Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Meldung eines Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde – Zwischenbilanz aus Bayern

21. September 2018

Anfang des Jahres haben wir uns bereits mit einem Artikel zum Thema der „Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde“ beschäftigt. Ende August 2018 veröffentlichte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Pressemitteilung, aus der hervorgeht, dass über das Online-Portal, welches am 17. Juli 2018 freigeschaltet wurde, bis dato mehr als 10.000 Datenschutzbeauftragte an die Behörde gemeldet wurden.

Aktuelle Situation in anderen Bundesländern?

Wie sieht es jedoch mit der Meldung des Datenschutzbeauftragten (DSB) aktuell aus? Wie kann ein Unternehmen seinen Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde melden? Und was meint die jeweilige Behörde in diesem Zusammenhang wissen zu müssen (zu dürfen)? Sind der jeweils zuständigen Behörde nach wie vor sehr umfangreiche Informationen über den Datenschutzbeauftragten mitzuteilen?

Nach wie vor ein Meldungs-Chaos

Wir machten uns ein Bild und stellten dabei fest, dass es bei den Aufsichtsbehörden nach wie vor keine einheitliche Linie gibt. Je nach Bundesland gibt es zum Teil sehr unterschiedliche Regelungen bezüglich der zu erstellenden Meldung.

Die einzelnen Behörden fragen sehr unterschiedliche Informationen ab und gestalten den Prozess der Meldung sehr uneinheitlich. Es gibt Behörden, die ein Online-Formular entweder mit oder ohne eine zuvor durchzuführende Registrierung zur Verfügung stellen. Andere Behörden bitten um die Einsendung einer (formlosen) Meldung per E-Mail. Als dritte Variante, wie es beispielswiese bei der Aufsichtsbehörde in Thüringen der Fall ist, werden über den Internetauftritt überhaupt keine Informationen zur Verfügung gestellt, auf welchem Wege eine Meldung möglich ist, und welche Pflichtinhalte erwartet werden. Im Zweifelsfall müsste man dies zuvor telefonisch oder schriftlich erfragen.

Weiterhin verlangen die meisten Behörden mehr als nur die Kontaktdaten des DSB. Die meisten erheben neben einer E-Mail-Adresse und einer Telefonnummer (zum Teil auch obligatorisch) den Namen, Vornamen, Anschrift und die Telefonnummer des DSB.

Dadurch entsteht eine widersprüchliche Situation. Auf der einen Seite verpflichtet die DS-GVO die Verantwortlichen, personenbezogene Daten möglichst sparsam zu erheben, auf der anderen Seite erwarten die Behörden deutlich mehr Informationen als es die DS-GVO vorgibt. Unseres Erachtens ist dies ein Verstoß gegen Art. 5 DS-GVO, da das Prinzip der Datensparsamkeit verletzt wird. Denn nach der DS-GVO in ihrer aktuellen Fassung ist der Verantwortliche gemäß Art. 37 Abs. 7 DS-GVO lediglich verpflichtet, die Kontaktdaten des DSB der zuständigen Behörde mitzuteilen. Weitere Daten sind gemäß DS-GVO nicht zur Verfügung zu stellen. Die Aufsichtsbehörde in Berlin hat die DS-GVO diesbezüglich übrigens besser verstanden und verlangt zur Meldung nur die nach DS-GVO notwendigen Daten.

Wenn die Behörde die erhobenen personenbezogenen Daten des DSB verarbeitet, müsste sie den jeweiligen Datenschutzbeauftragten nach Art. 14 DS-GVO über die Datenverarbeitung innerhalb eines Monats informieren. Uns ist bisher nicht bekannt, dass die Behörden, diese Informationen zur Verfügung stellen.

Wie könnte eine Problemlösung aussehen?

Es ist schade, dass man es versäumt hat, nach dem Vorbild der Zentralen Anlaufstelle (ZASt), die Meldung des Datenschutzbeauftragten bundesweit zu koordinieren und zur Vereinfachung (und Entbürokratisierung) einheitlich zu gestalten. Denn auf europäischer Ebene scheint es ja zu funktionieren. Bezüglich der Funktionsbeschreibung der ZASt findet man auf der Seite der BfDI folgende Beschreibung: „Die Zentrale Anlaufstelle koordiniert im europaweit einmaligen föderalen deutschen System mit Datenschutzbehörden des Bundes und der 16 Bundesländer die grenzübergreifende Zusammenarbeit mit den anderen Mitgliedstaaten der Europäischen Union, dem Europäischen Datenschutzausschuss (EDSA) und der Europäischen Kommission.“

Ob man auf nationaler Ebene hier tatsächlich eine Art zentraler Anlaufstelle ins Leben ruft oder sich lediglich besser koordiniert und abspricht, ist letztlich unerheblich. Woran es liegt, dass eine solche überregionale Abstimmung auf nationaler Ebene bisher ausgeblieben ist, wissen wir nicht. Aktuell haben wir es jedenfalls mit einer bunten Vielfalt an Meldemöglichkeiten (oder auch -unmöglichkeiten) zu tun, was böse Zungen als Flickenteppich bezeichnen.

Fazit

Es gibt für die Verantwortlichen bisher also keine Gewissheit, wie eine rechtskonforme Meldung des Datenschutzbeauftragten vorzunehmen ist. Unter den gegebenen Umständen ist auch eine zufriedenstellende Beratung unserer Mandanten teilweise schwierig.

Ein solches Vorgehen ist ein schlechtes Signal an die ohnehin verunsicherte Öffentlichkeit und trägt auch wenig dazu bei, das teilweise schlechte Image der DS-GVO unter den Verantwortlichen zu verbessern. Deshalb hoffen wir, dass die zuständigen Behörden künftig für mehr Rechtssicherheit sorgen, indem sie ihr Handeln auch auf nationaler Ebene besser abstimmen und untereinander mehr kooperieren.

Haben Sie Fragen zur Benennung eines/einer Datenschutzbeauftragten? Sind Sie unsicher bezüglich einer Pflicht zur Benennung? Benötigen Sie Unterstützung bei der Meldung an die Aufsichtsbehörde? Wir unterstützen Sie gerne!