DSGVO Der Meldepflicht eines Datenschutzbeauftragten sind erst rund 30 Prozent der Unternehmen nachgekommen

Viele Unternehmen wissen noch nicht einmal ob sie überhaupt einen Datenschutzbeauftragten (DSB) bestellen müssen.

Gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten.

Gemäß Artikel 37 der Datenschutzgrundverordnung ist ein Datenschutzbeauftragter zwingend zu benennen, wenn im betroffenen Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das Beschäftigungsverhältnis spielt dabei keine Rolle. Unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ist ein Datenschutzbeauftragter immer auch dann zu benennen, wenn personenbezogene Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung (Risikoanalyse:  Risiko & Beurteilung von Datenschutzfällen) unterliegen oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Die Datenschutz-Folgenabschätzung gab es im deutschen Datenschutzrecht bisher schon als Vorabkontrolle nach § 4d Abs. 5 BDSG. Mit der Datenschutz-Folgenabschätzung sind vor Beginn einer geplanten Datenverarbeitung mögliche Risiken zu analysieren die einzelne Datenverarbeitungsvorgänge für die Betroffenen mit sich bringen können. Diese Folgen sind abzuschätzen und zu dokumentieren.

Gesetzliche Verpflichtung zur Meldung des Datenschutzbeauftragten.

Unternehmen, die personenbezogene Daten verarbeiten und Auftragsdatenverarbeiter müssen seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 die Kontaktdaten ihres internen oder externen Datenschutzbeauftragten der zuständigen Datenschutzbehörde melden. Diese Verpflichtung ist in Art. 37 Abs.7 DSGVO normiert. Aktuelle Untersuchungen zeigen aber das viele Unternehmen ihrer Meldepflicht bisher nicht nachgekommen sind.
Die Meldepflicht umfasst eine Erstmeldung bei Benennung des DSB, eine Änderungsmeldung (mit Datum) bei personeller Veränderung des DSB und eine Löschungsmeldung (mit Datum und Grund) bei Abberufung des DSB.

Welche Daten sind der Datenschutzbehörde zu melden?

Mindestens zu melden sind Name, Anschrift, Telefonnummer und E-Mail-Adresse des datenverarbeitenden Unternehmens. Desweiteren sind meldepflichtig Name, Anschrift, Telefonnummer und E-Mail-Adresse der mitteilungspflichtigen Stelle (mps) sowie schließlich die Kontaktdaten des DSB. Das sind Anrede, Vorname, Name und E-Mail-Adresse. Die persönliche Adresse (Privatadresse) des DSB ist nicht meldepflichtig.
Darüberhinaus ist der Datenschutzbehörde zu melden ob der DSB seine Funktion auf der Grundlage eines Dienstleistungsvertrages erfüllt, also ein externer DSB bestellt wurde.
Ist ein interner DSB benannt, kann gemeldet werden welche sonstigen Funktionen dieser im Unternehmen hat. Dazu besteht keine Verpflichtung. Die Meldung ist aber hilfreich um mögliche Interessenskonflikte erkennen zu können.

 

Gesetzliche Verpflichtung zur Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten

Mit der Pflicht zur Veröffentlichung der Kontaktdaten des DSB gemäß Art. 37 Abs. 7 DSGVO will der Gesetzgeber sicherstellen, dass sich Betroffene an den DSB wenden können. Die Veröffentlichung der Kontaktdaten erfolgt in der Regel über die Unternehmens-Webseite. Es ist, wie schon bei der Meldung, auch hier nicht erforderlich den Namen oder die Privatadresse des DSB zu veröffentlichen. Ausreichend ist die E-Mail-Adresse. Der/die Datenschutzbeauftragte (DSB) muss immer unmittelbar per E-Mail erreichbar sein. Der Verantwortliche für die Datenverarbeitung hat die E-Mail-Adresse einzurichten und dabei zwei Bedingungen sicherzustellen:

  • Nur der DSB (oder ggf. sein Vertreter) darf die Nachrichten abrufen bzw. lesen.
  • Der E-Mail-Posteingang muss regelmäßig abgerufen werden (z.B. einmal wöchentlich).

Die alleinige Abruf- bzw. Leseberechtigung des DSB oder seines Stellvertreters, ist der gesetzlichen Verschwiegenheitsverpflichtung des DSB zunächst gegenüber der verantwortlichen Stelle (inkl. Geschäftsleitung und Personalvertretung), sonstigen Dritten und den Aufsichtsbehörden geschuldet.

 

Lesen Sie hierzu auch:

DSGVO für Unternehmen. Immer noch 40 Prozent Nicht DSGVO-Konform

Datenschutzbeauftragter Aufgaben und Pflichten