Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Nicht vergessen: Verlautbarung der Kontaktdaten des DSB
DP+
Bild: iStock.com / venuestock
Was ist genau zu tun?
Mit der DSGVO müssen mehr Unternehmen einen DSB benennen, der u.a. die Datenverarbeitungsprozesse überwacht. Doch mit der bloßen Benennung im „Verborgenen“ ist es nicht ganz getan.
Eine bisher wenig beachtete Pflicht im Zusammenhang mit der Benennung des Datenschutzbeauftragten findet sich in Art. 37 Abs. 7 Datenschutz-Grundverordnung (DSGVO) ganz am Ende der Vorschrift.
Sie verpflichtet den Verantwortlichen zu einigen öffentlichkeitswirksamen Maßnahmen.
Veröffentlichungs- und Mitteilungspflicht
Hiernach müssen die Kontaktdaten des DSB veröffentlicht und der zuständigen Aufsichtsbehörde (Art. 55 und 56 DSGVO) mitgeteilt werden.
Es reicht daher weder die bloße Veröffentlichung allein, ohne Meldung an die Aufsichtsbehörde, noch die bloße Meldung an die Aufsichtsbehörde ohne entsprechende Veröffentlichung.
Diese Pflicht gilt sowohl für öffentliche als auch für nichtöffentliche Stellen als Verantwortliche für die Datenverarbeitung sowie für Auftragsverarbeiter.
Für öffentliche Stellen gibt es eine entsprechende Regelung in § 5 Abs. 5 BDSG. (Die Bezeichnung „BDSG“ bezieht sich in diesem Beitrag auf das neue BDSG.) Hiernach sind – neben der Veröffentlichung – der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die Kontaktdaten mitzuteilen.
Veröffentlichung der Kontaktdaten des DSB
Die Pflicht, die Kontaktdaten des DSB zu veröffentlichen, dient im Wesentlichen den betroffenen Personen.
Sie sollen ihre Rechte leichter geltend machen können. Denn erster Ansprechpartner ist in der Regel der DSB.
Zu den Kontaktdaten zählen naturgemäß etwa die postalische Anschrift, die E-Mail-Adresse und/oder die Telefon- und Faxnummer des DSB, unter denen er dauerhaft kontaktiert werden kann und erreichbar ist.
Die Veröffentlichung der Kontaktdaten des DSB erstreckt sich nicht zwingend auf den vollen Namen, wenngleich dies – aus Transparenzgründen – nicht schädlich ist.
Dies gilt insbesondere gegenüber den betroffenen Personen oder gegenüber Kunden des Verantwortlichen, der hierdurch einen vertrauensvollen und datenschutzkonformen Umgang mit den verarbeiteten Daten nach außen kommunizieren kann.
Die Verordnung sagt nichts darüber aus, wie die „Veröffentlichung“ erfolgen muss. Weil der DSB v.a. als Ansprechpartner für betroffene Personen fungiert, ist es wichtig, dass seine Kontaktdaten dauerhaft auffindbar und leicht zugänglich sind.
Daher bietet sich z.B. eine leicht zugängliche Veröffentlichung auf der Internet-Homepage des Verantwortlichen, einschließlich des Intranets, etwa für Mitarbeiter, an.
Eine einmalige Veröffentlichung – etwa in einer Tageszeitung oder im Rahmen einer Einwilligungserklärung – reicht hier nicht aus.
Kontaktdaten auch der Aufsichtsbehörde melden
Da der DSB für die zuständige Aufsichtsbehörde in der Regel als erster fachkundiger Ansprechpartner vor Ort und als Bindeglied zum Verantwortlichen fungiert, müssen Verantwortliche auch der Aufsichtsbehörde (separat zur Veröffentlichung) die Kontaktdaten des DSB mitteilen.
Die Mitteilung der Kontaktdaten an die Aufsichtsbehörde muss grundsätzlich pauschal und anlasslos, schriftlich oder elektronisch, erfolgen, nicht erst auf Anfrage der Aufsichtsbehörde. Im letzteren Fall sollten Sie gute Gründe für die verspätete Mitteilung bereithalten.
Die Kontaktdaten des DSB sind der Aufsichtsbehörde auch bei einer Konsultation (Art. 36 Abs. 3 Buchst. d DSGVO) im Rahmen einer Datenschutz-Folgenabschätzung mitzuteilen.
Zu meldende Informationen
Ein erster Blick in den Aufbau der Meldeformulare deutet darauf hin, dass Verantwortliche den Aufsichtsbehörden neben den bloßen Kontaktdaten noch weitere Informationen mitzuteilen haben.
Hierzu zählen z.B. nach Auffassung der Aufsichtsbehörde Rheinland-Pfalz in ihrem Musterformular folgende Informationen:
Angaben zur meldenden Stelle (z.B. Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO):
- Name der Stelle (Behörde, Unternehmen x, Institution y)
- komplette Anschrift (Straße, Hausnummer, PLZ, Stadt)
- Name und Vorname einer Kontaktperson für die Aufsichtsbehörde
- Funktion der Kontaktperson (z.B. Geschäftsführer, Abteilungsleiter etc.)
Angaben zur bzw. zum Datenschutzbeauftragten:
- Name und Vorname
- Organisation (sofern nicht identisch mit meldender Stelle, z.B. bei externen DSB, die nicht Teil der Organisation des Verantwortlichen sind)
- komplette Anschrift der Organisation (sofern nicht identisch mit meldender Stelle)
- E-Mail-Adresse des Datenschutzbeauftragten
- Telefon- und Faxnummer mit konkreter Durchwahlnummer
- Datum der Bestellung des Datenschutzbeauftragten (das Datum aus der Benennungsurkunde)
- sonstige Informationen oder Mitteilungen, die im Zusammenhang mit der Mitteilung der Kontaktdaten des DSB und der Veröffentlichung stehen (hier sind keine sachfremden Informationen anzugeben).
Aufsichtsbehörden schaffen Online-Meldung
Um angesichts der Vielzahl der erwarteten Meldungen einen reibungslosen Ablauf zu gewährleisten, stellen die Aufsichtsbehörden zukünftig wohl ein automatisiertes Meldeverfahren auf ihrer Homepage bereit.
Sobald das automatisierte Meldeverfahren nutzbar ist, geht etwa der hessische Datenschutzbeauftragte davon aus, dass Verantwortliche und Auftragsverarbeiter ihrer Mitteilungspflicht innerhalb von drei Monaten nachkommen müssen (https://datenschutz.hessen.de/).
Auch andere Aufsichtsbehörden bereiten ein Online-Meldeverfahren vor. Rheinland-Pfalz hat z.B. ein Testformular, das sich derzeit aber noch nicht für eine Meldung nutzen lässt, siehe http://ogy.de/meldung-dsb-rlp.
Das bayerische Landesamt für Datenschutzaufsicht hat eine entsprechende Seite in Vorbereitung unter http://ogy.de/meldung-dsb-by.
Insofern sollten Verantwortliche und Auftragsverarbeiter zeitnah regelmäßig nachschauen, ob und wann die für sie zuständigen Aufsichtsbehörden Meldemöglichkeiten bereithalten.
Auch wenn sich bereits abzeichnet, dass die Aufsichtsbehörden eine Art „Karenzzeit“ für die Meldung der Kontaktdaten des Datenschutzbeauftragten ermöglichen, sollte diese Meldung schnellstmöglich erfolgen.
Wie vorgehen bei externen DSB?
Die Veröffentlichungs- und Mitteilungspflicht besteht unabhängig davon, ob der Verantwortliche einen internen oder einen externen DSB benannt hat.
Externe DSB könnten in Abstimmung mit dem Verantwortlichen die Meldung der Kontaktdaten an die Aufsichtsbehörde gleich selbst übernehmen.
Allerdings sollte der externe Datenschutzbeauftragte dem Verantwortlichen eine entsprechende Rückmeldung über die (Ein-)Meldung der Kontaktdaten übermitteln, z.B. in Form einer elektronischen Bestätigungsmail. So kommt der Verantwortliche seiner Rechenschaftspflicht nach.
Vorsicht bei Wechsel/Austausch
Bestellt der Verantwortliche einen neuen (externen oder internen) DSB, muss er die Veröffentlichung etwa auf der Homepage anpassen und die Mitteilung der Daten an die Aufsichtsbehörde wiederholen bzw. gegenüber der Behörde durch eine entsprechende Nachricht aktualisieren.
Haftungsrisiko minimieren
Werden die Kontaktdaten des DSB nicht wie beschrieben veröffentlicht, so ist dies ein bußgeldbewehrter Verstoß, der entsprechende Bußgelder nach sich ziehen kann.
Gleiches gilt, wenn die Mitteilung an die Aufsichtsbehörde unterbleibt.
Weisen Sie daher die Kollegen zwingend darauf hin, dass auch die bisher wenig beachtete Pflicht in Art. 37 DSGVO zeitnah und rechtsgemäß wahrgenommen und umgesetzt wird, um Haftungsrisiken zu minimieren.
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?
Verfasst von
Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.
zu den Kommentaren
