Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde

Erste Behörde hat ein Testformular veröffentlicht

Art. 37 Abs. 7 DS-GVO regelt, dass alle Verantwortlichen ihre benannten Datenschutzbeauftragten an die Aufsichtsbehörden zu melden haben. Um genau zu sein, ist die Forderung der DS-GVO, dass die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitgeteilt werden. Um diese Meldepflicht ranken sich mittlerweile so einige Mythen, Vermutungen und Befürchtungen. So wird teilweise vermutet, dass die Aufsichtsbehörden die Tatsache der Bestellung gegen Unternehmenslisten abgleichen und dann einer vermuteten aber nicht erfüllten Pflicht zur Benennung eines Datenschutzbeauftragten nachgehen könnten.

Die DS-GVO fordert ausschließlich die Kontaktdaten

Interessant ist auch, dass die Aufsichtsbehörden bereits in der Vergangenheit zumindest im direkten Gespräch angedeutet haben, dass sie sich natürlich nicht mit den in der DS-GVO beschriebenen Kontaktdaten zufriedengeben werden. Man hätte gerne auch gewusst, welche Person benannt wurde. Kontaktdaten können ja durch aus datenschutz@unternehmen.tld und damit vollkommen anonym sein.

Aufsichtsbehörde Rheinland-Pfalz mit Testformular

Im Januar hat nun mit Rheinland-Pfalz die unseres Wissens erste Aufsichtsbehörde den Schritt in die Öffentlichkeit gewagt und zu Testzwecken(!) ein Online-Meldeformular für die Meldung des Datenschutzbeauftragten nach Art. 37 Abs. 7 veröffentlicht.  Dieses Formular finden Sie hier.

Scheinbar viel mehr Daten gefordert

Es bestätigt die Befürchtung, dass die von der Aufsichtsbehörde geforderten Daten weit über die im Gesetz geforderten Kontaktdaten hinausgehen. Rheinland-Pfalz hätte gerne neben den reinen Kontaktdaten (E-Mailadresse, Telefon, Fax, ggf. noch postalische Anschrift) gewusst, wer die Person des Datenschutzbeauftragten ist, zu wann die Benennung erfolgte, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt und bei einem externen Datenschutzbeauftragten, wer der Dienstleister ist.

Wie schon geschrieben handelt es sich um ein Testformular, wobei wir uns auch ein Stück weit fragen, wer hier testen soll. Die Unternehmen, ob sie ein Online-Formular ausfüllen können? Oder ist es ein Test der Aufsichtsbehörde, ob die Technik dahinter funktioniert? Oder ob ein Aufschrei wegen der zusätzlich abgefragten und nicht von der Verordnung festgelegten Daten kommt? Wir wissen es nicht.

Kaum Pflichtfelder

Wir haben das Formular einmal mit Dummy-Daten durchgetestet. In der Eingabemaske werden zwar sehr viele Daten „gefordert“, füllt man einige Felder jedoch nicht aus (beispielsweise den Namen des Datenschutzbeauftragten) erfolgt dennoch keine Fehlermeldung, sondern die Eingabe wird akzeptiert. Es wirkt ein bisschen so, als solle der falsche Eindruck erweckt werden, die Daten müssten vollständig eingegeben werden in der Hoffnung, möglichst viele Details zu den Datenschutzbeauftragten zu erhalten, die von den Verantwortlichen eigentlich nicht zur Verfügung gestellt werden müssen. Wir waren zumindest in der Lage, zum Datenschutzbeauftragten lediglich eine E-Mailadresse anzugeben (alle anderen Felder blieben leer) und die Daten abzuschicken.

Formular widerspricht Art. 25

Es bleibt zu hoffen, dass von diesem Vorgehen mit dem zukünftigen, „echten“ Formular insofern abgewichen wird, dass die optionalen Felder noch gekennzeichnet werden, damit der falsche Eindruck, es handle sich um Pflichtfelder, nicht zur ungewollten Datensammelei führt. Die derzeitige Gestaltung des Formulars widerspricht unseres Erachtens dem in Art. 25 DS-GVO geforderten Prinzip „privacy-by-design“ und wäre damit unzulässig.

Meldungen vorher per E-Mail – aber nicht in NRW

Zurück zum Formular: Die Aufsichtsbehörde Rheinland-Pfalz bittet darum, Meldungen von Datenschutzbeauftragten vor dem 25.05.2018 per E-Mail vorzunehmen. Das wiederum erfreut uns, schließlich muss die Meldung am 25.05. bei den Aufsichtsbehörden vorliegen. Anders positioniert sich hier die Aufsichtsbehörde Nordrhein-Westfalen. Diese schreibt in einem FAQ-Papier (PDF): „Ab Geltung der DS-GVO (25. Mai 2018) sind Verantwortliche und Auftragsverarbeiter dazu verpflichtet, die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitzuteilen. Vor diesem Zeitpunkt ist eine solche Meldung an die LDI NRW nicht erforderlich. Vorher eingehende Mitteilungen werden nicht berücksichtigt“.

Wir stellen uns gerade vor, wie am 25.05.2018 morgens zwischen 7:00 und 10:00 Uhr die Server des LDI NRW zusammenbrechen, weil alle Unternehmen die Meldung fristgerecht nachholen möchten…

Haben Sie Fragen zur Benennung eines/einer Datenschutzbeauftragten? Sind Sie unsicher bezüglich einer Pflicht zur Benennung? Benötigen Sie Unterstützung bei der Meldung an die Aufsichtsbehörde? Wir unterstützen Sie gerne!