In wenigen Wochen tritt die europäische Datenschutzverordnung in Kraft. Es ist vorgeschrieben, dass Unternehmen, die einen Datenschutzbeauftragten benennen müssen, dessen Kontaktdaten an die zuständige Datenschutzaufsichtsbehörde melden. Wer braucht ab 25.5. einen Datenschutzbeauftragten und wann konkretisieren die Behörden die diesbezügliche Meldepflicht?
Nicht nur Unternehmen und Freiberufler geraten durch den 25.5. teilweise unter Druck. Auch die Behörden als vorgeschriebene Empfänger von Pflichtmeldungen haben noch Defizite bei der Vorbereitung.
In den Behörden der Länder fehlen Mitarbeiter. Datenschutzbeauftragte in Schleswig-Holstein, Hamburg, Berlin und weiteren Bundesländern sehen deshalb die Gefahr, dass die Ende Mai in Kraft tretenden neuen Datenschutzregeln (DSGVO) in Europa nicht durchgesetzt werden könnten.
Unternehmen sind verpflichtet, Datenschutzbeauftragten mit Kontaktdaten zu melden
Nach Art. 37 der Datenschutzgrundverordnung sind Unternehmen, die einen Datenschutzbeauftragten benennen müssen, zusätzlich auch verpflichtet, dessen Kontaktdaten an die jeweils zuständige Datenschutzaufsichtsbehörde zu melden. |
Derzeit ist jedoch immer noch unklar,
- auf welchem Wege dies zu geschehen hat,
- welche Fristen dabei einzuhalten sind
- und welchen Umfang diese Kontaktdaten genau haben sollen.
Für welche Unternehmen ist ab 25.5. ein Datenschutzbeauftragter notwendig?
Welche Unternehmen, Organisationen und Freiberufler müssen einen Datenschutzbeauftragten bestellen? |
In Art. 37 Abs. 1 DSGVO werden die Kriterien für solche Unternehmen, die einen Datenschutzbeauftragten benennen müssen, konkretisiert. Eine Verpflichtung besteht, wenn
- in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
- oder sich die Verarbeitung auf Daten erstreckt, für die nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung vorzunehmen ist,
- oder die Erhebung, Speicherung, Nutzung und Verarbeitung personenbezogenen Daten geschäftsmäßig zu Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- bzw. Meinungsforschung erfolgt.
Während der ersten Punkt also eine klare Vorgabe zur Mindestanzahl der ständig mit der Datenverarbeitung befassten Personen macht und der dritte Punkt sich ähnlich eindeutig auf Unternehmen in Bereichen wie beispielsweise Adresshandel oder Markt- und Meinungsforschung bezieht, sorgt der zweite Punkt oftmals für Unsicherheiten.
Wann ist eine Datenschutz-Folgeabschätzung notwendig?
Mit Daten, für die eine Datenschutz-Folgeabschätzung notwendig ist, sind besonders sensible Daten gemeint, etwa Angaben zur ethnischen Herkunft, Religionszugehörigkeit oder auch Gesundheitsdaten. Werden solche sensiblen Daten verarbeitet, muss also auch unabhängig von der Unternehmensgröße ein Datenschutzbeauftragter benannt werden. Es gibt allerdings auch Ausnahmen beispielsweise für Arztpraxen.
Bußgelder bei fehlerhafter oder nicht erfolgter Meldung
Details zu Meldefristen, Form der Meldung und Umfang der Kontaktdaten nennt die DSGVO nicht. |
Da aber in Art. 83 Abs. 4 ganz erhebliche Bußgelder für den Fall einer nicht erfolgten oder fehlerhaften Meldung drohen, sollten die eigentlich Datenschutzaufsichtsbehörden mittlerweile Lösungen bereitgestellt haben, mit denen sich die Mitteilung durchführen lässt. Allerdings fehlen solche Optionen bislang immer noch.
Online-Formular geplant
Beabsichtigt ist bei den Datenschutzbehörden zwar die Verwendung eines einfachen Online-Formulars zur Meldung der Daten, doch auch sieben Wochen vor Inkrafttreten der DSGVO bietet noch keine der zuständigen Datenschutzbehörden der Länder eine solche Möglichkeit an. Lediglich in Rheinland-Pfalz gibt es ein Testformular, das jedoch explizit nicht für eine ordnungsgemäße Meldung verwendet werden kann. Stattdessen ermöglicht die Behörde immerhin eine Meldung der Daten per E-Mail. In anderen Bundesländern ist bislang noch gar keine Meldung möglich, sondern man verweist dort auf geplante Online-Formulare, die ab Mai bereitstehen sollen.
Umfang der Melde-Daten
Noch nicht endgültig geklärt ist auch der Umfang der anzugebenen Kontaktdaten. So ist in Art. 37 Abs. 7 DSGVO lediglich von den Kontaktdaten die Rede, eine genauere Spezifizierung gibt es jedoch nicht. Neben E-Mail-Adresse zählen auch Telefonnummer und Adresse zu diesen Kontaktdaten, der Name gehört nicht zu dazu, obwohl diese Angabe sicherlich sinnvoll ist.
In dem bereits erwähnten Testformular der Datenschutzbehörde Rheinland-Pfalz werden sogar diverse Zusatzangaben wie etwa das Datum der Bestellung erfragt, ebenso soll angegeben werden, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt.
Abwarten und informieren
Bislang hinken also auch die Behörden mit ihren Vorbereitungen für die Umsetzung der DSGVO noch etwas hinterher, denn wenige Wochen vor der Einführung der neuen Regelungen sollten eigentlich die Voraussetzungen für die Meldepflicht vorhanden sein, damit es nicht in den letzten Tagen vor bzw. zum Starttermin zu Kapazitätsproblemen bzw. Server-Engpässen kommt. Für die betroffenen Unternehmen heißt dies leider, dass sie in den kommenden Tagen und Wochen immer wieder mal einen Blick auf die Online-Angebote der zuständigen Datenschutzbehörden werfen müssen, um ihrer Meldepflicht nachkommen zu können.
Eine Übersicht zu den Adressen der Landesdatenschutzbeauftragten finden Sie auf der Website der Bundesbeauftragten für den Datenschutz