04.05.2018

DSGVO in der Praxis: Müssen die Kontaktdaten aller Datenschutzbeauftragten den Behörden mitgeteilt werden?

Portrait von Niko Härting
Niko Härting

Die DSGVO verpflichtet Unternehmen, die Kontaktdaten ihres Datenschutzbeauftragten zu veröffentlichen (zu Bestellungsvoraussetzungen, Stellung und Aufgaben des Datenschutzbeauftragten Thode, CR 2016, 714 (716 ff.)). Darüber hinaus muss die zuständige Datenschutzbehörde über die Kontaktdaten informiert werden (Art. 37 Abs. 7 DSGVO).

Die Verpflichtung zur Mitteilung der Kontaktdaten an die Aufsichtsbehörde besteht ab dem 25.5.2018. Die Datenschutzbehörden bereiten sich derzeit auf eine Flut eingehender Mitteilungen vor. Die erste große Bewährungsprobe, mit der die Aufsichtsbehörden durch die DSGVO konfrontiert werden.

Ansatz der LDI NRW

Wenn man weiß, dass die Aufsichtsbehörden vielfach noch mit Papierakten arbeiten, bekommt man eine Ahnung, welcher Verwaltungsaufwand mit den eingehenden Mitteilungen verbunden ist. Daher warnt die nordrhein-westfälische Behörde vorsorglich, dass Mitteilungen, die verfrüht eingehen – vor dem 25.5.2018 -, „nicht berücksichtigt“ werden können (LDI NRW, "Mitteilungspflicht der Kontaktdaten von Datenschutzbeauftragten nach DS-GVO", Aktuelles). Dies verbunden mit dem beruhigenden und ausdrücklich als „wichtig“ hervorgehobenem Hinweis, dass

„unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße“

verfolgt oder geahndet werden.

Der Hinweis ist von nicht zu unterschätzender Bedeutung: Nach Art. 83 Abs. 4 lit. a DSGVO kann die unterlassene Mitteilung der Kontaktdaten mit einem Bußgeld von bis zu 10 Mio. EUR (bzw. von bis zu 2 % des weltweiten Jahresumsatzes) geahndet werden.

Ansatz des LDI BW

Vorbildlich ist die baden-württembergische Datenschutzbehörde, die schon jetzt ein Online-Formular bereitstellt, das die Mitteilung der Kontaktdaten des Datenschutzbeauftragten ermöglicht (LDI BW, "DSB online melden"). Als einzige Pflichtangabe zum Datenschutzbeauftragten verlangt die baden-württembergische Behörde dessen E-Mail-Adresse. Mehr dürfen die Aufsichtsbehörden nicht verlangen, da Art. 37 Abs. 7 DSGVO nur die Mitteilung der Kontaktdaten vorschreibt, nicht jedoch die Nennung des Namens.

Jedem Unternehmen, das einen Datenschutzbeauftragten bestellt hat, ist zu empfehlen, dessen E-Mail-Adresse vorsorglich der zuständigen Aufsichtsbehörde mitzuteilen. Förmlichkeiten gelten hierfür nicht. Online-Formulare, wie sie die baden-württembergische Behörde bereitstellt, können verwendet werden, eine Verpflichtung zur Verwendung eines bestimmten Formulars gibt es jedoch nicht.

Keine Pflicht zur Benennung ohne Pflicht zur Bestellung

Ob die Verpflichtung zur Benennung des Datenschutzbeauftragten tatsächlich flächendeckend besteht, ist zweifelhaft. Art. 37 Abs. 7 DSGVO setzt voraus, dass eine Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 DSGVO besteht. Dies ist indes nur bei wenigen Unternehmen der Fall (siehe Thode, CR 2017, 714 (716 f.), nämlich:

  • bei Behörden (Art. 37 Abs. 1 lit. a DSGVO),
  • bei Unternehmen, deren „Kerntätigkeit“ ein „Profiling“ von Bürgern erfordert („umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ (Art. 37 Abs. 1 lit. b DSGVO),
  • bei Unternehmen, deren „Kerntätigkeit“ in der umfangreichen Verarbeitung von Gesundheitsdaten und anderen besonders sensiblen Daten besteht (Art. 37 Abs. 1 lit. c DSGVO).

Pflicht zur Bestellung nur nach nationalem Recht

Bei deutschen Unternehmen folgt die Verpflichtung zur Bestellung eines Datenschutzbeauftragten nicht aus der DSGVO, sondern aus deutschem Recht. Nach § 38 Abs. 1 BDSG-neu bleibt es dabei, dass ein Datenschutzbeauftragter bereits dann bestellt werden muss, wenn ein Unternehmen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. § 38 BDSG-neu enthält jedoch keine Regelung, die ein Unternehmen zur Veröffentlichung von Kontaktdaten oder zur Mitteilung dieser Daten an die zuständige Aufsichtsbehörde verpflichtet.

Folge für Auslegung der Mitteilungspflicht nach Art. 37 Abs. 7 DSGVO

Art. 37 Abs. 7 DSGVO lässt sich nicht mit hinreichender Deutlichkeit entnehmen, dass die Mitteilungspflicht nicht nur für Datenschutzbeauftragte gelten soll, die nach der DSGVO bestellt worden sind, sondern auch dann, wenn die Bestellung nach dem Recht eines Mitgliedsstaats erfolgte. Die Unklarheit, die sich bei Art. 37 Abs. 7 DSGVO feststellen lässt, spricht im Hinblick auf den Grundsatz des Gesetzesvorbehalts und auf den Bestimmtheitsgrundsatz gegen eine Mitteilungspflicht.

 

Zurück