datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert

Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde – Erstes Testformular

Art. 37 Abs. 7 DSGVO regelt, dass alle Verantwortlichen ihre benannten Datenschutzbeauftragten an die Aufsichtsbehörden zu melden haben. Um genau zu sein, ist die Forderung der DSGVO, dass die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitgeteilt werden. Um diese Meldepflicht ranken sich mittlerweile so einige Mythen, Vermutungen und Befürchtungen. So wird teilweise vermutet, dass die Aufsichtsbehörden die Tatsache der Bestellung gegen Unternehmenslisten abgleichen und dann einer vermuteten aber nicht erfüllten Pflicht zur Benennung eines Datenschutzbeauftragten nachgehen könnten.

Die DSGVO fordert ausschließlich die Kontaktdaten

Interessant ist auch, dass die Aufsichtsbehörden bereits in der Vergangenheit zumindest im direkten Gespräch angedeutet haben, dass sie sich natürlich nicht mit den in der DSGVO beschriebenen Kontaktdaten zufrieden geben werden. Man hätte gerne auch gewusst, welche Person benannt wurde. Kontaktdaten können ja durch aus und damit vollkommen anonym sein.

Aufsichtsbehörde Rheinland-Pfalz mit Testformular

Im Januar hat nun mit Rheinland-Pfalz die unseres Wissens erste Aufsichtsbehörde den Schritt in die Öffentlichkeit gewagt und zu Testzwecken(!) ein Online-Meldeformular für die Meldung des Datenschutzbeauftragten nach Art. 37 Abs. 7 veröffentlicht.  Dieses Formular finden Sie hier.

Scheinbar viel mehr Daten gefordert

Es bestätigt die Befürchtung, dass die von der Aufsichtsbehörde geforderten Daten weit über die im Gesetz geforderten Kontaktdaten hinausgehen. Rheinland-Pfalz hätte gerne neben den reinen Kontaktdaten (E-Mailadresse, Telefon, Fax, ggf. noch postalische Anschrift) gewusst, wer die Person des Datenschutzbeauftragten ist, zu wann die Benennung erfolgte, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt und bei einem externen Datenschutzbeauftragten, wer der Dienstleister ist.

Wie schon geschrieben handelt es sich um ein Testformular, wobei wir uns auch ein Stück weit fragen, wer hier testen soll. Die Unternehmen, ob sie ein Online-Formular ausfüllen können? Oder ist es ein Test der Aufsichtsbehörde, ob die Technik dahinter funktioniert? Oder ob ein Aufschrei wie dieser hier kommt? Wir wissen es nicht.

Kaum Pflichtfelder

Wir haben das Formular einmal mit Dummy-Daten durchgetestet. In der Eingabemaske werden zwar sehr viele Daten “gefordert”, bleiben Felder leer (z. B. der Name des Datenschutzbeauftragten) gibt es allerdings keine Fehlermeldung. Es wirkt ein bisschen so, als solle der falsche Eindruck erweckt werden, die Daten müssten vollständig eingegeben werden in der Hoffnung, möglichst viele Details zu den Datenschutzbeauftragten zu erhalten, die von den Verantwortlichen eigentlich nicht zur Verfügung gestellt werden müssen. Wir waren zumindest in der Lage, zum Datenschutzbeauftragten lediglich eine E-Mailadresse anzugeben (alle anderen Felder blieben leer) und die Daten abzuschicken.

Formular widerspricht Art. 25

Es bleibt zu hoffen, dass von diesem Vorgehen mit dem zukünftigen, “echten” Formular höchstens insofern abgewichen wird, dass die optionalen Felder noch gekennzeichnet werden, damit der falsche Eindruck, es handle sich ausschließlich um Pflichtfelder, nicht zur ungewollten Datensammelei führt. Die derzeitige Gestaltung des Formulars widerspricht unseres Erachtens dem in Art. 25 DSGVO geforderten Prinzip “privacy-by-design” und wäre damit eigentlich gar nicht zulässig.

Meldungen vorher per E-Mail – aber nicht in NRW

Zurück zum Formular: Die Aufsichtssbehörde Rheinland-Pfalz bittet darum, Meldungen von Datenschutzbeauftragten vor dem 25.05.2018 per E-Mail vorzunehmen. Das widerum erfreut uns, schließlich muss die Meldung am 25.05. bei den Aufsichtsbehörden vorliegen. Anders positioniert sich hier die Aufsichtsbehörde Nordrhein-Westfalen. Diese schreibt in einem FAQ-Papier (PDF): “Ab Geltung der DSGVO (25. Mai 2018) sind Verantwortliche und Auftragsverarbeiter dazu verpflichtet, die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitzuteilen. Vor diesem Zeitpunkt ist eine solche Meldung an die LDI NRW nicht erforderlich. Vorher eingehende Mitteilungen werden nicht berücksichtigt“.

Wir stellen uns gerade vor, wie am 25.05.2018 morgens zwischen 7:00 und 10:00 Uhr die Server des LDI NRW zusammenbrechen, weil alle Unternehmen die Meldung fristgerecht nachholen möchten…

Haben Sie Fragen zur Benennung eines/einer Datenschutzbeauftragten? Sind Sie unsicher bezüglich einer Pflicht zur Benennung? Benötigen Sie Unterstützung bei der Meldung an die Aufsichtsbehörde? Wir unterstützen Sie gerne,


Diesen Beitrag teilen