benennen müssen regelt Artikel 37 Absatz 1 DSGVO und § 38 Absatz 1 BDSG-neu. Demnach ist eine Benennung eines Datenschutzbeauftragten erforderlich, wenn
- in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
- Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Wann und auf welchem Weg erfolgt die Meldung an die Aufsichtsbehörden?
Doch wie und in welcher Frist die erforderliche Meldung an die Aufsichtsbehörden zu erfolgen hat, wird nicht geregelt. Da eine fehlende oder fehlerhafte Meldung nach Artikel 83 Absatz 4 lit. a DSGVO bußgeldbewehrt ist, möchten viele Unternehmen zeitnah eine Meldung machen, werden aber teilweise von den Aufsichtsbehörden ausgebremst. Zwar beabsichtigen die Aufsichtsbehörden eine Online-Meldung zu ermöglichen und planen dazu ein abgestimmtes Formular auf ihren Webseiten vorzuhalten, allerdings existiert dies zurzeit noch nicht. Auf den Webseiten des Landesbeauftragten für Datenschutz und die Informationsfreiheit Rheinland-Pfalz findet sich ein Testformular für eine Online-Meldung, aber dieses kann noch NICHT für eine Meldung nach Artikel 37 Absatz 7 DSGVO genutzt werden. Immerhin lässt Rheinland-Pfalz die Meldung des Datenschutzbeauftragten per E-Mail bereits jetzt zu. Andere Aufsichtsbehörden nehmen Meldungen noch nicht an. So z.B. die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Sollten dennoch Meldungen eingehen, werden diese explizit nicht berücksichtigt. Wieder andere Bundesländer betonen auf ihrer Homepage, dass sie ab Mai eine Online-Meldung vorhalten wollen und eine vorherige Meldung nicht erforderlich sei.
Interessant ist, welche Daten im Testmeldeformular abgefragt werden. Diese gehen über die gesetzlichen Anforderungen hinaus. Gemäß Artikel 37 Absatz 7 DSGVO sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und an die Aufsichtsbehörde mitzuteilen. Darunter fallen Adresse, Telefonnummer und E-Mail-Adresse des Datenschutzbeauftragten. Eine Nennung des Namens wird nicht zwingend vorgeschrieben, erscheint allerdings sinnvoll. Für die Mitteilung an die Aufsichtsbehörde ist es darüber hinaus erforderlich den Unternehmensnamen und die Anschrift des meldenden Unternehmens anzugeben um eine Zuordnung zu ermöglichen. Das Testformular des rheinland-pfälzischen Datenschutzbeauftragten fragt derzeit zusätzlich wann die Bestellung zum Datenschutzbeauftragten erfolgt ist, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt und wer im zweiten Fall der Dienstleister ist.
Fazit
Unternehmen sind gut beraten auf der Webseite der für sie zuständigen Aufsichtsbehörde nachzusehen, ob und wie eine Meldung möglich ist.
14. April 2018 @ 10:35
Wenn die Aufsichtsbehörde mehr Daten abfrägt: verstößt das nicht gegen den Grundsatz der Datenminimierung?