„Müssen wir den Namen unseres Datenschutzbeauftragten in der Datenschutzerklärung nennen?“ Diese Frage hat viele Unternehmen seit Einführung der EU-DSGVO beschäftigt. Das aktuelle Urteil des Bundesgerichtshofs (BGH, Urteil vom 14. Mai 2024 – VI ZR 370/22) bringt nun Klarheit. Wir fassen die wichtigsten Punkte zusammen und erklären, wie Sie die Kontaktdaten Ihres Datenschutzbeauftragten korrekt angeben.
Das Urteil im Überblick
Der BGH hat entschieden, dass Art. 13 Abs. 1 lit. b) EU-DSGVO die namentliche Nennung des Datenschutzbeauftragten nicht verlangt. Entscheidend ist, dass die Erreichbarkeit des Datenschutzbeauftragten sichergestellt wird – der Name ist dafür nicht zwingend erforderlich.
 |
| BGH-Urteil: Keine namentliche Nennung des Datenschutzbeauftragten |
Der BGH argumentiert:
- Die Vorschrift stellt die Funktion des Datenschutzbeauftragten und nicht die Person in den Vordergrund.
- Eine namentliche Nennung könnte die Erreichbarkeit sogar erschweren, etwa bei personellen Veränderungen.
- Für die betroffene Person sind lediglich die Kontaktdaten wichtig, die eine Kontaktaufnahme ermöglichen.
Auch Art. 15 EU-DSGVO („Auskunftsrecht der betroffenen Person“) wurde konkretisiert:
- Unternehmen müssen umfassend Auskunft über gespeicherte Daten geben.
- Unverhältnismäßige Details wie Algorithmen zur Datenbewertung oder Namen aller zugriffsberechtigten Mitarbeiter sind nicht mitzuteilen.
Was bedeutet das für Unternehmen?
Unternehmen müssen keine Namen von Datenschutzbeauftragten (DSB) in Datenschutzerklärungen oder bei Auskunftsbegehren nennen, solange die Kontaktdaten des DSB die Erreichbarkeit gewährleisten.
Konkret betrifft dies:
- Art. 13 Abs. 1 lit. b) EU-DSGVO: Bei Erhebung personenbezogener Daten genügt die Angabe von Kontaktdaten, nicht des Namens.
- Art. 37 Abs. 7 EU-DSGVO: Unternehmen müssen die Kontaktdaten des DSB veröffentlichen und an die Aufsichtsbehörde übermitteln – ohne namentliche Nennung.
Empfehlung: So geben Sie die Kontaktdaten Ihres Datenschutzbeauftragten an
Um Missverständnisse und unnötigen Aufwand zu vermeiden, empfehlen wir die folgende Formulierung:
Beispiel für die Datenschutzerklärung
„Bei allen Fragen rund um den Datenschutz steht Ihnen unser Datenschutz-Team jederzeit zur Verfügung. Sie erreichen uns:
- Per Post: [Ihre Geschäftsadresse] – Zusatz „Datenschutz-Team“
- Per E-Mail: datenschutz@“
Diese Angaben:
- Sichern die Erreichbarkeit Ihres Datenschutzbeauftragten.
- Vermeiden personenbezogene Angaben, die durch Wechsel des DSB veralten könnten.
- Schützen die Anonymität externer DSBs, was in der Praxis häufig gewünscht ist.
Warum keine namentliche Nennung?
In der Praxis sehen wir oft Datenschutzerklärungen, in denen externe Datenschutzbeauftragte mit vollem Namen, Firmenname, Internetadresse und E-Mail-Adresse genannt werden. Das BGH-Urteil macht deutlich, dass dies nicht erforderlich ist – und oft eher aus Marketinggründen geschieht.
Das Urteil betont:
- Datenschutz ist eine organisatorische Funktion, keine Frage von Personen.
- Eine neutrale Formulierung („Datenschutz-Team“) ist ausreichend und vermeidet unnötige Bürokratie.
Was ändert sich für Unternehmen?
- Prüfen Sie Ihre Datenschutzerklärung: Ist der Name Ihres Datenschutzbeauftragten angegeben? Falls ja, überdenken Sie eine Anpassung.
- Kommunizieren Sie transparent: Nutzen Sie die Gelegenheit, Ihre Datenschutz-Kommunikation klar und verständlich zu gestalten.
- Vermeiden Sie unnötige Verkomplizierungen: Setzen Sie auf einfache Kontaktdaten, die unabhängig von Personalwechseln gültig bleiben.
Fazit: Klare Kontaktdaten statt unnötiger Details
Das Urteil des BGH erleichtert den Umgang mit den Kontaktdaten des Datenschutzbeauftragten erheblich. Nutzen Sie die Gelegenheit, Ihre Datenschutzerklärung auf das Wesentliche zu beschränken – und verzichten Sie auf unnötige persönliche Angaben. So handeln Sie rechtssicher und schützen zugleich die Interessen Ihres Datenschutzbeauftragten.
Ihr Consulting-Team THE COMPLIÄNCE by yourIT
„Security in everything we do.“
P.S.: Wir vertreten diese Meinung schon sehr lange. Vgl. dazu unseren Blogbeitrag EU-DSGVO - Kontaktdaten des Datenschutzbeauftragten - Jetzt bloß keine Fehler machen - THE COMPLIÄNCE - Consulting Team by yourIT vom 15.05.2028 - also zu Anbeginn der EU-DSGVO-Zeitrechnung.
