Mittwoch, 16. Mai 2018

EU-DSGVO - Kontaktdaten des Datenschutzbeauftragten - Jetzt bloß keine Fehler machen

Hechingen, 16.05.2018. Noch 9 Tage, dann gilt die EU-DSGVO. Langsam macht sich Hektik breit im deutschen Mittelstand. Die Nerven liegen blank. Auch unser yourIT-Datenschutz-Team bekommt dies zu spüren. Ein Gerücht hat sich in die Köpfe der Verantwortlichen eingebrannt: Angeblich muss bis 25.05.2018 der bestellte Datenschutzbeauftragte dem zuständigen Aufsichtsamt gemeldet werden. Aber stimmt das überhaupt?


yourIT als MythBuster - Diesmal zur Meldung des DSB an die Aufsichtsbehörde

Wo kommen die "Kontaktdaten des Datenschutzbeauftragten" in der EU-DSGVO vor?


Die EU-DSGVO erwähnt an mehreren Stellen die "Kontaktdaten des Datenschutzbeauftragten":
  • Art. 13 DSGVO "Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person":
    Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:


  • a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
    b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; [...]
  • Art. 37 (7) EU-DSGVO Benennung eines Datenschutzbeauftragten:
    Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.


Was sind eigentlich "Kontaktdaten"?


Als Datenschutz-Berater beschäftigen wir uns seit Jahren mit den verschiedenen Datenarten. Zur Datenart "Kontaktdaten" gehören insbesondere:
  • Adresse
  • Telefonnummer
  • E-Mail-Adresse
Die Nennung eines Namens gehört definitiv nicht dazu.

Damit ist das Gerücht widerlegt: Dem zuständigen Aufsichtsamt ist nicht der Datenschutzbeauftragte selbst sondern nur die Kontaktdaten des Datenschutzbeauftragten zu melden. Ein kleiner aber feiner Unterschied.

Auf welche Weise hat die Meldung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsämter zu erfolgen?


Hier sind sich die Aufsichtsämter einig: Die Meldungen sollen ausschließlich online über entsprechende Formulare erfolgen. Anderweitige Meldungen sollen nicht berücksichtigt werden.

Bis wann hat die Meldung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsämter zu erfolgen?


Das Gerücht lautete, dass die Meldung der Kontaktdaten des Datenschutzbeauftragten eigentlich durch den Verantwortlichen bis zum 25.05.2018 durchgeführt werden sollte. Doch manche Aufsichtsämter haben heute, 9 Tage vor dem 25.05.2018, noch nicht mal ein Onlineformular zur Verfügung zu stellen. 

Hier z.B. ein Baustellen-Screenshot der entsprechenden Seite des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) (vgl. https://www.lda.bayern.de/de/dsb-meldung.html):

BayLDA Baustelle Meldung der Kontaktdaten des Datenschutzbeauftragten
BayLDA Baustelle Meldung der Kontaktdaten des Datenschutzbeauftragten

Hier steht: DSB-Meldung - online & sicher - Nach Art. 37 Abs. 7 DS-GVO hat ein Verantwortlicher oder ein Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten (DSB) nicht nur zu veröffentlichen, sondern auch der Aufsichtsbehörde mitzuteilen. Das BayLDA entwickelt derzeit einen neuen Online-Service, der es Verantwortlichen ermöglicht, die hierzu erforderlichen DSB-Meldungen für den nicht-öffentlichen Bereich in Bayern einfach und bequem online durchzuführen. Das Meldeportal wird rechtzeitig zum 25.05.2018 unter dieser Seite erreichbar sein. Verantwortliche, die zur Meldung des DSBs das offizielle Meldeportal nutzen, erhalten nach erfolgter Meldung eine elektronische Bestätigung zur Meldung.

Andere Landes-Aufsichtsämter sind hier schon weiter und stellen ein entsprechendes Online-Formular zur Verfügung, so z.B.

Und wieder wird das Gerücht ein wenig demontiert: Die Meldung der Kontaktdaten des Datenschutzbeauftragten muss also nicht bis zum 25.05.2018 erfolgen sondern ab dem 25.05.2018.

Das ULD schreibt hierzu: "Eine Meldung ist erst mit dem Wirksamwerden der DSGVO und des BDSG (neu) bzw. landesrechtlicher Regelungen ab dem 25.05.2018 erforderlich."

Jetzt können ja nicht alle Unternehmen in Deutschland direkt am 25.05.2018 die Kontaktdaten des Datenschutzbeauftragten an ihr zuständiges Landesamt übermitteln. Dafür sind die Melde-Formulare vermutlich nicht vorbereitet. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen lenkt daher bereits ein. Folgende Meldung findet sich auf seiner Seite:

"WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden." (vgl. https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Mitteilungspflicht-der-Kontaktdaten-von-Datenschutzbeauftragten-nach-DS-GVO/Mitteilungspflicht-der-Kontaktdaten-von-Datenschutzbeauftragten-nach-DS-GVO.html)

LDI Baustelle Meldung der Kontaktdaten des Datenschutzbeauftragten
LDI Baustelle Meldung der Kontaktdaten des Datenschutzbeauftragten

Welche "Kontaktdaten des Datenschutzbeauftragten" müssen gemeldet werden?


Das ULD schreibt hierzu: "Die für die Meldung der Datenschutzbeauftragten erforderlichen Daten werden derzeit unter den Datenschutzbeauftragten des Bundes und der Länder abgestimmt."

Aber hier besteht wohl noch Uneinigkeit unter den Aufsichtsämtern.


Andere Aufsichtsämter verlangen zusätzliche Pflichtangaben zum DSB wie:
    • Firma (bei externen DSB)
    • Dienstliche Adresse
    • Bestelldatum
    • Ort/Medium der Veröffentlichung
    • Sonstige Funktionen (bei internen DSB)

Von Abstimmung leider keine Spur. Es herrscht anscheinend totale Uneinigkeit unter den Aufsichtsbehörden, welche Angaben denn nun zu den "Kontaktdaten des Datenschutzbeauftragten" zählen.

Auf Anfrage senden wir Ihnen gerne eine vollständige Übersicht der Pflichtangaben der Aufsichtsämter der Bundesländer sowie der Meldeformulare zur Verfügung.


Fazit


Die Meldung der Kontaktdaten des Datenschutzbeauftragten sollte durch den Verantwortlichen zwischen dem 25.05.2018 und dem 31.12.2018 über das dann hoffentlich von jedem zuständigen Aufsichtsamt bereitgestellten Online-Meldeformular zu erfolgen. Hektik ist also derzeit überhaupt nicht angebracht.

In meinen Augen werden sich hier auf die E-Mail-Adresse als zu Meldende "Kontaktdaten des Datenschutzbeauftragten" einigen. Denn der Name gehört nicht zu den Kontaktdaten.

Tipp des Datenschutz-Profis


Bei der Meldung der Kontaktdaten des Datenschutzbeauftragten sollte sich der Verantwortliche unbedingt an den Datenschutz-Grundsatz der Datenminimierung halten:

"Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden. Dieser Grundsatz ähnelt im Übrigen dem bisher bestehenden Grundsatz der Datenvermeidung und der Datensparsamkeit nach § 3a BDSG.

Es werden daher bitte ausschließlich Pflichtfelder ausgefüllt! Wer outet sich schon gerne durch die Preisgabe zu vieler personenbezogener Daten als Datenschutz-Laie?


Ich freue mich auf Ihre Rückmeldungen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Sie benötigen Unterstützung bei der Umstellung auf die EU-DSGVO, z.B. bei der datenschutzkonformen Gestaltung des Internetauftritts und der Datenschutzerklärung? Oder haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.