Freitag, 6. Dezember 2019

ULD schickt "IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragte/r"

Heute haben wir gleich mehrere gleichlautende Anfragen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) erhalten:


Betreff: IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragte/r


Wir haben folgende E-Mail vom ULD erhalten. Die E-Mail-Adresse des Absenders lautet dsb-auskunft@datenschutzzentrum.de.

"Sehr geehrte Dame, sehr geehrter Herr, 
nach unseren Informationen wurden Sie als Datenschutzbeauftragte/r bestellt. Im Rahmen der Meldepflicht nach Artikel 37 Abs. 1 Datenschutzgrundverordnung (DSGVO) müssen Verantwortliche der zuständigen Aufsichtsbehörde melden, wer ihre Datenschutzbeauftragten sind. Dem Unabhängigen Landeszentrum für Datenschutz (ULD) wurden Vorname, Nachname und E-Mail (Pflichtfelder) sowie freiwillig Postanschrift und Telefonnummer gemeldet.

IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragter ULD
E-Mail des ULD an yourIT: IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragter

Bei uns ist zu Ihrer Person folgende E-Mail-Adresse gespeichert: 
   vorname.nachname@yourit.de

Sie wurde von folgendem Verantwortlichen gemeldet: 
   Musterfirma GmbH, Musterplatz 1, 25524 Itzehoe

Das ULD ist als öffentliche Stelle des Landes Schleswig-Holstein eine informationspflichtige Stelle nach dem Informationszugangsgesetz SH (IZG SH, Link: siehe unten). Es hat auf Anfrage bei ihm gespeicherte Informationen herauszugeben, es sei denn, es bestehen Ausschlussgründe nach § 9 IZG SH (Schutz öffentlicher Belange) oder § 10 IZG SH (Schutz privater Belange). 

In diesem Zusammenhang hat das ULD eine Anfrage erreicht, die die Kontaktdaten von Verantwortlichen und die E-Mail-Adressen der gemeldeten Datenschutzbeauftragten beinhaltet. Grundsätzliche Ablehnungsgründe dieser Anfrage sind nicht ersichtlich, sodass diese Anfrage von uns beantwortet werden wird: In den meisten Fällen nennen die Verantwortlichen eine E-Mail-Adresse zur Erreichbarkeit der/des Datenschutzbeauftragten auf ihrer Webseite, sodass im Standardfall nicht davon auszugehen ist, dass Ausschlussgründe gegen die Herausgabe bestehen. 

Sollten Sie doch für Ihren Einzelfall der Meinung sein, dass Ihre E-Mail-Adresse nicht herausgegeben werden darf, bitten wir um Mitteilung der Gründe bis zum 16.12.2019. Wir werden dies dann gemäß den Vorgaben des IZG SH bei der Entscheidung, ob eine Herausgabe erfolgt oder nicht, berücksichtigen. 

Sofern Sie der Ansicht sind, dass die gespeicherte E-Mail-Adresse durch eine andere E-Mail-Adresse ersetzt werden sollte (beispielsweise durch eine Funktionsadresse wie 'datenschutz@xyz.de' anstelle einer namentlichen Adresse), kann der Verantwortliche, der die/den Datenschutzbeauftragte/n benannt hat, eine Änderung bei uns melden. 

Mit freundlichen Grüßen 
Ihr ULD-Team"

Alle bisher erhaltenen Anschreiben sind bis auf den Verantwortlichen und die gemeldete E-Mail-Adresse identisch. Es handelt sich also allem Anschein nach um eine Serienmail oder zumindest eine Vorlage des ULD.

Eine korrekte Meldung der Kontaktdaten des Datenschutzbeauftragten gem Art. 37 Abs. 7 EU-DSGVO an die Aufsichtsbehörden ist wohl doch erstrebenswert. Denn dieses Schreiben kam ausschließlich zu Kundenbeziehungen, bei denen nicht die E-Mail-Adresse Datenschutz@Kunden-Domain.de gemeldet wurde. Wir hatten die betroffenen Kunden mehrfach um eine Korrektur der E-Mail-Adresse gebeten.

Wir werden nun
a) über unseren Kunden dem ULD die korrekte E-Mail-Adresse "Datenschutz@Kunden-Domain.de" melden;
b) danach dem ULD entsprechend Rückmeldung geben. Die Frist hierfür beträgt gerade mal 1 Arbeitswoche.

Blöd ist nur, dass das Aufsichtsamt durch die Unsorgfältigkeit auf uns und unsere Kunden aufmerksam wurde. Wir werden sehen, was daraus wird...

Update 07.12.2019:

Wir haben das selbe Anschreiben jetzt auch zu einem Kunden erhalten, der die Meldung des DSB korrekt mit der E-Mail-Adresse Datenschutz@Kunden-Domain.de durchgeführt hatte.

Es da draußen bestimmt noch mehr Datenschutzbeauftragte geben, die solche Anschreiben des ULD erhalten haben. Wir freuen uns auf Rückmeldung...

Update 09.12.2019:


Heute hat sich das ULD auf seiner Website zu den E-Mails an Datenschutzbeauftragte vom 06.12.2019 schriftlich zu Wort gemeldet vgl. https://www.datenschutzzentrum.de/artikel/1305-.html).

Hintergrund der bisher dubiosen Anfrage: An das ULD wurde eine Anfrage nach dem Informationszugangsgesetz  (IZG) gestellt, die vom ULD zu beantworten ist. Ihr Gegenstand  ist die Herausgabe von  Kontaktinformationen aller Datenschutzbeauftragten, die beim ULD gespeichert sind.

Insgesamt wurden so vom ULD am Freitag ca. 4.500 E-Mails an Datenschutzbeauftragte versendet.

Zum Glück versteht das ULD unter dem Begriff "Kontaktdaten des Datenschutzbeauftragten" das selbe wie wir: Es soll lediglich die an das Landesamt gem. Art. 37 (7) EU-DSGVO gemeldete E-Mail-Adresse des DSB an den Anfrager herausgegeben werden.

In unserem Blogbeitrag "EU-DSGVO - Kontaktdaten des Datenschutzbeauftragten - Jetzt bloß keine Fehler machen" vom 16.05.2018 hatten wir die unterschiedliche Auffassung der Datenschutz-Aufsichtsämter der Bundesländer in Bezug auf den Inhalt der Meldung der Kontaktdaten des Datenschutzbeauftragten durch den Verantwortlichen (und den Auftragsverarbeiter) bereits beklagt.

Das LFDI Baden-Württemberg versteht hierunter lediglich:
  • die E-Mail-Adresse des DSB (i.d.R. datenschutz@....de)

Mehr "Datenminimierung" und "Datensparsamkeit" geht nicht.

Das ULD Schleswig-Holstein möchte mindestens folgende (Kontakt-) Daten des DSB gemeldet bekommen:
  • die E-Mail-Adresse des DSB (i.d.R. datenschutz@....de)
  • Name und Vorname des DSB
  • Bestelldatum

Andere Aufsichtsämter fordern daneben die Meldung weiterer (Kontakt-) Daten des DSB, wie z.B.:
  • Anrede
  • Telefonnummer
  • Faxnummer
  • Firma (bei externen DSB)
  • Dienstliche Adresse
  • Ort/Medium der Veröffentlichung
  • Sonstige Funktionen (bei internen DSB)

Es hätte also für die Datenschutzbeauftragten wesentlich schlimmer kommen können...

Wenn alle angeschriebenen Datenschutzbeauftragten nun

  1. die vom ULD gemeldeten dort bekannten E-Mail-Adressen kontrollieren und
  2. ggf. von den Verantwortlichen in der Form "Datenschutz@Kunden-Domain.de" nachmelden lassen (Link: https://www.datenschutzzentrum.de/formular/meldung-dsb.php),
bekommt der Anfrager vom ULD lediglich eine Liste der Kontaktdaten der beim ULD gemeldeten Verantwortlichen mit zugeordneter E-Mail-Adresse "Datenschutz@Kunden-Domain.de" geliefert.

Er spart sich also die sonst mühevolle Auswertung der Datenschutzerklärungen der Verantwortlichen. Denn dort wären die selben Daten aufgeführt.

Wir dürfen gespannt sein, was der Anfrager damit anfangen möchte...

Leider ist es bisher vom ULD nicht vorgesehen, den Namen des/der Anfragenden an die Verantwortlichen bzw. die Datenschutzbeauftragten bekanntzugeben.