Meldung Datenschutzbeauftragter

Datenschutz Verstehen – Die Meldung des Datenschutzbeauftragten

Kurze Zusammenfassung

Seit dem 25.05.2018, also seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO), sind Unternehmen bzw. die Verantwortlichen oder Auftragsverarbeiter, welche personenbezogene Daten verarbeiten, dazu verpflichtet die Kontaktdaten Ihres Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitzuteilen (Artikel 37 Abs. 7 DSGVO). Der Datenschutzbeauftragte kann sich auch selbst melden. Dies ist jedoch nur dann möglich, wenn er diverse Unterlagen der zuständigen Aufsichtsbehörde vorlegen kann. Hierzu zählen unter anderem der Nachweis der Benennung und eine Vollmacht des Verantwortlichen, die klar Stellt, dass er im Namen des Verantwortlichen diese Meldung durchführen darf. Die genaue Form der Übermittlung wurde jedoch gesetzlich nicht festgelegt, weshalb es den Aufsichtsbehörden obliegt einen einheitlichen Meldevorgang zu gewährleisten und ein Chaos bei diesem Vorgang zu vermeiden.

Aber wieso muss der Datenschutzbeauftragte überhaupt gemeldet werden? Abgesehen davon, dass eine Meldung verpflichtend ist, sofern die gesetzlichen Anforderungen für die Benennung des Datenschutzbeauftragten erfüllt sind, drohen bei Missachtung dieser Verpflichtung hohe Bußgelder. Neben der Erstmeldung bei Benennung des Datenschutzbeauftragten, müssen ebenfalls Änderungen (mit Nennung des Änderungsdatums) z.B. bei Veränderungen der Kontaktdaten des DSB und Löschungen (mit Nennung des Kündigungsdatums und -grundes) bei Abberufung des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde gemeldet werden.

 

Wann muss ein Datenschutzbeauftragter gemeldet werden?

Wie bereits im vorherigen Verlauf angemerkt muss ein Datenschutzbeauftragter gem. Artikel 37 Abs. 7 DSGVO immer dann gemeldet werden, sofern er überhaupt notwendig ist. Nach Artikel 37 DSGVO muss ein Datenschutzbeauftragter benannt werden, wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten ( wie z.B. rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeiten, genetische oder biometrische Daten, etc. gemäß Artikel 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (gemäß Artikel 10) besteht.

Muss der Datenschutzbeauftragte auch gegenüber meinen Kunden, Mitarbeiter veröffentlicht werden?

Mit der Pflicht zur Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten gemäß Art. 37 Abs. 7 DSGVO und  der Pflicht zur Verlinkung der Kontaktdaten in der Datenschutzerklärung der Website (gem. Artikel 11-13 DSGVO) will der Gesetzgeber sicherstellen, dass sich Betroffene sowie Auskunftsersuchende bei Fragen oder Datenschutzverletzungen an den Datenschutzbeauftragten wenden können. Der Datenschutzbeauftragte muss demnach jederzeit und unmittelbar mindestens per E-Mail-Adresse erreichbar sein.

Sobald die Bestellung des DSB wirksam ist, muss dieser schnellstmöglich gemeldet werden. Doch wie sieht so eine Bestellung überhaupt aus? Informationen hierzu finden Sie im Artikel “Datenschutzbeauftragter: Ab wann bestellen?” unseres Blogs.

 

Wo melde ich einen Datenschutzbeauftragten?

Unternehmen mit mindestens 10 Mitarbeitern, welche ständig personenbezogene Daten verarbeiten, sind dazu verpflichtet einen Datenschutzbeauftragten zu stellen (Artikel 38 DSGVO). Dabei ist es irrelevant ob dieser ein interner Mitarbeiter oder ein externer Dienstleister ist. Wie Sie bereits wissen, ist es jedoch mit der Ernennung eines Datenschutzbeauftragten noch nicht getan. Um den Einhaltungen der Informationspflichten gerecht zu werden, müssen Sie die Kontaktdaten des Datenschutzbeauftragten veröffentlichen (z.B. auf der Unternehmenswebsite) und diesen bei der zuständigen Aufsichtsbehörde melden.

Liste der Aufsichtsbehörden mit Links zur Meldung des Datenschutzbeauftragten

Damit Sie wissen wo Sie Ihren Datenschutzbeauftragten melden müssen, finden Sie nachfolgend eine Liste der Meldeportale der Aufsichtsbehörden.

Welche Daten müssen bei der Meldung des Datenschutzbeauftragten angegeben werden?


Bei der Meldung müssen mindestens Name, Anschrift, Telefonnummer und E-Mail-Adresse des datenverarbeitenden Unternehmens und der mitteilungspflichten Stelle genannt werden. Außerdem müssen Anrede, Vor- und Nachname sowie die E-Mail-Adresse des Datenschutzbeauftragten genannt werden, die Angabe der persönlichen Adresse ist hier nicht zwingend notwendig.

Darüberhinaus ist der Datenschutzbehörde zu melden ob der Datenschutzbeauftragte seine Funktion auf der Grundlage eines Dienstleistungsvertrages erfüllt, also ein externer Datenschutzbeauftragter bestellt wurde.

Ist ein interner Datenschutzbeauftragter benannt, kann gemeldet werden welche sonstigen Funktionen dieser Mitarbeiter im Unternehmen hat, um ggf. einen vorliegenden Interessenkonflikt erkennen zu können. Zur Nennung der Funktion besteht jedoch keine Verpflichtung. 

 

Welche Aufsichtsbehörde ist für die Meldung zuständig?

Jede Aufsichtsbehörde ist gem. Artikel 55 Abs. 1 DSGVO für die Erfüllung der Aufgabe und die Ausübung der Befugnisse, die ihr übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaates zuständig. Für Unternehmen und andere nicht-öffentliche Stellen in Deutschland sind grundsätzlich weiterhin die örtlich zuständigen Landesaufsichtsbehörden zuständig.

Ausschlaggebend hierfür ist der Hauptsitz des Unternehmens auf Bundesländer-Ebene. Je nach Bundesland gibt es demnach jeweils eine Aufsichtsbehörde. In Nordrhein-Westfalen ist dies zum Beispiel die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen mit Ihrem Sitz in Düsseldorf.

Wer eine Beratungen benötigt, darf diese auch bei anderen Aufsichtsbehörden anfragen, verpflichtet sind diese aber nur bei Fragen zu Datenschutz-Folgeabschätzungen zu beraten. Dennoch bemühen sich die Behörden grundsätzlich aber, die Fragen zur DSGVO zu beantworten, auch wenn die Angebote hier beschränkt sind.

Was passiert nach der Meldung des Datenschutzbeauftragten? 

Nach erfolgreicher Meldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde besteht die Möglichkeit, eine elektronische Bestätigung der erfolgreichen Meldung bei der Aufsichtsbehörde als Nachweis für die eigene Dokumentation zu erhalten. Dieser Nachweis wird zum Beispiel im Falle einer Datenpanne benötigt. Denn der Verantwortliche muss unverzüglich und binnen 72 Stunden, nachdem ihm die Verletzung des Schutzes personenbezogener Daten bekannt wurde,  diese gem. Artikel 55 DSGVO zusammen mit allen benötigten Informationen nach Artikel 33 DSGVO Abs. 3 (wie unter anderem die Kontaktdaten des Datenschutzbeauftragten und dem Nachweis der Meldung) bei der zuständigen Aufsichtsbehörde melden.

 

Was passiert, wenn der Datenschutzbeauftragte nicht gemeldet wird?

Es muss vom Unternehmen bzw. des Verantwortlichen nachgewiesen werden, dass ein Datenschutzbeauftragter vorhanden und bestellt worden ist, ansonsten geht man das Risiko von hohen Bußgeldern ein (Artikel 82 – 84 DSGVO). Bei Verstößen gegen die folgenden Bestimmungen werden somit im Einklang mit Artikel 83 Abs. 2 DSGVO Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.

Menü