Anfang des Jahres haben wir uns bereits mit einem Artikel zum Thema der „Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde“ beschäftigt. Ende August 2018 veröffentlichte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Pressemitteilung, aus der hervorgeht, dass über das Online-Portal, welches am 17. Juli 2018 freigeschaltet wurde, bis dato mehr als 10.000 Verantwortliche ihre Datenschutzbeauftragten an die Behörde gemeldet haben.

Aktuelle Situation in anderen Bundesländern?

Wie sieht es jedoch mit der Meldung des Datenschutzbeauftragten (DSB) aktuell aus? Wie kann ein Unternehmen seinen Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde melden? Und was meint die jeweilige Behörde in diesem Zusammenhang wissen zu müssen (zu dürfen)? Sind der jeweils zuständigen Behörde nach wie vor sehr umfangreiche Informationen über den Datenschutzbeauftragten mitzuteilen?

Nach wie vor ein Meldungs-Chaos

Wir machten uns ein Bild und stellten dabei fest, dass es bei den Aufsichtsbehörden nach wie vor keine einheitliche Linie gibt. Je nach Bundesland gibt es zum Teil sehr unterschiedliche Regelungen bezüglich der zu erstellenden Meldung.

Die einzelnen Behörden fragen sehr unterschiedliche Informationen ab und gestalten den Prozess der Meldung sehr uneinheitlich. Es gibt Behörden, die ein Online-Formular entweder mit oder ohne eine zuvor durchzuführende Registrierung zur Verfügung stellen. Andere Behörden bitten um die Einsendung einer (formlosen) Meldung per E-Mail.

Weiterhin verlangen die meisten Behörden mehr als nur die Kontaktdaten des DSB. Die meisten erheben neben einer E-Mail-Adresse und einer Telefonnummer (zum Teil auch obligatorisch) den Namen, Vornamen, Anschrift und die Telefonnummer des DSB.

Dadurch entsteht eine widersprüchliche Situation. Auf der einen Seite verpflichtet die DS-GVO die Verantwortlichen, personenbezogene Daten möglichst sparsam zu erheben, auf der anderen Seite erwarten die Behörden deutlich mehr Informationen als es die DS-GVO vorgibt. Unseres Erachtens ist dies ein Verstoß gegen Art. 5 DS-GVO, da das Prinzip der Datensparsamkeit verletzt wird. Denn nach der DS-GVO in ihrer aktuellen Fassung ist der Verantwortliche gemäß Art. 37 Abs. 7 DS-GVO lediglich verpflichtet, die Kontaktdaten des DSB der zuständigen Behörde mitzuteilen. Weitere Daten sind gemäß DS-GVO nicht zur Verfügung zu stellen. Die Aufsichtsbehörde in Berlin hat die DS-GVO diesbezüglich übrigens besser verstanden und verlangt zur Meldung nur die nach DS-GVO notwendigen Daten.

Wenn die Behörde die erhobenen personenbezogenen Daten des DSB verarbeitet, müsste sie den jeweiligen Datenschutzbeauftragten nach Art. 14 DS-GVO über die Datenverarbeitung innerhalb eines Monats informieren. Uns ist bisher nicht bekannt, dass die Behörden, diese Informationen zur Verfügung stellen.

Wie könnte eine Problemlösung aussehen?

Es ist schade, dass man es versäumt hat, nach dem Vorbild der Zentralen Anlaufstelle (ZASt), die Meldung des Datenschutzbeauftragten bundesweit zu koordinieren und zur Vereinfachung (und Entbürokratisierung) einheitlich zu gestalten. Denn auf europäischer Ebene scheint es ja zu funktionieren. Bezüglich der Funktionsbeschreibung der ZASt findet man auf der Seite der BfDI folgende Beschreibung: „Die Zentrale Anlaufstelle koordiniert im europaweit einmaligen föderalen deutschen System mit Datenschutzbehörden des Bundes und der 16 Bundesländer die grenzübergreifende Zusammenarbeit mit den anderen Mitgliedstaaten der Europäischen Union, dem Europäischen Datenschutzausschuss (EDSA) und der Europäischen Kommission.“

Ob man auf nationaler Ebene hier tatsächlich eine Art zentraler Anlaufstelle ins Leben ruft oder sich lediglich besser koordiniert und abspricht, ist letztlich unerheblich. Woran es liegt, dass eine solche überregionale Abstimmung auf nationaler Ebene bisher ausgeblieben ist, wissen wir nicht. Aktuell haben wir es jedenfalls mit einer bunten Vielfalt an Meldemöglichkeiten (oder auch -unmöglichkeiten) zu tun, was böse Zungen als Flickenteppich bezeichnen.

Fazit

Es gibt für die Verantwortlichen bisher also keine Gewissheit, wie eine rechtskonforme Meldung des Datenschutzbeauftragten vorzunehmen ist. Unter den gegebenen Umständen ist auch eine zufriedenstellende Beratung unserer Mandanten teilweise schwierig.

Ein solches Vorgehen ist ein schlechtes Signal an die ohnehin verunsicherte Öffentlichkeit und trägt auch wenig dazu bei, das teilweise schlechte Image der DS-GVO unter den Verantwortlichen zu verbessern. Deshalb hoffen wir, dass die zuständigen Behörden künftig für mehr Rechtssicherheit sorgen, indem sie ihr Handeln auch auf nationaler Ebene besser abstimmen und untereinander mehr kooperieren.

Haben Sie Fragen zur Benennung eines/einer Datenschutzbeauftragten? Sind Sie unsicher bezüglich einer Pflicht zur Benennung? Benötigen Sie Unterstützung bei der Meldung an die Aufsichtsbehörde? Wir unterstützen Sie gerne!